Должен ли я создавать аутентифицированные логины NT, сопоставленные с группами Active Directory?

Question

Мы хотим использовать группы Active Directory для ограничения доступа к базам данных SQL Server 2005.Я вижу, что вы можете создать Имя входа в SQL (используя проверку подлинности Windows), сопоставленное с группой AD, но это хорошая идея?Очевидное преимущество заключается в том, что мы сможем поддерживать членство в группах через AD, что мы уже делаем для доступа к сети и различных приложений. Есть ли другие преимущества?А как насчет недостатков? Я полагаю, что это может немного усложниться, если пользователь AD принадлежит к нескольким группам AD, которые существуют как отдельные логины.

Мой текущий план по созданию схем для размещения различных групп защищаемой базы данных.объекты.Тогда я бы создал пользователей с соответствующей схемой по умолчанию и предоставил бы доступ к другим схемам только в том случае, если им это нужно.

Answer 1

Нельзя сопоставить «логин SQL» группе AD: вы предоставляете доступ к группе AD на уровне SQL. Я говорю это потому, что «SQL Login» подразумевает имя пользователя и пароль.

В любом случае проще управлять группами AD. А какими будут ваши альтернативы на практике?

Если пользователь входит в две группы AD, вам нужны элементы управления, чтобы проверить это. Или используйте триггер входа в систему для проверки нескольких участников и отклонения доступа

Answer 2

SQL Server поддерживает два типа входов в систему: проверка подлинности SQL и проверка подлинности NT.Вы описываете аутентификацию NT.В течение многих лет Microsoft, отраслевые эксперты и почти все прочитанные книги настоятельно рекомендовали использовать только NT-аутентификацию, а , а не - вообще использовать SQL-аутентификацию.Фактически вы можете отключить аутентификацию SQL, но не можете отключить аутентификацию NT.

Другими словами, да, это путь.