L'obtention de l'autorisation exécuter pour xp_cmdshell

Je vois un message d'erreur lorsque vous essayez d'exécuter xp_cmdshell de l'intérieur d'une procédure stockée.

xp_cmdshell est activé sur l'instance. Et l'exécution d'autorisation a été accordée à mon utilisateur, mais je vois toujours l'exception.

L'autorisation d'EXÉCUTION a été refusée sur l'objet "xp_cmdshell’, base de données "mssqlsystemresource", le schéma "sys"

Partie de la question est que c'est un cluster partagé, et nous avons une seule base de données sur l'instance, afin de ne pas avoir une gamme complète d'autorisations d'administrateur. Donc je ne peux pas y aller et l'octroi des autorisations, et ce-pas.

Pourquoi utilisez-vous le plus dangereux de la procédure stockée jamais construit? (xp_cmdshell)
Il est plus vieux code, et pas le temps actuellement de réécriture. Nous l'utilisons pour appeler BCP pour importer un fichier dans une table temporaire pour le traitement. La table temporaire est le sql dynamique, et de générer le .fmt fichier basé sur la même logique que le sql dynamique utilise. Il serait plus qu'un jour pour re-mettre en œuvre.
Vous pouvez poster exactement SQL numéro de version du Serveur, y compris le numéro de build?
SQLServer 2005, 9.00.3042.00, Enterprise Edition, 64-bit
Est-il possible d'exécuter cette requête sur votre système et après la date de retour? select expiry_date from master.sys.certificates where name = '##MS_SQLResourceSigningCertificate##'
Pas de résultats retournés. Aucun résultat quand j'ai sauter la clause where et tout sélectionner à partir du maître.sys.les certificats. Il peut être un problème d'autorisations
C'est un problème de permission (le non-retour). J'ai essayé sur une étroite construire (3077, SP2) et le certificat expire en 2017, il devrait être bon. En outre, la signature de code est suposé pour valider l'heure d'expiration, à l'heure de signature, pas le temps de vérification. Je vous ai demandé de le faire parce que c'est très bizarre de voir la permission refusée à se référer à mssqlsystemresource db.
Ok - merci. J'ai pensé. J'ai vu des solutions à l'aide d'un proxy-compte, mais je suis de commander à distance un DBA qui a un accès complet au site. Les commandes je suis d'envoi sont de plus en plus compliqué.

InformationsquelleAutor David Griffiths | 2010-01-06

55

Pour les utilisateurs qui ne sont pas membres du rôle sysadmin sur l'instance de SQL Server, vous devez effectuer les actions suivantes pour accorder l'accès à la procédure stockée étendue xp_cmdshell. En outre, si vous avez oublié une des étapes que j'ai énuméré l'erreur sera levée.
1. Activer la xp_cmdshell procédure
  
  Msg 15281, Niveau 16, État 1, Procédure xp_cmdshell, Ligne 1
  SQL Server a bloqué l'accès à la procédure " sys.xp_cmdshell' du composant 'xp_cmdshell' car ce composant est désactivé dans le cadre de la configuration de la sécurité pour ce serveur. Un administrateur système peut activer l'utilisation de 'xp_cmdshell' en utilisant la procédure stockée sp_configure. Pour plus d'informations sur l'activation de 'xp_cmdshell', voir "Configuration de la Surface" dans la documentation en Ligne SQL Server.*
2. Créer un compte de connexion pour les non-utilisateur sysadmin qui a l'accès du public à la base de données master
  
  Msg 229, Niveau 14, État 5, de la Procédure de xp_cmdshell, Ligne 1
  L'autorisation d'EXÉCUTION a été refusée sur l'objet "xp_cmdshell', base de données "mssqlsystemresource", le schéma "sys".*
3. Subvention EXEC de l'autorisation sur le xp_cmdshell procédure stockée
  
  Msg 229, Niveau 14, État 5, de la Procédure de xp_cmdshell, Ligne 1
  L'autorisation d'EXÉCUTION a été refusée sur l'objet "xp_cmdshell', base de données "mssqlsystemresource", le schéma "sys".*
4. Créer un compte proxy qui xp_cmdshell être exécuté en vertu de l'aide sp_xp_cmdshell_proxy_account
  
  Msg 15153, Niveau 16, État 1, Procédure xp_cmdshell, Ligne 1
  La xp_cmdshell proxy informations de compte ne peuvent pas être récupérées ou n'est pas valide. Vérifiez que le '##xp_cmdshell_proxy_account##' identification existe et contient de l'information valable.*
Il semblerait, d'après le message d'erreur que soit l'étape 2 ou 3 a été manquée. Je ne suis pas familier avec les clusters de savoir si il y a quelque chose de particulier pour que le programme d'installation.
- À partir d'aujourd'hui, vous êtes mon héros. Cela m'a vraiment aidé à charges !
- Merci, avez-vous des manuels avec le code de suivi?
- qu'avez-vous prendre cette info à partir de? Si utile. Je vous remercie.
- Étape 4 n'était pas nécessaire pour moi pour une instance SQL Server 2008 R2.
InformationsquelleAutor
44

Je veux compléter la réponse de tchester.

