Предоставление разрешений в пределах SQL Server группе AD является относительно простым. Это можно сделать либо через T-SQL, либо через Management Studio.
Например, если у вас вызвана группа AD MYDOMAIN\APPLICATION SUPPORT
, вы должны создать имя входа на уровне сервера, а затем использовать сопоставления с отдельными базами данных, чтобы предоставить немного более детальные разрешения, такие как средство чтения данных.
В идеале доступ ко всем приложениям должен осуществляться через хранимые процедуры *, поэтому требуются только разрешения на выполнение этих хранимых процедур в этой базе данных.
* С точки зрения безопасности, чтобы позволить конкретному пользователю видеть некоторые данные конкретные, вы можете создать процедуру и предоставить пользователю выполнить разрешение на эту процедуру, и ничего другого. Разрешение пользователю делать запросы напрямую означало бы предоставление разрешения на выборку для всех задействованных таблиц. Также проще работать с процедурами и легче отлаживать.
Хранимые процедуры абстрагируют доступ к таблице и ограничивают доступ. Для типов DBA это как «позвольте мне увидеть все переменные вашего экземпляра: я не хочу использовать методы, методы получения или установки».