Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo dei privilegi di appartenenza al gruppo di sicurezza AD
Ereditazione dei privilegi a livello di server
Gli utenti AD che sono membri di un determinato gruppo di sicurezza AD erediteranno i privilegi a livello di server concessi all'accesso del gruppo Windows mappato. Ad esempio, si consideri il gruppo di sicurezza accounts-group
AD, a cui viene concessa l'appartenenza al ruolo sysadmin
server su Babelfish. È possibile ereditare i privilegi a livello di server utilizzando il seguente comando:
1>
ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];
Di conseguenza, qualsiasi utente di Active Directory che è membro del gruppo di sicurezza accounts-group
AD erediterà i privilegi a livello di server associati al ruolo. sysadmin
Ciò significa che un utente di cui fa parte ora avrà la possibilità di accounts-group
eseguire operazioni a livello di server all'interno di Babelfish. corp\user1
Nota
Per eseguire l'accesso a livello di serverDDLs, è necessario che esista l'accesso a Windows per singoli utenti AD. Per ulteriori informazioni, consulta Limitazioni.
Ereditazione dei privilegi a livello di database
Per concedere i privilegi a livello di database, è necessario creare e mappare un utente del database con l'accesso di gruppo di Windows. Gli utenti AD che sono membri di un determinato gruppo di sicurezza AD erediteranno i privilegi a livello di database concessi a tale utente del database. Nell'esempio seguente, puoi vedere come vengono assegnati i privilegi a livello di database per il gruppo Windows [corp\ accounts-group].
1>
CREATE DATABASE db1;2>
GO1>
USE db1;2>
GO Changed database context to 'db1'.1>
CREATE TABLE dbo.t1(a int);2>
GO
Crea un utente del database [corp\ sales-group] per l'accesso al gruppo Windows [corp\ accounts-group]. Per eseguire questo passaggio, connettiti tramite TDS endpoint utilizzando login who is a member of sysadmin.
1>
CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group];2>
GO
Ora, connettiti come utente AD user1 per verificare l'accesso alla tabella t1. Poiché non abbiamo ancora concesso i privilegi a livello di database, si verificherà un errore di autorizzazione negata.
1>
SELECT * FROM dbo.t1;2>
GO Msg 33557097, Level 16, State 1, Server db-inst, Line 1 permission denied for table t1
SELECTConcedi la tabella t1 all'utente del database [corp\ accounts-group]. Per eseguire questo passaggio, connettiti tramite TDS endpoint utilizzando login who is member of sysadmin.
1>
GRANT SELECT ON dbo.t1 TO [corp\accounts-group];2>
GO
Connect come utente AD1 per convalidare l'accesso.
1>
SELECT * FROM dbo.t1;2>
GO a ----------- (0 rows affected)