Windows-Server-2008

Windows 伺服器重命名後文件安全的糾正措施

  • April 27, 2014

我已使用控制面板功能重命名了 Windows Server。這起初工作得很好。今天我注意到我無法重命名以前總是能夠重命名的某個文件。此文件是 SQL Server 數據庫文件。SQL Server 服務成功地能夠使用該文件。但即使在關閉伺服器後,我也收到了消息:

您需要管理員的許可才能更改此文件

所以文件顯然沒有被正在執行的程序鎖定。

查看 Windows 資源管理器中的安全設置,我發現以下內容:

  1. 將 SID 解析為使用者名時存在明顯延遲
  2. SQL Server 使用者的名稱中仍然包含舊的伺服器名稱。然而,這似乎是無害的,因為使用者名是一個未解釋的字元串(對吧?)
  3. 我沒有看到任何可疑的東西(比如未解析的 SID 或舊伺服器名稱作為某些使用者名的域部分)
  4. 即使將完全控制權授予所有人也不允許我重命名文件
  5. 將所有權更改為管理員(我是該組的成員)恢復了訪問權限

我執行 SysInternals AccessEnum 來列舉相關文件所在的驅動器。輸出顯示幾個“???” 標記。

我不完全理解為什麼我無法訪問該文件。重命名伺服器時必須失去某些權限。發生了什麼?

另外,重命名後是否需要以某種方式修復伺服器?我擔心現在有很多潛在的權限問題,我只會隨著時間的推移才發現。

重命名伺服器時,您沒有“失去”任何權限。安全主體由其在 ACL 中的 SID 引用。重命名電腦時,SID 不會更改。即使確實如此,您也只會影響本地使用者(但不會)。如果將安全主體從 SID 轉換為顯示名稱時出現明顯延遲,那麼您在某處遇到了連接或 AD 問題。

該消息You require permission from Administrator to make changes to this file是一條 UAC 消息,當您在受保護的文件系統位置修改文件時會提示您使用該消息。Program Files 就是這樣一個位置,我假設這是您的數據庫文件所在的位置。這很正常。

引用自:https://serverfault.com/questions/591632