Pemberian izin dalam SQL Server ke Grup AD relatif mudah. Ini dapat dilakukan baik melalui T-SQL atau Management Studio.
Misalnya, jika Anda memiliki grup AD yang dipanggil MYDOMAIN\APPLICATION SUPPORT
, Anda akan membuat login di tingkat server, dan kemudian menggunakan pemetaan untuk masing-masing database untuk memberikan izin yang sedikit lebih terperinci seperti pembaca data.
Idealnya, semua akses aplikasi harus melalui prosedur tersimpan *, jadi hanya jalankan izin pada prosedur tersimpan itu dalam basis data yang diperlukan.
* Dari sudut pandang keamanan, untuk memungkinkan pengguna tertentu melihat beberapa data tertentu, Anda bisa membuat prosedur dan memberikan izin kepada pengguna untuk menjalankan prosedur itu, dan tidak ada yang lain. Mengizinkan pengguna melakukan kueri secara langsung berarti memberikan izin pilih pada semua tabel yang terlibat. Lebih mudah untuk bekerja dengan prosedur, dan lebih mudah untuk debug.
Prosedur tersimpan akses tabel abstrak dan membatasi akses. Untuk tipe DBA, ini seperti "biarkan saya melihat semua variabel instan Anda: Saya tidak ingin menggunakan metode, getter atau setter".