Die Anmeldung kann die Definition auch dann nicht anzeigen, wenn die Berechtigung erteilt wurde

7

Ich habe ein AD-Login, das sich in den folgenden AD-Gruppen befindet.

  • DOMAIN \ GlobalGroup1
  • DOMAIN \ GlobalGroup2
  • DOMAIN \ GlobalGroup3
  • DOMAIN \ UniversalGroup1

DOMAIN \ UniversalGroup1 wurde für diese SQL Server-Instanz (10.50.6000.34) die Option JEDE DEFINITION ANZEIGEN erteilt. Der Benutzer kann keine der Definitionen der Datenbanken anzeigen.

Andere Mitglieder der DOMAIN \ UniversalGroup1 scheinen in der Lage zu sein, Definitionen anzuzeigen.

EXEC xp_logininfo 'DOMAIN\user','all'

Zeigt nur die 3 GlobalGroups an. Dies ist eine dokumentierte Einschränkung der Prozedur xp_logininfo.

EXEC xp_logininfo 'DOMAIN\UniversalGroup1','members'

Bestätigt die Mitgliedschaft des Benutzers in der Gruppe.

Wie kann ich dieses Problem beheben? Hat das Problem in irgendeiner Weise mit dem Unterschied zwischen der globalen und der universellen Gruppe zu tun?

SQL Hammer
quelle
Versuchen Sie, sich als Benutzer auszugeben, und fragen Sie sys.login_token ab. Stellen Sie außerdem sicher, dass UniversalGroup1 tatsächlich eine Sicherheitsgruppe ist.
Kenneth Fisher
Ich hatte ein ähnliches Problem. Ich stellte eine Verbindung zu zwei Servern mit denselben Berechtigungen her, konnte jedoch nur Objekte in einem, aber nicht in einem anderen sehen. Ein Neustart hat es für mich behoben.
Vladimir Oselsky
Ich habe auch eine AD-Gruppe gesehen, die als Verteilergruppe anstelle einer Sicherheitsgruppe erstellt wurde und dieselben Symptome hatte. Wenn es nicht in login_tokens angezeigt wird, wird es von SQL aus irgendeinem Grund nicht angezeigt.
Kenneth Fisher
Berechtigungen in SQL Server sind additiv. Wenn einer dieser Gruppen diese Berechtigung verweigert wird, wird dem Benutzer diese Berechtigung verweigert, obwohl sie als Teil einer anderen Gruppe erteilt wurde. Das ist eine andere Sache zu überprüfen.
Nateirvin

Antworten:

6

Ist die Benutzerkontensteuerung aktiviert? Die Benutzerkontensteuerung kann die Liste der Gruppenmitgliedschaften des Benutzers abschneiden

Robert L Davis
quelle