У меня есть приложение .net, которое подключается к SQL Server с помощью проверки подлинности Windows.
Мы не можем использовать аутентификацию SQL Server в приложении. У нас есть много пользователей Active Directory для нашего проекта. Таким образом, мы должны создать отдельную учетную запись для каждого пользователя Active Directory в SQL Server, а не создавать отдельную учетную запись для каждого пользователя AD. Есть ли способ использовать группу пользователей Active Directory в SQL Server?
Ответы:
В SQL Server Management Studio перейдите Object Explorer > (your server) > Security > Loginsи щелкните правой кнопкой мыши New Login:
Затем в появившемся диалоговом окне выберите типы объектов, которые вы хотите видеть ( Groupsпо умолчанию отключено - отметьте это!), И выберите место, где вы хотите искать свои объекты (например, использовать Entire Directory), а затем найдите свою группу AD. .
Теперь у вас есть обычная учетная запись SQL Server - точно так же, как когда вы создаете ее для одного пользователя AD. Дайте этому новому логину права доступа к нужным базам данных, и вперед!
Теперь любой член этой группы AD может войти в SQL Server и использовать вашу базу данных.
Вы можете использовать T-SQL:
use master
GO
CREATE LOGIN [NT AUTHORITY\LOCALSERVICE] FROM WINDOWS WITH
DEFAULT_DATABASE=yourDbName
GO
CREATE LOGIN [NT AUTHORITY\NETWORKSERVICE] FROM WINDOWS WITH
DEFAULT_DATABASE=yourDbNameЯ использую это как часть восстановления с рабочего сервера на тестовую машину:
USE master
GO
ALTER DATABASE yourDbName SET OFFLINE WITH ROLLBACK IMMEDIATE
RESTORE DATABASE yourDbName FROM DISK = 'd:\DropBox\backup\myDB.bak'
ALTER DATABASE yourDbName SET ONLINE
GO
CREATE LOGIN [NT AUTHORITY\LOCALSERVICE] FROM WINDOWS WITH
DEFAULT_DATABASE=yourDbName
GO
CREATE LOGIN [NT AUTHORITY\NETWORKSERVICE] FROM WINDOWS WITH
DEFAULT_DATABASE=yourDbName
GOВам нужно будет использовать локализованные имена служб в случае немецкой или французской Windows, см. Как создать логин SQL Server для учетной записи службы в неанглийской Windows?
CREATE LOGIN ... WITH DEFAULT_SCHEMAточки ... должны ссылаться на определенную группу объявлений. У нас есть несколько групп, и мы хотим предоставить активной группе каталогов accountantsдоступ к схеме «A», но не к схеме «B» и «C». Точно так же группа «биллинг» должна иметь доступ только к схеме «B». В качестве внешнего интерфейса мы используем доступ MSFT.
Перейдите в SQL Server Management Studio, перейдите в Security, перейдите в Logins и щелкните его правой кнопкой мыши. Появится меню с кнопкой «Новый вход». Там вы сможете добавлять пользователей и / или группы из Active Directory в «разрешения» SQL Server. Надеюсь это поможет
Вот мое наблюдение. Я создал логин (только для чтения) для учетной записи пользователя группы Windows (AD), но он демонстративно действует на разных серверах SQL. На серверах SQl, где пользователи не могут видеть базы данных, я добавил проверку определения представления, а также дал доступ к базе данных для выполнения основной базы данных, чтобы избежать ошибки 229. У меня не будет этой проблемы, если я создаю логин для пользователя.