Уведомления о запросах SQL Server. Требуются ли разрешения в Active Directory, если мы не можем предоставить роль SA базы данных пользователю, работающему с веб-сайтом?

Я уже настроил разрешения в базе данных DEV для использования уведомлений о запросах в SQL Server 2005 с хранимыми процедурами.

Проблема в том, что он работает с моей учетной записью пользователя при запуске веб-сайта с моего локального компьютера и не работает, когда код был перемещен на веб-сервер DEV.

Администратор базы данных подтвердил, что у моего пользователя есть разрешения «sa» в базе данных DEV, но учетная запись службы, на которой запущен сайт с веб-сервера DEV, не имеет этих разрешений, и невозможно назначить это разрешение в QA или PROD. Он также временно установил разрешения 'sa' для пользователя, и уведомление о запросе работает.

Сообщение об ошибке, которое возвращает база данных:

Возникло исключение при постановке сообщения в целевую очередь. Ошибка: 15404, состояние: 19. Не удалось получить информацию о группе/пользователе Windows NT «DOMAIN\WebServiceAccount», код ошибки 0x5.

Некоторые вещи, которые я пробовал:

  • #P7# <блочная цитата> #P8#
  • #P9# <блочная цитата> #P10#

Возможные решения, которые я нашел до сих пор:

  • Измените учетную запись, в которой запущена служба SQL Server, на учетную запись с правами администратора. Но какие права администратора?
  • Дайте «Прошедшие проверку», «Разрешения на чтение» в учетной записи службы ADFS или назначьте пользователю tokenGroupsGlobalAndUniversal и, возможно, также добавьте их в группу «Доступ, совместимый с Windows 2000». Будет ли это работать для одного пользователя или это должно быть для группы? Это безопасно?
  • Для более высокого уровня доступа для чтения также добавьте «Группу доступа к авторизации Windows». Это точно?
  • Предоставьте пользователю права АДМИНИСТРАТОРА ДОМЕНА. Это настроено в Active Directory?

К сожалению, я не могу протестировать все это в имеющейся у нас Active Directory из-за ограничений для разработчиков, поэтому я хочу спросить, знает ли кто-нибудь, какое точное разрешение мы должны предоставить пользователю, работающему со службой SQL Server в Active Directory. , чтобы он мог запрашивать учетные записи других пользователей?

Заранее большое спасибо!


permissions sql-server active-directory query-notifications
person pabechevb    schedule 09.02.2016    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Наш системный парень сделал следующие шаги, которые сработали:

  1. В Active Directory найдите пользователя DOMAIN\WebServiceAccount.
  2. На вкладке «Безопасность» добавьте пользователя, работающего со службой Sql Server, с разрешениями на чтение.
person pabechevb    schedule 16.02.2016