Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Что нужно настроить на сервере, чтобы он "видел" принадлежность к группе в другом домене?  [new]
LoginToken
Guest
Ситуация: имеется три домена, между всеми ними - full-trust relationship. В домене A заведена группа A\group, на сервере, расположенном в домене A, для A\group заведен логин, для логина в базах созданы пользователи, пользователи включены в роли, ролям назначены права - всё прекрасно работает. У пользователя, относящегося к группе A\group, запрос
select * from sys.login_token where name='A\group'

возвращает записи.
Теперь возникает необходимость перенести приложение на сервер, находящийся в домене B, у которого с A full-trust. На B создаем логин, пользователей, роли, для ролей назначаем права точно так же, как на A. Но у пользователя, входящего в A\group, и у которого всё прекрасно работает в домене А, на сервере в домене B вылетает 'SELECT permisssion denied on ...'. Проверяю login_tokens - там нет записи для A\group, т.е. сервер не хочет видеть принадлежность логина к этой группе. Поскольку, например, файловые права, связанные с принадлежностью к A\group, нормально работают в домене B, подозреваю, что тут что-то не так с настройкой самого SQL-сервера. Но вот что?
5 мар 15, 08:19    [17344947]     Ответить | Цитировать Сообщить модератору
 Re: Что нужно настроить на сервере, чтобы он "видел" принадлежность к группе в другом домене?  [new]
LoginToken
Guest
Обратил внимание на то, что часть групп из домена А все-таки отображается на сервере В в login_tokens. Решил сравнить какую-нибудь отображаемую группу (для примера назовем её A\visible_group), и вышеупомянутую A\group. Отличия нашлись следующие:

A\visible_group:
sAMAccountType = 268435456 (0x10000000, SAM_GROUP_OBJECT)
groupType = -2147483640 (0x80000008, security group + group with universal scope)

A\group:
sAMAccountType = 536870912 (0x20000000, SAM_ALIAS_OBJECT)
groupType = -2147483644 (0x80000008, security group + group with domain local scope)

(расшифровка значений взята отсюда и отсюда)
Почему-то мне кажется, что проблема именно в groupType у A\group (group with domain local scope). Если где в документации что-нибудь об этом нюансе?
5 мар 15, 08:48    [17344998]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить