Discussion :

[sylvie81]

Bonjour,

Je souhaite une idée ou peut-être une fonctionnalité pour limiter les accés à un compte windows sur le serveur à partir de sql server management studio.
Voilà, je vais limiter à un compte windows l'accés en terme de base de données et en terme de droit. par contre, je me suis rendu compte que l'utilisateur pouvait utiliser les serveurs liées pour accéder à d'autres serveurs en mode sysadmin.

Comment l'empêcher d'utiliser les serveurs liées à partir de ce serveur?

Merci

Sylvie De Magalhaes

[SQLpro]

Une simple gestion des privilèges suffit.

A me lire : https://blog.developpez.com/sqlpro/p..._et_utilisateu

A +

[sylvie81]

Bonjour,

J'ai crée un compte test qui a comme rôle public et a un droit de lecture sur une base de données. Quand je me connecte avec ce compte sur mon outil ssms (sql server management studio). je me rends compte que le compte peut voir les serveurs liées et les utiliser. Comment l'empécher de les utiliser?

Je suis partie sur un login de type sql pour les applications et un login windows pour des accés manuels (pour un servive par exemple) via ssms.

Merci

Sylvie

[Michel.Priori]

Bonjour,

S'il y a bien un truc de raté dans SQL c'est la sécurité des serveurs liés : au lieu de concidérer cela comme un sécurisable d'une base de donnée, les architectes ont préféré en faire un objet serveur avec remapping des logins.
Et encore un remapping partiel, car pas moyen de remapper un login SQL qui est un groupe windows.

Alors, pour répondre au mieux :

1. dans l'interface graphique de SSMS, affichez les propritété du serveur lié en question et allez voir l'onglet sécurité.
   Là vous trouverez le mapping de compte à compte
   Je vous déconseille de prendre la dernière option en bas de la fenêtre qui, elle, s'applique à "tout le monde".
   De même, il faut utiliser un compte distant avec des droits restreints ^^
2. Si vous avez le problème du groupe Windows, là ça se complique sérieusement.

La meilleure solution que j'ai trouvé a été, de mémoire :

• créer un login SQL specifique désactivé,
• de le mapper à un utilisateur distant dans le serveur lié,
• de faire une procédure signée qui passe par un EXECUTE AS LOGIN pour accéder aux données distantes,
• de donner l'appartenance de la procédure à un compte qui a le droit de faire EXECUTE AS LOGIN
• et, finalement, donner le droit EXECUTE aux ayants droits (dans mon cas un rôle regroupant un groupe Windows et des logins SQL)

La mise en place est super lourde, la maintenance tout autant