none
Negar acesso ao SQL Server a usuário adminitrador do servidor. RRS feed

  • Pergunta

  • Boa noite, a todos

    Hoje possuo um problema, o IT e o Desenvolvimento em minha empresa possuem gestão
    separada e por este motivo preciso bloquear os usuários do IT. O grande problema é que
    eles são Administradores Locais do SQL Server, mas não poderiam abrir o SQL Server.

    Gostaria de saber se existe alguma forma de bloquear o acesso deles.

    abraços
    obrigado Alberto Olavo
    • Movido Gustavo Maia Aguiar sexta-feira, 21 de agosto de 2009 03:10 (De:SQL Server - Desenvolvimento Geral)
    quinta-feira, 20 de agosto de 2009 21:51

Respostas

  • Caros, Colegas

    Obrigado pelas postagens, mas de uma forma diferente eu já resolvido o problema, mas vou enumera-las abaixo , então fica como alerta e lições aprendidas com o meus erros.:

    1 - Retirei o acesso do BUILTIN\Administrators, mas não me atentei que alguns dos usuários executavam serviços no servidor e um destes serviços eram de cluster, SQL Server e Agent Server.

    2 - Neste servidor exisita uma Trigger que auditava acessos, com a restirada de acesso do item acima, ela começou a bloquear todas as conexões via SQL Server, inclusive do "SA".

    Baseado na dica do Alex, tentei executar os comando via DOS mas sem sucesso, muito menos a criação de uma conexão DAC, não funcionava.

    Então lembrei que o Visual Studio possui uma ferramente que faz e executa comparações entre servidores SQL "Data Compare", então atrvés desta ferramenta eu consegui logar no servidor, pois a trigger não estava auditando Visual Studio, mas apenas conexões SQL server, consegui abrir uma janela para execução da Trigger, então executei "DISABLE TRIGGER nomedatrigger ON ALL SERVER." e funcionou.

    Abri o Server e voltei tudo como era antes e tudo oltou ao normal .............   ufa.

    Agora vou me atentar e planejar melhor isto.  Muito obrigado pelo apoio de vocês.

    abraços


    obrigado Alberto Olavo
    • Marcado como Resposta Alberto Olavo segunda-feira, 24 de agosto de 2009 02:06
    domingo, 23 de agosto de 2009 19:59
  • Alberto,

    Você pode habilitar o DAC REMOTO, no SURFACE AREA CONFIGURATION (um dos itens de menu do SQL Server)
    e executar: sqlcmd -S servidor -U sa -P senha –A

    ou

    Executar o comando: "sqlcmd -U sa -P senha –A " , conectado direto no servidor.



    Esta postagem é provida "COMO ESTÁ" sem garantias, e não confere direitos.


    Alex Rosa -- Sharing my knowledge at http://www.keep-learning.com/blog
    • Marcado como Resposta Alberto Olavo domingo, 23 de agosto de 2009 19:59
    domingo, 23 de agosto de 2009 18:33
  • Alberto, conseguiu resolver o problema?

    Concordo com as dicas enviadas pelo alex. caso esteja tendo dificuldades em realizar a conexão DAC ainda poste suas dúvidas.
    DBA SQL Server MCTS - SQL Server 2005 | ITIL Foundation V2 http://www.bydocs.com
    • Marcado como Resposta Alberto Olavo domingo, 23 de agosto de 2009 19:59
    domingo, 23 de agosto de 2009 18:46

Todas as Respostas

  • Retire o grupo BUILTIN\Administrators do MSSQL e faça uma avaliação das contas que sobrarem: de quem são e quais permissões possuem.
    Alex Rosa -- Sharing my knowledge at http://www.keep-learning.com/blog
    quinta-feira, 20 de agosto de 2009 23:13
  • Concordo com o Alex, apenas complementando, a conta  BUILTIN\Administrators no sql server 2005 por padrão é sysadmin, nesta conta estão todos os administradores locais. Você tem 2 opções, exclui-la ou ir nas propriedades em status de desabilitar login.

    Caso decida não exluir a conta apenas desabilita-la, você também pode tirar ela da role sysadmin.

    Os demais usuários que o Alex comentou são contas de windows ou grupos de windows ao qual estes administradores podem fazer parte.


    DBA SQL Server MCTS - SQL Server 2005 | ITIL Foundation V2 http://www.bydocs.com
    sexta-feira, 21 de agosto de 2009 01:28
  • Caros Amigos,

    Eu fiz o que o Cleyton sugeriu, mas algo estou um baita problema, testei tudo isto em um ambiente de teste e funcionou, mas quando fui aplicar em produção, existia uma Trigger de auditoria de login. Agora esta aparecendo um erro ao tentar logar no SQL, seja com o SA ou qualquer outro login, veja abaixo:

    Logon failed for login 'sa' due to trigger execution.
    Changed database context to 'master'
    Changed language setting to us_english. (Microsoft SQL Server, Error: 17892)

    Como eu faça para resolver isto ?

    abraços

    obrigado Alberto Olavo
    domingo, 23 de agosto de 2009 13:27
  • Caros Amigos,

    Eu fiz o que o Cleyton sugeriu, mas algo estou um baita problema, testei tudo isto em um ambiente de teste e funcionou, mas quando fui aplicar em produção, existia uma Trigger de auditoria de login. Agora esta aparecendo um erro ao tentar logar no SQL, seja com o SA ou qualquer outro login, veja abaixo:

    Logon failed for login 'sa' due to trigger execution.
    Changed database context to 'master'
    Changed language setting to us_english. (Microsoft SQL Server, Error: 17892)

    Como eu faça para resolver isto ?

    abraços

    obrigado Alberto Olavo
    domingo, 23 de agosto de 2009 13:27
  • Olá,

    Se nenhuma conexão com direitos de SYSADMIN está sendo concluida com sucesso.

