none
Windows-Authentifizierung unterbinden RRS feed

  • Frage

  • Halln SSo,

    möchte die Windows-Authentifizierung unterbinden, so dass es nur dann möglich ist, sich mit der Datenbank zu verbinden, sofern ein vorgegebener Benutzername samt Passwort eingegeben wird. Vor allem SSMS soll es nicht möglich sein, ohne
    Passwort Zugriff auf eine Datenbank zu haben. Das soll im übrigen nur für eine Datenbank gelten. Ich möchte unterbinden, dass jeder angemeldete User Zugriff auf die Datenbank bekommt

    Montag, 28. Juni 2021 14:00

Antworten

  • Und damit wir hier nicht Deine Gedanken mit dem Wissen anderer Ping-Pong-artig hin- und her spielen, ein bisschen Konkretik:

    Die Berechtigungen auf einem frisch installierten SQL-Server ohne Domänen-Mitgliedschaft sehen wie folgt aus:

    Und das bekommt ein User zu sehen, der den SQL nicht installiert hat, wenn er versucht sich anzumelden:

    Noch irgendwelche Fragen?


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Dienstag, 29. Juni 2021 14:33

Alle Antworten

  • Moin,

    wenn Du keinem AD-Account Rechte an der Datenbank gibst, kann sich auch keiner zu ihr verbinden. Aber Windows-Authentifizierung per se kannst Du nicht abstellen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 28. Juni 2021 14:03
  • Hallo Freund,

    Es ist wie schon gesagt. Sie müssen Berechtigungen aus der Domänenbenutzergruppe entfernen.
    Anschließend müssen Sie jeden der Benutzer einzeln als Login- und/oder SQL-Server-Benutzer anlegen. Erstellen Sie das Kennwort für einen von ihnen mit den entsprechenden Berechtigungen.

    Wenn Ihnen diese Antwort geholfen hat, markieren Sie sie als hilfreich, damit jemand mit einer ähnlichen Frage oder einem ähnlichen Problem leichter eine Antwort oder Hilfe finden kann. * Jefferson Clyton Pereira da Silva - [ MCSA | MCP | MCTS | MTA | Datenbankanalyst - SQL Server und Oracle ]


    Montag, 28. Juni 2021 19:47
  • Es gibt kein Active Directory. In MySQL ist die Authentifizierung doch auch nur dann möglich, wenn 
    Username und Passwort korrekt eingegeben wurden. Bei MSSQL kann sich also jeder, der sich in Windows anmeldet, auf die Datenbank einloggen??
    Montag, 28. Juni 2021 20:52
  • Bei MSSQL kann sich also jeder, der sich in Windows anmeldet, auf die Datenbank einloggen??
    Nein. Du musst Windows-Benutzer genauso zu der SQL-Verwaltung hinzufügen und berechtigen wie SQL-native Benutzer. Nur dass Du das Kennwort und die entsprechende Kennwortrichtlinie nicht in SQL verwaltest, sondern in Windows.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 28. Juni 2021 21:01
  • Wenn sich die Datenbank aber nicht remote oder unter Azure befindet, sondern lokal auf dem Rechner, kann sich doch jeder, der sich in Windows angemeldet hat auch in die Datenbank einloggen. Genau das soll aber nicht möglich sein. Ist es unter MySQL ja auch nicht
    Dienstag, 29. Juni 2021 05:12
  • Wenn sich die Datenbank aber nicht remote oder unter Azure befindet, sondern lokal auf dem Rechner, kann sich doch jeder, der sich in Windows angemeldet hat auch in die Datenbank einloggen. 

    Nein, nicht zwingend. Schau Dir deine Berechtigungen in SQL an. Wenn sich da die Gruppe "Users" irgendwie reingeschlichen hat, schmeiß sie halt raus.

    Außerdem ist "auf Server einloggen" nicht dasselbe wie "mit einer Datenbank verbinden".


