Utilizzo dei privilegi di appartenenza al gruppo di sicurezza AD - Amazon Aurora

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei privilegi di appartenenza al gruppo di sicurezza AD

Ereditazione dei privilegi a livello di server

Gli utenti AD che sono membri di un determinato gruppo di sicurezza AD erediteranno i privilegi a livello di server concessi all'accesso del gruppo Windows mappato. Ad esempio, si consideri il gruppo di sicurezza accounts-group AD, a cui viene concessa l'appartenenza al ruolo sysadmin server su Babelfish. È possibile ereditare i privilegi a livello di server utilizzando il seguente comando:

1> ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];

Di conseguenza, qualsiasi utente di Active Directory che è membro del gruppo di sicurezza accounts-group AD erediterà i privilegi a livello di server associati al ruolo. sysadmin Ciò significa che un utente di cui fa parte ora avrà la possibilità di accounts-group eseguire operazioni a livello di server all'interno di Babelfish. corp\user1

Nota

Per eseguire l'accesso a livello di serverDDLs, è necessario che esista l'accesso a Windows per singoli utenti AD. Per ulteriori informazioni, consulta Limitazioni.

Ereditazione dei privilegi a livello di database

Per concedere i privilegi a livello di database, è necessario creare e mappare un utente del database con l'accesso di gruppo di Windows. Gli utenti AD che sono membri di un determinato gruppo di sicurezza AD erediteranno i privilegi a livello di database concessi a tale utente del database. Nell'esempio seguente, puoi vedere come vengono assegnati i privilegi a livello di database per il gruppo Windows [corp\ accounts-group].

1> CREATE DATABASE db1; 2> GO 1> USE db1; 2> GO Changed database context to 'db1'. 1> CREATE TABLE dbo.t1(a int); 2> GO

Crea un utente del database [corp\ sales-group] per l'accesso al gruppo Windows [corp\ accounts-group]. Per eseguire questo passaggio, connettiti tramite TDS endpoint utilizzando login who is a member of sysadmin.

1> CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group]; 2> GO

Ora, connettiti come utente AD user1 per verificare l'accesso alla tabella t1. Poiché non abbiamo ancora concesso i privilegi a livello di database, si verificherà un errore di autorizzazione negata.

1> SELECT * FROM dbo.t1; 2> GO Msg 33557097, Level 16, State 1, Server db-inst, Line 1 permission denied for table t1

SELECTConcedi la tabella t1 all'utente del database [corp\ accounts-group]. Per eseguire questo passaggio, connettiti tramite TDS endpoint utilizzando login who is member of sysadmin.

1> GRANT SELECT ON dbo.t1 TO [corp\accounts-group]; 2> GO

Connect come utente AD1 per convalidare l'accesso.

1> SELECT * FROM dbo.t1; 2> GO a ----------- (0 rows affected)