最近,在SQLServer中使用Windows用户组时,发现了一些比较诡异的问题。
SQL Server版本:SQL Server 2008 R2
问题1:Login failed for user 'xx\xx'
操作描述:
在SQL Server中添加一个Windows用户,并且使用该用户连接SQLServer(Windows身份验证),登录失败,日志中出现如下错误:
Login failed for user 'xx\xx'. 原因: 基于令牌的服务器访问验证失败,出现基础结构错误。请检查以前的错误。 [客户端: <xxxx>]
检查权限分配没有任何异常,后来属性,该用户属于一个Windows用户组,这个用户组也是SQL Server的Login,并且显式拒绝了CONNECT SQL权限,尝试去掉Windows组上的拒绝权限,发现可以正常登录。
反复测试后发现,如果Windows用户和它所属的Windows用户组都是SQLServer的Login的话,则Windows用户的权限为其自身的权限+所属Windows组的权限,并且拒绝权限优先。也就是说,只要Windows用户所属的用户组具有某个对象的访问权限,那么Windows用户也会有这个权限;而如果其所属的用户组设置了拒绝权限,则即使显式给Windows用户权限,也会出现权限拒绝的现象。我所遇到的问题,就是因为用户所属Windows用户组设置了拒绝连接SQL Server,所以不管我是否授予用户连接SQL Server的权限,均无法连接SQL Server。
问题2:孤立用户???
操作描述:
这个是在测试问题1的过程中发现的。当我为Windows用户组授予了某个数据库的权限之后,这个用户组所属的用户也获得了这个权限(没有为用户显式授权),这个在问题1中已经结案了。
现在的问题是,当我把Windows用户组对应的Login(是实例级别的Login,不是数据库级别的User)删除后,发现这个组对应的Windows用户(在SQLServer中有对应的Login)还是具有所属Windows用户组的权限。
看起来在删除Windows用户组的时候要小心,不但要删除Login,还要删除数据库级别的User。否则可能会因为这个而产生安全漏洞。
注:
删除Login的时候,数据库级别的User不会自动删除,这种User称之为孤立用户。(联机帮助上的原文“如果删除了对应的 SQL Server 登录名,则数据库用户可能会变为孤立用户”)。
孤立用户由于没有Login,无法产生与之相关的登录,所以一般情况下我们会认为孤立用户不会影响到安全性。但对于Windows用户组,看起来就危险了。
问题3:还是孤立用户???
操作描述:
在问题2的基础上,发现了一个列有趣的问题。可以直接通过CREATE USER [xx\xx] FOR LOGIN [xx\xx]语句,在DB级别上,为Windows用户组创建User,并且可以授权。这似乎就是人为创建孤立用户了。
6014
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
