需要一种安全的方式来授予对 xp_cmdshell 的访问权限

需要一种安全的方式来授予对 xp_cmdshell 的访问权限

想象一下以下场景:我需要执行一个存储过程,除其他事项外,该过程需要执行 xp_cmdshell 来运行命令行脚本,该脚本执行批量插入(bcp)命令将数据放入另一个数据库。

我在服务器上有三个 Windows 用户帐户:MyAdmin、MyProxy 和 MyUser。

xp_cmdshellMyAdmin 是数据库的 db_owner,具有 bulkadmin 服务器角色。MyProxy 是与via关联的帐户sp_xpcmdshell_proxy_account。MyUser 对存储过程具有 EXECUTE 权限,仅此而已。

如果我以 SERVER\MyUser 身份登录并执行存储过程,则会失败并出现错误“对象‘xp_cmdshell’、数据库‘mssqlsystemresource’、模式‘sys’上的 EXECUTE 权限被拒绝。

因此,我认为答案是授予xp_cmdshellMyProxy 执行权限,但这也不起作用。然后,我授予xp_cmdshellMyAdmin 执行权限,并将存储过程的定义更改为 WITH EXECUTE AS 'MyAdmin',尽管xp_cmdshell执行正常,但批量插入失败。

我必须做什么才能使这个场景发挥作用?

更新:在 StackOverflow.com (1440332) 上被询问,但没有得到答案 - 希望这里能有更好的结果

答案1

我似乎记得 SSIS 中有一个 BCP 步骤。您可以创建一个 SSIS 包并运行它吗?您可以从 .net 运行 SSIS 包。

答案2

如果我有权限的话,我会将其作为评论而不是“答案”,但是,为什么不使用 BULK INSERT T-SQL 命令而不是 xp_cmdshell 来进行 bcp 呢?

相关内容