    Abra uma conexão DAC com o servidor, esse tipo de conexão não dispara TRIGGERS DE LOGON.

    Você pode usar o SQLCMD com a opção -A

    Uma vez feita a conexão desabilite a TRIGGER: DISABLE TRIGGER nomedatrigger ON ALL SERVER.

    Tenha cuidado com a criação de TRIGGERS DE LOGON, analise-a com calma para saber qual foi o motivo exato do erro.


    Esta postagem é provida "COMO ESTÁ" sem garantias, e não confere direitos.



    Alex Rosa -- Sharing my knowledge at http://www.keep-learning.com/blog
    domingo, 23 de agosto de 2009 17:27
  • Alex,

    Seria:

    sqlcmd -A -d master -S servidor

    "Make sure that DAC is enabled [10061]."  Onde consigo ver se está mesmo ? Pois não consigo abrir mais nada no SQL !

    No aguardo

    obrigado Alberto Olavo
    domingo, 23 de agosto de 2009 17:37
  • Alberto,

    Você pode habilitar o DAC REMOTO, no SURFACE AREA CONFIGURATION (um dos itens de menu do SQL Server)
    e executar: sqlcmd -S servidor -U sa -P senha –A

    ou

    Executar o comando: "sqlcmd -U sa -P senha –A " , conectado direto no servidor.



    Esta postagem é provida "COMO ESTÁ" sem garantias, e não confere direitos.


    Alex Rosa -- Sharing my knowledge at http://www.keep-learning.com/blog
    • Marcado como Resposta Alberto Olavo domingo, 23 de agosto de 2009 19:59
    domingo, 23 de agosto de 2009 18:33
  • Alberto, conseguiu resolver o problema?

    Concordo com as dicas enviadas pelo alex. caso esteja tendo dificuldades em realizar a conexão DAC ainda poste suas dúvidas.
    DBA SQL Server MCTS - SQL Server 2005 | ITIL Foundation V2 http://www.bydocs.com
    • Marcado como Resposta Alberto Olavo domingo, 23 de agosto de 2009 19:59
    domingo, 23 de agosto de 2009 18:46
  • Caros, Colegas

    Obrigado pelas postagens, mas de uma forma diferente eu já resolvido o problema, mas vou enumera-las abaixo , então fica como alerta e lições aprendidas com o meus erros.:

    1 - Retirei o acesso do BUILTIN\Administrators, mas não me atentei que alguns dos usuários executavam serviços no servidor e um destes serviços eram de cluster, SQL Server e Agent Server.

    2 - Neste servidor exisita uma Trigger que auditava acessos, com a restirada de acesso do item acima, ela começou a bloquear todas as conexões via SQL Server, inclusive do "SA".

    Baseado na dica do Alex, tentei executar os comando via DOS mas sem sucesso, muito menos a criação de uma conexão DAC, não funcionava.

    Então lembrei que o Visual Studio possui uma ferramente que faz e executa comparações entre servidores SQL "Data Compare", então atrvés desta ferramenta eu consegui logar no servidor, pois a trigger não estava auditando Visual Studio, mas apenas conexões SQL server, consegui abrir uma janela para execução da Trigger, então executei "DISABLE TRIGGER nomedatrigger ON ALL SERVER." e funcionou.

    Abri o Server e voltei tudo como era antes e tudo oltou ao normal .............   ufa.

    Agora vou me atentar e planejar melhor isto.  Muito obrigado pelo apoio de vocês.

    abraços


    obrigado Alberto Olavo
    • Marcado como Resposta Alberto Olavo segunda-feira, 24 de agosto de 2009 02:06
    domingo, 23 de agosto de 2009 19:59
  • Bom que encontrou a solução, planejar é imprescindivel principalmente no ambiente de produção. mas como disse foi uma lição aprendida.


    DBA SQL Server MCTS - SQL Server 2005 | ITIL Foundation V2 http://www.bydocs.com
    domingo, 23 de agosto de 2009 21:18
  • Alberto, boa tarde.
    Foi vc que concluíu a 4º estrela do SQL Server 2005 no dia 26/08/09? queria aproveitar para lhe perguntar umas coisa sobre essa estrela....vc achou o conteúco coerente com a prova?? eu já fiz esta prova algumas vezes estudando pelo conteúdo do site 5 estrelas e não consegui passar...vc tem um outro lucar como referência??
    terça-feira, 6 de outubro de 2009 17:33
  • Boa noite, Andrerson

    Sim, sou eu. Com relação ao conteúdo, para a 4º estrela ele deixa um pouco a desejar, após tentar por algumas vezes, resolvi estudar um pouco mais, me aprofundando nos assuntos que encontrei durante as tentativas.  

    Existem alguns livros que você poderia utilizar como referência, como por exemplo, um que comprei rescentemente um livro chamado "SQL Server 2005 - Guia de Bolso do Administrador" da Bookman e com marca da Microsoft.

    Boa sorte .... abraços
    obrigado Alberto Olavo
    terça-feira, 6 de outubro de 2009 23:15
  • Pô legal...eu tb comprei esse livro. Eu usei para fazer a prova 70-431.


    Obrigado pela resposta.

    Abraços,
    quarta-feira, 7 de outubro de 2009 12:26