[SQL][權限設定]SQL Server 設定 BUILTIN\Administrators 群組後無法登入 ?
在 SQL Server 的安全性管理內,是可以設定使用者採用 Windows 的帳號或群組,這個部分相信大家都沒有問題。但在這幾天剛好遇到一個踢到鐵板的問題,因此先把他的處理過程給筆記下來,免得以後又犯錯了。
事情是這樣的,由於在 SQL Server 2005 之後的版本,並沒有把 Administrators 群組預設為 sysadmin,因此有個朋友在安裝 SQL Server 的時候,把主機的管理者 Administrator 帳號 和 BUILTIN\Administrators 群組,這兩個都都加入到 sysadmin 的伺服器角色。本來這都沒有任何問題,但後來他們又來一位管理人員 A,雖然把 A 加入到 Administrators 的群組內,這個人員可以順利登入到 Windows,但卻表示沒有辦法正常使用 SSMS 進行登入和管理。
當收到這個問題的時候,一時之間也想不出個所以然,因此我就建立兩個使用者來測試看看
使用者 A , 具有 Administrator 群組的權限
另外建立一個使用者 B , 屬於 DBA 這個群組
在 SQL Server 內也設定 BUILTIN\Administrators 和 DBA 群組都具有 sysadmin 的權限
但當使用者 A 登入的時候就出現以下的錯誤訊息
但換成使用者 B 登入,卻都正常無誤
後來經過跟百敬老師的討論中才發現,原來是因為我都是用 runas 的方式去測試,因此當使用 A 身分登入的時候,因為在 UAC 的環境下沒有提升權限,則該使用者就不會使用 Administrators 群組的身分登入,因此只要在使用者 A 的環境下,執行 SSMS 時記得提升管理者權限來執行作業,就可以正常登入了。只是要避免這樣的問題,比較好的方式還是另外建立一個群組來設定,就不會受到 UAC 的影響了。
另外在討論過程中,也謝謝亂馬客所提供的資料(可參考網址),利用調整「使用者帳戶控制設定」將通知層級降低
並且變更以下的機碼後重新啟動,也可以關閉 UAC 來避開該問題
多謝兩位前面的指導,讓我一度還以為新版本的不允許使用群組設定權限,原來是自己豬頭耍白癡,因此趕快記錄下來,免得下次又犯同樣的錯誤了。