Os administradores de domínio não podem se conectar ao SQL Server

9

Eu tenho um controlador de domínio do Windows Server 2012 R2 e um servidor de banco de dados (W2K12R2 / SQL Server 2012).

Como grupo de usuários permitido, eu dei ao grupo "domain-admins" direitos sysadmin .

Mas, de alguma forma, qualquer administrador de domínio não pode se conectar ao SQL Server, mas quando adiciono o usuário administrador de domínio diretamente como usuário permitido, ele funciona. O diretório ativo funciona. O RDP-Login funciona. Estou esquecendo de algo?

Alguém sabe como conceder acesso a todo o grupo "domain-admins"?

A mensagem de erro é:

Nome do servidor: SRV-DB
Número do erro: 18456
Schweregrad: 14
Status: 1
Linha de Código: 65536

No log de eventos, ele diz (traduzido):

Erro ao verificar o acesso ao servidor baseado em token com falha na infraestrutura.

O estado é "1". Logon no servidor db com o RDP como administrador de domínio. Eu tenho que iniciar explicitamente o SSMS com "executar como administrador". Então eu posso acessar o "localhost". Se eu deixar de iniciar o SSMS como administrador, não posso fazer isso. Eu pensei que estar no grupo "domain-admins" seria suficiente.

Erik Mandke
fonte
11
E o número do estado? 11? Veja sqlblog.com/blogs/aaron_bertrand/archive/2011/01/14/…
Aaron Bertrand

Respostas:

14

Encontrei a resposta para o meu problema nesta resposta de Remus Rusanu.

Como um administrador de domínio conectado ao host do SQL Server via Área de Trabalho Remota. Eu tive que iniciar o SQL Server Management Studio explicitamente "como administrador". (clique com o botão direito do mouse -> executar como administrador).

Se o SSMS não for iniciado no modo administrador, o logon atual não estará no grupo "builtin \ administradores". Esse foi o problema.

Ele vem do controle de acesso do usuário do Windows (UAC). Portanto, esse é realmente um "recurso" de segurança.

Erik Mandke
fonte
11
Ok, foi exatamente o que o estado 11 sugere no link que eu postei anteriormente .
Aaron Bertrand
Isso não é um "recurso", é exatamente como o UAC deve funcionar: With UAC, applications and tasks always run in the security context of a non-administrator account, unless an administrator specifically authorizes administrator-level access to the system.
vonPryz
-2

É fácil. Se você conseguir fazer logon com credenciais antigas (o administrador do computador local), precisará usá-lo para acessar uma área de trabalho remota e usá-lo para adicionar o administrador do controlador de domínio

regufo
fonte