Bagaimana cara menetapkan seluruh akses keamanan grup Direktori Aktif di SQL Server 2008?

Saya ingin menggunakan keamanan terintegrasi dengan aplikasi internal saya yang semuanya ada di domain. Sayangnya, saya tidak pernah bisa melakukan ini dengan baik. Saya ingin menetapkan seluruh Grup Exchange (Direktori Aktif) peran dalam SQL Server untuk akses baca / tulis ke tabel tertentu. Dengan begitu saya tidak perlu membuat operator setiap kali seseorang dipekerjakan atau menghapus operator setiap kali seseorang dipecat. Apakah ini mungkin? Langkah apa yang akan saya ambil untuk melakukan ini?

• Atur grup AD sebagai login. Dan "login" berarti login tingkat server bukan konsep AD pengguna / login. Dalam SQL Server, ini adalah prinsip tingkat server
• Buat pengguna yang dipetakan. Anda seharusnya tidak benar-benar mengizinkan pengguna langsung di atas meja. Dan "pengguna" berarti pengguna basis data, bukan konsep AD dari pengguna: dalam SQL Server, ini adalah "basis data tingkat basis"
• Tambahkan pengguna ke peran (juga "kepala sekolah tingkat basis data")
• Izin GRANT untuk peran di atas meja (tabel atau proc dll adalah "aman")

Contoh skrip

USE master;
GO
CREATE LOGIN [MYDOMAIN\APPLICATION SUPPORT] FROM WINDOWS;
GO
USE mydb;
GO
CREATE USER [MYDOMAIN\APPLICATION SUPPORT] FROM LOGIN [MYDOMAIN\APPLICATION SUPPORT];
GO
CREATE ROLE rSupport;
GO
EXEC sp_addrolemember 'rSupport', 'MYDOMAIN\APPLICATION SUPPORT';
GO
GRANT SELECT, INSERT,UPDATE, etc ON Mytable TO rSupport;
GO

sp_addrolemembersudah usang mulai dengan SQL Server 2012, di mana ALTER ROLEharus digunakan sebagai gantinya.

Pemberian izin dalam SQL Server ke Grup AD relatif mudah. Ini dapat dilakukan baik melalui T-SQL atau Management Studio.

Misalnya, jika Anda memiliki grup AD yang dipanggil MYDOMAIN\APPLICATION SUPPORT, Anda akan membuat login di tingkat server, dan kemudian menggunakan pemetaan untuk masing-masing database untuk memberikan izin yang sedikit lebih terperinci seperti pembaca data.

Idealnya, semua akses aplikasi harus melalui prosedur tersimpan *, jadi hanya jalankan izin pada prosedur tersimpan itu dalam basis data yang diperlukan.

* Dari sudut pandang keamanan, untuk memungkinkan pengguna tertentu melihat beberapa data tertentu, Anda bisa membuat prosedur dan memberikan izin kepada pengguna untuk menjalankan prosedur itu, dan tidak ada yang lain. Mengizinkan pengguna melakukan kueri secara langsung berarti memberikan izin pilih pada semua tabel yang terlibat. Lebih mudah untuk bekerja dengan prosedur, dan lebih mudah untuk debug.

Prosedur tersimpan akses tabel abstrak dan membatasi akses. Untuk tipe DBA, ini seperti "biarkan saya melihat semua variabel instan Anda: Saya tidak ingin menggunakan metode, getter atau setter".

Dari marc_s menjawab "Bagaimana cara menambahkan grup pengguna Direktori Aktif sebagai login di SQL Server" :

Di SQL Server Management Studio, buka Object Explorer > (your server) > Security > Loginsdan klik kanan New Login:

Kemudian di kotak dialog yang muncul, pilih jenis objek yang ingin Anda lihat ( Groupsdinonaktifkan secara default - centang!) Dan pilih lokasi di mana Anda ingin mencari objek Anda (mis. Gunakan Entire Directory) dan kemudian temukan grup AD Anda .

Anda sekarang memiliki Login SQL Server reguler - sama seperti ketika Anda membuatnya untuk pengguna AD tunggal. Berikan izin masuk yang baru pada database yang dibutuhkan, dan pergilah!

Setiap anggota grup AD itu sekarang dapat masuk ke SQL Server dan menggunakan database Anda.

Jika pengguna adalah anggota DOMAIN \ SecurityGroup yang memiliki otoritas Sysadmin dalam SQL, maka itu akan digunakan ketika mengakses database. Kalau tidak, Anda perlu melihat apa yang telah diberikan otoritas DOMAIN \ SecurityGroup di setiap basis data. Jika pengguna adalah anggota 2 SecurityGroups, dengan SecGroupA memiliki otoritas pilih dan SecGroupB memiliki otoritas penyisipan, maka pengguna dapat memilih dan menyisipkan.