Mam aplikację .net, która łączy się z serwerem SQL przy użyciu uwierzytelniania systemu Windows.
W aplikacji nie możemy używać uwierzytelniania SQL Server. Mamy tam wielu użytkowników Active Directory dla naszego projektu. Więc musimy utworzyć oddzielne konto logowania dla każdego użytkownika Active Directory w SQL Server, zamiast tworzyć osobne konto logowania dla każdego użytkownika AD. Czy istnieje sposób na użycie grupy użytkowników Active Directory w SQL Server?
Odpowiedzi:
W programie SQL Server Management Studio przejdź do Object Explorer > (your server) > Security > Loginsi kliknij prawym przyciskiem myszy New Login:
Następnie w wyskakującym oknie dialogowym wybierz typy obiektów, które chcesz zobaczyć ( Groupsjest domyślnie wyłączone - zaznacz to!) I wybierz lokalizację, w której chcesz szukać swoich obiektów (np. Użyj Entire Directory), a następnie znajdź swoją grupę AD .
Masz teraz zwykłe logowanie do programu SQL Server - tak samo, jak podczas tworzenia konta dla pojedynczego użytkownika usługi AD. Nadaj temu nowemu loginowi uprawnienia w bazach danych, których potrzebuje i gotowe!
Każdy członek tej grupy AD może teraz zalogować się do SQL Server i korzystać z bazy danych.
Możesz użyć T-SQL:
use master
GO
CREATE LOGIN [NT AUTHORITY\LOCALSERVICE] FROM WINDOWS WITH
DEFAULT_DATABASE=yourDbName
GO
CREATE LOGIN [NT AUTHORITY\NETWORKSERVICE] FROM WINDOWS WITH
DEFAULT_DATABASE=yourDbNameUżywam tego jako części przywracania z serwera produkcyjnego na maszynę testującą:
USE master
GO
ALTER DATABASE yourDbName SET OFFLINE WITH ROLLBACK IMMEDIATE
RESTORE DATABASE yourDbName FROM DISK = 'd:\DropBox\backup\myDB.bak'
ALTER DATABASE yourDbName SET ONLINE
GO
CREATE LOGIN [NT AUTHORITY\LOCALSERVICE] FROM WINDOWS WITH
DEFAULT_DATABASE=yourDbName
GO
CREATE LOGIN [NT AUTHORITY\NETWORKSERVICE] FROM WINDOWS WITH
DEFAULT_DATABASE=yourDbName
GOBędziesz musiał użyć zlokalizowanej nazwy usług w przypadku niemieckiego lub francuskiego systemu Windows, zobacz Jak utworzyć login SQL Server dla konta usługi w systemie Windows innym niż angielski?
CREATE LOGIN ... WITH DEFAULT_SCHEMAkropki ... muszą odnosić się do określonej grupy reklam. Mamy kilka grup i chcielibyśmy dać grupie active directory accountantsdostęp do schematu „A”, ale nie do schematu „B” i „C”. Podobnie grupa „billing” powinna mieć dostęp tylko do schematu „B”. Jako frontend używamy dostępu msft.
Przejdź do SQL Server Management Studio, przejdź do Security, przejdź do Logins i kliknij prawym przyciskiem myszy. Pojawi się menu z przyciskiem „Nowe logowanie”. Tam będziesz mógł dodawać użytkowników i / lub grupy z Active Directory do swoich „uprawnień” SQL Server. Mam nadzieję że to pomoże
Oto moja obserwacja. Utworzyłem login (tylko do odczytu) dla konta użytkownika grupy Windows (AD), ale działa on wyzywająco na różnych serwerach SQL. Na serwerach SQl, że użytkownicy nie widzą baz danych, dodałem sprawdzoną definicję widoku, a także dałem uprawnienia wykonywania bazy danych do głównej bazy danych, aby uniknąć błędu 229. Nie mam tego problemu, jeśli utworzę login dla użytkownika.