主页 / dba / 问题 / 343139
Accepted
Mark Sowul
Asked: 2024-10-22 03:46:24 +0800 CST

检测 Windows 登录的 SID 是否已更改

  • 772

假设您已经为本地 Windows 组创建了一个登录名,例如machine_name\group_name

您使用相同的计算机名称 ( ) 重建服务器(新物理机)machine_name,并将旧驱动器(包括 SQL 服务器)连接到该服务器。该组也已重新创建。

但这是新安装的操作系统。因此,新安装的操作系统machine_name\group_name将具有新的 SID,并且实际上无法运行。

我们如何检测登录的 SID 不再有效,以便我们知道需要重新创建登录?

SELECT SUSER_SID(machine_name\group_name)仍返回旧 SID(存储在 中sys.server_principals)。 [sys].[sp_validatelogins]也没有报告任何内容。

SUSER_SID乍一看似乎如此sys.server_principals,所以我们不知道如何检测这一点。

sql-server

2 个回答

  1. 我认为[sp_validatelogins]这只会对已删除的 Windows 帐户有帮助,对 SID 不匹配的帐户则无济于事。

    这是使用调用 PowerShell 的基本概念证明[xp_cmdshell]。对于因安全原因无法使用的用户[xp_cmdshell],可以将其重写为 SQL Server Agent PowerShell 作业步骤,或完全重写为 PowerShell 脚本。

    SID_BINARY()没有记录,因此适用通常的警告。

    SET NOCOUNT ON

EXEC sp_configure N'show advanced options', 1 ;
GO
RECONFIGURE
GO
EXEC sp_configure N'xp_cmdshell', 1 ;
GO
RECONFIGURE
GO

/***********************************************************************/

DECLARE @output TABLE ([output] NVARCHAR(4000) NULL) ;

DECLARE @GroupName SYSNAME ;
DECLARE @stmt NVARCHAR(4000) ;
DECLARE @WindowsSid NVARCHAR(4000) ;

SET @GroupName = N'group_name' ;

SET @stmt = N'powershell.exe -command "& {(Get-Localgroup @GroupName).SID | Select-Object "Value" }"' ;
SET @stmt = REPLACE(@stmt, N'@GroupName', @GroupName) ;

INSERT INTO @output ([output])
EXEC xp_cmdshell @stmt = @stmt ;

SELECT TOP (1) @WindowsSid = [output]
FROM @output
WHERE [output] LIKE N'S-%' ;

SELECT 
   @WindowsSid AS WindowsSid, 
   SID_BINARY(@WindowsSid) AS WindowsBinary,
   [sid] AS SqlSid,
   CASE [sid]
      WHEN SID_BINARY(@WindowsSid) THEN N'OK'
      ELSE N'Mismatch'
   END AS [Result]
FROM sys.server_principals
WHERE [type_desc] = N'WINDOWS_GROUP'
    AND RIGHT([name], LEN(N'\' + @GroupName)) = N'\' + @GroupName ;

/***********************************************************************/

EXEC sp_configure N'xp_cmdshell', 0 ;
GO
RECONFIGURE
GO
EXEC sp_configure N'show advanced options', 0 ;
GO
RECONFIGURE
GO

    /* If everything is OK */

WindowsSid    : S-1-5-21-1380299542-1474021980-1886381498-1005
WindowsBinary : 0x01050000000000051500000016B345525CCADB57BAE56F70ED030000
SqlSid        : 0x01050000000000051500000016B345525CCADB57BAE56F70ED030000
Result        : OK

    /* If there is a problem */
/* 1005     vs. 1006     */
/* EE030000 vs. ED030000 */

WindowsSid    : S-1-5-21-1380299542-1474021980-1886381498-1006
WindowsBinary : 0x01050000000000051500000016B345525CCADB57BAE56F70EE030000
SqlSid        : 0x01050000000000051500000016B345525CCADB57BAE56F70ED030000
Result        : Mismatch
    • 1
  2. Best Answer

    经过进一步的研究,所罗门的回答激发了我的一个想法:创建一个 SQLCLR 函数,该函数接受一个帐户名并使用NTAccount/SecurityIdentifier来确定和发出真实的 SID。

    这允许调用代码在 SQL 中同步工作,而无需xp_cmdshell

    • 0

相关问题