MSSQLSERVER_15517

  • Artigo

Aplica-se a: SQL Server

Detalhes

Atributo Valor
Nome do produto SQL Server
ID do evento 15517
Origem do Evento MSSQLSERVER
Componente SQLEngine
Nome simbólico SEC_CANNOTEXECUTEASUSER
Texto da mensagem Não é possível executar como a entidade de segurança do banco de dados porque a entidade de segurança "principal" não existe, esse tipo de entidade não pode ser representado ou você não tem permissão.

Explicação

Esse erro normalmente ocorre porque o Microsoft SQL Server não pode obter as informações sobre o contexto de execução da entidade especificada em uma instrução de usuário ou módulo usando a EXECUTE AS instrução.

Suas informações de logon SID (Identificador de Segurança) são salvas automaticamente quando você cria um banco de dados em uma instância do SQL Server como o proprietário do banco de dados na linha de banco de dados correspondente na sys.databases tabela e para o dbo item de usuário na sys.database_principals tabela dentro do banco de dados.

As instruções ou módulos que usam a EXECUTE AS OWNER cláusula funcionarão conforme o esperado se a entrada SID armazenada para o usuário dbo for válida.

Observação

O problema pode ocorrer para qualquer entidade de segurança usada na EXECUTE AS instrução e que não exista no servidor para o qual o banco de dados é restaurado.

Aqui estão alguns cenários comuns que podem causar esse problema:

  • Você restaura um banco de dados na mesma instância de servidor em que o backup foi feito originalmente, mas a entidade de segurança do SQL Server que criou o banco de dados não é mais válida por algum motivo. Por exemplo:

    • O logon de autenticação do SQL Server foi removido.
    • O logon de autenticação do Windows não é mais para um usuário válido no Active Directory porque o funcionário saiu da empresa.

  • Você restaura um banco de dados em um servidor diferente da instância em que o backup foi feito originalmente, mas a entidade de segurança do SQL Server que criou o banco de dados não é uma entidade de segurança válida no novo servidor.

    • Se o usuário for um logon do SQL Server, a entidade de segurança poderá existir no servidor de destino ou de destino, mas o sid valor será diferente.
    • Se o usuário for um logon do Windows, o logon do Windows não existirá no servidor de destino ou não será mais válido.

O usuário ou aplicativo que está executando o procedimento armazenado, a função ou o gatilho não tem as permissões necessárias para representar a entidade especificada na EXECUTE AS instrução.

Ação do usuário

Use o nome de uma entidade existente ou conceda a permissão IMPERSONATE nessa entidade aos usuários necessários.

Para resolver o problema que ocorre devido a um erro de usuário dbo inválido, altere o dbo_User valor para um logon válido em seu servidor executando o seguinte comando:

ALTER AUTHORIZATION ON DATABASE:: DBName TO [NewLogin]

Cenário de exemplo

  1. Crie duas entidades de segurança temporárias:

    CREATE LOGIN login1 WITH PASSWORD = 'J345#$)thb';
CREATE LOGIN login2 WITH PASSWORD = 'Uor80$23b';

  2. Adicione esses logons à função sysadmin (somente para demonstração).

  3. Faça logon na instância do SQL Server usando login1o .

  4. Crie um banco de dados de demonstração e um procedimento armazenado nomeado testexec executando o seguinte script:

    CREATE DATABASE Demodb_15517
GO
USE Demodb_15517
GO
CREATE procedure [dbo].[testexec]
WITH EXECUTE AS owner
AS SELECT @@VERSION
GO
EXEC dbo.testexec
GO

  5. Execute as seguintes consultas e verifique se os sid valores estão sendo resolvidos para um logon válido:

    • Consulta 1: Verifique o valor do Owner_Name valor em sys.databases.

