Nutzung der Rechte der Mitgliedschaft in einer AD-Sicherheitsgruppe - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Nutzung der Rechte der Mitgliedschaft in einer AD-Sicherheitsgruppe

Vererbung von Rechten auf Serverebene

AD-Benutzer, die Mitglieder einer bestimmten AD-Sicherheitsgruppe sind, erben die Rechte auf Serverebene, die der zugewiesenen Windows-Gruppenanmeldung gewährt wurden. Denken Sie zum Beispiel an die accounts-group AD-Sicherheitsgruppe, der die Mitgliedschaft in der sysadmin Serverrolle auf dem Babelfish gewährt wird. Sie können die Rechte auf Serverebene mit dem folgenden Befehl erben:

1> ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];

Folglich erbt jeder Active Directory-Benutzer, der Mitglied der accounts-group AD-Sicherheitsgruppe ist, die mit der Rolle verbundenen Rechte auf Serverebene. sysadmin Das bedeutet, dass ein Benutzercorp\user1, der Mitglied von istaccounts-group, nun in Babelfish Operationen auf Serverebene ausführen kann.

Anmerkung

Um die Windows-Anmeldung auf Serverebene für einzelne AD-Benutzer ausführen zu könnenDDLs, muss ein Windows-Login vorhanden sein. Weitere Informationen finden Sie unter Einschränkungen.

Privilegien auf Datenbankebene werden vererbt

Um Rechte auf Datenbankebene zu gewähren, muss ein Datenbankbenutzer erstellt und ihm eine Windows-Gruppenanmeldung zugewiesen werden. AD-Benutzer, die Mitglieder einer bestimmten AD-Sicherheitsgruppe sind, erben die Rechte auf Datenbankebene, die diesem Datenbankbenutzer gewährt wurden. Im folgenden Beispiel können Sie sehen, wie Berechtigungen auf Datenbankebene für die Windows-Gruppe [corp\ accounts-group] zugewiesen werden.

1> CREATE DATABASE db1; 2> GO 1> USE db1; 2> GO Changed database context to 'db1'. 1> CREATE TABLE dbo.t1(a int); 2> GO

Erstellen Sie einen Datenbankbenutzer [corp\ sales-group] für die Windows-Gruppenanmeldung [corp\ accounts-group]. Um diesen Schritt auszuführen, stellen Sie eine Verbindung über den TDS Endpunkt her. Verwenden Sie dazu den Anmeldenamen, der Mitglied von Sysadmin ist.

1> CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group]; 2> GO

Stellen Sie nun eine Verbindung als AD-Benutzer user1 her, um den Zugriff auf Tabelle t1 zu überprüfen. Da wir die Rechte auf Datenbankebene noch nicht erteilt haben, wird dies zu dem Fehler „Zugriff verweigert“ führen.

1> SELECT * FROM dbo.t1; 2> GO Msg 33557097, Level 16, State 1, Server db-inst, Line 1 permission denied for table t1

Gewähren SELECT Sie dem Datenbankbenutzer [corp\ accounts-group] die Tabelle t1. Um diesen Schritt auszuführen, stellen Sie eine Verbindung über den TDS Endpunkt her. Verwenden Sie dazu den Anmeldenamen, der Mitglied von Sysadmin ist.

1> GRANT SELECT ON dbo.t1 TO [corp\accounts-group]; 2> GO

Connect als AD-Benutzer user1 her, um den Zugriff zu validieren.

1> SELECT * FROM dbo.t1; 2> GO a ----------- (0 rows affected)