sqlschool.gr logo

articles

Articles of SQLschool.gr Team

Discover Orphaned Domain Logins using sp_validatelogins

Antonios Chatzipavlis
Wednesday 22 May 2019

Ένα περιβάλλον παραγωγής δεν είναι ποτέ το ίδιο κατά την διάρκεια λειτουργίας του και αυτό είναι φυσιολογικό καθώς οι ανάγκες οδηγούν στις μεταβολές του. Ένα σημείο που αλλάζει συχνά είναι η δικαιοδοσία των χρηστών.

Είναι σύνηθες φαινόμενο να βάζουμε domain users στον SQL Server για να κάνουν την δουλειά τους και κάποια στιγμή αυτοί είτε να αποχωρήσουν από την οργανισμό μας είτε να αλλάξουν account και να σβήνουμε το account αυτό.

Σε αυτή την περίπτωση μένουν ορφανά accounts στον SQL Server με αποτέλεσμα να βλέπουμε αυτά μέσα σε αυτόν και να μην είμαστε σε θέση να γνωρίζουμε αν είναι πράγματι σε ισχύει. Αυτό συμβαίνει συχνά σε μεγάλους οργανισμούς όπως πχ τράπεζες.

Οι οργανισμοί αυτοί συνήθως υπόκεινται σε ελέγχους από πιστοποιημένους φορείς και ένα από τα σημεία ελέγχου που οι φορείς αυτοί πραγματοποιούν είναι η δικαιοδοσία των χρηστών και ο ελεγχόμενος οργανισμός θα πρέπει να είναι σε θέση να τεκμηριώσει την δικαιοδοσία αυτή.

Σε περιπτώσεις που βρεθούν ορφανοί users οι επιπτώσεις δεν είναι τρομακτικές αλλά δίνουν αφορμή στους ελεγκτικούς φορείς να τεκμηριώσουν εύρημα και αυτό είναι αλήθεια δεν αρέσει στην ανώτερη διοίκηση.

Για να αποφύγουμε τουλάχιστον αυτό το εύρημα των ελεγκτών υπάρχει ένας εύκολος τρόπος στον SQL Server (από την έκδοση 2008) για τους domain users που δεν υπάρχουν πλέον στο AD αλλά έχουν ξεχαστεί στον SQL Server μας και ακούει στο όνομα μιας stored procedure που είναι η sp_validatelogins

Με αυτή μπορούμε να βρούμε τα ορφανά domain account που έχουμε στον SQL Server και κάνει μια χαρά την δουλειά που θέλουμε απλά μερικές φορές πρέπει να της δώσουμε ένα χρονικό περιθώριο μέχρι να φέρει δεδομένα και αυτό οφείλετε στον «συγχρονισμό» με το AD. Συνήθως αν την τρέξουμε μετά από 2 ώρες μετά από την διαγραφή ενός user account από το AD θα έχουμε αποτέλεσμα.

Υπάρχει ακόμα κάτι που πρέπει να επισημανθεί και αυτό έχει να κάνει με το ότι η συγκεκριμένη stored procedure ελέγχει το SID του user (και σωστά κάνει αυτό) και όχι το όνομα. Αυτό σημαίνει ότι θα πρέπει να καταλάβουμε ότι το αποτέλεσμα μας δείχνει και account που έχει αλλάξει το SID στο AD. Για αυτό το σκοπό θα πρέπει να εξετάσουμε με επιμέλεια τα αποτέλεσμα της πριν προβούμε σε δράσεις διαγραφής.


//antonch

Comments

20 Jun 2019 @ 12:49 PM

user-gravatar

Liakos Komninos

Δεν κάνεις το ίδιο με την EXEC sp_change_users_login 'Report';Και το διορθώνεις με την EXEC sp_change_users_login 'Auto_Fix', 'User', με βάση το username του resultset από την προηγούμενη εντολή.

20 Jun 2019 @ 1:12 PM

user-gravatar

Antonios Chatzipavlis

Ναι το κάνεις αλλά έχει μπει σε κατάσταση deprecation

Antonios Chatzipavlis

Antonios Chatzipavlis

Antonios is a Data Solutions Consultant and Trainer. He has been working in IT since 1988. In his career, he has worked as senior developer, IT Manager, Solutions Architect and IT Consultant. Since 1995 he has been devoted on new technologies and software development tools, mainly by Microsoft, either by training company staff and colleagues or assisting them in design, development and implementation as a consultant or chief developer. He has focused in Databases and Data Science since 1995. He specialized in Microsoft SQL Server since version 6.0 in areas like SQL Server Internals, Database Design and Development, Business Intelligence and in 2010 he has started working with Azure Data Platform, NoSQL databases, Big Data Technologies and Machine Learning. He is an active member of many IT communities in Greece, answering colleagues' questions and writing articles in his web site. He is the owner of SQLschool.gr which is a community portal with a lot of information about Microsoft SQL Server. He has been a Microsoft Certified Trainer (MCT) since 2000. Microsoft honored him as MVP on Data Platform due to his activities in SQL Server since 2010. He holds a large number of Microsoft Certifications and Microsoft SQL Server Certifications since version 6.5.

Tip

What's New in SQL Server 2022 - Episodes

More Tips...

Become a member

If you want to receive updates from us become a member to our community.

Connect

Explore

Learn


sqlschool.gr © 2010-2024 All rights reserved

This site uses cookies for operational and analytics purposes only. By continuing to browse this site, you agree to their use.