Início / dba / Perguntas / 331611
Accepted
JukEboX
Asked: 2023-09-27 02:51:31 +0800 CST

SQL Trigger chamando Domínio\Grupo

  • 772

Estou criando um gatilho no SQL Server 2019 para proteger o número de conexões que os usuários podem ter no meu servidor SQL.

Estou tendo problemas para obter acesso aos meus SYSDBAs usando o grupo de domínio. Prefiro fazer isso em vez de identificar cada usuário no gatilho.

Como identifico o grupo no script abaixo em vez de DOMAIN\sysdba?

Estou tentando definir o grupo DOMAIN para limitar o número de conexões que ele faz e manter determinados usuários de DOMAIN com um número diferente de conexões.

Adicionado código de SergeyA abaixo. Ainda assim, estou perdendo a lógica aqui. O CASE ORIGINAL_LOGINestá tendo precedência.

CREATE TRIGGER Secure_SQL
 ON ALL SERVER WITH EXECUTE AS 'sa account'
 FOR LOGON
 AS
BEGIN
declare @session_cnt int, @is_sysasmin int
select @session_cnt=count(*) from sys.dm_exec_sessions WHERE
is_user_process = 1 AND original_login_name = ORIGINAL_LOGIN()
-- change context to actual user to check if there any sysadmin role
execute as login=original_login()
select @is_sysasmin=count(*) from sys.login_token where name='sysadmin'
REVERT
IF (Select COUNT(1) from sys.dm_exec_sessions WHERE is_user_process = 1 AND original_login_name = ORIGINAL_LOGIN*() ) > 
(CASE ORIGINAL_LOGIN()
    WHEN 'sa account' THEN 40
    WHEN 'DOMAIN\sysdba' THEN 150
    WHEN 'DOMAIN\sysdba' THEN 150
    ELSE 1
 END)
    BEGIN
        PRINT 'The login [' + ORIGINAL_LOGIN() + '] has exceeeded its current session limit.'
        ROLLBACK;;
    END
END;
sql-server

2 respostas

  1. se você quiser verificar se o login é membro da função de servidor sysadmin por meio de algum grupo que você pode executar

    select * from sys.login_token where name='sysadmin'

    atualizar.

    O problema é: para visualizar sys.dm_exec_sessions a conta precisa ter permissão VIEW SERVER STATE mas sys.login_token retorna informações sobre sua própria sessão. Acho que a solução poderia ser mudar o contexto para ORIGINAL_LOGIN()

    Onde eu adicionaria isso no script fornecido?

    CREATE TRIGGER Secure_SQL
 ON ALL SERVER WITH EXECUTE AS 'sa account'
 FOR LOGON
 AS
BEGIN

declare @session_cnt int, @is_sysasmin int
select @session_cnt=count(*) from sys.dm_exec_sessions WHERE is_user_process = 1 AND original_login_name = ORIGINAL_LOGIN()

-- change context to actual user to check if there any sysadmin role
execute as login=original_login()

select @is_sysasmin=count(*) from sys.login_token where name='sysadmin'

revert 

if -- put your logic here
    BEGIN
        PRINT 'The login [' + ORIGINAL_LOGIN() + '] has exceeeded its current session limit.'
        ROLLBACK;;
    END
END;
    • 3
  2. Best Answer

    Obrigado ao @SergeyA pelo suporte com o código e a lógica. Essa era a lógica que eu precisava para conseguir o sysadmingrupo. Usando isso eu usei como uma consulta para fazer uma variável para o usuário ser um arquivo sysadmin. Se estiverem, deveriam ter acesso ilimitado. Então limitei as outras contas.

    CREATE TRIGGER Secure_SQL
ON ALL SERVER WITH EXECUTE AS 'sa account'
FOR LOGON
AS
BEGIN
    declare @session_cnt int, @is_sysasmin int
    select @session_cnt=count(*) from sys.dm_exec_sessions WHERE is_user_process = 1 AND original_login_name = ORIGINAL_LOGIN()
-- change context to actual user to check if there any sysadmin role
    execute as login=original_login()
    select @is_sysasmin=count(*) from sys.login_token where name='sysadmin'
    REVERT
    IF ($is_sysadmin <> 1) 
        BEGIN
             IF (Select COUNT(1) from sys.dm_exec_sessions WHERE is_user_process = 1    AND original_login_name = ORIGINAL_LOGIN*() ) > 
             (CASE ORIGINAL_LOGIN()
                WHEN 'sa account' THEN 40
                WHEN 'DOMAIN\sysdba' THEN 150
                WHEN 'DOMAIN\sysdba' THEN 150
                ELSE 1
        END)
        BEGIN
                PRINT 'The login [' + ORIGINAL_LOGIN() + '] has exceeeded its current session limit.'
                ROLLBACK;
        END
    END
END
    • 0

relate perguntas