Durch das Entfernen des VMM-Dienstkontos aus der db_owner Rolle werden Anmeldefehler für Endbenutzer ausgelöst.

In diesem Artikel wird das Problem beschrieben, dass durch das Entfernen des VMM-Dienstkontos (Virtual Machine Manager) aus der db_owner Rolle in der VMM-Datenbank Anmeldefehler für Endbenutzer verursacht werden.

Original Version des Produkts:   Virtual Machine Manager für Microsoft System Center 2012 R2, System Center 2012 Virtual Machine Manager
Ursprüngliche KB-Nummer:   3087868

Zusammenfassung

System Center 2012 Virtual Machine Manager-Setup erstellt eine Anmeldung für das VMM-Dienstkonto und fügt es db_owner Rolle in der VMM-Datenbank hinzu. Die Mitgliedschaft in der db_owner Rolle ist für das VMM-Dienstkonto erforderlich. Durch das Entfernen des Kontos aus der db_owner Rolle werden Anmeldefehler für Endbenutzer ausgelöst.

Das Zuweisen einer beliebigen Kombination von Rollen mit geringeren Berechtigungen und einzelnen Berechtigungen anstelle von db_owner für das VMM-Dienstkonto wird nicht unterstützt.

Weitere Informationen

Wenn ein Benutzer über die Konsole oder eine Befehlsshell eine Verbindung mit VMM herstellt, fügt der VMM-Dienst den Benutzer dynamisch zur VMM-Datenbank hinzu. Wenn der Benutzer die Verbindung trennt, entfernt der VMM-Dienst den Benutzer automatisch aus der VMM-Datenbank.

Wenn ein verbundener Benutzeraktionen ausführt, führt der VMM-Dienst EXECUTE AS -Anweisungen aus, um gespeicherte Datenbankprozeduren im Namen des Benutzers auszuführen. Damit dies funktioniert, muss das VMM-Dienstkonto über die IMPERSONATE-Berechtigung für den Benutzer verfügen. Nicht-dbo-Benutzer verfügen nicht über diese Berechtigung.

Sie können diese Einschränkung nicht umgehen, indem Sie die IMPERSONATE-Berechtigung explizit einem nicht-dbo-Dienstkonto erteilen, da Sie den Identitätswechsel nur für einen vorhandenen Prinzipal erteilen können. Da der VMM-Dienst Datenbankbenutzer dynamisch hinzufügt und entfernt, können Sie keine IMPERSONATE-Berechtigungen für Sie im Vorfeld erteilen. Der Benutzer muss zu dem Zeitpunkt vorhanden sein, zu dem Sie Berechtigungen erteilen.

Die SQL Server Sprachreferenz dokumentiert ausdrücklich die Anforderung, die ein Prinzipal vorhanden sein muss, wenn dem Prinzipal die Berechtigung Impersonate erteilt wird. Weitere Informationen finden Sie unter Angeben eines Benutzer-oder Anmeldenamens.