Почему права полного доступа к папке не наследуются файлом crt или pvk, созданным в папке?

Question

У меня есть сетевая папка и две учетные записи компьютера, node1 $ и node2 $, каждая из которых имеет разрешение на полный доступ к папке.

Я вхожу в сервер SQL Server на машине node1 и выполняю резервное копированиесертификат SQL Server в сетевой папке, который генерирует файлы crt и pvk.

Затем я захожу на компьютер узла 2 и пытаюсь восстановить сертификат в другом экземпляре SQL Server.Но я не могу, потому что node2 $ не имеет разрешений на запрошенные файлы .crt и .pvk.

Более того, если я проверяю созданные файлы, у учетной записи компьютера самого узла $ 1 нет явных разрешений на эти файлы.,Вместо этого я нахожу «права владельца» ACE.

Итак, файлы, похоже, не наследуют разрешения, которые node1 $ и node2 $ имеют для папки.

Эта проблема не возникаетЭто происходит с другими типами файлов.

Я могу решить эту проблему, вручную назначив разрешения explict для файлов на node2 $.

Но мой вопрос: почему файлы .crt и .pvk не наследуют разрешения, как это делают другие типы файлов?

Заранее спасибо,

Игнасио

Answer 1

Документация объясняет это:

При выполнении резервного копирования файлы будут ACLd для учетной записи службы экземпляра SQL Server. Если вам необходимо восстановить сертификат на сервере, работающем под другой учетной записью, вам необходимо настроить разрешения для файлов, чтобы они могли быть прочитаны новой учетной записью.

Как вы уже выяснили: наследование отключено , потому что команда T-SQL BACKUP CERTIFICATE явно удаляет все разрешения, кроме учетной записи службы.