Sql-Server
我是否以與 SQL Server 上基於 AD 使用者的登錄相同的方式跟踪基於 Active Directory 組的數據庫登錄?
我們目前正在對我們的數據庫登錄進行普華永道審計。我們的一些使用者帳戶具有系統管理員權限,這當然是一個重大的安全漏洞。我已成功跟踪單個使用者帳戶,但我的問題是如何跟踪映射到 AD 組的數據庫登錄?該組有超過兩打使用者。我並不真正關心組中每個人需要什麼訪問權限,但我確實關心整個組需要什麼,因此我可以在取消系統管理員權限之前提供適當的訪問權限。
我現在為個人使用者所做的是在 SQL Server Profiler 中選擇適當的事件,並使用一對 % 包圍的使用者名過濾 LoginName 列。可以對基於 AD 組的登錄做同樣的事情嗎?我現在正在跟踪該組,但似乎沒有任何活動正在進行(可能是該組中沒有人目前正在使用該數據庫)。我只是想確認這是這種登錄類型的正確方法,還是我遺漏了什麼?
不幸的是,該組未顯示在 LoginName 列中 => 它是個人使用者帳戶 (DOMAIN\user)。
您可以通過執行以下命令獲取給定成員的組:
EXEC XP_LOGININFO 'domain\groupname','members' EXEC XP_LOGININFO 'domain\groupname','all'
這可能能夠使用使用者定義的事件進行連接。