Вопросы Теги

Почему Сетевая служба может считать избранные строки в SQL Server 2 005 дБ, не давая разрешения

Вы должны сначала добавить de contoller на Вашей vm машине: 

vboxmanage storagectl YourVMNameOrID --name "SATA Controller" --add sata --controller IntelAHCI --portcount 1 --bootable on

и затем подключают виртуальный har образ диска к контроллеру запоминающих устройств: 

vboxmanage storageattach YourVMNameOrID --storagectl "SATA Controller" --device 0 --port 0 --type hdd --medium YourVirtualHardDiskImage.vdi
1
задан 9 June 2009 в 12:31
3 ответа

Некоторая мысль:

  • Услуга экземпляра SQL Server Express работает под Сетевой службой, поэтому имеет права системного администратора?
  • Сетевая служба в локальной группе admin, поэтому имеет права системного администратора?
  • Учетная запись Сетевой службы добавляется к SQL Server как вход в систему?
1
ответ дан 3 December 2019 в 22:56
  • 1
    Да, экземпляр работает как Сетевая служба. Учетная запись Сетевой службы добавляется как вход в систему. Это означает, что какое-либо приложение, работающее как Сетевая служба, имеет права системного администратора? –  Louis Haußknecht 9 June 2009 в 14:30
  • 2
    Да, потому что учетная запись servie использовала , должен быть системным администратором –  gbn 9 June 2009 в 14:44
  • 3
    Я думаю, что мы должны переключиться на различные счета на обоих, SQL-сервер и пул приложений IIS. –  Louis Haußknecht 9 June 2009 в 14:47
  • 4
    После удаления Сетевой службы от логинов мы можем все еще соединиться с дб?! Странный. –  Louis Haußknecht 9 June 2009 в 15:04
  • 5
    You' d должен проверить все логины SQL Server, группы и членство для обнаружения почему. Я предполагаю, что путь разрешения через другую группу теперь –  gbn 9 June 2009 в 15:52

Возможно, разрешения были даны к IIS_WPG группа на SQL Server? По умолчанию учетная запись Сетевой службы (СЕРВИС NTAUTHORITY\NETWORK) является членом этой группы.

0
ответ дан 3 December 2019 в 22:56

Это еще раз укрепляет случай для того, чтобы не использовать счет СЕТЕВОЙ СЛУЖБЫ на выполнение SQL Server, поскольку Вы не знаете то, с чем другими сервисами Вы совместно используете учетную запись.

Было бы лучше при конфигурировании SQL Server для выполнения в соответствии с некоторой другой учетной записью. Специальный локальный счет на сервис SQL Server работает лучше всего - можно затем использовать его для предоставления дополнительных разрешений к SQL Server, в случае, если они необходимы.

Если после конфигурирования SQL Server для выполнения в соответствии с другой учетной записью и удалением СЕТЕВОЙ СЛУЖБЫ от логинов можно все еще соединиться от IIS, то выполненный этот запрос, в то время как соединено от IIS:

select * from sys.login_token

Затем ищите ВХОД В СИСТЕМУ WINDOWS GROUPS и WINDOWS, которые имеют ненулевое значение в principal_id столбце. Та группа или вход в систему - то, как Ваш IIS может соединиться с SQL, Разъединяют.

1
ответ дан 3 December 2019 в 22:56
  • 1
    Положительная сторона! Даст этому запросу попытку. –  Louis Haußknecht 23 July 2009 в 11:58

Теги

Похожие вопросы