Início / dba / Perguntas / 246874
Accepted
Mickael
Asked: 2019-09-04 07:14:03 +0800 CST

O login do servidor SQL obtém altos privilégios indesejados em um banco de dados quando criado

  • 772

Temos uma demanda para criar um novo usuário com capacidade de SELECIONAR apenas 4 tabelas específicas. Para fazer isso, criamos o login e o mapeamos para o banco de dados necessário:

USE [master]
GO
CREATE LOGIN [pos] WITH PASSWORD=N'XXXX', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO

USE [TARGETED_DB_NAME]
GO
CREATE USER [pos] FOR LOGIN [pos]
GO

Depois disso, o usuário pode fazer qualquer instrução DML, enquanto não tem privilégios, exceto a função pública. Verificamos as permissões de função pública, permissões de servidor, etc., mas não descobrimos por que o usuário pode ver todas as tabelas do banco de dados.

O problema não está presente quando criamos o usuário em outro banco de dados na mesma instância.

Alguma idéia de por que o login pos obter esses privilégios?

sql-server-2012 permissions

1 respostas

  1. Best Answer

    A consulta a seguir ajudaria a obter uma visão das permissões que determinado usuário obteve Direta ou Indiretamente , com base no resultado, você pode analisar/identificar qual é a causa do problema.

    USE [TARGETED_DB_NAME]
GO

Declare @UserName varchar (100) = 'username';

-- Permission applied to user (directly) -------------------------------------------------------------

select d.name, dp.* 
from sys.database_permissions as dp
        join sys.database_principals as d on dp.grantee_principal_id = d.principal_id
where d.name = (@UserName) --and dp.state = 'D'
order by d.principal_id

-- Permission applied to user (indirectly) -------------------------------------------------------------
select  dm.name as DB_UserName,
        sp.name as LoginName,
        dr.name as DB_RoleName,
        dp.[permission_name],
        dp.type,
        dp.state_desc
from sys.database_principals as dm  
        join sys.database_role_members as drm on dm.principal_id = drm.member_principal_id
        join sys.database_principals as dr on drm.role_principal_id = dr.principal_id
        left join sys.server_principals as sp on dm.sid = sp.sid
        left join sys.database_permissions as dp on dr.principal_id = dp.grantee_principal_id
Where (dm.name = @UserName or sp.name = @UserName) --and dr.name like 'db_deny%'
go
    • 0

relate perguntas