我有一个网络文件夹和两个机器帐户,node1 $和node2 $,它们都对该文件夹具有完全控制权限。
我在node1机器中登录一个SQL Server实例,并在网络文件夹上备份SQL Server证书,该证书生成一个crt和一个pvk文件。
然后我登录node2机器并尝试在另一个SQL Server实例中恢复证书。但我不能,因为node2 $对请求的文件.crt和.pvk没有任何权限。
更重要的是,如果我检查创建的文件,那么节点$ 1机器帐户对这些文件没有明确的权限。相反,我找到了一个“所有者权利”ACE。
因此,这些文件似乎不会继承node1 $和node2 $对该文件夹的权限。
其他类型的文件不会发生此问题。
我可以通过手动将文件的明确权限分配给node2 $来解决这个问题。
但我的问题是:为什么.crt和.pvk文件不像其他类型的文件一样继承权限呢?
提前致谢,
伊格纳西奥
documentation解释说:
执行备份时,文件将ACLd到SQL Server实例的服务帐户。如果需要将证书还原到在其他帐户下运行的服务器,则需要调整文件的权限,以便新帐户能够读取它们。
正如您已经想到的那样:继承被禁用,因为T-SQL命令BACKUP CERTIFICATE显式删除了服务帐户的所有权限。