Nedávno při jedné z mých interakcí s DBA ve velké finanční organizaci jsem byl překvapen, když jsem viděl, že se správce přihlašoval k počítači/serveru pomocí jiného pověření. Co mě zmátlo, byl fakt, že se odhlašoval. Hned jsem se zeptal, proč to děláš? Řekl, že protože používal ověřování systému Windows, které se lišilo od jeho běžných přihlašovacích údajů, pro činnosti související s DB použil k vytvoření jiné relace. Po krátkém průzkumu jsem zjistil, že je to běžná praxe v řadě organizací.
Mnoho společností poskytuje každému správci dva různé účty Windows. Jeden „běžný“ účet (příklad SQLAuthority\Pinal) se používá pro obecnou práci, jako jsou e-maily, přihlášení k notebooku atd. A další „administrátorský“ účet (příklad SQLAuthority\adm_pinal) pro úkoly na úrovni správy, které se mají provádět na serveru. Běžný účet by neměl přístup k serverům SQL, ale účet na úrovni správce ano. Aby bylo zabezpečení silnější, používají společnosti pro připojení k serveru SQL Server účet Windows.
To dělá věc málo zajímavou. Pokud se člověk musí připojit k SQL Serveru z notebooku, kde se DBA přihlásil pomocí běžného účtu, musí kliknout pravým tlačítkem se stisknutou klávesou Shift a poté použít „Spustit jako jiný uživatel“ k použití účtu správce.
Stisknutí klávesy Shift je důležité, jinak bychom tuto možnost neviděli. Po výběru se zobrazí okno s uživatelským jménem a heslem. Pokud si všimnete, všimnete si cesty ssms.exe, která se používá.
Další způsob, který preferuji, je použití příkazu Spustit jako. Program runas.exe nám umožňuje říci systému Windows, aby spustil program pomocí aktuálního síťového prostředí jiného uživatele namísto místního prostředí. Úplné podrobnosti a přepínače běhu jako programu lze nalézt v článku TechNet.
Normálně bych vytvořil zástupce na ploše. Klikněte pravým tlačítkem a vyberte novou zkratku, jak je znázorněno níže
a zadejte umístění/parametr, jak je uvedeno níže
C:\Windows\System32\runas.exe /noprofile /env /user:SQLAuthority\adm_Pinal “C:\Program Files (x86)\Microsoft SQL Server\130 \Tools\Binn\ManagementStudio\Ssms.exe”
Musíte změnit dvě věci, uživatelské jméno a správnou cestu pro SSMS.exe
Jakmile jej uložíte, můžete na příkazový řádek dvakrát kliknout a zadat heslo. Na níže uvedeném snímku obrazovky jsem uvedl zástupce jako Admin SSMS. Jakmile dvakrát kliknu, vidím níže
Je poskytnuto jedno pověření, s tímto účtem systému Windows se spustí SSMS.
Musím na závěr říci, že pokud používáte SQL Authentication, nemusíte to dělat, protože přihlašovací údaje Windows nejsou předávány SQL Serveru.