Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Windows / DB Authentication  [new]
kadawrik
Member

Откуда:
Сообщений: 25
Имеем Навижн 5.01, работающий на MS SQL Server 2008.
Раньше все юзеры работали через DB-Auth.
Недавно начали переводить часть пользователей на Win-Auth.
Если нужен новый Win-пользователь, то коллега, отвечающий за права доступа и регистрацию юзеров, заводит его в Наве. Делает он это из-под своего сисадминовского логина.
Всё работает, всё замечательно.
Но как-то случилось так, что этот коллега завел нового польз-ля (назовем его UserX) под своим обычным логином.
Теперь имеем для этого UserX след. картинку: в Наве в таблице "Windows Login" юзер есть. Он может заходить (как Win-User) в Нав и работать в нем.
Но на SQL сервере этого Win-пользователя в списке логинов нет! :-/
Как такое может быть? и где/чё надо искать/подправить?
7 окт 14, 16:51    [16672390]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
Glory
Member

Откуда:
Сообщений: 104751
kadawrik
Но на SQL сервере этого Win-пользователя в списке логинов нет! :-/

Это протиоворечит вашему "Но как-то случилось так, что этот коллега завел нового польз-ля (назовем его UserX) под своим обычным логином. "
Как же коллега "завел пользователя", если он у него не отобразился в списке ?
7 окт 14, 16:53    [16672405]     Ответить | Цитировать Сообщить модератору
 Re: Windows / DB Authentication  [new]
Сон Веры Павловны
Member

Откуда:
Сообщений: 6262
kadawrik
Но на SQL сервере этого Win-пользователя в списке логинов нет!

В sys.server_principals смотрели?
7 окт 14, 17:20    [16672586]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
kadawrik
Member

Откуда:
Сообщений: 25
Сон Веры Павловны
В sys.server_principals смотрели?

Смотрели. Отсутствует!
Есть только старый логин (для DB-аутотенфикации) деактивированный. А нового (в формате ИМЯ_ДОМЕНА\UserX нету)
8 окт 14, 01:01    [16673920]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
kadawrik
Member

Откуда:
Сообщений: 25
Glory
kadawrik
Но на SQL сервере этого Win-пользователя в списке логинов нет! :-/

Это протиоворечит вашему "Но как-то случилось так, что этот коллега завел нового польз-ля (назовем его UserX) под своим обычным логином. "
Как же коллега "завел пользователя", если он у него не отобразился в списке ?

Пользователя заводили через Навижн. И там (в НАВе в таблице "Windows Login") юзер есть. А на самом сервере его нет ;-/
8 окт 14, 01:03    [16673925]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
Гавриленко Сергей Алексеевич
Member

Откуда:
Сообщений: 37254
kadawrik
Пользователя заводили через Навижн. И там (в НАВе в таблице "Windows Login") юзер есть. А на самом сервере его нет ;-/
Тогда при чем тут MSSQL?
8 окт 14, 01:11    [16673941]     Ответить | Цитировать Сообщить модератору
 Re: Windows / DB Authentication  [new]
NickAlex66
Member

Откуда:
Сообщений: 319
kadawrik,

Возможно новый пользователь входит в AD группу у которой есть права на SQL.
8 окт 14, 02:39    [16674019]     Ответить | Цитировать Сообщить модератору
 Re: Windows / DB Authentication  [new]
Сон Веры Павловны
Member

Откуда:
Сообщений: 6262
kadawrik,

попробуйте выполнить в сессии того пропавшего логина
select name from sys.login_token
intersect
select name from sys.server_principals where type in ('G','U')
8 окт 14, 06:04    [16674062]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
Glory
Member

Откуда:
Сообщений: 104751
kadawrik
Пользователя заводили через Навижн. И там (в НАВе в таблице "Windows Login") юзер есть. А на самом сервере его нет ;-/

И в чем проблема ? В том, что пользователь все равно попадает на сервер ?
8 окт 14, 09:13    [16674298]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
kadawrik
Member

Откуда:
Сообщений: 25
Гавриленко Сергей Алексеевич
Тогда при чем тут MSSQL?

Вот и пытаемся разобраться: почему остальные win-юзеры, заведенные через НАВ, на сервере есть. а этого нет.
9 окт 14, 10:54    [16680526]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
kadawrik
Member

Откуда:
Сообщений: 25
NickAlex66
kadawrik,

Возможно новый пользователь входит в AD группу у которой есть права на SQL.

