Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Запрет входа для Windows пользователей  [new]
Ключеров Александр
Member

Откуда:
Сообщений: 75
Имеется несколько сотен экземпляров SQL сервера. Необходимо запретить вход под Windows пользователями. Оставить только вход под sa.
Пробовал через DENY CONNECT. Но не всегда проходит.
DECLARE @t NVARCHAR(max) 

SELECT @t = ISNULL(@t,'') + 'DENY CONNECT SQL TO' + QUOTENAME(name) + char(13) FROM sys.server_principals where type_desc in ('WINDOWS_GROUP'
,'WINDOWS_LOGIN')

SET @t = 'exec master..sp_executesql N''' + @t + '''';

exec(@t)
27 окт 14, 15:05    [16763864]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
aleks2
Guest
Опять боремся с ветряными мельницами (локальными администраторами)?
27 окт 14, 16:16    [16764268]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Ключеров Александр
Member

Откуда:
Сообщений: 75
Хотелось бы заблокировать вход под Windows пользователями. Неужели нельзя это сделать скриптом из под sa?
27 окт 14, 17:14    [16764477]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Glory
Member

Откуда:
Сообщений: 104760
Ключеров Александр
Хотелось бы заблокировать вход под Windows пользователями.

Заблокировать вход или запретить логин ?

Ключеров Александр
Неужели нельзя это сделать скриптом из под sa?

Можно. Делайте.
27 окт 14, 17:16    [16764487]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Ключеров Александр
Member

Откуда:
Сообщений: 75
Любой путь подойдет. Лишь бы работал. Вплоть до удаления пользователей. Пробовал по разному. Не всегда получается. Опишу позже подробней. Надеялся есть готовое решение.
27 окт 14, 17:45    [16764595]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7868
Ключеров Александр,

как можно "удалить имя входа, но не всегда", имея sa?
27 окт 14, 17:52    [16764621]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
X-Cite
Member

Откуда: Минск
Сообщений: 1759
Ключеров Александр,

Вариант:
Пишете DDL триггер на сервере, который срабатывает на коннект, а там проверяете, если не sa тогда KILL процесс.

DDL Triggers
DDL Event Groups
DDL Events
28 окт 14, 10:03    [16766346]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Glory
Member

Откуда:
Сообщений: 104760
Ключеров Александр
Не всегда получается.

Это очень хорошее объяснение.

Ключеров Александр
Надеялся есть готовое решение.

Одной командой что ли ?
28 окт 14, 12:58    [16767223]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Ключеров Александр
Member

Откуда:
Сообщений: 75
1) Подключаюсь под sa
2) Выполняю
DENY CONNECT SQL TO[АЛЕКСАНДР-ПК\Александр]
USER_NAME это имя виндовой учетки

На одной машине после этой операции под виндовой учеткой вход запрещен
Login failed for user 'АЛЕКСАНДР-ПК\Александр'. (Microsoft SQL Server, Error: 18456)

На другой машине после приведенного скрипта можно заходить под виндовой учеткой. Хотя в Login Properties установлено Deny.
28 окт 14, 14:06    [16767602]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
HandKot
Member

Откуда: Sergiev Posad
Сообщений: 2996
Ключеров Александр
1) Подключаюсь под sa
2) Выполняю
DENY CONNECT SQL TO[АЛЕКСАНДР-ПК\Александр]
USER_NAME это имя виндовой учетки

На одной машине после этой операции под виндовой учеткой вход запрещен
Login failed for user 'АЛЕКСАНДР-ПК\Александр'. (Microsoft SQL Server, Error: 18456)

На другой машине после приведенного скрипта можно заходить под виндовой учеткой. Хотя в Login Properties установлено Deny.


ну так как на другой машине, то есть подозрение, что там и логин другой. У двух разных машин в домене не может быть одинаковых имен
28 окт 14, 14:09    [16767620]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Ключеров Александр
Member

Откуда:
Сообщений: 75
Понятно, что другой. Deny делался соответственно над тем логином под которым происходит вход под виндовой аутентификацией.
28 окт 14, 14:15    [16767676]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Glory
Member

Откуда:
Сообщений: 104760
Ключеров Александр
На другой машине после приведенного скрипта можно заходить под виндовой учеткой. Хотя в Login Properties установлено Deny.

