我有一个网络文件夹和两个机器帐户,分别为node1 $和node2 $,它们都对该文件夹具有完全控制权限。
我在node1机器上登录一个SQL Server实例,然后在网络文件夹中备份一个SQL Server证书,该证书将生成crt和pvk文件。
然后,我登录到node2计算机并尝试在另一个SQL Server实例中还原证书。但是我不能,因为node2 $对所请求的文件.crt和.pvk没有权限。
甚至,如果我检查创建的文件,则node $ 1的计算机帐户对这些文件没有明确的权限。相反,我找到了“所有权” ACE。
因此,这些文件似乎没有继承node1 $和node2 $对文件夹的权限。
使用其他类型的文件不会发生此问题。
我可以通过手动将文件的显式权限分配给node2 $来解决此问题。
但是我的问题是:为什么.crt和.pvk文件不像其他类型的文件那样继承权限?
预先感谢
Ignacio
答案 0 :(得分:1)
documentation对此进行了解释:
执行备份时,文件将被ACLd到SQL Server实例的服务帐户。如果需要将证书还原到在其他帐户下运行的服务器,则需要调整文件的权限,以便新帐户可以读取它们。
您已经发现:继承被禁用,因为T-SQL命令BACKUP CERTIFICATE明确删除了服务帐户以外的所有权限。