今天早些时候,我尝试通过打开Login的属性窗口,导航到Status页面,然后我将连接到databae引擎的权限属性更改为拒绝来弃用旧的SQL登录。
登录与活动目录组相关联,虽然该组仍然存在且用户在其中,但SQL Server中不再使用该组(和关联的登录名)。馊主意。显然,这会锁定该组中的所有用户,即使它们与许多其他可以访问所需数据库的SQL登录相关联。
一旦我再次授予登录授权权限,我的用户就可以访问数据库服务器。
我的问题是,是否有关于此行为的详细文档以及禁用/修改旧的,已弃用的SQL Server帐户时可能出现的任何其他问题?
我发现this MSDN article是对此属性的引用,但是,它没有提到它将锁定与Login相关联的任何用户。有更多信息吗?我还有很多工作要做,而且由于无知,我宁愿不再将用户锁定在系统之外。
答案 0 :(得分:1)
只需删除(REVOKE)权限,而不是DENY。
这意味着没有许可"而不是"显式DENY":DENY会覆盖其他权限。由于还有其他权限,因此普通访问不会受到影响。
说,如果你把它丢弃,那就很简单地重新创建它......
CREATE LOGIN [mydomain\mygroup] FROM WINDOWS;
GRANT CONNECT SQL TO [mydomain\mygroup]
在这两种情况下(REVOKE或DROP),您可能会发现某些人不能再访问SQL Server(这与DENYing该组中的每个人都不同)并且是较小的邪恶