none
Windows Gruppe anstatt Einzellogin. Login failed SQL Server 2012 Enterprise SP3 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Newsgroup.

    Ich habe ca. 200 Windows Einzel-Logins in auf mehrere Zugriffsgruppen verteilt. Diese Zugriffsgruppen im SQL Server als Login definiert und den Datenbanken zugewiesen mit denen über die Einzel-Logins zugegriffen wird.

    Selbstredend habe ich auch die Zugriffsgruppen im SQL Server aktiviert und ihnen, anlog den Einzel-Logins, die notwendigen Berechtigungen erteilt.

    Dann habe ich die Einzel-Logins deaktiviert (ALTER LOGIN [Domäne\User] Disable;)

     Danach konnte sich kein nämlicher User mehr anmelden.

    Login failed for user 'Domäne\User'. Reason: The account is disabled. [CLIENT: Client IP]

    Weiß jemand warum? Der Zugriff sollte doch jetzt über die Zugriffsgruppe möglich sein?

     Hätte ich die User löschen sollen?

     

    Grüsse

    St. Erver

    Donnerstag, 15. September 2016 08:24
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hallo,

    Im SQL Server gilt was Berechtigungen betrifft immer die Regel: Deny before Grant, Berechtigungsverweigerung hat Vorrang vor Berechtigungsvergabe.

    Ja, es ist besser, den Login zu löschen, teste es am besten zunächst mit einem Login.

    Olaf Helper

    [ Blog] [ Xing] [ MVP]

    Donnerstag, 15. September 2016 08:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 15.09.2016 schrieb St. Erver:

    Ich habe ca. 200 Windows Einzel-Logins in auf mehrere Zugriffsgruppen verteilt. Diese Zugriffsgruppen im SQL Server als Login definiert und den Datenbanken zugewiesen mit denen über die Einzel-Logins zugegriffen wird.

    Selbstredend habe ich auch die Zugriffsgruppen im SQL Server aktiviert und ihnen, anlog den Einzel-Logins, die notwendigen Berechtigungen erteilt.

    Sind das Windows Gruppen im AD? Wenn ja, dann müssen sich die Benutzer
    nach dem Hinzufügen einmal ab- und wieder anmelden. Erst dann greift
    die Gruppenmitgliedschaft.

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 15. September 2016 16:13
    |
  • Question
    Anmelden
    2
    Anmelden

    Deine Methode ist eine Vorgehensweise, wie man einzelnen Windows-Accounts die Anmeldung verweigert obwohl sie in einer zugelassenen Gruppe sind. ("Disable" wirkt sich hierbei tatsächlich gleich aus wie "Deny Connect") Das Ergebnis ist folgerichtig ;-)

    Also wie Olaf schon sagt: Den deaktivierten/verweigerten Login löschen.

    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform
    www.SarpedonQualityLab.com | www.andreas-wolter.com

    Donnerstag, 15. September 2016 19:08
    |