Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
добрый день!

Хочу выполнить команду dir на другом сервере.
EXEC xp_cmdshell N'dir C:\foldershare' выполняется без проблем
EXEC xp_cmdshell N'dir \\domen\server\foldershare' пишет Access is denied.

Почитал про sp_xp_cmdshell_proxy_account. Типа можно выполнить xp_cmdshell от другого пользователя.
Завел нового доменного пользователя.
При выполнении EXEC sp_xp_cmdshell_proxy_account 'domen\user','password'
выдает следующее:
An error occurred during the execution of sp_xp_cmdshell_proxy_account. Possible reasons: the provided account was invalid or the '##xp_cmdshell_proxy_account##' credential could not be created. Error code: '5'.

кто нибудь сталкивался с подобным?
27 май 11, 13:47    [10719461]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Eagle_84
Member

Откуда: Москва
Сообщений: 1535
попробуйте сделать
create credential ##xp_cmdshell_proxy_account## with identity = 'Domain\DomainUser', secret = 'password'
27 май 11, 13:57    [10719565]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Eagle_84,

create credential выполнился.
Но EXEC xp_cmdshell N'dir \\server\foldershare' все равно выдает Access is denied.

хотя у этого пользователя есть права на чтение и в виндовом cmd все работает
27 май 11, 14:33    [10719879]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Glory
Member

Откуда:
Сообщений: 104751
Orion70
хотя у этого пользователя есть права на чтение и в виндовом cmd все работает

У какого "этого" ?
27 май 11, 14:59    [10720233]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Glory,

create credential ##xp_cmdshell_proxy_account## with identity = 'Domain\DomainUser', secret = 'password'

у пользователя 'Domain\DomainUser'
27 май 11, 15:11    [10720402]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Glory
Member

Откуда:
Сообщений: 104751
Orion70
Glory,

create credential ##xp_cmdshell_proxy_account## with identity = 'Domain\DomainUser', secret = 'password'

у пользователя 'Domain\DomainUser'

А откуда вы знаете, что обращение к сетевому ресурсу идет именно под этой учетной записью ?
27 май 11, 15:13    [10720440]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Senya_L
Member

Откуда: Москва
Сообщений: 5381
Orion70
у пользователя 'Domain\DomainUser'
xp_cmdshell выполняется с правами учетки, под которой запущен SQL-сервер. Ему и надо выдавать требуемые права
27 май 11, 15:13    [10720451]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Senya_L
Orion70
у пользователя 'Domain\DomainUser'
xp_cmdshell выполняется с правами учетки, под которой запущен SQL-сервер. Ему и надо выдавать требуемые права


а можно запустить xp_cmdshell под указанным мной доменным пользователем? я думал, что команда sp_xp_cmdshell_proxy_account как раз это и делает...
27 май 11, 15:19    [10720528]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Glory
Orion70
Glory,

create credential ##xp_cmdshell_proxy_account## with identity = 'Domain\DomainUser', secret = 'password'

у пользователя 'Domain\DomainUser'

А откуда вы знаете, что обращение к сетевому ресурсу идет именно под этой учетной записью ?


а как сделать, чтобы обращение было под этой учетной записью?
27 май 11, 15:20    [10720549]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Glory
Member

Откуда:
Сообщений: 104751
Orion70
Glory
пропущено...

А откуда вы знаете, что обращение к сетевому ресурсу идет именно под этой учетной записью ?


а как сделать, чтобы обращение было под этой учетной записью?

Открыть в хелпе статью про xp_cmdshell
Прочитать параграф Permissions
27 май 11, 15:23    [10720583]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Glory
Открыть в хелпе статью про xp_cmdshell
Прочитать параграф Permissions

В параграфе Permissions написано: Requires CONTROL SERVER permission.
Все. Что это значит?
27 май 11, 15:25    [10720606]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Glory
Member

Откуда:
Сообщений: 104751
Orion70
Glory
Открыть в хелпе статью про xp_cmdshell
Прочитать параграф Permissions

В параграфе Permissions написано: Requires CONTROL SERVER permission.
Все. Что это значит?

Это значит то, что написано - requires CONTROL SERVER permission to execute
И читать лучше весь параграф
27 май 11, 15:30    [10720664]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Eagle_84
Member

Откуда: Москва
Сообщений: 1535
Orion70
Glory
Открыть в хелпе статью про xp_cmdshell
Прочитать параграф Permissions

В параграфе Permissions написано: Requires CONTROL SERVER permission.
Все. Что это значит?