Мы с этого и начали проверять. В группах этого пользователя есть только одна, которая имеет доступ к серверу, но только к совершенно другой БД (не навижнской)
9 окт 14, 10:56    [16680538]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
Glory
Member

Откуда:
Сообщений: 104751
kadawrik
почему остальные win-юзеры, заведенные через НАВ, на сервере есть. а этого нет.

Наверное потому, что их добавили в логины, а этого не добавили.
Какая связь должна быть между записью в вашей пользовательской таблице и в системной таблице сервера ?
9 окт 14, 10:57    [16680549]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
kadawrik
Member

Откуда:
Сообщений: 25
Glory
И в чем проблема ? В том, что пользователь все равно попадает на сервер ?

Пока пользователь может сппокойно работать с Навиком, проблемы собсно и нет. Просто стало интересно, почему так произошло. Где-то же собака порылась, раз этот польз-ль отличается от остальных! ;)
9 окт 14, 10:58    [16680554]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
Glory
Member

Откуда:
Сообщений: 104751
kadawrik
Просто стало интересно, почему так произошло.

Что именно произошло то ?
Без соединения с сервером никакое приложение, даже Навижен, не может что-либо читать из таблиц.
Поэтому никакя информация из этих таблиц не может участвовать в установлении соединения.
9 окт 14, 11:00    [16680569]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
kadawrik
Member

Откуда:
Сообщений: 25
Glory
Что именно произошло то ?

Что именно произошло, я писала в заглавном сообщении.

Glory
Без соединения с сервером никакое приложение, даже Навижен, не может что-либо читать из таблиц.
Поэтому никакя информация из этих таблиц не может участвовать в установлении соединения.

Вопрос в том, каким образом этот пользователь получает доступ к серверу и к БД, если его нет в списке логинов на сервере?
Как вариант, можно было бы предположить, что у него есть какая-то АД-группа, обладающая правом доступа. Но мы группы просмотрели. Ничего подходящего не нашли.
10 окт 14, 00:10    [16684716]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
kadawrik
Member

Откуда:
Сообщений: 25
Glory
Какая связь должна быть между записью в вашей пользовательской таблице и в системной таблице сервера ?

Еще раз опишу процесс:
чтобы добавить нового Win-пользователя, чел, отвечающий за права доступа, заходил под админовским логином в Навижн и в таблицу "Windows Login" добавлял нового юзера. После этого в системных таблицах сервера польз-ль тоже появлялся. и всё было в порядке. всё работало.

Но с одним юзером произошел косяк: на сервер в логины он не добавился, но тем не менее имеет доступ к БД и спокойно работает в НАВе.
Чел, добавлявший юзера, предполагает, что это могло произойти потому, что он сделал это не под своим админовским логином, а под обычным (у которого, разумеется, прав гораздо меньше)
Пока юзер может без проблем работать, то проблемы вроде как нет. Но всё-таки надо же выяснить: почему его нет в списке логинов сервера?
10 окт 14, 00:19    [16684737]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
invm
Member

Откуда: Москва
Сообщений: 9915
kadawrik
Вопрос в том, каким образом этот пользователь получает доступ к серверу и к БД, если его нет в списке логинов на сервере?
1. Запускаете с сисадминскими полномочиями запрос:
execute as login = 'Тот самый злополучный Win-логин';
select distinct principal_id, name, type from sys.login_token where principal_id > 0 and type in ('WINDOWS LOGIN', 'WINDOWS GROUP');
revert;

2. Осмысливаете результат.
10 окт 14, 00:26    [16684749]     Ответить | Цитировать Сообщить модератору
 Re: Windows / DB Authentication  [new]
Сон Веры Павловны
Member

Откуда:
Сообщений: 6262
invm
Запускаете с сисадминскими полномочиями запрос

Я выше уже предлагал пересечь выборку из sys.login_token c выборкой из sys.server_principals (пересечь - потому что в login_token может быть много групп, не являющихся логинами; у меня лично таких групп около 20). ТС же предпочитает по-новой рассказывать свою грустную повесть.
10 окт 14, 06:13    [16684891]     Ответить | Цитировать Сообщить модератору
 Re: Windows  [new]
Glory
Member

Откуда:
Сообщений: 104751
kadawrik
Но всё-таки надо же выяснить: почему его нет в списке логинов сервера?

Т.е. вы спрашиваете, как в Навижене работает некое "добавление пользователей в в таблицу" ?
И как на это добавление влияют права выполняющего добавление пользователя ?
10 окт 14, 09:14    [16685294]     Ответить | Цитировать Сообщить модератору
 Re: Windows / DB Authentication  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 9184
Неужели просмотреть приконнекченные логины - непосильная задача для SA или даже DBA?
10 окт 14, 11:33    [16686307]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить