我有 2 个运行 SQL Server 2019 的 SQL Server。它们每个都有一个使用 Windows 身份验证(AD 组)“SG-GroupA”的 SQL 登录,并且该组中有 5 个 Windows 用户。
每个服务器上都有一个名为 DbFoo 的数据库,SG-GroupA 的登录名映射到 DbFoo,并且该数据库的角色成员资格是公共的,并且是 db_datareader。
我已经验证了登录名存在,并且用户存在于两个数据库中。当该组中的用户登录到 SQL Server 并尝试查询 DbFoo 时,他们在服务器 A 上得到了正确的结果。当他们在服务器 B 上运行相同的查询时,他们收到错误“数据库 DBFoo 不可访问。”
作为对服务器 BI 的额外测试,我创建了一个全新的数据库,其中包含一个用户 SG-GroupA,当有人尝试查询数据库中的表时,再次出现错误。在服务器 A 上执行相同的测试不会出现任何错误,一切正常。我可以从哪里开始调试此问题?
如果有问题的用户也对应于服务器 B 上的个人登录,则可能会遇到这样的冲突。
也就是说,除了是 SG-GroupA 的成员之外,他们是否还在服务器上拥有自己的登录名?如果是,则可能会发生意外交互,尤其是当个人登录名被拒绝任何权限时。或者,如果启用了组连接登录名,但禁用了个人登录名。
如果某人通过 Active Directory 组访问 SQL 实例,最好不要让他们通过单独的 Windows 连接登录进行访问。
另请参阅:汉娜·弗农 (Hannah Vernon) 对此处类似问题的精彩回答。
正如@doug Deden 提到的那样,登录测试的用户也被添加到 SQL Server 中作为直接登录。因此,权限本质上是相互干扰的。
domain\UserA 是 AD 组 SG-GroupA 的成员。此外,他还被直接添加到服务器的“安全 -> 登录”下,作为登录名。权限相互冲突,因为 AD 组具有更高的权限,而这些权限已明确拒绝用户登录。一旦我删除登录名,并通过 AD 组启用他的访问权限,一切就开始正常工作了。