タグ付けされた質問 「active-directory」

ドメイン上のすべての内部アプリケーションで統合セキュリティを使用したいと思います。残念ながら、私はこれをうまく機能させることができませんでした。特定のテーブルへの読み取り/書き込みアクセスのために、Exchange（Active Directory）グループ全体にSQL Serverのロールを割り当てたいと思います。そうすれば、誰かが雇われるたびにオペレーターを作成したり、誰かが解雇されたときにオペレーターを削除したりする必要がなくなります。これは可能ですか？これを行うにはどのような手順を実行しますか？

40 sql-server  sql-server-2008  security  role  active-directory 

この質問に適切なタイトルを選択したかどうかはわかりません。私が本当に望んでいるのは、個々のWindows ADユーザーが与えられた場合、このサーバーの特定のデータベースにアクセスできるWindows ADグループ（ログイン）のリストを見つけたいです 次のクエリを実行すると select name, principal_id, type, type_desc, default_schema_name, create_date, modify_date, owning_principal_id, sid, is_fixed_role from sys.database_principals 私のサーバーで Microsoft SQL Server 2008 R2（SP1）-10.50.2500.0（X64）2011年6月17日00:54:03著作権（c）Windows NT 6.1（ビルド7601：Service Pack 1）上のMicrosoft Corporation Standard Edition（64ビット） 次の結果が得られます（一部のリスト）： 特定のログインが持つすべての許可を知る必要があります。このログインは、ADグループを介してサーバー/データベースにアクセスできます。 1）上記のリストから、私のログインはどのADグループに属しますか？ 以下でこれを行っていますが、このユーザーが属するADグループ（上記の図に従ってこのサーバーにアクセスできる）のリストを見つけたいと思います。 まず、問題のユーザーとして実行します EXECUTE AS LOGIN='mycompany\HThorne' DECLARE @User VARCHAR(20) SELECT @USER = SUBSTRING(SUSER_SNAME(), CHARINDEX('\', SUSER_SNAME()) + 1, LEN(SUSER_SNAME())) …

13 sql-server  sql-server-2008-r2  sql-server-2014  permissions  active-directory 

Small Business Server 2003でSql Server 2008を使用しています。クライアントはWinXPを使用しています。 Active Directoryセキュリティグループにユーザーを追加しました。このユーザーがすぐにデータベースにアクセスできないのはなぜですか？ユーザーがSql Serverで認識されるまでに遅延があるようです。 権限にADセキュリティグループを明示的に使用しているため、SQL Serverに個々のユーザーを追加する必要はありません。事実上、アクセスを許可するためにユーザーをADセキュリティグループに追加する以外に何もする必要はありません。 しかし、何らかの理由で、SQL Serverは追加をすぐには認識しません。私はこれを何度も見ました。ユーザーをグループに追加しましたが、そのユーザーは翌日までデータにアクセスできません。Active Directoryをリアルタイムで照会しないようです。そうだと確認できますか？ Sql ServerがActive Directoryからユーザーのリストを「更新」するために何をする必要がありますか？

12 sql-server-2008  permissions  active-directory 

ユーザー名の1つが合法的に変更されたため、Active Directoryのユーザー名をdomain \ oldnameからdomain \ newnameに変更しました。ただし、suser_sname（）がストアドプロシージャでこのユーザーによって呼び出されると、新しい名前ではなく古い名前が返されます。 グーグルによって私はKB 946358に誘導されました。これは、おそらくsuser_name（）がLsaLookupSidsを呼び出しているために、それらの名前がサーバーにキャッシュされ、更新されていないことを示唆しています。ただし、その記事の回避策にはサーバーの再起動が含まれており、それでも問題を理解したいと思います。 私のコンテキストを彼らのものに変更すると、正しい名前が戻ってきます： EXECUTE AS LOGIN = 'domain\newname' GO SELECT suser_name() --returns 'domain\newname' ...これもLsaLookupSidsを呼び出すため、正しくない名前が返されると想定していました。ここで働いているメカニズムを本当に理解していないようです。 重要かもしれないいくつかの観察： このユーザーはサーバーに明示的にログインしていません。しかし、彼らはそうするADグループのメンバーです。変更された名前（domain \ newname）がの結果セットに表示されexec xp_logininfo 'domain\ADGroupName', 'members'ます。domain \ oldnameにはありません。 ユーザーが、Access 2003 MDBのパススルークエリから呼び出されたストアドプロシージャ内からsuser_name（）を呼び出しています。 過去に多くのユーザーのアカウント名を変更しましたが、この問題は先週しか確認されていません（先週、2つの変更が行われ、どちらも問題が発生しているようです）。 サーバーは、Windows 2008 R2 DatacenterエディションでSql Server 2008 SP3 x64を実行しています。 どうしたの？DBAとして、私は何をすべきか、またはこれを解決するためにどこを見ればよいでしょうか？