тынц
27 май 11, 15:35    [10720714]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Eagle_84,

там тоже написано:
2.Используйте системную процедуру sp_xp_cmdshell_proxy_account, чтобы настроить процедуру xp_cmdshell на использование учетной записи с меньшими правами доступа.

Но я в самом первом посте написал, что команда:
EXEC sp_xp_cmdshell_proxy_account 'domen\user','password'
выдает следующее:
An error occurred during the execution of sp_xp_cmdshell_proxy_account. Possible reasons: the provided account was invalid or the '##xp_cmdshell_proxy_account##' credential could not be created. Error code: '5'.

команду, котоую мне посоветовали выполнить:
create credential ##xp_cmdshell_proxy_account## with identity = 'Domain\DomainUser', secret = 'password'
выполняется без проблем.
27 май 11, 15:53    [10720896]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Glory
Member

Откуда:
Сообщений: 104751
А еще там написано
To determine the Windows account being used by xp_cmdshell when launching operating system processes, execute the following statement:

xp_cmdshell 'whoami.exe'
27 май 11, 15:55    [10720911]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Glory,

да, это я тоже выполнял. возвращает имя совсем другого пользователя, не того который нужен мне.
27 май 11, 15:57    [10720941]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Eagle_84
Member

Откуда: Москва
Сообщений: 1535
автор
Glory,

да, это я тоже выполнял. возвращает имя совсем другого пользователя, не того который нужен мне.


поэтому и получаете ошибку:
Orion70
Но EXEC xp_cmdshell N'dir \\server\foldershare' все равно выдает Access is denied.
27 май 11, 16:01    [10720983]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Glory
Member

Откуда:
Сообщений: 104751
Orion70
Glory,

да, это я тоже выполнял. возвращает имя совсем другого пользователя, не того который нужен мне.

И что вас тогда удивляет ? Вы назначили права доступа к сетевому ресурсу именно этой учетной записи ?
27 май 11, 16:01    [10720984]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Я это уже понял.

Но как выдать права другому пользователю на xp_cmdshell, если sp_xp_cmdshell_proxy_account выдает ошибку?
27 май 11, 16:03    [10720999]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
после выполнения

EXECUTE AS LOGIN = '<other_login>'
GO
xp_cmdshell 'whoami.exe'
REVERT

ничего не меняется. возвращается не тот пользователь.
27 май 11, 16:05    [10721017]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Glory
Member

Откуда:
Сообщений: 104751
Orion70
Я это уже понял.

Но как выдать права другому пользователю на xp_cmdshell, если sp_xp_cmdshell_proxy_account выдает ошибку?

Прочитать сообщение об ошибке
27 май 11, 16:05    [10721022]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Glory,

в третий раз пишу :)

An error occurred during the execution of sp_xp_cmdshell_proxy_account. Possible reasons: the provided account was invalid or the '##xp_cmdshell_proxy_account##' credential could not be created. Error code: '5'.

credential не создается. команду, котоую мне посоветовали выполнить:
create credential ##xp_cmdshell_proxy_account## with identity = 'Domain\DomainUser', secret = 'password'
выполняется без проблем.

либо provided account was invalid. Что делать?
27 май 11, 16:09    [10721059]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Glory
Member

Откуда:
Сообщений: 104751
Orion70
Glory,

в третий раз пишу :)

An error occurred during the execution of sp_xp_cmdshell_proxy_account. Possible reasons: the provided account was invalid or the '##xp_cmdshell_proxy_account##' credential could not be created. Error code: '5'.

Надо не писать, а читать сообщения - the provided account was invalid
27 май 11, 16:10    [10721076]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Orion70
Member

Откуда:
Сообщений: 204
Glory,

эту ошибку я выучил наизусть. где и в чем может быть проблема, где найти решение?
27 май 11, 16:16    [10721133]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell и share  [new]
Eagle_84
Member

Откуда: Москва
Сообщений: 1535
что-то уже запутался )
выполняете EXEC sp_xp_cmdshell_proxy_account, выдает ошибку
после попробовали create credential ##xp_cmdshell_proxy_account## ... - получилось
снова пробовали EXEC sp_xp_cmdshell_proxy_account? - ошибка сохранилась?

xp_cmdshell 'whoami.exe' что выдает?

select *
from sys.credentials что возвращает?
27 май 11, 16:20    [10721178]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить