স্কেল সার্ভারের অনুমতিগুলিতে কীভাবে AD সুরক্ষা গোষ্ঠীটিকে রিফ্রেশ করবেন

12

আমি ছোট ব্যবসা সার্ভার 2003 এ এসকিএল সার্ভার ব্যবহার করছি; ক্লায়েন্ট WinXP ব্যবহার করছে।

আমি আমার অ্যাক্টিভ ডিরেক্টরি সুরক্ষা গোষ্ঠীতে একজন ব্যবহারকারীকে যুক্ত করেছি; এই ব্যবহারকারী কেন তাত্ক্ষণিকভাবে ডাটাবেস অ্যাক্সেস করতে পারবেন না? বোধ হয় স্কেল সার্ভারে ব্যবহারকারীকে স্বীকৃতি দেওয়ার আগে একটি বিলম্ব হয়েছে।

অনুমতিগুলির জন্য আমি স্পষ্টভাবে অনুমতিগুলির জন্য এডি সুরক্ষা গোষ্ঠীগুলি ব্যবহার করছি যাতে এসকিএল সার্ভারে আমার পৃথক ব্যবহারকারীদের যুক্ত করার প্রয়োজন না হয়। সুতরাং কার্যকরভাবে অ্যাক্সেসের অনুমতি দেওয়ার জন্য আমার এডি সুরক্ষা গোষ্ঠীতে ব্যবহারকারীকে যুক্ত করা ছাড়া কিছুই করার দরকার নেই।

তবে কিছু কারণে স্কেল সার্ভার তত্ক্ষণাত সংযোজনটি সনাক্ত করতে পারে না। আমি এটি বেশ কয়েকবার দেখেছি। আমি এই গোষ্ঠীতে ব্যবহারকারীকে যুক্ত করেছি তবে সেই ব্যবহারকারীটি পরের দিন পর্যন্ত ডেটা অ্যাক্সেস করতে পারবেন না। দেখে মনে হচ্ছে এটি বাস্তব সময়ে সক্রিয় ডিরেক্টরিটিকে জিজ্ঞাসা করছে না। আপনি কি তা নিশ্চিত করতে পারবেন?

স্যাক্লিএল সার্ভারটি অ্যাক্টিভ ডিরেক্টরি থেকে ব্যবহারকারীদের তালিকাকে "রিফ্রেশ" করে?

sql-server-2008 permissions active-directory

— D_Bester
সূত্র

এসকিউএল সার্ভার ২০০৮ ম্যানেজমেন্ট স্টুডিওতে, আমি সুরক্ষা গ্রুপটি ব্যবহার করে একটি সার্ভার লগইন যুক্ত করেছি এবং ডাটাবেসে সেই লগইনে ম্যাপযুক্ত কোনও ব্যবহারকারী তৈরি করেছি। এটি দুর্দান্ত কাজ করে!

— ডি_বেস্টার

তবে আমি সুরক্ষা গোষ্ঠীতে একটি নতুন ব্যবহারকারী যুক্ত করার পরে এটি নির্দিষ্ট ডেটাবেস অ্যাক্সেস করতে পারিনি। সেই ব্যবহারকারীর অন্য একটি গ্রুপ ব্যবহার করে সার্ভারে অ্যাক্সেস রয়েছে, তাই কেবল এসকিএল সার্ভারের সংযোগটি ভালভাবে কাজ করে। আমি ব্যবহারকারীর জন্য (তার কম্পিউটারে) এসকিএল সার্ভারে একটি সংযোগ যুক্ত করছি। আমি যখন ডাটাবেসটি নির্দিষ্ট করেছি তখন এটি চেয়েছিলাম এটি ডাটাবেস অনুপলব্ধ।

— ডি_বেস্টার

বিভিন্ন ডোমেন কন্ট্রোলারদের স্পট পরীক্ষা করে দেখছি যে প্রতিলিপিটি সত্যই 15 মিনিটের পরে শেষ হয়েছে তবে এসকিউএল নতুন ব্যবহারকারীকে এডি গ্রুপে উপেক্ষা করে। এসকিউএল সার্ভার পুনরায় চালু করা সমস্যাটি সমাধান করে, তাই 24 ঘন্টা অপেক্ষা করে। একটি ভাল উপায় হতে হবে।

— হারুন অওসথ

12

ব্যবহারকারীর তাদের ওয়ার্কস্টেশনটি লগ অফ করে আবার লগ ইন করতে হবে। যে কারণে পরিবর্তনগুলি পরের দিন কার্যকর হবে বলে মনে হয়। এর কারণ হ'ল ব্যবহারকারী যখন পরের দিন লগইন করেন তারা ডোমেন নিয়ন্ত্রকের কাছ থেকে একটি নতুন টোকেন পান এবং এই টোকেনে ডোমেন গোষ্ঠীগুলির তালিকা রয়েছে যার তারা সদস্য। ডোমেন গোষ্ঠীগুলির তালিকার সাথে এই টোকনটি কেবলমাত্র তখনই আপডেট হয় যখন ব্যবহারকারীরা তাদের কম্পিউটারে লগ ইন করে, তাই যদি ব্যবহারকারী কখনও লগ আউট না করে টোকেনটি কখনও আপডেট হয় না।

এছাড়াও যদি আপনার ডোমেন নিয়ামকরা বিভিন্ন শারীরিক স্থানে থাকে তবে একাধিক সাইট ডোমেনের প্রতিরূপের বিলম্বও বিবেচনায় নেওয়া দরকার।

— mrdenny
সূত্র

1

তার এডি টোকেনকে "রিফ্রেশ" করার জন্য ওয়ার্কস্টেশনে কোনও আদেশ বা স্ক্রিপ্ট চালানো যেতে পারে যাতে এটি ব্যবহারকারী জানতে পারে যে এখন নতুন ডোমেন-গ্রুপের সদস্য, এবং এইভাবে বিলম্ব এড়াতে পারে? - আপডেট: মনে হয় যে এক ব্যক্তি dba.stackexchange.com/a/44922/29371klist purge এ প্রস্তাবিত হয়েছিল , তবে এই সতর্কতার সাথে এটি অন্যান্য ক্যাশেড রিসোর্স অ্যাকসেসরগুলিকে ভেঙে দিতে পারে যা ব্যবহারকারীকে পুনরায় প্রতিষ্ঠা / পুনরায় সংযোগ করতে হবে।

— নাটজে

@ এমআরডেনি এই পরিষেবা অ্যাকাউন্টগুলির জন্য কীভাবে পরিচালনা করবেন সে সম্পর্কে কোনও প্রস্তাবনা? আমরা পরিষেবা অ্যাকাউন্টের অধীনে সমস্ত এসকিউএল দৃষ্টান্ত পরিচালনা করি এবং এসকিউএল সার্ভারগুলির মধ্যে এবং এসএসআরএস ইত্যাদির জন্য এই পরিষেবা অ্যাকাউন্টগুলি ব্যবহার করি any যেকোন সময়ে মেশিনগুলির মধ্যে আমাদের অনেক সংযোগ রয়েছে। নতুন এডি গ্রুপের তথ্য পেতে আমরা সমস্ত সংযোগটি সত্যই সংযোগ বিচ্ছিন্ন করতে এবং কোথাও একটি নতুন লগইন করতে পারি না।

— সোমগুয়ে

পরিষেবা অ্যাকাউন্টগুলির জন্য, আপনি যা করতে পারেন তা মেশিনে পরিষেবাটি পুনঃসূচনা করুন যার জন্য নতুন অধিকারের প্রয়োজন।

— mrdenny

5

যখন কোনও ব্যবহারকারী লগইন করে, তাদের একটি সুরক্ষা টোকেন বরাদ্দ করা হয় যাতে তাদের গোষ্ঠী সদস্যতার সমস্ত তথ্য অন্তর্ভুক্ত থাকে।

ব্যবহারকারী লগ অফ না করা অবধি এই টোকেনটি অব্যাহত থাকে - কোন সময়ে এটি বাতিল করা হয় - এমনকি আপনি যদি এডি সময়ে গ্রুপের সদস্যপদে কোনও পরিবর্তন করেন। আপনার করা পরিবর্তনগুলি কেবলমাত্র পরবর্তী সময় ব্যবহারকারীর লগইন করে এবং একটি নতুন সুরক্ষা টোকেন গ্রহণ করবে।

কোনও ফাইল সিস্টেমে অনুমতি বরাদ্দ করার সময় আপনি একই দৃশ্যের পুনরুত্পাদন করতে পারেন, উদাহরণস্বরূপ; এটি একটি AD আচরণ, কোনও এসকিউএল সার্ভার আচরণ নয়।

— জন সেগেল
সূত্র

1

সুতরাং আপনি তাত্ক্ষণিক ফলাফল পাবেন প্রতিবারের মতো একটি সেন্টিমিডি / স্ক্রিপ্ট চালিয়ে নতুন শংসাপত্র পাওয়ার জন্য:

runas /netonly /user:domain\username "sqlcmd -S serverName -d dbname -q \"insert into testpermissions values (65)\""

cmd.exe ব্যবহার করে (পাওয়ারশেল নয়, আমি উদ্ধৃতিটি সঠিকভাবে পেতে পারি না)।

এইভাবে আপনি প্রতি এবং একটি নতুন টোকেন পাবেন (তবে আপনার পিডাব্লুডিতে প্রবেশ করতে হবে)। জিনিসগুলি খুব বেশি কঠোর হলে আপনি সম্ভবত একটি সংরক্ষিত পাসওয়ার্ড পাঠ্যের সাহায্যে কিছু করতে পারেন।

যাইহোক, আমার পক্ষে কাজ করে এবং আমি আশা করি এটি অন্য কাউকে সাহায্য করবে।

— কার্ল
সূত্র