La eliminación de la cuenta de servicio de VMM del rol de db_owner desencadena errores de inicio de sesión para los usuarios finales

En este artículo se describe un problema por el que al quitar la cuenta de servicio de Virtual Machine Manager (VMM) del rol db_owner en la base de datos VMM se producen errores de inicio de sesión para los usuarios finales.

Versión del producto original:   Microsoft System Center 2012 R2 Virtual Machine Manager, System Center 2012 Virtual Machine Manager
Número de KB original:   3087868

Resumen

El programa de instalación de System Center 2012 Virtual Machine Manager crea un inicio de sesión para la cuenta de servicio de VMM y lo agrega a db_owner rol en la base de datos VMM. La pertenencia al rol de db_owner es necesaria para la cuenta de servicio de VMM. Al quitar la cuenta del rol db_owner se desencadenan errores de inicio de sesión para los usuarios finales.

No se admite la asignación de una combinación de roles con permisos menores y permisos individuales en lugar de db_owner para la cuenta de servicio de VMM.

Más información

Cuando un usuario se conecta a VMM a través de la consola o un shell de comandos, el servicio VMM agrega dinámicamente el usuario a la base de datos VMM. Cuando el usuario se desconecta, el servicio VMM quita automáticamente el usuario de la base de datos VMM.

Como un usuario conectado realiza acciones, el servicio VMM ejecuta instrucciones Execute as para ejecutar procedimientos almacenados de base de datos en nombre del usuario. Para que funcione, la cuenta de servicio de VMM debe tener el permiso de suplantación en el usuario. Los usuarios que no son DBO no tienen este permiso.

No se puede evitar esta limitación al conceder explícitamente el permiso de suplantación a una cuenta de servicio que no es DBO porque puede conceder suplantación solo en una entidad de identidad existente. Dado que el servicio VMM agrega y quita dinámicamente usuarios de la base de datos, no puede conceder permisos de suplantación a tiempo. El usuario debe existir en el momento de conceder los permisos.

La referencia del lenguaje de SQL Server documenta específicamente el requisito de que una entidad de identidad deba existir cuando se conceda el permiso de suplantación a la entidad de identidad. Para obtener más información, vea especificar un usuario o un nombre de inicio de sesión.