Arcadams
Messages postés3Date d'inscriptionjeudi 6 janvier 2005StatutMembreDernière intervention18 novembre 2009
-
17 nov. 2009 à 15:25
cs_coq
Messages postés6349Date d'inscriptionsamedi 1 juin 2002StatutMembreDernière intervention 2 août 2014
-
18 nov. 2009 à 23:49
Bonjour à tous,
J'étudie actuellement le fait de remettre un peu d'ordre (enfin je vais essayer...) sur les connexions d'un serveur SQL 2005.
En effet, je souhaite passer certaines connexions SQL avec l'authentification Windows.
Pour tester tout cela, j'ai donc rajouté mon login Windows (ex: DOMAIN\TOTO) dans les connexions sql puis attribuer les droits sur certaines bases. Jusqu'ici tout va bien.
C'est seulement lorsque je supprime cette connexion (et droits) que je me rends compte que je peux toujours me connecter !? (Je fais les tests sur SQL Management studio)
Le serveur devrait me refuser la connexion puisqu'elle est supprimée ? non?
Ai-je oublié quelque chose ou fait quelque chose de travers?
cs_casy
Messages postés7741Date d'inscriptionmercredi 1 septembre 2004StatutMembreDernière intervention24 septembre 201440 17 nov. 2009 à 18:44
Le principe de l'authentification Windows c'est (en gros et très résumé) que SQL ne t'authentifie pas par rapport à une connexion qui existe sur le serveur, c'est juste qu'il fait confiance à Windows qui lui dit que l'utilisateur est clairement authentifié sur le domaine.
Donc, en clair, en authentification Windows, tu n'as pas besoin de créer de connexion dans SQL (perso j'ai jamais eu besoin).
[i][b]---- Sevyc64 (alias Casy) ----
[hr]# LE PARTAGE EST NOTRE FORCE #/b/i
Arcadams
Messages postés3Date d'inscriptionjeudi 6 janvier 2005StatutMembreDernière intervention18 novembre 2009 18 nov. 2009 à 09:32
Merci de la réponse, mais cela rend encore plus flou ma vision. En effet, sur les serveurs de PROD, l'authentification est en mode mixte (SQL et Windows) et là pourtant impossible de se connecter avec mon compte Windows... de plus, si tel est le cas, comment faire alors pour empêcher n'importe qui de se connecter, quels sont ses droits? Comment autoriser par exemple seulement un groupe du domaine a accéder à une base et pas une autre... (Moi qui penser seulement rajouter le groupe du domaine qui va bien dans les connexions et lui rajouter juste les accès à la base ciblée)
Merci donc d'éclairer ma lanterne car là, je ne sais plus comment faire...
cs_coq
Messages postés6349Date d'inscriptionsamedi 1 juin 2002StatutMembreDernière intervention 2 août 2014101 18 nov. 2009 à 23:49
Bonjour,
De mémoire avec SQL Server 2005 les membres du groupe administrateurs ont tous un accès privilégié, du moins sur la machine locale (et je suppose qu'ici on parle d'un accès au serveur local avec un compte administrateur de sa machine).
Enfin, à vérifier, je ne suis plus trop sûr de l'info là.
Avec SQL Server 2008 les comptes de ce type doivent être provisionnés à l'installation.
Le plus simple pour ce genre de cas est de demander à avoir plusieurs comptes sur le domaine, avec des profils totalement lambda.
Ca permet de vérifier ce genre de cas (entre autres, avant de sauter enfin le pas vers une politique d'utilisation d'un compte admin seulement quand c'est nécessaire).