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 29. Juni 2021 05:27
  • Lediglich diejenigen, die Zugriff auf den Server haben und dort lokale Admins sind könnten den SQL Server beenden und ihn unter ihrem Konto neu starten, bzw. die Datenbank-Files wegsichern und auf einem anderen Rechner wieder anhängen. Ebenso mit Zugriff auf die Backups kann man diese an einem anderen SQL Server einspielen und sich selber vorher als sysadmin berechtigen.

    Aber wie Evgenij schon geschrieben hat, alle Benutzer, die sich am SQL Server anmelden haben die Berechtigungen, die Du ihnen gibst.

    Ich werfe auch immer die Gruppe BUILTIN\Administrators aus den sysadmins raus.


    Einen schönen Tag noch, Christoph - http://www.insidesql.org/blogs/cmu

    Dienstag, 29. Juni 2021 05:35
  • Mal  umgekehrt die Frage: Wie kommst Du zu dieser Annahme?

    Kann es sein, dass Du auf Serverebene (im SQL Server also) Berechtigungen für alle Domain-User vergeben hast und diese evtl. als sysadmin auf alle Datenbanken kommen?

    Oder hast Du "guest" aktiviert?


    Einen schönen Tag noch, Christoph - http://www.insidesql.org/blogs/cmu

    Dienstag, 29. Juni 2021 05:42
  • Ich habe überhaupt keine Berechtigungen vergeben. Active Directory gibt es auch nicht. Beim Booten von Windows wird ein Passwort eingegeben, und das war's. Somit kann jeder SSMS starten und mit der Datenbank machen, was er will, da sich die Windows- Authentifizierung nicht vermeiden lässt. Das kann doch aber nicht Sinn der Sache sein. Es muss doch möglich sein, Datenbank und OS-Berechtigungen voneinander zu trennen??
    Dienstag, 29. Juni 2021 12:52
  • Unter welchem Konto läuft denn der Service?

    Einen schönen Tag noch, Christoph - http://www.insidesql.org/blogs/cmu

    Dienstag, 29. Juni 2021 13:35
  • Hi,

    Ich habe überhaupt keine Berechtigungen vergeben.

    das wage ich zu bezweifeln. Irgendjemand hat die SQL Server Instanz ja installiert und konfiguriert.

    Somit kann jeder SSMS starten

    Das ist dann so. Aber auch kein Problem. Das SSMS hat mit der SQL Instanz ja nichts zu tun sondern ist eine Management Oberfläche für verschiedenste SQL Server Instanzen, egal ob lokal oder remote.

    und mit der Datenbank machen, was er will

    Ne, kann er nicht, wenn er nicht dazu berechtigt wurde.

    Wenn bei dir jeder Windows Benutzer in der Administratoren Gruppe ist und diese Gruppe sa Rechte in der SQL Instanz hat, dann, ja dann kann jeder Benutzer alles mit jeder Datenbank machen.

    Aber das Problem ist dann hausgemacht und mit Christophs Hinweis

    Ich werfe auch immer die Gruppe BUILTIN\Administrators aus den sysadmins raus.

    zu beheben.


    Gruß, Stefan
    Microsoft MVP - Visual Developer ASP/ASP.NET (2001-2018)
    https://www.asp-solutions.de/ - IT Beratung, Softwareentwicklung, Remotesupport

    Dienstag, 29. Juni 2021 14:00
    Moderator
  • Und damit wir hier nicht Deine Gedanken mit dem Wissen anderer Ping-Pong-artig hin- und her spielen, ein bisschen Konkretik:

    Die Berechtigungen auf einem frisch installierten SQL-Server ohne Domänen-Mitgliedschaft sehen wie folgt aus:

    Und das bekommt ein User zu sehen, der den SQL nicht installiert hat, wenn er versucht sich anzumelden:

    Noch irgendwelche Fragen?


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Dienstag, 29. Juni 2021 14:33
  • Schön. Der Beitrag von Evgenij hat mich überzeugt. Dann belasse ich es bei der Windows-Authentifizierung. Vielen Dank für Eure zahlreichen Feedbacks!
    Donnerstag, 8. Juli 2021 06:29