go backarticles

Articles of SQLschool.gr Team

Discover Orphaned Domain Logins using sp_validatelogins

Antonios Chatzipavlis

Ένα περιβάλλον παραγωγής δεν είναι ποτέ το ίδιο κατά την διάρκεια λειτουργίας του και αυτό είναι φυσιολογικό καθώς οι ανάγκες οδηγούν στις μεταβολές του. Ένα σημείο που αλλάζει συχνά είναι η δικαιοδοσία των χρηστών.

Είναι σύνηθες φαινόμενο να βάζουμε domain users στον SQL Server για να κάνουν την δουλειά τους και κάποια στιγμή αυτοί είτε να αποχωρήσουν από την οργανισμό μας είτε να αλλάξουν account και να σβήνουμε το account αυτό.

Σε αυτή την περίπτωση μένουν ορφανά accounts στον SQL Server με αποτέλεσμα να βλέπουμε αυτά μέσα σε αυτόν και να μην είμαστε σε θέση να γνωρίζουμε αν είναι πράγματι σε ισχύει. Αυτό συμβαίνει συχνά σε μεγάλους οργανισμούς όπως πχ τράπεζες.

Οι οργανισμοί αυτοί συνήθως υπόκεινται σε ελέγχους από πιστοποιημένους φορείς και ένα από τα σημεία ελέγχου που οι φορείς αυτοί πραγματοποιούν είναι η δικαιοδοσία των χρηστών και ο ελεγχόμενος οργανισμός θα πρέπει να είναι σε θέση να τεκμηριώσει την δικαιοδοσία αυτή.

Σε περιπτώσεις που βρεθούν ορφανοί users οι επιπτώσεις δεν είναι τρομακτικές αλλά δίνουν αφορμή στους ελεγκτικούς φορείς να τεκμηριώσουν εύρημα και αυτό είναι αλήθεια δεν αρέσει στην ανώτερη διοίκηση.

Για να αποφύγουμε τουλάχιστον αυτό το εύρημα των ελεγκτών υπάρχει ένας εύκολος τρόπος στον SQL Server (από την έκδοση 2008) για τους domain users που δεν υπάρχουν πλέον στο AD αλλά έχουν ξεχαστεί στον SQL Server μας και ακούει στο όνομα μιας stored procedure που είναι η sp_validatelogins

Με αυτή μπορούμε να βρούμε τα ορφανά domain account που έχουμε στον SQL Server και κάνει μια χαρά την δουλειά που θέλουμε απλά μερικές φορές πρέπει να της δώσουμε ένα χρονικό περιθώριο μέχρι να φέρει δεδομένα και αυτό οφείλετε στον «συγχρονισμό» με το AD. Συνήθως αν την τρέξουμε μετά από 2 ώρες μετά από την διαγραφή ενός user account από το AD θα έχουμε αποτέλεσμα.

Υπάρχει ακόμα κάτι που πρέπει να επισημανθεί και αυτό έχει να κάνει με το ότι η συγκεκριμένη stored procedure ελέγχει το SID του user (και σωστά κάνει αυτό) και όχι το όνομα. Αυτό σημαίνει ότι θα πρέπει να καταλάβουμε ότι το αποτέλεσμα μας δείχνει και account που έχει αλλάξει το SID στο AD. Για αυτό το σκοπό θα πρέπει να εξετάσουμε με επιμέλεια τα αποτέλεσμα της πριν προβούμε σε δράσεις διαγραφής.


//antonch


Antonios Chatzipavlis

Antonios Chatzipavlis

Antonios is a Data Solutions Consultant and Trainer. He has been working in IT since 1988. In his career, he has worked as senior developer, IT Manager, Solutions Architect and IT Consultant. Since 1995 he has been devoted on new technologies and software development tools, mainly by Microsoft, either by training company staff and colleagues or assisting them in design, development and implementation as a consultant or chief developer. He has focused in Databases and Data Science since 1995. He specialized in Microsoft SQL Server since version 6.0 in areas like SQL Server Internals, Database Design and Development, Business Intelligence and in 2010 he has started working with Azure Data Platform, NoSQL databases, Big Data Technologies and Machine Learning. He is an active member of many IT communities in Greece, answering colleagues' questions and writing articles in his web site. He is the owner of SQLschool.gr which is a community portal with a lot of information about Microsoft SQL Server. He has been a Microsoft Certified Trainer (MCT) since 2000. Microsoft honored him as MVP on Data Platform due to his activities in SQL Server since 2010. He holds a large number of Microsoft Certifications and Microsoft SQL Server Certifications since version 6.5.


Comments

user-gravatar

On 20 Jun 2019 @ 12:49 PM Liakos Komninos wrote:

Δεν κάνεις το ίδιο με την EXEC sp_change_users_login 'Report';Και το διορθώνεις με την EXEC sp_change_users_login 'Auto_Fix', 'User', με βάση το username του resultset από την προηγούμενη εντολή.

user-gravatar

On 20 Jun 2019 @ 1:12 PM Antonios Chatzipavlis wrote:

Ναι το κάνεις αλλά έχει μπει σε κατάσταση deprecation

Leave your comment

COMMENT

FULL NAME

EMAIL ADDRESS

We use Gravatar

WEB SITE



captcha


 

Newsletter

If you want to receive updates from us subscribe below with your email.
Follow us in
PASS chapter logo

The Official PASS Local Group for Greece

About us Contact us Terms of Use Privacy Sing in Register
sql school greece logo
© 2010-2020 All rights reserved

This site uses cookies for operational and analytics purposes only. By continuing to browse this site, you agree to their use.