Sql Server: Comment faire pour Refuser l'accès des utilisateurs aux serveurs liés

J'aimerais refuser l'accès à la requête des serveurs liés à un groupe d'utilisateurs. Je les ai mis dans un rôle et attribuer des autorisations au niveau de l'objet d'autorisations pour le groupe. Je suis à une perte après des recherches BOL et net comment faire pour REFUSER l'accès à des serveurs liés.

EDIT:

J'ai décidé de sortir de profils pour vérifier exactement ce que SSMS de l'appelant lors de l'affichage des serveurs liés et s'assurer qu'un refus a été délivré sur présentation du système/SP. Il s'avère qu'elle appelle sys.les serveurs, mais Sql Server n'a pas l'honneur de l'ACL sur ce système, C'est fait pour d'autres vues du système (ex: sys.dm_db_index_physical_stats).

OriginalL'auteur Chad | 2010-06-28

  1. 6

    Autant que je sache, le référencement d'un serveur lié est pas contrôlée par des listes de contrôle d'accès (Acl). En d'autres termes, vous ne pouvez pas ACCORDER/REFUSER ou de RÉVOQUER l'autorisation de utilisation un serveur lié. Vous pouvez certainement contrôler la permission de changement un serveur lié par ALTER ANY LINKED SERVER autorisation.

    Cette apparente absence de l'autorisation est parce que les serveurs liés êtes en train d'envoyer les informations d'identification spécifiques au serveur distant, contrôlées par l'usurpation de l'identité ou de la remote_logins les paramètres associés avec le serveur lié. L'effectif de contrôle d'accès qui se passe sur le serveur distant, en utilisant les informations d'identification associées avec le serveur lié. Donc, pour refuser à un groupe d'utilisateurs pour l'accès au serveur lié, vous avez besoin de nier que le groupe de l'accès à distance au serveur sur le serveur distant lui-même.

    Selon votre configuration, je suppose que vous pourrait aussi tenter d'utiliser le mappage de connexion fonctionnalité. Généralement, je préfère intégrée de la sécurité et de gérer le tout avec les bonnes permissions aux utilisateurs en fonction de leur identité.
    J'espérais qu'il y a une manière de le faire. Je me souviens à l'aide d'un outil sur Sql Server 200 à modifier les autorisations sur les objets système pour empêcher certains utilisateurs d'être en mesure de voir la liste des serveurs liés, mais pas la capacité de les interroger. Dans ce cas, ils ne peuvent pas utiliser la sécurité intégrée pour tous les serveur lié, cependant, pour certains, je peux modifier les paramètres. Merci pour la réponse.

    OriginalL'auteur Remus Rusanu

  2. 6

    Voici une solution de contournement, je viens de penser:

    Sur le Serveur Lié à la boîte de dialogue Propriétés, onglet Propriétés; ajouter des utilisateurs que vous ne pas voulez accéder au serveur lié. Ensuite, de leur attribuer certains mannequin user/pass combinaison qui va être rejeté sur le serveur cible.

    Merci pour l'idée. Cela fonctionne, mais ne serait-il être considéré comme une bonne pratique?
    Juste une idée, mais, vous pourriez cela pour la rendre plus sûre. Attribuer un mot de passe erroné dans les propriétés/onglet sécurité, et d'ajouter des entrées pour les utilisateurs qui sont autorisés à accéder, avec les informations d'identification correctes. Juste testé cette. Semble fonctionner. Mais cela se sent ... tout simplement faux 🙂

    OriginalL'auteur Miha

  3. 0

    Le type d'authentification est d'importance. Lorsque vous liez les serveurs ils doivent être liés à l'aide de Kerberos et puis vous pouvez contrôler l'accès sur le serveur lié. Sinon, votre groupe sera toujours authentifié sur les informations d'identification spécifiées dans le lien.

    OriginalL'auteur bjorsig

  4. 0

    AFACS, les serveurs liés sont manquantes bon contrôle d'accès. Je voudrais faire la chose suivante:

    1. Créer des informations d'identification pour la connexion au serveur distant
    2. Créer un nouveau serveur lié:
      un. Spécifier un rôle de serveur ou groupe d'ANNONCES ou de sécurité que l'utilisateur local
      b. Spécifiez les informations d'identification que l'utilisateur distant
    3. Ajouter des connexions pour le rôle de serveur ou le groupe d'ANNONCES pour contrôler l'accès.

    OriginalL'auteur user1443098

  5. 0

    Prendre votre transact déclaration, le mettre dans un package SSIS 'Tâche d'Exécution SQL'

    Dans le lien du serveur de propriétés de sécurité, ajoutez le nom d'utilisateur (sur votre serveur) que vous souhaitez accéder au serveur de lien en haut avec l'uid et le pw pour le serveur lié et cliquez sur le bouton radio "ne pas être"

    lorsque vous planifiez votre travail de l'agent sql server, sélectionnez votre package ssis et l'utilisation de votre proxy (db/sécurité/informations d'identification) sur la ligne dans l'étape de travail.

    OriginalL'auteur john