(1) Permettre à l'xp_cmdshell procédure:
```
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
RECONFIGURE
GO

-- Enable the xp_cmdshell procedure
EXEC sp_configure 'xp_cmdshell', 1
RECONFIGURE
GO
```
(2) Créer un compte de connexion "Domaine\TestUser' (utilisateurs windows) pour les non-utilisateur sysadmin qui a l'accès du public à la base de données master

(3) la Subvention EXEC de l'autorisation sur le xp_cmdshell procédure stockée:
```
GRANT EXECUTE ON xp_cmdshell TO [Domain\TestUser]
```
(4) Créer un compte proxy qui xp_cmdshell être exécuté en vertu de l'aide sp_xp_cmdshell_proxy_account
```
EXEC sp_xp_cmdshell_proxy_account 'Domain\TestUser', 'pwd'
-- Note: pwd means windows password for [Domain\TestUser] account id on the box.
--       Don't include square brackets around Domain\TestUser.
```
(5) la Subvention serveur de contrôle de l'autorisation de l'utilisateur
```
USE master;
GRANT CONTROL SERVER TO [Domain\TestUser]
GO
```
- Ne lui accorde pas le SERVEUR de CONTRÔLE DE [Domaine\TestUser] donner des droits d'administrateur système pour que l'utilisateur? Je pensais que l'idée était de minimiser les permissions de l'utilisateur?
- Quand j'ai lu cela, je pensais que le non-sys admin utilisateur a un compte windows et a été également le compte proxy. Pas vrai. Le compte proxy doit être windows. Puis de toute non-sys admin besoins des utilisateurs de l'accès du public à la maîtrise et à l'autorisation d'exécuter xp_cmdshell
- Dans mon cas, l'étape 4 a été complètement inutile!
- Si vous obtenez cette erreur d'exécution de l'étape 4: Msg 15137, Niveau 16, État 1, Procédure sp_xp_cmdshell_proxy_account, Ligne 1 Une erreur s'est produite lors de l'exécution de sp_xp_cmdshell_proxy_account. Raisons possibles: la condition de compte est invalide ou " ##xp_cmdshell_proxy_account##’ informations d'identification ne peut pas être créé. Code d'erreur: ‘5’, Ouvrez SQL Server Management Studio avec la permission d'un Administrateur. Crédit: dbamohsin.wordpress.com/2017/02/22/...
- Comme @Colin correctement indiqué ci-dessus, j'ai aussi ne pas donner à l'utilisateur la CONTROL SERVER autorisation. Au lieu de cela, vous pouvez lui accorder l'autorisation d'ouvrir une session en tant que lot de Windows tel que décrit ici. Ouvrir Paramètres de Sécurité Locaux dans Windows, allez dans Stratégies Locales -> Affectation d'Utilisateur -> Connecter en tant que tâche et ajouter le compte Windows [Domain\TestUser] là. Travaillé pour moi, sans donner trop d'autorisations à l'utilisateur de domaine sur le serveur.
InformationsquelleAutor nZeus
1

tchester dit :

(2) Créer un compte de connexion pour les non-utilisateur sysadmin qui a l'accès du public à la base de données master

Je suis allé à mon utilisateur de la liste de base de données (serveur/sécurité/connexions/mon nom d'utilisateur/propriétés/mappage de l'utilisateur, et je voulais cocher pour la base de données master. J'ai eu un message d'erreur indiquant que l'utilisateur existe déjà dans la base de données master. Est allé à la base de données master, a chuté de l'utilisateur, est allée à "mappage de l'utilisateur" et coché la case pour maître. Cochez la case "public" de la boîte ci-dessous.

Après cela, vous devez à nouveau l'grant execute on xp_cmdshell "mon nom d'utilisateur"

Yves

InformationsquelleAutor Yves Forget
0

De s'étendre sur ce qui a été fourni pour automatiquement l'exportation des données au format csv vers un partage réseau via l'Agent SQL Server.

(1) Permettre à l'xp_cmdshell procédure:
```
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
RECONFIGURE
GO

-- Enable the xp_cmdshell procedure
EXEC sp_configure 'xp_cmdshell', 1
RECONFIGURE
GO
```
(2) Créer un compte de connexion "Domaine\TestUser' (utilisateurs windows) pour les non-utilisateur sysadmin qui a l'accès du public à la base de données master. Fait par le biais de mappage de l'utilisateur

(3) Donner connecter en tant que tâche: Accédez à la Stratégie de Sécurité Locale -> Politiques Locales -> Attribution des Droits Utilisateur. Ajouter un utilisateur d'ouvrir une session en tant que tâche"

(4) de Donner des autorisations de lecture/écriture vers un dossier réseau pour le domaine\utilisateur

(5) la Subvention EXEC de l'autorisation sur le xp_cmdshell procédure stockée:
```
GRANT EXECUTE ON xp_cmdshell TO [Domain\TestUser]
```
(6) Créer un compte proxy qui xp_cmdshell être exécuté en vertu de l'aide sp_xp_cmdshell_proxy_account
```
EXEC sp_xp_cmdshell_proxy_account 'Domain\TestUser', 'password_for_domain_user'
```
(7) Si le sp_xp_cmdshell_proxy_account commande ne fonctionne pas, la créer manuellement
```
create credential ##xp_cmdshell_proxy_account## with identity = 'Domain\DomainUser', secret = 'password'
```
(8) Activer l'Agent SQL Server. Ouvrir le Gestionnaire de Configuration SQL Server, accédez à des Services SQL Server, activez l'Agent SQL Server.

(9) Créer automatisé de travail. Ouvert de SSMS, sélectionnez l'Agent SQL Server, puis cliquez-droit des emplois et cliquez sur "Nouvelle Tâche".

(10) Sélectionnez "Propriétaire" que votre utilisateur créé. Sélectionnez "Étapes", faire "type" = T-SQL. Remplissez le champ de commande similaire à ci-dessous. Définie comme délimiteur ','
```
EXEC master..xp_cmdshell 'SQLCMD -q "select * from master" -o file.csv -s "," 
```
(11) Remplir les horaires en conséquence.

InformationsquelleAutor Schylar

Vous devez vous connecter pour publier un commentaire.