Uso de los privilegios de pertenencia a un grupo de seguridad de AD - Amazon Aurora

Uso de los privilegios de pertenencia a un grupo de seguridad de AD

Cómo heredar privilegios en el nivel de servidor

Los usuarios de AD que sean miembros de un grupo de seguridad de AD determinado heredarán los privilegios del nivel de servidor otorgados al inicio de sesión del grupo de Windows asignado. Por ejemplo, al grupo de seguridad de AD accounts-group se le concede la pertenencia al rol de servidor sysadmin en Babelfish. Puede heredar los privilegios de nivel de servidor mediante el siguiente comando:

1> ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];

En consecuencia, cualquier usuario de Active Directory que sea miembro del grupo de seguridad de AD accounts-group heredará los privilegios de nivel de servidor asociados al rol sysadmin. Esto significa que un usuario como corp\user1, que es miembro de accounts-group, podrá realizar operaciones en el nivel de servidor dentro de Babelfish.

nota

Para ejecutar los DDL a nivel de servidor, debe existir el inicio de sesión de Windows para cada usuario de AD. Para obtener más información, consulte Limitaciones.

Cómo heredar privilegios en el nivel de base de datos

Para conceder los privilegios del nivel de base de datos, se debe crear y mapear un usuario de la base de datos con un inicio de sesión grupal de Windows. Los usuarios de AD que sean miembros de un grupo de seguridad de AD determinado heredarán los privilegios de nivel de base de datos otorgados a ese usuario de base de datos. En el siguiente ejemplo, puede ver cómo se asignan los privilegios de nivel de base de datos para el grupo de Windows [corp\accounts-group].

1> CREATE DATABASE db1; 2> GO 1> USE db1; 2> GO Changed database context to 'db1'. 1> CREATE TABLE dbo.t1(a int); 2> GO

Cree un usuario de base de datos [corp\sales-group] para el inicio de sesión en grupo de Windows [corp\accounts-group]. Para realizar este paso, conéctese a través del punto de conexión de TDS utilizando el inicio de sesión que sea miembro de sysadmin.

1> CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group]; 2> GO

Ahora, conéctese como user1 de AD para comprobar el acceso a la tabla t1. Como aún no hemos otorgado los privilegios del nivel de base de datos, se generará un error de permiso denegado.

1> SELECT * FROM dbo.t1; 2> GO Msg 33557097, Level 16, State 1, Server db-inst, Line 1 permission denied for table t1

Conceda SELECT en la tabla t1 al usuario de la base de datos [corp\accounts-group]. Para realizar este paso, conéctese a través del punto de conexión de TDS utilizando el inicio de sesión que sea miembro de sysadmin.

1> GRANT SELECT ON dbo.t1 TO [corp\accounts-group]; 2> GO

Conéctese como user1 de AD para validar el acceso.

1> SELECT * FROM dbo.t1; 2> GO a ----------- (0 rows affected)