Làm cách nào để tôi gán toàn bộ quyền truy cập bảo mật nhóm Active Directory trong SQL Server 2008?

Tôi muốn sử dụng bảo mật tích hợp với ứng dụng nội bộ của mình, tất cả nằm trên một miền. Thật không may, tôi chưa bao giờ có thể làm cho điều này hoạt động tốt. Tôi muốn gán toàn bộ Nhóm Exchange (Active Directory) một vai trò trong SQL Server để truy cập đọc / ghi vào các bảng nhất định. Bằng cách đó, tôi sẽ không phải tạo một nhà điều hành bất cứ khi nào ai đó được thuê hoặc xóa một nhà điều hành bất cứ khi nào ai đó bị sa thải. Điều này có thể không? Những bước tôi sẽ làm để làm điều này?

• Đặt nhóm AD làm thông tin đăng nhập. Và "đăng nhập" có nghĩa là đăng nhập cấp máy chủ không phải là khái niệm AD của người dùng / đăng nhập. Trong SQL Server, đây là hiệu trưởng cấp máy chủ
• Tạo người dùng được ánh xạ. Bạn không thực sự cho phép người dùng trực tiếp trên bàn. Và "người dùng" có nghĩa là người dùng cơ sở dữ liệu không phải là khái niệm AD của người dùng: trong SQL Server, đây là "hiệu trưởng cấp cơ sở dữ liệu"
• Thêm người dùng vào vai trò (cũng là "hiệu trưởng cấp cơ sở dữ liệu")
• Quyền GRANT cho các vai trò trên các bảng (bảng hoặc Proc, v.v. là "bảo mật")

Kịch bản mẫu

USE master;
GO
CREATE LOGIN [MYDOMAIN\APPLICATION SUPPORT] FROM WINDOWS;
GO
USE mydb;
GO
CREATE USER [MYDOMAIN\APPLICATION SUPPORT] FROM LOGIN [MYDOMAIN\APPLICATION SUPPORT];
GO
CREATE ROLE rSupport;
GO
EXEC sp_addrolemember 'rSupport', 'MYDOMAIN\APPLICATION SUPPORT';
GO
GRANT SELECT, INSERT,UPDATE, etc ON Mytable TO rSupport;
GO

sp_addrolememberkhông được dùng nữa bắt đầu với SQL Server 2012, nơi ALTER ROLEnên được sử dụng thay thế.

Việc cấp quyền trong SQL Server cho Nhóm AD tương đối đơn giản. Nó có thể được thực hiện thông qua T-SQL hoặc Management Studio.

Ví dụ: nếu bạn có một nhóm AD được gọi MYDOMAIN\APPLICATION SUPPORT, bạn sẽ tạo thông tin đăng nhập ở cấp máy chủ, sau đó sử dụng ánh xạ tới các cơ sở dữ liệu riêng lẻ để cung cấp các quyền chi tiết hơn một chút như trình đọc dữ liệu.

Lý tưởng nhất, tất cả các quyền truy cập ứng dụng phải thông qua các thủ tục được lưu trữ *, vì vậy chỉ thực thi các quyền đối với các thủ tục được lưu trữ trong cơ sở dữ liệu đó là bắt buộc.

* Từ quan điểm bảo mật, để cho phép một người dùng cụ thể xem một số dữ liệu cụ thể, bạn có thể tạo một quy trình và cấp cho người dùng quyền thực thi quy trình đó, và không có gì khác. Cho phép người dùng truy vấn trực tiếp có nghĩa là cho phép chọn trên tất cả các bảng có liên quan. Nó cũng dễ dàng hơn để làm việc với các thủ tục và dễ dàng gỡ lỗi hơn.

Thủ tục lưu trữ truy cập bảng trừu tượng đi và giới hạn truy cập. Đối với các loại DBA, nó giống như "cho tôi xem tất cả các biến thể hiện của bạn: Tôi không muốn sử dụng các phương thức, getters hoặc setters".

Từ marc_s trả lời "Cách thêm nhóm người dùng Active Directory làm đăng nhập trong SQL Server" :

Trong SQL Server Management Studio, đi tới Object Explorer > (your server) > Security > Loginsvà nhấp chuột phải New Login:

Sau đó, trong hộp thoại bật lên, chọn các loại đối tượng bạn muốn xem ( Groupsbị tắt theo mặc định - kiểm tra nó!) Và chọn vị trí bạn muốn tìm đối tượng của mình (ví dụ: sử dụng Entire Directory) và sau đó tìm nhóm AD của bạn .

Bây giờ bạn có Đăng nhập máy chủ SQL thông thường - giống như khi bạn tạo một tài khoản cho một người dùng AD. Cung cấp cho đăng nhập mới các quyền trên cơ sở dữ liệu cần thiết, và bạn đi!

Bất kỳ thành viên nào của nhóm AD đó giờ cũng có thể đăng nhập vào SQL Server và sử dụng cơ sở dữ liệu của bạn.

Nếu người dùng là thành viên của DOMAIN \ Securitygroup có quyền Sysadmin trong SQL, thì điều đó sẽ được sử dụng khi truy cập cơ sở dữ liệu. Mặt khác, bạn cần xem DOMAIN \ Securitygroup (s) có quyền hạn nào trong mỗi cơ sở dữ liệu. Nếu người dùng là thành viên của 2 Nhóm bảo mật, với SecgroupA có quyền chọn và SecgroupB có quyền chèn, thì người dùng có thể chọn và chèn.