Início / dba / Perguntas / 343139
Accepted
Mark Sowul
Asked: 2024-10-22 03:46:24 +0800 CST

Detectando um SID alterado para login do Windows

  • 772

Imagine que você criou um login para um grupo local do Windows, por exemplomachine_name\group_name

Você reconstrói o servidor (nova máquina física) com o mesmo nome de máquina ( machine_name), anexa as unidades antigas a ele, incluindo o SQL server. O grupo também foi recriado.

Mas é uma nova instalação de SO. Como tal, o novo machine_name\group_nameterá um novo SID e não funcionará de fato.

Como podemos detectar que o SID do login não é mais válido para sabermos que precisamos recriá-lo?

SELECT SUSER_SID(machine_name\group_name)ainda está retornando o SID antigo (conforme armazenado em sys.server_principals). [sys].[sp_validatelogins]também não relata nada.

Parece que isso SUSER_SIDacontece à sys.server_principalsprimeira vista, então não sabemos como detectar isso.

sql-server

2 respostas

  1. Acho que [sp_validatelogins]só ajudará com contas do Windows excluídas, não aquelas com incompatibilidade de SID.

    Aqui está uma prova básica de conceito usando [xp_cmdshell]para chamar o PowerShell. Para aqueles que não podem usar [xp_cmdshell]por motivos de segurança, ele pode ser reescrito como um SQL Server Agent PowerShell Job Step, ou inteiramente em um script do PowerShell.

    SID_BINARY()não é documentado, portanto, as ressalvas usuais se aplicam.

    SET NOCOUNT ON

EXEC sp_configure N'show advanced options', 1 ;
GO
RECONFIGURE
GO
EXEC sp_configure N'xp_cmdshell', 1 ;
GO
RECONFIGURE
GO

/***********************************************************************/

DECLARE @output TABLE ([output] NVARCHAR(4000) NULL) ;

DECLARE @GroupName SYSNAME ;
DECLARE @stmt NVARCHAR(4000) ;
DECLARE @WindowsSid NVARCHAR(4000) ;

SET @GroupName = N'group_name' ;

SET @stmt = N'powershell.exe -command "& {(Get-Localgroup @GroupName).SID | Select-Object "Value" }"' ;
SET @stmt = REPLACE(@stmt, N'@GroupName', @GroupName) ;

INSERT INTO @output ([output])
EXEC xp_cmdshell @stmt = @stmt ;

SELECT TOP (1) @WindowsSid = [output]
FROM @output
WHERE [output] LIKE N'S-%' ;

SELECT 
   @WindowsSid AS WindowsSid, 
   SID_BINARY(@WindowsSid) AS WindowsBinary,
   [sid] AS SqlSid,
   CASE [sid]
      WHEN SID_BINARY(@WindowsSid) THEN N'OK'
      ELSE N'Mismatch'
   END AS [Result]
FROM sys.server_principals
WHERE [type_desc] = N'WINDOWS_GROUP'
    AND RIGHT([name], LEN(N'\' + @GroupName)) = N'\' + @GroupName ;

/***********************************************************************/

EXEC sp_configure N'xp_cmdshell', 0 ;
GO
RECONFIGURE
GO
EXEC sp_configure N'show advanced options', 0 ;
GO
RECONFIGURE
GO

    /* If everything is OK */

WindowsSid    : S-1-5-21-1380299542-1474021980-1886381498-1005
WindowsBinary : 0x01050000000000051500000016B345525CCADB57BAE56F70ED030000
SqlSid        : 0x01050000000000051500000016B345525CCADB57BAE56F70ED030000
Result        : OK

    /* If there is a problem */
/* 1005     vs. 1006     */
/* EE030000 vs. ED030000 */

WindowsSid    : S-1-5-21-1380299542-1474021980-1886381498-1006
WindowsBinary : 0x01050000000000051500000016B345525CCADB57BAE56F70EE030000
SqlSid        : 0x01050000000000051500000016B345525CCADB57BAE56F70ED030000
Result        : Mismatch
    • 1
  2. Best Answer

    Depois de pesquisar um pouco mais, a resposta de Solomon aqui me deu uma ideia: criar uma função SQLCLR que receba um nome de conta e use NTAccount/ SecurityIdentifierpara determinar e emitir o SID real.

    Isso permite que o código de chamada funcione de forma síncrona em SQL, semxp_cmdshell

    • 0

relate perguntas