А почему вы считаете, что авторизация происходит под именно под этой учетной записью windows ?
28 окт 14, 14:45    [16767867]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Ключеров Александр
Member

Откуда:
Сообщений: 75
Потому, что в Management Studio видно под кем произведен вход
28 окт 14, 15:24    [16768089]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Glory
Member

Откуда:
Сообщений: 104760
Ключеров Александр
Потому, что в Management Studio видно под кем произведен вход

Да что вы говорите.
Т.е. там, где доступ сделан только для сетевых групп, невозможно попасть на сервер что ли ?
28 окт 14, 15:26    [16768110]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
HandKot
Member

Откуда: Sergiev Posad
Сообщений: 2996
Ключеров Александр
Потому, что в Management Studio видно под кем произведен вход

что-то мало верится. Если у логина стоит DENY, то с любой машины этому пользователю вход закрыт, даже если у него есть разрешения посредством других групп.
Может скриншотик покажете?
28 окт 14, 15:48    [16768249]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Ключеров Александр
Member

Откуда:
Сообщений: 75
http://i077.radikal.ru/1410/6f/f4bfd81280e7.jpg
28 окт 14, 19:05    [16769193]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Glory
Member

Откуда:
Сообщений: 104760
Ключеров Александр
http://i077.radikal.ru/1410/6f/f4bfd81280e7.jpg

Ничего, что на скришоте коннект под sa, а не под АЛЕКСАНДР-ПК\Александр ?
28 окт 14, 21:21    [16769595]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
SIMPLicity_
Member

Откуда: (((@)))
Сообщений: 8734
Glory
Ключеров Александр
http://i077.radikal.ru/1410/6f/f4bfd81280e7.jpg

Ничего, что на скришоте коннект под sa, а не под АЛЕКСАНДР-ПК\Александр ?

Query19 - там залогинено под "Александр", похоже.
Кстати, на картинке запрещён коннект к Engine. А может запретить именно сам логин? А стартовать скуль под какой-то иной учёткой?
29 окт 14, 01:39    [16770411]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
Glory
Member

Откуда:
Сообщений: 104760
SIMPLicity_
Query19 - там залогинено под "Александр", похоже.

А как можно создать Query к серверу, которого нет в списке слева ?
29 окт 14, 09:06    [16770826]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
o-o
Guest
Glory
SIMPLicity_
Query19 - там залогинено под "Александр", похоже.

А как можно создать Query к серверу, которого нет в списке слева ?

прямо в окне Query правой кнопкой Connection -> Change Connection.

на картинке ТС запросы к разным серверам, коннект 52 к локальному, а 340 к чему-то посолиднее.

у меня вечно та же ситуация, только обратная, в Object Explorer-е держу приконнекченным рабочий сервер,
а эксперименты на своих локальных.
зачем их в Object Explorer-е светить?
только для форума их показываю в явном виде.
по номеру сессии можно догадаться, на каком сервере работа, а на каком безделье :)

на моей картинке: к локальному под sa (54), к остальным двум (52, 75) под виндовой учеткой,
в Object Explorer-е четверый сервер, к нему под скульной учеткой

К сообщению приложен файл. Размер - 51Kb
29 окт 14, 11:33    [16771731]     Ответить | Цитировать Сообщить модератору
 Re: Запрет входа для Windows пользователей  [new]
HandKot
Member

Откуда: Sergiev Posad
Сообщений: 2996
Glory
А как можно создать Query к серверу, которого нет в списке слева ?

а разве в обжект эксплоере обязательно что-то должно быть? Этого окна вообще может и не быть (скрыто). А соединение задается для query отдельно. Или я не так что-о понял?

А автору, сделайте снимок, где видны характеристики query этого злополучного пользователя (т.е все тоже самое, только другое квери активное сделать)
29 окт 14, 11:35    [16771745]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить