Início / computer / Perguntas / 1431301
Accepted
Ellebjerg
Asked: 2019-05-01 01:07:03 +0800 CST

SQL Server: permissão de inserção negada, embora a permissão seja concedida

  • 772

Meu administrador de TI/DB e eu temos um problema com permissões no SQL Server.

Em vários bancos de dados, recebo "permissão INSERT negada", embora eu pessoalmente tenha a permissão INSERT concedida e seja membro de um usuário de grupo do AD, que também tem a permissão.

Minhas permissões para SELECT, CREATE, ALTER e DELETE funcionam bem, mas as permissões para manipular dados (INSERT e UPDATE) falham, embora concedidas.

As permissões são concedidas em todo o banco de dados, mas também tentamos concedê-las em tabelas específicas. Não faz diferença.

Tentamos criar um novo banco de dados e conceder as mesmas permissões. Aqui posso INSERIR sem problemas.

Tentamos excluir meu usuário pessoal, para que eu tenha apenas as concessões concedidas pelo grupo, mas não ajudou.

O administrador do banco de dados pode manipular dados como outros usuários específicos, mas quando o administrador tenta manipular como membro do grupo, ele também tem a permissão negada.

Estamos ficando sem ideias sobre o que fazer. Todas as ideias são bem-vindas.

permissions user-accounts

2 respostas

  1. Best Answer

    Você tem certeza de quais permissões possui em um determinado objeto de banco de dados?

    use esses 2 scripts abaixo, apenas para descobrir quais permissões estão realmente lá - e isso incluiria DENYtambém, caso você esteja preocupado com isso.

    caso precise de mais detalhes, siga este link abaixo:

    script para mostrar todas as permissões para uma tabela

    --use MY_DATABASE
--go


SELECT
state_desc + ' ' + permission_name +
' on ['+ ss.name + '].[' + so.name + ']
to [' + sdpr.name + ']'
COLLATE LATIN1_General_CI_AS as [Permissions T-SQL]
FROM SYS.DATABASE_PERMISSIONS AS sdp
JOIN sys.objects AS so
     ON sdp.major_id = so.OBJECT_ID
JOIN SYS.SCHEMAS AS ss
     ON so.SCHEMA_ID = ss.SCHEMA_ID
JOIN SYS.DATABASE_PRINCIPALS AS sdpr
     ON sdp.grantee_principal_id = sdpr.principal_id
where 1=1
  --AND so.name = 'my-table_name'

UNION

SELECT
state_desc + ' ' + permission_name +
' on Schema::['+ ss.name + ']
to [' + sdpr.name + ']'
COLLATE LATIN1_General_CI_AS as [Permissions T-SQL]
FROM SYS.DATABASE_PERMISSIONS AS sdp
JOIN SYS.SCHEMAS AS ss
     ON sdp.major_id = ss.SCHEMA_ID
     --AND sdp.class_desc = 'my_schema'
JOIN SYS.DATABASE_PRINCIPALS AS sdpr
     ON sdp.grantee_principal_id = sdpr.principal_id
where 1=1

order by [Permissions T-SQL]
GO


--use MY_DATABASE
--go

SELECT
  (
    dp.state_desc + ' ' +
    dp.permission_name collate latin1_general_cs_as + 
    ' ON ' + '[' + s.name + ']' + '.' + '[' + o.name + ']' +
    ' TO ' + '[' + dpr.name + ']'
  ) AS GRANT_STMT
FROM sys.database_permissions AS dp
  INNER JOIN sys.objects AS o ON dp.major_id=o.object_id
  INNER JOIN sys.schemas AS s ON o.schema_id = s.schema_id
  INNER JOIN sys.database_principals AS dpr ON dp.grantee_principal_id=dpr.principal_id
WHERE 1=1
   AND dpr.name NOT IN ('public','guest')
--  AND o.name IN ('My_Procedure')      -- Uncomment to filter to specific object(s)
--AND dp.permission_name='INSERT'    -- Uncomment to filter to just the EINSERTs
    • 0

  2. Finalmente conseguimos resolver o problema. Nosso administrador achou que havia examinado todos os usuários relevantes, mas descobriu que havia perdido um grupo de usuários que negava as permissões. Isso anulou todas as permissões concedidas para editar dados.

    Mas muito obrigado pelo roteiro. É provável que seja útil em casos futuros.

    • 0

relate perguntas