так он на тесте развернул

стопудово юзера без сида создал

а, точно

если на тесте ещё ничего не пересоздавал, глянь в хранимку
sp_change_users_login

Если разные серверы и логин создавался ручками, попробуйте синхронизировать с боя через copy-dbalogin, можно исправить непральный маппинГ логинов Repair-DbaDbOrphanUser  модуль https://dbatools.io

triviumfan
так, напишу подробнее. powebi - логин на тестовом сервере. На рабочем такого логина нет. Он создавался чисто для аналитиков. Неделю назад я это делал, на уровне сервера права public, на уровне баз разрешил лишь к одной базе права datareader и denydatawriter. Взял бекап вчерашний с рабочей базы и обновил на тестовом сервере эту базу. Результат - слетели все права из mapping. Как правильно настроить права или восстанавливать бекапы, чтобы ничего не сбивалось?:)

Так нет на бою этого логина/юзера в базе данных, вот и нет прав

triviumfan
получается, что эта настройка mapping хранится в самой бд, а я её затираю?

настроить на проде тоже самое
никому не говорить, что там есть

сгенерировать скрипт создания и накатки прав и выполнять после рестора /добавить в скрипт рестора

triviumfan
не хотелось бы давать доступ к рабочему серверу. придётся заново настраивать после каждого восстановления бекапа. да, напишу скрипт.. попробую. спасибо

можно скопировать разово серверный логин с теста на бой -> пробить права в базе -> удалить логин с боя. права будут, а возможности залогиниться на сервер -нет

Можно на проде серверный логин задизэблить и запретить подключение

с сохранением сида
а может и сработать

https://docs.microsoft.com/en-us/troubleshoot/sql/security/transfer-logins-passwords-between-instances

пусть будет тут (раньше revlogin) в документации вроде не было=)

это если база не под надзором какого-нибудь аудита. потом нужно будет долго объяснять как же так права вроде есть, а вроде и нет. в таком случае проще накатывать каждый раз скриптом на тесте

ну всё зависит, да
так то можно и разрабам дать права сисадмина  на тесте по договорённости и всё=)

На всякий случай предупрежу. Реальные данные, принесенные на тестовый сервер делают его не тестовым с точки зрения лицензирования и на этот сервер будет нужна лицензия.

а вот как это работает на практике? если я удалю или добавлю строку/таблицу и данные уже как бы не совсем и промышленные, это уже тест или нет? а если я восстановил на сервере с отключенным TCP для проверки бэкапа, это промышленная нагрузка или нет?

Реальные данные или реальные пользователи. Если скркблите данные, то только все.

а вдруг они не реальные, а просто очень плохо обфусцированные?