Sql server SQL Server登录和数据库引擎连接状态_Sql Server_Security_Sql Server 2005

Sql server SQL Server登录和数据库引擎连接状态

sql-server security sql-server-2005

Sql server SQL Server登录和数据库引擎连接状态,sql-server,security,sql-server-2005,Sql Server,Security,Sql Server 2005,今天早些时候，我试图通过打开登录名的属性窗口，导航到状态页面，然后将连接到databae引擎的权限更改为拒绝，从而弃用旧的SQL登录名该登录名与active directory组关联，尽管该组仍然存在且用户在其中，但SQL Server中不再使用该组（以及关联的登录名）。坏主意。显然，这将我的所有用户都锁定在该组中，即使他们与许多其他SQL登录关联，可以访问他们所需的数据库一旦我再次授予登录权限，我的用户就可以访问数据库服务器我的问题是，在禁用/修改旧的、不推荐使用的SQL Server帐

今天早些时候，我试图通过打开登录名的属性窗口，导航到状态页面，然后将连接到databae引擎的权限更改为拒绝，从而弃用旧的SQL登录名
该登录名与active directory组关联，尽管该组仍然存在且用户在其中，但SQL Server中不再使用该组（以及关联的登录名）。坏主意。显然，这将我的所有用户都锁定在该组中，即使他们与许多其他SQL登录关联，可以访问他们所需的数据库
一旦我再次授予登录权限，我的用户就可以访问数据库服务器
我的问题是，在禁用/修改旧的、不推荐使用的SQL Server帐户时，是否有关于此行为以及可能出现的任何其他问题的详细文档
我已经找到了这个属性的引用，但是，它没有提到它会锁定与登录相关的任何用户。有更多的信息吗？我还有很多工作要做，我不想再因为无知而将我的用户锁定在系统之外。
简单地删除（撤销）权限，而不是拒绝
这意味着存在“无权限”而不是“显式拒绝”：拒绝覆盖其他权限。由于存在其他权限，正常访问将不受影响
也就是说，如果你把它扔了，很简单地重新创建它

CREATE LOGIN [mydomain\mygroup] FROM WINDOWS; GRANT CONNECT SQL TO [mydomain\mygroup]
在这两种情况下（撤销或删除），您可能会发现一些人无法再访问SQL Server（这不同于拒绝该组中的所有人），并且是较小的罪恶
只是删除（撤销）权限，而不是拒绝
这意味着存在“无权限”而不是“显式拒绝”：拒绝覆盖其他权限。由于存在其他权限，正常访问将不受影响
也就是说，如果你把它扔了，很简单地重新创建它

CREATE LOGIN [mydomain\mygroup] FROM WINDOWS; GRANT CONNECT SQL TO [mydomain\mygroup]

在这两种情况下（撤销或删除），您可能会发现一些人无法再访问SQL Server（这与拒绝该组中的所有人不同），并且是较小的邪恶
AFAIK，显式拒绝覆盖所有授权。我不确定其他细节，但如果您拒绝该组访问，则该组中的任何人都将被拒绝访问（即使他们属于其他有访问权限的组）。谢谢Aaron，这肯定是观察到的行为。我只是想要一些关于这个问题的具体文件。对不起，我帮不了你，我会像你一样搜索MSDN等。我很幸运，在我职业生涯的大部分时间里，我都在SQL auth land。AFAIK，一个明确的拒绝会覆盖所有的授权。我不确定其他细节，但如果您拒绝该组访问，则该组中的任何人都将被拒绝访问（即使他们属于其他有访问权限的组）。谢谢Aaron，这肯定是观察到的行为。我只是想要一些关于这个问题的具体文件。对不起，我帮不了你，我会像你一样搜索MSDN等。我很幸运，在我职业生涯的大部分时间里都在SQL auth领域。我将此标记为答案，但我希望我不必立即取消该许可。我们有大量的数据表、视图、SP和函数。我的希望是能够“禁用”登录，这样，如果我在帐户迁移中遗漏了什么，我就可以在研究问题时重新启用它。我想我没有这个选择，我只需要确定我自己。我把这个标记为答案，但我希望我不必立即取消许可。我们有大量的数据表、视图、SP和函数。我的希望是能够“禁用”登录，这样，如果我在帐户迁移中遗漏了什么，我就可以在研究问题时重新启用它。我想我没有选择的余地，我只需要确定自己。