Discussion :

[tibou]

Bonjour,


Dans le cadre de ma mission, il m'a été demandé de faire un audit des permissions actuelles données sur un serveur SQL possédant des bases distinctes.

Pour la configuration:
- Serveur SQL 2005 sur un serveur dédié
- Authentification mixe (windows + sql serveur)
- le tout dans un domaine

Le soucis, c'est tous les droits ont été fait n'importe comment.
En gros, j'ai un compte qui n'a qu'un rôle (processadmin...vachement utile ) et d'autres qui servent juste à lire et écrire dans une base et qui sont sysadmin.

J'aimerai un peu d'aide pour savoir si je me trompe: (j'utilise SQL Management Studio pour gérer tout çà)
Dans l'explorateur de serveur, j'ai une arbo avec une clé Security.
Dans celle-ci j'ai les "Logins" qui sont si je ne m'abuse les comptes built-in SQL server (c'est ca? :oups: )
J'ai aussi "rôles" qui sont des set de permissions qu'on peut attribuer à un ou plusieurs utilisateurs.

Jusque là, je crois que ca va.
Maintenant, j'ai un problème avec le principe d'authentification mixe.
Quels comptes ca prend en compte? les comptes locaux du serveur ou les comptes AD?
parce que dans "Logins", j'ai des comptes qui sont ajouté via l'assistant en les prenant dans AD. Moi j'utilise cela pour accéder au serveur sql mais je vois bien mon compte dans Security/Logins.
Si un compte n'apparait pas Security/Logins, peut-il accéder au serveur SQL? même chose s'il est admin du domaine?

Maintenant là où ca se complique, c'est que la Faq MSSQL m'a apporté plus d'interrogations que de réponses
J'ai une base de données sensible et j'aimerai avoir la liste des personnes y ayant accès. donc j'ai suivi cette Q/R (Afficher la liste des utilisateurs d'une base spécifique ou de la base courante
)

ca me retourne une liste avec des utilisateurs, pid, etc
Là où je ne comrpend pas c'est que ces utilisateurs se connectent via une appli Java et que ces logins n'ont pas d'accès direct au serveur normalement alors pourquoi je vois leurs login AD?
ca ressemble à ca

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
SPID   UTILISATEUR    COMMAND       PROGRAM_NAME
 1    domaine\toto    awaiting cmd       jTDS

et donc toto n'est pas loggué dans les logins built-in de sql server. c'est un utilisateur AD lambda. comment puis-je m'assure des bases auquel il a accès? ou p-e que ce n'est qu'un affichage mais qu'il n'est pas utilisé directement pour se logguer?


merci de m'avoir lu et de toute aide possible, meme petite

[rudib]

Bonjour,

oulah, trop de questions

les logins sont soit windows, soit SQL.
Regarde

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM sys.server_principals

Un login Windows peut être un groupe windows (AD), donc si tu as des groupes, tu dois connaître les membres.
Si le login BUILTIN\administrators existe, les administrateurs locaux du serveur peuvent entrer dans SQL.


Ensuite ils doivent être mappés à des users dans les bases, sauf s'ils sont sysadmin (rôle serveur).

[tibou]

oulah, trop de questions

et encore, je viens d'en rajouter, (le post s'etait mal fait => multipost)
Mais bon, j'ai surtout peur de faire des bêtises ou d'oublier une chose que je n'aurais pas apprise.


concernant ta requete j'ai donc bien:
- des SQL_LOGIN
- des WINDOWS_GROUP
- des WINDOWS_LOGIN

dans groupes, j'ai les groupes qui vont avec les services, agents, de SQL serveur ainsi que BUILTIN\Administeurs


et si je comprends bien la fin, si un utilisateur n'est pas loggué par ta requete ni n'est admin du serveur, il ne devrait pas pouvoir accéder au serveur et ses bases c'est bien cela?

[rudib]

c'est exact. Pas de login, pas d'accès