在 SQL Server 中使用 Windows 用户组的一些诡异问题

最近，在SQLServer中使用Windows用户组时，发现了一些比较诡异的问题。

SQL Server版本：SQL Server 2008 R2

问题1：Login failed for user 'xx\xx'

操作描述：

在SQL Server中添加一个Windows用户，并且使用该用户连接SQLServer（Windows身份验证），登录失败，日志中出现如下错误：

Login failed for user 'xx\xx'. 原因: 基于令牌的服务器访问验证失败，出现基础结构错误。请检查以前的错误。 [客户端: <xxxx>]

检查权限分配没有任何异常，后来属性，该用户属于一个Windows用户组，这个用户组也是SQL Server的Login，并且显式拒绝了CONNECT SQL权限，尝试去掉Windows组上的拒绝权限，发现可以正常登录。

反复测试后发现，如果Windows用户和它所属的Windows用户组都是SQLServer的Login的话，则Windows用户的权限为其自身的权限+所属Windows组的权限，并且拒绝权限优先。也就是说，只要Windows用户所属的用户组具有某个对象的访问权限，那么Windows用户也会有这个权限；而如果其所属的用户组设置了拒绝权限，则即使显式给Windows用户权限，也会出现权限拒绝的现象。我所遇到的问题，就是因为用户所属Windows用户组设置了拒绝连接SQL Server，所以不管我是否授予用户连接SQL Server的权限，均无法连接SQL Server。

问题2：孤立用户？？？

操作描述：

这个是在测试问题1的过程中发现的。当我为Windows用户组授予了某个数据库的权限之后，这个用户组所属的用户也获得了这个权限（没有为用户显式授权），这个在问题1中已经结案了。

现在的问题是，当我把Windows用户组对应的Login（是实例级别的Login，不是数据库级别的User）删除后，发现这个组对应的Windows用户（在SQLServer中有对应的Login）还是具有所属Windows用户组的权限。

看起来在删除Windows用户组的时候要小心，不但要删除Login，还要删除数据库级别的User。否则可能会因为这个而产生安全漏洞。

注：

删除Login的时候，数据库级别的User不会自动删除，这种User称之为孤立用户。（联机帮助上的原文“如果删除了对应的 SQL Server 登录名，则数据库用户可能会变为孤立用户”）。
孤立用户由于没有Login，无法产生与之相关的登录，所以一般情况下我们会认为孤立用户不会影响到安全性。但对于Windows用户组，看起来就危险了。

问题3：还是孤立用户？？？

操作描述：

在问题2的基础上，发现了一个列有趣的问题。可以直接通过CREATE USER [xx\xx] FOR LOGIN [xx\xx]语句，在DB级别上，为Windows用户组创建User，并且可以授权。这似乎就是人为创建孤立用户了。