如何在不提升用户权限的情况下,使普通用户执行sp_OACreate存储过程
环境需求:<!----><o:p></o:p>
SQL Server 2005 及之后的版本<o:p></o:p>
<o:p> </o:p>
背景<o:p></o:p>
在论坛上遇到一个问题,询问如何使用一个普通用户调用一个存储过程,这个存储过程使用了sp_OACreate这一系列存储过程来执行一些非常规的任务。当然,前提是普通用户只有调用这个存储过程的时候才能获得执行sp_OACreate的权限。最初的时候也没有仔细考虑,心想,sp_OACreate需要具有sysadmin固定服务器角色的成员身份才能调用,那么直接在存储过程用EXECUTE AS LOGIN将会话的执行上下文设置了一个sysadmin固定服务器角色的成员就好了吧,于是给了一段T-SQL脚本。
但随后发现是行不通的,如果要用EXECUTE AS LOGIN,调用者必须对要模拟的登录具有IMPERSONATE权限,但如果普通用户拿到了这个权限,则他可以随时使用EXECUTE AS LOGIN,没有达到“普通用户只有调用这个存储过程的时候才能获得执行sp_OACreate的权限”的控制目的。
<o:p> </o:p>
错误的解决办法<o:p></o:p>
USE master;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 建立登录<o:p></o:p>
CREATE LOGIN OA_login<o:p></o:p>
WITH PASSWORD = N'Pwd.123',<o:p></o:p>
CHECK_POLICY = OFF;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 授予权限<o:p></o:p>
EXEC sp_addsrvrolemember N'OA_login', N'sysadmin';<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 这个登录是内置的, 不允许登录, 这样可以减少安全隐藏<o:p></o:p>
DENY CONNECT SQL<o:p></o:p>
TO oa_login;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
-- 被调用的存储过程<o:p></o:p>
USE tempdb;<o:p></o:p>
GO<o:p></o:p>
CREATE PROC dbo.p <o:p></o:p>
AS <o:p></o:p>
EXECUTE AS LOGIN = N'OA_login' ;<o:p></o:p>
<o:p> </o:p>
-- 调用sp_OACreate 的代码<o:p></o:p>
--EXEC sp_OACreate;<o:p></o:p>
<o:p> </o:p>
REVERT;<o:p></o:p>
GO<o:p></o:p>
当试图使用普通用户调用上面的存储过程的时候,会收到如下的错误信息。
无法作为服务器主体执行,因为主体 "grant_login" 不存在、无法模拟这种类型的主体,或您没有所需的权限。<o:p></o:p>
<o:p> </o:p>
正确的解决办法<o:p></o:p>
正确的解决办法是在通过存储过程的EXEUTE AS指定存储过程执行时的安全上下文,当然,这个被指定的用户要求能够调用sp_OACreate这一系列存储过程。
-- 1. 具有执行sp_OA... 权限的登录<o:p></o:p>
USE master;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 1.a. 建立登录<o:p></o:p>
CREATE LOGIN OA_login<o:p></o:p>
WITH PASSWORD = N'Pwd.123',<o:p></o:p>
CHECK_POLICY = OFF;<o:p></o:p>
GO<o:p></o:p>
-- 1.b. 这个登录是内置的, 不允许登录, 这样可以减少安全隐藏<o:p></o:p>
DENY CONNECT SQL<o:p></o:p>
TO OA_login;<o:p></o:p>
GO<o:p></o:p>
-- 1.c. 因为要使用sp_OA 这一系列的存储过程, 所以在 master 中要有用户, 并具有权限<o:p></o:p>
CREATE USER OA_login<o:p></o:p>
FOR LOGIN OA_login<o:p></o:p>
WITH DEFAULT_SCHEMA = dbo;<o:p></o:p>
<o:p> </o:p>
GRANT EXECUTE ON sys.sp_OACreate<o:p></o:p>
TO OA_login;<o:p></o:p>
<o:p></o:p>
GRANT EXECUTE ON sys.sp_OADestroy<o:p></o:p>
TO OA_login;<o:p></o:p>
<o:p></o:p>