blocks|key|492419|text|在9.5和更早的版本中，这是不可能的，因为运行实例的帐户是SYSADM。此外，管理员至少可以重置本地帐户密码并访问它们，这使得更改实例所有者帐户变得无用。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|492420|但是，在9.7和更高版本中，实例所有者将无法再访问数据。一种选择是升级到9.7。此外，您还可以为应用程序使用的连接设置AD帐户。本地管理员不一定能够更改为这些凭据。|492421|尽管如此，管理员最终仍有权访问(通常未加密的)数据库文件。您可以在很大程度上改进安全性的管理方面。|492422|entityMap^0|0|0|0^^$0|@$1|2|3|4|5|6|7|H|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|I|8|@]|9|@]|A|$]]|$1|D|3|E|5|6|7|J|8|@]|9|@]|A|$]]|$1|F|3|-4|5|6|7|K|8|@]|9|@]|A|$]]]|G|$]]

On 9.5 and older this would not be possible because the account under which your instance runs is SYSADM. Also Administrator can reset at least local account passwords and gain access to them, making changing the instance owner account useless.

However on 9.7 and onwards the instance owner will not have access to the data anymore. One option is to upgrade to 9.7. Furthermore you can set up an AD account for the connections your applications use. Local Administrator is not necessarily able to change into those credentials.

Still, the Administrator ultimately has access to the (usually unencrypted) database files. You can mostly improve the administrative aspect of security.

blocks|key|2807994|text|默认情况下，使用授予public的CONNECT权限创建DB2数据库。如果要限制某些用户进行连接，则需要执行以下操作|type|unstyled|depth|inlineStyleRanges|offset|length|style|CODE|entityRanges|data|2807995|GRANT+CONNECT+ON+DATABASE+TO+<user1>,+<user2>,+...|code-block|syntax|javascript|2807996|然后从PUBLIC撤消CONNECT权限。|2807997|REVOKE+CONNECT+ON+DATABASE+FROM+PUBLIC|2807998|entityMap^0|H|7|0|0|0|0^^$0|@$1|2|3|4|5|6|7|Q|8|@$9|R|A|S|B|C]]|D|@]|E|$]]|$1|F|3|G|5|H|7|T|8|@]|D|@]|E|$I|J]]|$1|K|3|L|5|6|7|U|8|@]|D|@]|E|$]]|$1|M|3|N|5|H|7|V|8|@]|D|@]|E|$I|J]]|$1|O|3|-4|5|6|7|W|8|@]|D|@]|E|$]]]|P|$]]

By default, DB2 databases are created with <code>CONNECT</code> authority granted to public. If you want to restrict some users from connecting, you need to do

<pre><code>GRANT CONNECT ON DATABASE TO &lt;user1&gt;, &lt;user2&gt;, ...
</code></pre>

Then revoke the CONNECT authority from PUBLIC

<pre><code>REVOKE CONNECT ON DATABASE FROM PUBLIC
</code></pre>

blocks|key|492349|text|嗯..。很多次，我试图用这个命令撤销，但是当我通过管理员帐户连接到数据库时，DB2会再次自动授予管理员权限。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|492350|我会再试一次以确认。|492351|entityMap^0|0|0^^$0|@$1|2|3|4|5|6|7|F|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|G|8|@]|9|@]|A|$]]|$1|D|3|-4|5|6|7|H|8|@]|9|@]|A|$]]]|E|$]]

Umm... For many times I try to revoke with this command but when I connect to database by Administrator account DB2 will automatic grant permission to Administrator again.

I will try again for make sure.

blocks|key|492370|text|我认为这在正常情况下是不可能的，因为管理员是sysadm组中的一员。|type|unstyled|depth|inlineStyleRanges|offset|length|style|CODE|entityRanges|data|492371|我能想到(但没有尝试过)的选项包括：|492372|492373|将sysadm组设置为其他值("db2+update+dbm+cfg+using+sysadm_group+blah")。执行此操作时，请检查文档中的警告和陷阱，因为我确信有一些。|unordered-list-item|492374|停止使用操作系统身份验证。使用不同的安全插件(仅限8.2及更高版本)。这将把身份验证和组移动到一个新的位置(比如LDAP服务器)。然后，您就不需要将管理员添加到新位置，尤其是不要再将管理员添加到系统管理员组。|492375|492376|entityMap^0|M|6|0|0|0|0|0|0^^$0|@$1|2|3|4|5|6|7|Q|8|@$9|R|A|S|B|C]]|D|@]|E|$]]|$1|F|3|G|5|6|7|T|8|@]|D|@]|E|$]]|$1|H|3|-4|5|6|7|U|8|@]|D|@]|E|$]]|$1|I|3|J|5|K|7|V|8|@]|D|@]|E|$]]|$1|L|3|M|5|K|7|W|8|@]|D|@]|E|$]]|$1|N|3|-4|5|6|7|X|8|@]|D|@]|E|$]]|$1|O|3|-4|5|6|7|Y|8|@]|D|@]|E|$]]]|P|$]]

