SQL Server - Authentification de groupe Windows
J'essaie de comprendre comment créer un accès au groupe Windows à une base de données SQL Server (2012) de la bonne manière. J'ai pu ajouter avec succès un groupe Windows à la connexion au serveur et j'ai un rôle défini auquel j'aimerais avoir le groupe mappé. Ma question est que SQL Server a-t-il besoin d'un utilisateur créé et mappé sur le groupe Windows pour permettre aux utilisateurs de l'authentification Windows Accédant à la base de données? Si tel est le cas, il faut être par utilisateur ou peut-je simplement avoir un seul nom d'utilisateur pour la connexion de groupe Windows.
Juste pour démontrer comment j'ai la mise en place actuelle:
Windows Group Name -> domain\AdminGroup
Database Name -> XYZ
DB Login Name -> domain\AdminGroup
DB Role -> xyzAdmin
User Name -> xyzAdminUser (mapped to Role: xyzAdmin and Login: domain\AdminGroup)
Actuellement, j'ai créé un utilisateur générique (non individuel pour chaque utilisateur du groupe) et la mappé sur le login du groupe Windows. Mais je ne suis pas sûr de savoir pourquoi cette étape est requise puisqu'il s'agit d'une authentification Windows. Est-ce que quelque chose de plus d'une nécessité d'avoir une mappage explicite de la connexion au nom d'utilisateur que SQL servir nécessite? Je ne sais pas si SQL Server pourrait gérer cela implicitement dans les coulisses s'il existe une option pour mapper un groupe Windows Connectez-vous à un rôle de base de données. La raison pour laquelle je demande est, si un nom d'utilisateur doit être créé explicitement pour le groupe Windows dans son ensemble ou pour les utilisateurs individuels, je ne suis pas vraiment sûr de si j'aura besoin de l'utiliser car il s'agit d'une authentification Windows basée sur Windows. Contrairement à d'autres identifiants où j'utilise mon nom d'utilisateur et mon mot de passe pour authentifier.
Je vais essayer de collecter les informations et d'essayer de répondre à des questions spécifiques que j'ai eues.
Ce que je comprends, c'est que vous pouvez mapper un identifiant (principal du serveur) à un rôle de base de données (principale de base de la base de données) via l'option ou le script de mappage utilisateur. Ce que SQL Server réalise lorsque vous essayez de mapper une connexion à une base de données, cela vous indique une liste d'adhésions (rôles) disponibles pour choisir dans cette base de données. Si vous en sélectionnez un, le rôle correspondant est mappé sur un nouvel utilisateur que SQL Server crée implicitement pour vous. La colonne utilisateur de la section Mappage d'utilisateurs des propriétés de connexion sera remplie avec le nom de connexion (nom utilisateur Windows ou Windows Name) par défaut pouvant être modifié si nécessaire. Une fois confirmée, SQL Server crée automatiquement le nouvel objet utilisateur de la base de données.
En bref, pour une connexion SQL Server basée sur Windows, il n'est pas nécessaire de créer une création explicite de l'objet utilisateur, car cela sera automatiquement pris en charge par SQL Server lors du processus de sélection de l'adhésion requise lors du mappage de la base de données pour votre identifiant.
Bien que quelques années, celles-ci postes fourniront une bonne idée des bases de la sécurité.
Vous avez eu raison de créer le groupe de sécurité de domaine Windows. Ajouter des comptes de domaine Windows à ce groupe de sécurité selon les besoins. Vous avez eu raison de créer une connexion SQL pour le groupe de domaine Windows. SQL autorisera l'authentification par tout membre de ce groupe de domaine Windows. Plus rien n'est requis jusqu'à la création de la connexion SQL. Définissez les autorisations selon les besoins dans SQL Server.
Avez-vous testé votre configuration? Quels problèmes rencontrez-vous?
En utilisant l'authentification Windows, les groupes Windows peuvent être créés au niveau du domaine et une connexion peut être créée sur SQL Server pour l'ensemble du groupe. La gestion de l'accès du niveau de domaine peut simplifier l'administration de compte.