主页 / dba / 问题 / 215570
Accepted
Denis Rubashkin
Asked: 2018-08-23 02:13:34 +0800 CST

在不为 AD 用户创建登录的情况下为链接服务器创建登录映射

  • 772

我们使用 Windows 身份验证,但我们不会为特定的 AD 用户创建登录名。我们为 AD 组创建登录名,用户可以通过成为其成员来访问。

我注意到,当我尝试使用如下命令为某些 AD 用户(而非组)创建映射时,除了创建映射外,还会创建DOMAIN\ADlogin登录名。

EXEC master.dbo.sp_addlinkedsrvlogin 
  @rmtsrvname = N'RemoteName',
  @locallogin = N'DOMAIN\ADlogin',
  @useself = N'False',
  @rmtuser = N'rmtuser',
  @rmtpassword = N'password'

如果我删除登录名,映射也会被删除。

DROP LOGIN [DOMAIN\ADlogin]

有什么方法可以避免创建登录名,但可以获取 AD 用户的映射?这对我来说听起来像是不可能的,但也许有人在解决这个问题方面有很好的经验。

Microsoft SQL Server 2017 (RTM-CU9) (KB4341265) - 14.0.3030.27 (X64) 2018 年 6 月 29 日 18:02:47 版权所有 (C) 2017 Microsoft Corporation Standard Edition(64 位)在 Windows Server 2016 Standard 10.0(Build 14393)上:)

sql-server linked-server

1 个回答

  1. Best Answer

    有什么方法可以避免创建登录名,但可以获取 AD 用户的映射?

    如果你运行这段代码:

    sp_helptext 'sp_addlinkedsrvlogin'

    您将能够找到一段负责创建 win 登录的代码:

    -- IF SPECIFIED CHECK LOCAL USER NAME (NO NT GROUP!)
select @localid = 0
if (@locallogin IS NOT NULL)
begin
    -- share-lock the local login
    EXEC %%LocalLogin ( Name = @locallogin ) . Lock ( Exclusive = 0 )
    IF @@ERROR = 0
        select @localid = principal_id from sys.server_principals
            where name = @locallogin and type in ('S', 'U')
    else
    begin
        -- ADD ROW FOR NT USER LOGIN IF NEEDED --
        if (get_sid('\U'+@locallogin) IS NOT NULL)
        begin
            EXEC @ret = sys.sp_MSaddlogin_implicit_ntlogin @locallogin
            if (@ret = 0)
                select @localid = principal_id from sys.server_principals
                    where name = @locallogin and type = 'U'
        end
    end
    if (@localid = 0)
    begin
        ROLLBACK TRAN
        raiserror(15007,-1,-1,@locallogin)
        return (1)
    end
end

    这里sys.sp_MSaddlogin_implicit_ntlogin @locallogin创建相应的登录名,principal_id接下来将通过此代码检索它:

    select @localid = principal_id from sys.server_principals
                        where name = @locallogin and type = 'U'

    (这里U表示WINDOWS_LOGIN

    然后它将被传递以创建映射:

    EXEC %%LinkedServer(Name=@rmtsrvname).NewLinkedLogin(
            LocalID=@localid, UseSelf=@useselfbit, RemoteName=@rmtuser, Password=@pwd)

    因此,您的问题的答案是否定的,除非您remote_user通过传递NULLas将所有登录名映射到相同的登录名@locallogin

    • 2

相关问题