I don't think it's possible under normal circumstances simply because Administrator is in the <code>sysadm</code> group.

Options I can think of (but haven't tried) include:

<ul>
<li>Setting the sysadm group to something else ("db2 update dbm cfg using sysadm_group blah"). Check the docs for caveats and gotchas when doing this, as I'm sure there are some.</li>
<li>Stop using OS authentication. Use a different security plugin (8.2 and higher only). This would move the authentication, and thus groups, to a new location (say an LDAP server). Then you just don't add Administrator to the new location, and especially don't add Administrator to the sysadm group again.</li>
</ul>

blocks|key|846887|text|在Windows上，数据库管理器配置参数SYSADM_GROUP控制在实例级别具有SYSADM权限的用户。如果SYSADM_GROUP为空(这是Windows默认值)，则DB2默认使用本地计算机上的Administrators组。|type|unstyled|depth|inlineStyleRanges|offset|length|style|CODE|entityRanges|data|846888|要解决此问题，您可以在Windows中创建一个新组，然后修改SYSADM_GROUP的值以使用此新组。确保运行DB2服务的ID属于此新组。进行此更改后，Administrators组的成员将不再具有SYSADM权限。|846889|正如Kevin+Beck所说，您可能还希望考虑限制数据库上的CONNECT权限，因为在默认情况下，CONNECT权限被授予PUBLIC。|846890|entityMap^0|K|C|15|6|1J|C|0|U|C|2R|6|0|U|7|1D|7|0^^$0|@$1|2|3|4|5|6|7|L|8|@$9|M|A|N|B|C]|$9|O|A|P|B|C]|$9|Q|A|R|B|C]]|D|@]|E|$]]|$1|F|3|G|5|6|7|S|8|@$9|T|A|U|B|C]|$9|V|A|W|B|C]]|D|@]|E|$]]|$1|H|3|I|5|6|7|X|8|@$9|Y|A|Z|B|C]|$9|10|A|11|B|C]]|D|@]|E|$]]|$1|J|3|-4|5|6|7|12|8|@]|D|@]|E|$]]]|K|$]]

On Windows, the database manager configuration parameter <code>SYSADM_GROUP</code> controls who has <code>SYSADM</code>authority at the instance level. When <code>SYSADM_GROUP</code> is blank (as is the default on Windows), then DB2 defaults to using the Administrators group on the local machine. 

To fix this, you can create a new group in Windows and then modify the value of <code>SYSADM_GROUP</code> to use this new group. Make sure that the ID that the DB2 Service runs under belongs to this new group. After making this change, members of the Administrators group will no longer have <code>SYSADM</code> authority.

As Kevin Beck states, you may also want to look at restricting <code>CONNECT</code> authority on databases, too, because by default the <code>CONNECT</code> privilege is granted to PUBLIC.

On IBM DB2 v.9 windows, when someone connect to database by Server\Administrator user
DB2 database will automatically accept and grant all the permissions to this user?
But, in some case environment Administrator of server does not need to see every data in the database. So how to prevent Administrator use connect to database?

How to revoke permission of Windows Administrator user from DB2?

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

在IBM DB2 v.9windows上，当有人通过服务器\管理员用户连接到数据库时，DB2数据库将自动接受并授予此用户所有权限吗？但是，在某些情况下，服务器的管理员并不需要查看数据库中的所有数据。那么如何防止管理员使用连接到数据库呢？

问如何从DB2撤销Windows管理员用户的权限？
EN

回答 5

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何从DB2撤销Windows管理员用户的权限？EN

回答 5

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问如何从DB2撤销Windows管理员用户的权限？
EN