Я уже настроил разрешения в базе данных DEV для использования запросов в SQL Server 2005 с хранимыми процедурами.Уведомления о запросах SQL Server - необходимы разрешения в Active Directory, если мы не можем предоставить роль базы данных SA пользователю, запускающему веб-сайт?
Проблема в том, что он работает с моей учетной записью пользователя при запуске веб-сайта с моего локального компьютера, и он не работает, когда код был перемещен на веб-сервер DEV.
Администратор базы данных подтвердил, что мой пользователь имеет разрешения «sa» в базе данных DEV, но учетная запись службы, работающая на сайте с веб-сервера DEV, не имеет этих разрешений, и это не возможно назначить это разрешение в QA или ПРОД. Он также временно устанавливает разрешения «sa» для пользователя, и уведомление запроса работает.
Сообщение об ошибке база данных возвращается в:
An exception occurred while enqueueing a message in the target queue. Error: 15404, State: 19. Could not obtain information about Windows NT group/user 'DOMAIN\WebServiceAccount', error code 0x5.
Некоторые вещи, которые я пробовал:
Запуск
xp_logininfo 'DOMAIN\WebServiceAccount'
возвращает ту же ошибку:Could not obtain information about Windows NT group/usermessage
Running
xp_logininfo 'DOMAIN\MyUserAccount'
возвращает то же сообщение об ошибке для моего Ser:Could not obtain information about Windows NT group/user
Возможные решения, которые я нашел до сих пор являются:
- Изменение учетной записи запуска службы SQL Server на один с разрешения администратора. Но какие разрешения администратора?
- Дайте «Authenticated Users», «Разрешения на чтение» в учетной записи службы ADFS или назначьте tokenGroupsGlobalAndUniversal пользователю и, возможно, также добавьте их в группу «До-Windows 2000 Compatible Access». Будет ли это работать для одного пользователя, или это должно быть для группы? Это безопасно?
- Для получения более высокого уровня доступа для чтения добавьте также «Группа доступа к авторизации Windows». Это точно?
- Предоставьте пользователю привилегии DOMAIN ADMIN. Это настроено в Active Directory?
К сожалению, я не могу проверить все это в Active Directory у нас, из-за ограничений для разработчиков, поэтому я хочу спросить, знает ли кто, какое точное разрешение мы предоставляем пользователю, выполняющему Службы SQL Server в Active Directory, чтобы иметь возможность запрашивать учетные записи других пользователей?
спасибо, что заблаговременно!