      SELECT NAME AS Database_Name, owner_sid, SUSER_SNAME(owner_sid) AS OwnerName
FROM sys.databases
WHERE NAME = N'Demodb_15517';

      Database_Name         owner_sid                               OwnerName
--------------------- -------------------------------------- ----------------------------
Demodb_15517          0xDB79ED7B6731CF4E8DC7DF02871E3E36      login1

    • Consulta 2: Verifique o Owner_Name sys.database_principals valor na tabela dentro do banco de dados de demonstração:

      SELECT SUSER_SNAME(sid) AS Owner_Name, sid 
FROM Demodb_15517.sys.database_principals 
WHERE NAME = N'dbo'; 

      Owner_Name    SID
------------- ------------------------------------------------ 
login1        0xDB79ED7B6731CF4E8DC7DF02871E3E36

  6. Faça backup do banco de dados de demonstração usando uma consulta semelhante ao seguinte script:

    BACKUP DATABASE [Demodb_15517] TO DISK = N'C:\SQLBackups\Demodb_15517.bak' WITH NOFORMAT, NOINIT, NAME = N'Demodb_15517 Full backup', SKIP, EWIND, NOUNLOAD, STATS = 10 
GO

  7. Descarte o banco de dados de demonstração e login1:

    DROP DATABASE demodb_15517
GO
DROP login login1
GO

  8. Faça logon no SQL Server como login2.

  9. Restaure o banco de dados de demonstração do backup usando uma instrução semelhante ao seguinte script:

    USE [master] 
RESTORE DATABASE [Demodb_15517] FROM   
DISK = N'C:\SQLBackups\Demodb_15517.bak' WITH FILE = 1,   
MOVE N'Demodb_15517' TO N'C:\SQLBackups\Demodb_15517.mdf',   
MOVE N'Demodb_15517_log' TO N'C:\SQLBackups\\Demodb_155172_log.ldf',   
NOUNLOAD, STATS = 5 
GO

  10. Execute novamente a Consulta 1 e a Consulta 2.

  11. Na Consulta 1, verifique o Owner_Name valor do valor em sys.databases. O valor agora reflete login2.

    SELECT NAME AS Database_Name, owner_sid, SUSER_SNAME(owner_sid) AS OwnerName 
FROM sys.databases 
WHERE NAME = N'Demodb_15517';

    Database_Name  owner_sid                               OwnerName
-------------- --------------------------------------- ---------------------
Demodb_15517   0xD63086DD7277BC4EB88013D359AF73A6      login2

  12. Na Consulta 2, verifique o valor do valor na sys.database_principals tabela no banco de Owner_Name dados de demonstração. O valor agora reflete NULL.

    SELECT SUSER_SNAME(sid) AS Owner_Name, sid
FROM Demodb_15517.sys.database_principals
WHERE NAME = N'dbo';

    Owner_Name         sid 
  ------------------ -----------------------------------------------
NULL               0xDB79ED7B6731CF4E8DC7DF02871E3E36

  13. Execute o testexec procedimento armazenado. Agora você deve ver a mensagem de erro "15517".

    USE Demodb_15517 
GO 
EXEC dbo.testexec 
GO

    Msg 15517, Level 16, State 1, Procedure dbo.testexec, Line 0 [Batch Start Line 19] 
Cannot execute as the database principal because the principal "dbo" does not exist, this type of principal cannot be impersonated, or you do not have permission.

  14. Para resolver o erro, altere o dbo para um usuário válido (login2) usando o seguinte comando:

    ALTER AUTHORIZATION ON DATABASE:: Demodb_15517 TO [login2]

  15. Execute novamente a Consulta 2 e verifique se os usuários dbo agora resolvem para o usuário login2.

    Owner_Name          SID
---------------------------------------------------------------- 
login2              0xD63086DD7277BC4EB88013D359AF73A6

  16. Tente executar novamente o procedimento armazenado de teste. Observe que agora ele é executado com êxito.

    USE Demodb_15517 
GO 
EXEC dbo.testexec 
GO

    /* -- You get an output that resembles the following 
---------------------------------------------------------------------------------------------------------
Microsoft SQL Server 2019 (RTM-CU16-GDR) (KB5014353) - 15.0.4236.7 (X64)  
May 29 2022 15:55:47  
Copyright (C) 2019 Microsoft Corporation 
Express Edition (64-bit) on Windows 10 Enterprise 10.0 <X64> (Build 22621: ) (Hypervisor) 
*/

Confira também

Copiar bancos de dados para outros servidores

Transferir logins e senhas entre instâncias