Início / dba / Perguntas / 215570
Accepted
Denis Rubashkin
Asked: 2018-08-23 02:13:34 +0800 CST

Criando mapeamento de logins para um servidor vinculado sem criar logins para usuários do AD

  • 772

Usamos a autenticação do Windows, mas não criamos logins para usuários específicos do AD. Criamos logins para grupos AD e os usuários têm acesso por serem seus membros.

Percebi que quando tento criar um mapeamento para alguns usuários do AD (não os grupos) usando um comando como abaixo, além de criar o mapeamento é criado o login DOMAIN\ADlogin .

EXEC master.dbo.sp_addlinkedsrvlogin 
  @rmtsrvname = N'RemoteName',
  @locallogin = N'DOMAIN\ADlogin',
  @useself = N'False',
  @rmtuser = N'rmtuser',
  @rmtpassword = N'password'

Se eu soltar o login, o mapeamento também será descartado.

DROP LOGIN [DOMAIN\ADlogin]

Existe alguma maneira de evitar a criação de logins, mas obter o mapeamento para usuários do AD? Parece-me impossível, mas talvez alguém tenha uma boa experiência em resolver esse problema.

Microsoft SQL Server 2017 (RTM-CU9) (KB4341265) - 14.0.3030.27 (X64) 29 de junho de 2018 18:02:47 Copyright (C) 2017 Microsoft Corporation Standard Edition (64 bits) no Windows Server 2016 Standard 10.0 (Build 14393) : )

sql-server linked-server

1 respostas

  1. Best Answer

    Existe alguma maneira de evitar a criação de logins, mas obter o mapeamento para usuários do AD?

    Se você executar este código:

    sp_helptext 'sp_addlinkedsrvlogin'

    Você poderá encontrar um pedaço de código responsável pela criação de login win:

    -- IF SPECIFIED CHECK LOCAL USER NAME (NO NT GROUP!)
select @localid = 0
if (@locallogin IS NOT NULL)
begin
    -- share-lock the local login
    EXEC %%LocalLogin ( Name = @locallogin ) . Lock ( Exclusive = 0 )
    IF @@ERROR = 0
        select @localid = principal_id from sys.server_principals
            where name = @locallogin and type in ('S', 'U')
    else
    begin
        -- ADD ROW FOR NT USER LOGIN IF NEEDED --
        if (get_sid('\U'+@locallogin) IS NOT NULL)
        begin
            EXEC @ret = sys.sp_MSaddlogin_implicit_ntlogin @locallogin
            if (@ret = 0)
                select @localid = principal_id from sys.server_principals
                    where name = @locallogin and type = 'U'
        end
    end
    if (@localid = 0)
    begin
        ROLLBACK TRAN
        raiserror(15007,-1,-1,@locallogin)
        return (1)
    end
end

    Aqui sys.sp_MSaddlogin_implicit_ntlogin @locallogincria o login correspondente e seu principal_idpróximo será recuperado por este código:

    select @localid = principal_id from sys.server_principals
                        where name = @locallogin and type = 'U'

    (aqui Uindica WINDOWS_LOGIN)

    E então será passado para criar um mapeamento:

    EXEC %%LinkedServer(Name=@rmtsrvname).NewLinkedLogin(
            LocalID=@localid, UseSelf=@useselfbit, RemoteName=@rmtuser, Password=@pwd)

    Portanto, a resposta para sua pergunta é NÃO, a menos que você mapeie todos os seus logins para o mesmoremote_user passando NULLcomo @locallogin.

    • 2

relate perguntas