Eu tenho um controlador de domínio do Windows Server 2012 R2 e um servidor de banco de dados (W2K12R2 / SQL Server 2012).
Como grupo de usuários permitido, eu dei ao grupo "domain-admins" direitos sysadmin .
Mas, de alguma forma, qualquer administrador de domínio não pode se conectar ao SQL Server, mas quando adiciono o usuário administrador de domínio diretamente como usuário permitido, ele funciona. O diretório ativo funciona. O RDP-Login funciona. Estou esquecendo de algo?
Alguém sabe como conceder acesso a todo o grupo "domain-admins"?
A mensagem de erro é:
Nome do servidor: SRV-DB Número do erro: 18456 Schweregrad: 14 Status: 1 Linha de Código: 65536
No log de eventos, ele diz (traduzido):
Erro ao verificar o acesso ao servidor baseado em token com falha na infraestrutura.
O estado é "1". Logon no servidor db com o RDP como administrador de domínio. Eu tenho que iniciar explicitamente o SSMS com "executar como administrador". Então eu posso acessar o "localhost". Se eu deixar de iniciar o SSMS como administrador, não posso fazer isso. Eu pensei que estar no grupo "domain-admins" seria suficiente.
fonte
Respostas:
Encontrei a resposta para o meu problema nesta resposta de Remus Rusanu.
Como um administrador de domínio conectado ao host do SQL Server via Área de Trabalho Remota. Eu tive que iniciar o SQL Server Management Studio explicitamente "como administrador". (clique com o botão direito do mouse -> executar como administrador).
Se o SSMS não for iniciado no modo administrador, o logon atual não estará no grupo "builtin \ administradores". Esse foi o problema.
Ele vem do controle de acesso do usuário do Windows (UAC). Portanto, esse é realmente um "recurso" de segurança.
fonte
With UAC, applications and tasks always run in the security context of a non-administrator account, unless an administrator specifically authorizes administrator-level access to the system.
É fácil. Se você conseguir fazer logon com credenciais antigas (o administrador do computador local), precisará usá-lo para acessar uma área de trabalho remota e usá-lo para adicionar o administrador do controlador de domínio
fonte