Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des privilèges liés à l'appartenance à un groupe de sécurité AD
Hériter des privilèges au niveau du serveur
Les utilisateurs AD membres d'un groupe de sécurité AD donné hériteront des privilèges de niveau serveur accordés à la connexion au groupe Windows mappé. Par exemple, considérez le groupe de sécurité accounts-group
AD, qui est autorisé à appartenir au rôle de sysadmin
serveur sur Babelfish. Vous pouvez hériter des privilèges au niveau du serveur à l'aide de la commande suivante :
1>
ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];
Par conséquent, tout utilisateur Active Directory membre du groupe de sécurité accounts-group
AD héritera des privilèges de niveau serveur associés au rôle. sysadmin
Cela signifie qu'un utilisateurcorp\user1
, en tant que membre deaccounts-group
, aura désormais la possibilité d'effectuer des opérations au niveau du serveur dans Babelfish.
Note
Pour fonctionner au niveau du serveurDDLs, l'identifiant Windows de chaque utilisateur AD doit exister. Pour de plus amples informations, veuillez consulter Limites.
Hériter des privilèges au niveau de la base de données
Pour accorder des privilèges au niveau de la base de données, un utilisateur de base de données doit être créé et mappé avec un identifiant de groupe Windows. Les utilisateurs AD membres d'un groupe de sécurité AD donné hériteront des privilèges au niveau de la base de données accordés à cet utilisateur de base de données. Dans l'exemple suivant, vous pouvez voir comment les privilèges au niveau de la base de données sont attribués au groupe Windows [corp \ accounts-group].
1>
CREATE DATABASE db1;2>
GO1>
USE db1;2>
GO Changed database context to 'db1'.1>
CREATE TABLE dbo.t1(a int);2>
GO
Créez un utilisateur de base de données [corp \ sales-group] pour la connexion au groupe Windows [corp \ accounts-group]. Pour effectuer cette étape, connectez-vous via le TDS point de terminaison en utilisant login qui est membre de sysadmin.
1>
CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group];2>
GO
Maintenant, connectez-vous en tant qu'utilisateur AD user1 pour vérifier l'accès à la table t1. Comme nous n'avons pas encore accordé les privilèges au niveau de la base de données, cela entraînera une erreur de refus d'autorisation.
1>
SELECT * FROM dbo.t1;2>
GO Msg 33557097, Level 16, State 1, Server db-inst, Line 1 permission denied for table t1
SELECTOctroi sur la table t1 à l'utilisateur de base de données [corp \ accounts-group]. Pour effectuer cette étape, connectez-vous via le point de TDS terminaison en utilisant login qui est membre de sysadmin.
1>
GRANT SELECT ON dbo.t1 TO [corp\accounts-group];2>
GO
Connectez-vous en tant qu'utilisateur AD user1 pour valider l'accès.
1>
SELECT * FROM dbo.t1;2>
GO a ----------- (0 rows affected)