La mise à jour de SQL Server 2008 LOGIN SID
Si un SID Active Directory ne correspond pas à l'
SQL Server 2008
Connexion SID (sys.server_principal
) il ne semble pas être un moyen de MODIFIER/mettre à JOUR cette valeur. ALTER USER
vous permettra de reconfigurer un UTILISATEUR à un compte de CONNEXION, mais ALTER LOGIN
ne vous permettra pas de reconfigurer la CONNEXION à Active Directory, de sorte à ma question...
Est-il de toute façon, documenté ou autrement, de mettre à jour la CONNEXION SID avec l'ANNONCE SID outre la suppression et recréation de la connexion? Je suis à l'aide de OPENROWSET
pour obtenir de l'ANNONCE SID valeur, mais je ne peux pas trouver un moyen de mettre à jour la CONNEXION SID (surtout parce que je ne pense pas qu'il peut être fait)
Par ailleurs, je suis conscient que les requêtes ad-hoc pour le système de tables ne sont pas autorisés (parce que j'ai essayé déjà).
Vous devez vous connecter pour publier un commentaire.
Je suis certain qu'il y est pas. Vous pouvez utiliser sp_change_users_login pour mapper le SID entre un "utilisateur" et un "login" - mais à la lecture de votre question, il semble que vous le saviez déjà.
Alors que vous pouvez utiliser sp_validatelogins pour savoir si il y a aucune connexion sql qui sont orphelins (qui n'est pas mappé à compte windows valide) le seul processus de Micorsoft offre est ce que vous avez déjà deviné... déposer les orphelins de connexion, et en créer un nouveau. Tous les documents que j'ai sur la résolution des orphelins des connexions après qu'ils ont été identifiés est de "supprimer la connexion".
L'absence de cette capacité pour moi, c'est probablement plus un problème de sécurité que le manque de "fonctionnalité". Je ne peux imaginer une variété de scénarios où les modifications de la session Sid serait considéré comme très ombragé comportement. Imaginez que je voulais faire quelque chose et le faire paraître comme si c'était un autre utilisateur. Swap sur les Peid... faire de mon infâme comportement... swap de retour.
La réponse 1 est correct, il serait louche.
Une hausse de reconfiguration de connexion SID à une autre ANNONCE SID est elle permettrait un administrateur de mettre en œuvre basées sur le rôle de l'authentification. Un utilisateur de base de données peut être défini comme utilisateur = "financial_officer" (FO) dans plusieurs base de données et/ou de plusieurs serveurs, ensuite être placé dans plusieurs groupes, et ensuite les points de vue qui se joignent à des tables de recherche pourrait être créé afin de fournir des mesures de niveau de ligne de sécurité. Puis, quand le copilote prend sa retraite ou démissionne, le SID de l' "financial_officer" login pourrait être échangé immédiatement les privilèges de l'ancien FO à la nouvelle FO.
Il est mon espoir que User_Created_Server_Level_Roles&UCSRL/SLR) (quelque chose que j'ai suggéré de MS) permettrait à cette capacité, et c'est possible, mais seulement si une seule connexion peut être ajouté à un UCSLR. Puis un TSQL fonction serait nécessaire pour revenir REFLEX "UTILISATEUR" ET "SYSTEM_USER" maintenant.
Si SQLServer fourni un Server_Level_Position_Role, pur rôle de l'authentification basée sur les pourrait être mis en œuvre dans SQLServer. En vertu de ce scénario, une connexion SID le changement est tout ce qui serait nécessaire de combler un poste avec une autre personne.
Il est possible maintenant en visitant chaque base de données et de changer le FO SID pour le SID de la personne (AD SID) de la personne remplissant les FO position.