Les administrateurs de domaine ne peuvent pas se connecter à SQL Server

9

J'ai un contrôleur de domaine Windows Server 2012 R2 et un serveur de base de données (W2K12R2 / SQL Server 2012).

Comme groupe d'utilisateurs autorisé, j'ai donné au groupe "admins de domaine" les droits d' administrateur système .

Mais en quelque sorte, tout administrateur de domaine ne peut pas se connecter à ce serveur SQL, mais lorsque j'ajoute l'utilisateur administrateur de domaine directement en tant qu'utilisateur autorisé, cela fonctionne. Le répertoire actif fonctionne. La connexion RDP fonctionne. Suis-je en train de manquer quelque chose?

Quelqu'un sait-il comment accorder l'accès à l'ensemble du groupe "administrateurs de domaine"?

Le message d'erreur est:

Nom du serveur: SRV-DB
Numéro d'erreur: 18456
Schweregrad: 14
Statut: 1
Ligne de code: 65536

Dans le journal des événements, il est dit (traduit):

Erreur lors de la vérification de l'accès au serveur basé sur des jetons avec une défaillance de l'infrastructure.

L'état est "1". Je me connecte à ce serveur de base de données avec RDP en tant qu'administrateur de domaine. Je dois explicitement démarrer SSMS avec "exécuter en tant qu'administrateur". Ensuite, je peux accéder au "localhost". Si je ne démarre pas SSMS en tant qu'administrateur, je ne peux pas le faire. Je pensais qu'être dans le groupe "domain-admins" serait suffisant.

Erik Mandke
la source
1
Et le numéro de l'Etat? 11? Voir sqlblog.com/blogs/aaron_bertrand/archive/2011/01/14/…
Aaron Bertrand

Réponses:

14

J'ai trouvé la réponse à mon problème dans cette réponse de Remus Rusanu.

En tant qu'administrateur de domaine connecté à cet hôte SQL-Server via Remote Desktop. J'ai dû démarrer SQL Server Management Studio explicitement "en tant qu'administrateur". (clic droit -> exécuter en tant qu'administrateur).

Si SSMS n'est pas démarré en mode administrateur, la connexion actuelle n'est pas dans le groupe "builtin \ administrators". C'était ça le problème.

Il provient du contrôle d'accès utilisateur Windows (UAC). Il s'agit donc en fait d'une "fonction" de sécurité.

Erik Mandke
la source
1
Ok, donc c'était exactement ce que l'état 11 suggère dans le lien que j'ai posté plus tôt .
Aaron Bertrand
Ce n'est pas une "fonctionnalité", c'est exactement comment l' UAC est censé fonctionner: With UAC, applications and tasks always run in the security context of a non-administrator account, unless an administrator specifically authorizes administrator-level access to the system.
vonPryz
-2

C'est facile. Si vous pouvez vous connecter avec d'anciennes informations d'identification (l'administrateur de l'ordinateur local), vous devez l'utiliser pour accéder à un bureau à distance et l'utiliser pour ajouter l'administrateur du contrôleur de domaine

regufo
la source