Việc cấp quyền trong SQL Server cho Nhóm AD tương đối đơn giản. Nó có thể được thực hiện thông qua T-SQL hoặc Management Studio.
Ví dụ: nếu bạn có một nhóm AD được gọi MYDOMAIN\APPLICATION SUPPORT
, bạn sẽ tạo thông tin đăng nhập ở cấp máy chủ, sau đó sử dụng ánh xạ tới các cơ sở dữ liệu riêng lẻ để cung cấp các quyền chi tiết hơn một chút như trình đọc dữ liệu.
Lý tưởng nhất, tất cả các quyền truy cập ứng dụng phải thông qua các thủ tục được lưu trữ *, vì vậy chỉ thực thi các quyền đối với các thủ tục được lưu trữ trong cơ sở dữ liệu đó là bắt buộc.
* Từ quan điểm bảo mật, để cho phép một người dùng cụ thể xem một số dữ liệu cụ thể, bạn có thể tạo một quy trình và cấp cho người dùng quyền thực thi quy trình đó, và không có gì khác. Cho phép người dùng truy vấn trực tiếp có nghĩa là cho phép chọn trên tất cả các bảng có liên quan. Nó cũng dễ dàng hơn để làm việc với các thủ tục và dễ dàng gỡ lỗi hơn.
Thủ tục lưu trữ truy cập bảng trừu tượng đi và giới hạn truy cập. Đối với các loại DBA, nó giống như "cho tôi xem tất cả các biến thể hiện của bạn: Tôi không muốn sử dụng các phương thức, getters hoặc setters".