Як створити вхід на сервер Sql для облікового запису домену?

14

Усі,

У мене Sql Server 2008 встановлений на сервері (скажімо, Server1 ) у домені (скажімо, AD ). У мене також є обліковий запис домену під назвою AD \ Sql1 . Це не обліковий запис адміністратора домену ( AD ), але я хочу, щоб він був адміністратором на сервері1 . Потім створіть логін на сервері Sql для цього облікового запису домену (не для локального облікового запису).

Як це зробити?

Запитання:

  1. Користувач AD \ Sql1 , я хочу його як адміністратора на сервері1 . Для цього я просто створю локальний обліковий запис з тим самим іменем користувача (скажімо, Server1 \ Sql1 ) і роблю локальний рахунок адміністратором на машині. Чи буде цей локальний обліковий запис автоматично відображатися в однойменному обліковому записі домену? Можливо, я повинен додати тут, що CREATE LOGIN [AD\Sql1] FROM WINDOWSдля мене не вийшло. Я спробував і отримав помилку, сказавши user does not exist in Windows(щось подібне)
  2. Тепер, якщо описана вище техніка працює. Припустимо, AD \ Sql1 стає адміністратором на Sever1 . Тож теоретично мені не потрібно створювати логін Sql для цього облікового запису Windows Domain на сервері Sql, правда? Усі локальні адміністратори, що входять до складу BUILTIT \ Admins, автоматично мають доступ до системного адміністратора до сервера Sql, правда?

Де я помилився? Будь ласка, поділіться будь-якими URL-адресами, які могли б краще пояснити цю концепцію.

Редагувати: Я також повинен додати, що питання 1 і 2 важливі незалежно. Я знаю, як додати обліковий запис домена / Windows як sysadmin. Але мене цікавить, як працює картографування між доменами та локальними акаунтами. Моя мета тут не в тому, як додати локальний обліковий запис як sysadmin, я можу це зробити досить швидко. Мій намір не бути грубим, а бути максимально чітким. Якщо моє запитання ще не зрозуміло, повідомте мене, щоб я міг додати більше деталей.

Спасибі,
_UB

Редагувати: Граматика

sql-server-2008 
UB01
джерело

Відповіді:

13

Не створюйте локальний обліковий запис з таким самим іменем, як обліковий запис домену. Якщо ви хочете додати логін для домену як адміністратори sql, виконайте наступне:

  • створити логін для облікового запису домену: create login [AD\Sql1] from windows;
  • додати логін до групи sysadmin: exec sp_addsrvrolemember 'AD\Sql1', 'sysadmin';

Зроблено. Ви б домоглися того ж результату, якби просто додати AD\Sqlобліковий запис до місцевих адміністраторів через net localgroup Administrators /add AD\Sql1(з оболонки CMD), але це не правильне рішення, оскільки воно надає AD\Sql1всі права адміністратора NT на додаток до надання йому адміністратора SQL, який не є тому вимога заявлена ​​як непотрібне піднесення. BTW правило, що члени локальної групи адміністраторів є адміністраторами SQL, не є неявними, є явним привілеєм, наданим за замовчуванням під час установки SQL, і його можна скасувати, тому вам доведеться перевірити це.

Ремус Русану
джерело
Дякую, у цьому коментарі є деяка інформація, яку я міг би використати. Але у мене є додаткове запитання. коли я намагався додати логін Sql за допомогою CREATE LOGIN [AD\Sql1] FROM WINDOWS, у мене з’явилася помилка про те, що користувач не існує в Windows. Отже, мені довелося додати його як раніше до локальної машини (тоді це працює).
UB01
Я перегляну точку, про яку ви згадали про ".. локальні адміністратори за замовчуванням sysasminsна машині". Дякую, я прочитаю про це. Але як працює картографування? Між обліковими записами домену та однойменними локальними акаунтами.
UB01
Якщо машина, де встановлений екземпляр SQL Server, є частиною домену, ви повинні мати можливість додати обліковий запис домену без жодних проблем.
JackLock
Добре, це те, що я думав, але я постійно отримую цю помилку: ...user could not be found in windows. Можливо, щось ще відбувається. Я ще раз перевірю.
UB01
1
Я отримав помилку, сказавши, що користувача не існує в Windows : це означає, що ваша хост-машина SQL не є членом домену AD або членом домену, якому довіряють AD. Ви повинні додати апарат до домену AD. Зараз ви дотримуєтесь так званого підходу "дзеркальних дзеркальних рахунків" (можливо, знаючи, що ви це робите ...), і це неправильний підхід. Додайте хостингову машину SQL до домену AD.
Рем Русану
2

Підключіться до свого примірника в SSMS. Розгорніть безпеку / вхід. Rt-клацніть додати новий логін, введіть інформацію. На серверних ролях надайте йому sysadmin, якщо ви хочете, щоб він мав повну владу над екземпляром SQL. Зроблено. Цей обліковий запис не повинен бути локальним адміністратором на вашій машині Windows, щоб бути систематизованим на SQL Server.

Ерік Хіггінс
джерело
Дякую за швидкий коментар. Я розумію концепцію, яку ви сказали у своїй відповіді. Моє запитання (можливо, не дуже зрозуміло) полягає в тому, щоб зрозуміти, як працює зв’язок (або відображення) між акаунтами домену та локальними обліковими записами. І як це впливає на сервер Sql.
UB01
SID створюється в головному db для будь-яких облікових записів, доменів або лише облікових записів SQL Server.
Ерік Хіггінс
SID created for each account..це поняття, яке я розумію. Дозвольте навести приклад: чи такий обліковий запис AD\Sql1такий, як Server1\Sql1на сервері. Чи має кожен окремий ідентифікатор безпеки, відображений так, що ОС знає, що вони одне і те саме? Це навіть трапляється? (Я тільки здогадуюсь, не знаю)
UB01
Я бачу. Ви більше намагаєтеся зрозуміти кредити Windows, я думаю. AD та локальні облікові записи Windows не є однаковими (навіть якщо ім'я однакове). Ось деяка інформація про те, як працюють SID-адреси домену, маркери доступу. Я сподіваюся, що це допоможе: technet.microsoft.com/en-us/library/cc785913(v=ws.10).aspx
Ерік Хіггінс
Дякую, я прочитаю цю статтю і побачу, чи це допоможе мені зрозуміти поняття краще.
UB01
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.