ドメイン管理者がSQL Serverに接続できない
Windows Server 2012 R2ドメインコントローラーとデータベースサーバー(W2K12R2/SQL Server 2012)があります。
許可されたユーザーグループとして、「domain-admins」グループにsysadmin権限を付与しました。
しかし、どういうわけか、ドメイン管理者はそのSQL Serverに接続できませんが、許可されたユーザーとしてドメイン管理者ユーザーを直接追加すると、機能します。 Active Directoryは機能します。 RDPログインが機能します。何か不足していますか?
グループ「domain-admins」全体へのアクセスを許可する方法を誰かが知っていますか?
エラーメッセージは次のとおりです。
サーバー名:SRV-DB エラー番号:18456 Schweregrad:14 ステータス:1 コード行:65536
イベントログには次のように書かれています(翻訳済み):
インフラストラクチャ障害のあるトークンベースのサーバーアクセスのチェック中にエラーが発生しました。
状態は "1"です。 domain-adminとしてRDPでそのdb-serverにログオンします。 「管理者として実行」でSSMSを明示的に起動する必要があります。その後、「localhost」にアクセスできます。 SSMSを管理者として開始しない場合、それはできません。 「domain-admins」グループに参加するだけで十分だと思いました。
私の問題に対する答えは、Remus Rusanuの this answer にありました。
リモートデスクトップ経由でSQL-Server-Hostに接続されたドメイン管理者として。 「管理者として」明示的にSQL Server Management Studioを起動する必要がありました。 (右クリック->管理者として実行)。
SSMSが管理者モードで開始されていない場合、現在のログインは「builtin\administrators」グループにありません。それが問題でした。
これは、Windowsユーザーアクセス制御(UAC)によるものです。つまり、これは実際にはセキュリティの「機能」です。