Windows-Server-2008
Windows 伺服器重命名後文件安全的糾正措施
我已使用控制面板功能重命名了 Windows Server。這起初工作得很好。今天我注意到我無法重命名以前總是能夠重命名的某個文件。此文件是 SQL Server 數據庫文件。SQL Server 服務成功地能夠使用該文件。但即使在關閉伺服器後,我也收到了消息:
您需要管理員的許可才能更改此文件
所以文件顯然沒有被正在執行的程序鎖定。
查看 Windows 資源管理器中的安全設置,我發現以下內容:
- 將 SID 解析為使用者名時存在明顯延遲
- SQL Server 使用者的名稱中仍然包含舊的伺服器名稱。然而,這似乎是無害的,因為使用者名是一個未解釋的字元串(對吧?)
- 我沒有看到任何可疑的東西(比如未解析的 SID 或舊伺服器名稱作為某些使用者名的域部分)
- 即使將完全控制權授予所有人也不允許我重命名文件
- 將所有權更改為管理員(我是該組的成員)恢復了訪問權限
我執行 SysInternals AccessEnum 來列舉相關文件所在的驅動器。輸出顯示幾個“???” 標記。
我不完全理解為什麼我無法訪問該文件。重命名伺服器時必須失去某些權限。發生了什麼?
另外,重命名後是否需要以某種方式修復伺服器?我擔心現在有很多潛在的權限問題,我只會隨著時間的推移才發現。
重命名伺服器時,您沒有“失去”任何權限。安全主體由其在 ACL 中的 SID 引用。重命名電腦時,SID 不會更改。即使確實如此,您也只會影響本地使用者(但不會)。如果將安全主體從 SID 轉換為顯示名稱時出現明顯延遲,那麼您在某處遇到了連接或 AD 問題。
該消息
You require permission from Administrator to make changes to this file
是一條 UAC 消息,當您在受保護的文件系統位置修改文件時會提示您使用該消息。Program Files 就是這樣一個位置,我假設這是您的數據庫文件所在的位置。這很正常。