Memanfaatkan hak istimewa keanggotaan grup keamanan AD - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memanfaatkan hak istimewa keanggotaan grup keamanan AD

Mewarisi hak istimewa tingkat server

Pengguna AD yang merupakan anggota grup keamanan AD yang diberikan akan mewarisi hak istimewa tingkat server yang diberikan kepada login grup Windows yang dipetakan. Misalnya, pertimbangkan grup keamanan accounts-group AD, yang diberikan keanggotaan ke peran sysadmin server di Babelfish. Anda dapat mewarisi hak istimewa tingkat server menggunakan perintah berikut:

1> ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];

Akibatnya, setiap pengguna Active Directory yang merupakan anggota grup keamanan accounts-group AD akan mewarisi hak istimewa tingkat server yang terkait dengan peran tersebut. sysadmin Ini berarti bahwa pengguna seperticorp\user1, menjadi anggotaaccounts-group, sekarang akan memiliki kemampuan untuk melakukan operasi tingkat server dalam Babelfish.

catatan

Untuk melakukan tingkat serverDDLs, login Windows untuk pengguna AD individu harus ada. Untuk informasi selengkapnya, lihat Batasan.

Mewarisi hak istimewa tingkat basis data

Untuk memberikan hak istimewa tingkat database, pengguna database harus dibuat dan dipetakan dengan login grup Windows. Pengguna AD yang merupakan anggota grup keamanan AD yang diberikan akan mewarisi hak istimewa tingkat database yang diberikan kepada pengguna database tersebut. Dalam contoh berikut, Anda dapat melihat bagaimana hak istimewa tingkat basis data untuk grup Windows [corp\ accounts-group] ditetapkan.

1> CREATE DATABASE db1; 2> GO 1> USE db1; 2> GO Changed database context to 'db1'. 1> CREATE TABLE dbo.t1(a int); 2> GO

Buat pengguna database [corp\ sales-group] untuk login grup Windows [corp\ accounts-group]. Untuk melakukan langkah ini, hubungkan melalui TDS endpoint menggunakan login yang merupakan anggota sysadmin.

1> CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group]; 2> GO

Sekarang, hubungkan sebagai pengguna AD user1 untuk memeriksa akses tabel t1. Karena kami belum memberikan hak istimewa tingkat basis data, itu akan menghasilkan kesalahan izin ditolak.

1> SELECT * FROM dbo.t1; 2> GO Msg 33557097, Level 16, State 1, Server db-inst, Line 1 permission denied for table t1

Berikan SELECT pada tabel t1 kepada pengguna database [corp\ accounts-group]. Untuk melakukan langkah ini, hubungkan melalui TDS endpoint menggunakan login yang merupakan anggota sysadmin.

1> GRANT SELECT ON dbo.t1 TO [corp\accounts-group]; 2> GO

Connect as AD user user1 untuk memvalidasi akses.

1> SELECT * FROM dbo.t1; 2> GO a ----------- (0 rows affected)