主页 / dba / 问题 / 212274
Accepted
gotqn
Asked: 2018-07-16 22:11:19 +0800 CST

如何检查 WINDOWS_GROUP 的默认架构?

  • 772

我正在使用以下查询来检查默认架构是否设置为dbo.

SELECT DB_NAME() AS [database] 
      ,[name]
      ,[type_desc]
      ,[default_schema_name]
FROM [sys].[database_principals]
WHERE [type] IN ('U', 'G')
    --AND [default_schema_name] <> 'dbo';

如果未设置为dbo并且有人在未指定架构标识符的情况下创建了一个对象,schema则会使用他/她的 Windows 凭据创建一个新对象。

因此,我想编写一个脚本来检查(在特定时间段内)是否一切都设置好(因为每天都会恢复/创建新机器和数据库)。

上面脚本的问题是我可以看到我的用户的默认架构不是dbo,但是当使用其他帐户执行时,我的用户没有列出。

我想那是因为WINDOWS_GROUP我们都是其中的一员,所以我需要检查它的设置,但总是NULL为团体获得价值。

sql-server sql-server-2016

1 个回答

  1. Best Answer

    如何检查 WINDOWS_GROUP 的默认架构

    可以用你的脚本default schema检查。group

    当此脚本显示NULL为一个组时,这意味着default schema没有为该组明确设置。

    but when executed with other account, my user is not listed

    这意味着 thisaccount没有显式映射到此数据库,但它是一个或多个Windows groups映射的成员。

    这里的规则是:

    如果用户有默认架构,则将使用该默认架构。如果用户没有默认架构,但用户是具有默认架构的组的成员,则将使用该组的默认架构。如果用户没有默认架构,并且是多个组的成员,则用户的默认架构将是具有最低 principal_id 和显式设置默认架构的 Windows 组的架构。

    当你看到那个

    有人在未指定架构标识符的情况下创建对象,则使用他/她的 Windows 凭据创建新架构

    这意味着该用户是一个或多个 Windows 组的成员,并且这些组都没有默认架构。

    如果你想阻止这种“模式创建”,你不应该让用户Windows groups没有default schema,只需将dbo模式分配给dbo

    alter user [someDomain\someGroup] with default_schema = dbo

    要检查映射到此数据库的用户组,请执行以下代码:

    select *
from sys.user_token
where principal_id > 0

    您可以在此处type = 'WINDOWS GROUP'过滤,但在未过滤时,您会看到所有令牌,所以如果您没有看到 Windows 帐户,那是因为它没有显式映射到该数据库,而是通过 Windows 组到达数据库

    更新

    此处调用implicit schema creation并记录了此行为: CREATE SCHEMA (Transact-SQL)

    隐式模式和用户创建

    在某些情况下,用户可以在没有数据库用户帐户(数据库中的数据库主体)的情况下使用数据库。这可能发生在以下情况:

    登录具有 CONTROL SERVER 权限。

    Windows 用户没有单独的数据库用户帐户(数据库中的数据库主体),但作为具有数据库用户帐户(Windows 组的数据库主体)的 Windows 组的成员访问数据库。

    当没有数据库用户帐户的用户在未指定现有架构的情况下创建对象时,将在数据库中为该用户自动创建数据库主体和默认架构。创建的数据库主体和架构将与用户在连接到 SQL Server 时使用的名称(SQL Server 身份验证登录名或 Windows 用户名)具有相同的名称。

    此行为对于允许基于 Windows 组的用户创建和拥有对象是必要的。但是,它可能会导致无意创建模式和用户。为避免隐式创建用户和架构,请尽可能显式创建数据库主体并分配默认架构。或者,在数据库中创建对象时,使用两部分或三部分对象名称显式声明现有模式。

    • 1

相关问题