10 sql-server  sql-server-2008  ms-access  active-directory 

私は小さな会社のシステム管理者です。ここで、Windows Server 2008 R2をロールアウトすることを検討します。Active Directoryの実装を計画しています。また、RDMSをSQL Server 2000からSQL Server 2014にアップグレードしたいと考えています。 組織の規模により、1台のサーバーしか購入できないため、同じマシンにADとSQL Server 2014の両方を実装する予定です。ただし、マイクロソフトでは、SQL Server 2014をドメインコントローラーにインストールしないことをお勧めします。 理由は確認しましたが、何が問題なのかわからないので、以下の質問に誰かが答えてくれればとても助かります。 ローカルサービスアカウントのドメインコントローラーでSQL Serverサービスを実行することはできません。→ドメインユーザーアカウントのドメインコントローラーでSQL Serverを実行するとどうなりますか？ SQL Serverがコンピューターにインストールされた後、コンピューターをドメインメンバーからドメインコントローラーに変更することはできません。ホストコンピュータをドメインコントローラに変更する前に、SQL Serverをアンインストールする必要があります。→SQL Server 2014をインストールする前にサーバーをドメインコントローラーに昇格させる予定です。メンバーサーバーは私たちの唯一のサーバーであるため、プロモートを解除する予定はありません。私たちの計画は間違っていますか？ SQL Serverがコンピューターにインストールされた後、コンピューターをドメインコントローラーからドメインメンバーに変更することはできません。ホストコンピューターをドメインメンバーに変更する前に、SQL Serverをアンインストールする必要があります。→これが私たちの唯一のサーバーであるため、メンバーサーバーへの昇格は予定していません。私たちの計画は間違っていますか？ SQL Serverフェールオーバークラスターインスタンスは、クラスターノードがドメインコントローラーである場合はサポートされません。→フェイルオーバークラスターの設置は予定していないので問題ないと思います。私たちは間違っていますか？ SQL Serverセットアップでは、読み取り専用ドメインコントローラーでセキュリティグループを作成したり、SQL Serverサービスアカウントをプロビジョニングしたりすることはできません。このシナリオでは、セットアップは失敗します。→サーバーが1つしかないので、読み取り専用のドメインコントローラーにはならないので問題ないと思います。私たちは間違っていますか？ 実際、（1）をクリアすれば、SQL Server 2014をドメインコントローラーにインストールできます。 すべての文章をお読みいただきありがとうございます。誰かが答えてくれるといいのですが。

9 sql-server  active-directory  windows-server-2008-r2 

SQL Serverエージェントの1時間ごとのジョブが頻繁に（たとえば、数か月ごと）エラー15404の報告を開始し、介入されるまで報告を続けます。 [298] SQLServerエラー：15404、Windows NTグループ/ユーザー 'DOMAIN_NAME \ SomeDomainAccount'に関する情報を取得できませんでした、エラーコード0x6e。[SQLSTATE 42000]（ConnIsLoginSysAdmin） SQL ServerエンジンおよびSQL Serverエージェントサービスを手動で再起動した直後に、最初の障害が発生することがあります。マシンを再起動すると、問題を解決できます。 ジョブの所有者は、エラーメッセージに表示される名前で、SQL Server管理者です。 SQL Serverエンジンサービスアカウントは、サービスアカウントのように見えます（私はそれがデフォルトのインストールアカウントであると思います（エンジン/エージェントインスタンス間の干渉を防ぐために、一般的なNetworkServiceよりも1ノッチ優れています）。 NT Service\MSSQL$INSTNAME ジョブが常に失敗する場合は1つのことですが、再起動後にジョブが成功するため、などのサービスアカウントが機能しているはずであり、A / Dタイミングの問題やバグがあると思います。A / D構成についてITに質問すると、通常は「何も変更されていません」という応答になります。 エンジンおよびエージェントサービスを再起動すると、ジョブが失敗し始める可能性があります。 マシンを再起動すると問題が解決します。 エンジンとエージェントをすぐに再起動しても、ジョブが失敗することはなくなりました。 リンク： SQL Server 8198エラーのトラブルシューティング方法

9 sql-server  sql-server-agent  active-directory  jobs