Gli amministratori di dominio non possono connettersi a SQL Server


9

Ho un controller di dominio Windows Server 2012 R2 e un server di database (W2K12R2 / SQL Server 2012).

Come consentito dal gruppo utenti, ho assegnato al gruppo i diritti di amministratore di sistema "domain-admins" .

Ma in qualche modo qualsiasi amministratore di dominio non può connettersi a quel SQL Server, ma quando aggiungo l'utente amministratore di dominio direttamente come utente autorizzato funziona. La directory attiva funziona. RDP-Login funziona. Mi sto perdendo qualcosa?

Qualcuno sa come garantire l'accesso all'intero gruppo "amministratori di dominio"?

Il messaggio di errore è:

Nome server: SRV-DB
Numero errore: 18456
Schweregrad: 14
Stato: 1
Linea di codice: 65536

Nel registro eventi è indicato (tradotto):

Errore durante il controllo dell'accesso al server basato su token con errore dell'infrastruttura.

Lo stato è "1". Accedo a quel server db con RDP come amministratore di dominio. Devo avviare esplicitamente SSMS con "Esegui come amministratore". Quindi posso accedere al "localhost". Se tralascio l'avvio di SSMS come amministratore, non posso farlo. Pensavo che essere nel gruppo "amministratori di dominio" sarebbe bastato.


Risposte:


14

Ho trovato la risposta al mio problema in questa risposta di Remus Rusanu.

Come amministratore di dominio connesso a tale host SQL Server tramite Desktop remoto. Ho dovuto avviare SQL Server Management Studio esplicitamente "come amministratore". (tasto destro del mouse -> esegui come amministratore).

Se SSMS non è avviato in modalità amministratore, il login corrente non è nel gruppo "builtin \ amministratori". Questo era il problema.

Viene dal controllo dell'accesso utente (UAC) di Windows. Quindi questa è in realtà una "caratteristica" di sicurezza.


1
Ok, quindi era esattamente ciò che lo stato 11 suggerisce nel link che ho pubblicato in precedenza .
Aaron Bertrand

Non è una "caratteristica", è esattamente come dovrebbe funzionare l' UAC : With UAC, applications and tasks always run in the security context of a non-administrator account, unless an administrator specifically authorizes administrator-level access to the system.
vonPryz,

-2

È facile. Se riesci ad accedere con vecchie credenziali (l'amministratore del computer locale) devi usarlo per accedere a un desktop remoto e utilizzarlo per aggiungere l'amministratore del controller di dominio

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.