go backarticles

Articles of SQLschool.gr Team

Discover Orphaned Domain Logins using sp_validatelogins

Antonios Chatzipavlis

Ένα περιβάλλον παραγωγής δεν είναι ποτέ το ίδιο κατά την διάρκεια λειτουργίας του και αυτό είναι φυσιολογικό καθώς οι ανάγκες οδηγούν στις μεταβολές του. Ένα σημείο που αλλάζει συχνά είναι η δικαιοδοσία των χρηστών.

Είναι σύνηθες φαινόμενο να βάζουμε domain users στον SQL Server για να κάνουν την δουλειά τους και κάποια στιγμή αυτοί είτε να αποχωρήσουν από την οργανισμό μας είτε να αλλάξουν account και να σβήνουμε το account αυτό.

Σε αυτή την περίπτωση μένουν ορφανά accounts στον SQL Server με αποτέλεσμα να βλέπουμε αυτά μέσα σε αυτόν και να μην είμαστε σε θέση να γνωρίζουμε αν είναι πράγματι σε ισχύει. Αυτό συμβαίνει συχνά σε μεγάλους οργανισμούς όπως πχ τράπεζες.

Οι οργανισμοί αυτοί συνήθως υπόκεινται σε ελέγχους από πιστοποιημένους φορείς και ένα από τα σημεία ελέγχου που οι φορείς αυτοί πραγματοποιούν είναι η δικαιοδοσία των χρηστών και ο ελεγχόμενος οργανισμός θα πρέπει να είναι σε θέση να τεκμηριώσει την δικαιοδοσία αυτή.

Σε περιπτώσεις που βρεθούν ορφανοί users οι επιπτώσεις δεν είναι τρομακτικές αλλά δίνουν αφορμή στους ελεγκτικούς φορείς να τεκμηριώσουν εύρημα και αυτό είναι αλήθεια δεν αρέσει στην ανώτερη διοίκηση.

Για να αποφύγουμε τουλάχιστον αυτό το εύρημα των ελεγκτών υπάρχει ένας εύκολος τρόπος στον SQL Server (από την έκδοση 2008) για τους domain users που δεν υπάρχουν πλέον στο AD αλλά έχουν ξεχαστεί στον SQL Server μας και ακούει στο όνομα μιας stored procedure που είναι η sp_validatelogins

Με αυτή μπορούμε να βρούμε τα ορφανά domain account που έχουμε στον SQL Server και κάνει μια χαρά την δουλειά που θέλουμε απλά μερικές φορές πρέπει να της δώσουμε ένα χρονικό περιθώριο μέχρι να φέρει δεδομένα και αυτό οφείλετε στον «συγχρονισμό» με το AD. Συνήθως αν την τρέξουμε μετά από 2 ώρες μετά από την διαγραφή ενός user account από το AD θα έχουμε αποτέλεσμα.

Υπάρχει ακόμα κάτι που πρέπει να επισημανθεί και αυτό έχει να κάνει με το ότι η συγκεκριμένη stored procedure ελέγχει το SID του user (και σωστά κάνει αυτό) και όχι το όνομα. Αυτό σημαίνει ότι θα πρέπει να καταλάβουμε ότι το αποτέλεσμα μας δείχνει και account που έχει αλλάξει το SID στο AD. Για αυτό το σκοπό θα πρέπει να εξετάσουμε με επιμέλεια τα αποτέλεσμα της πριν προβούμε σε δράσεις διαγραφής.


//antonch


Relative Articles

Leave your comment

Login with your SQLschool.gr account if you want to comment on this article.


PASS chapter logo

The Official PASS Local Group for Greece

1434 33 595 27 39 1326
sql school greece logo
© 2010-2019 All rights reserved