Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Создание user в БД, который включен в группу AD  [new]
AngryError
Member

Откуда:
Сообщений: 44
Всем привет!
Интересует такой вопрос:
На уровне сервера создан логин - группа пользователей Active Directory
Имеется несколько баз, и у каждой базы есть свой администратор.
Можно ли создать на уровне базы юзера Windows, выдать на него права и привязать его к тому логину?

Вопрос связан с тем, что хотим уйти от постоянного создания новых юзеров, и просто включать их в группы Windows.
Но сходу не получилось решить задачу с разделением прав этой группы.
Или придется под каждую базу делать свою группу AD ?
19 окт 18, 11:50    [21708824]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7399
AngryError,

можно, почему же нельзя. можно Создать группы в каждой базе со своими правами и добавить в них пользователя, отображенного на доменную группу, которая указывается в качестве имени входа.
19 окт 18, 15:32    [21709261]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
aleks222
Member

Откуда:
Сообщений: 851
Владислав Колосов
AngryError,

можно, почему же нельзя. можно Создать группы в каждой базе со своими правами и добавить в них пользователя, отображенного на доменную группу, которая указывается в качестве имени входа.


Не, низзя.
"на уровне базы юзера Windows" нет и быть не может.
19 окт 18, 15:37    [21709269]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
aleks222
Не, низзя.
"на уровне базы юзера Windows" нет и быть не может.

может.
Contained databases, SQL Server 2012 and above
19 окт 18, 16:03    [21709304]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
aleks222
Member

Откуда:
Сообщений: 851
Yasha123
aleks222
Не, низзя.
"на уровне базы юзера Windows" нет и быть не может.

может.
Contained databases, SQL Server 2012 and above

Может ты ишо расскажешь как "привязать его к тому логину"?
19 окт 18, 16:28    [21709329]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
aleks222
Yasha123
пропущено...

может.
Contained databases, SQL Server 2012 and above

Может ты ишо расскажешь как "привязать его к тому логину"?

а логин и не нужен в этом случае вообще.
база авторизует юзера, AD группу в данном случае
19 окт 18, 19:17    [21709483]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Сон Веры Павловны
Member

Откуда:
Сообщений: 5633
Yasha123
aleks222
пропущено...

Может ты ишо расскажешь как "привязать его к тому логину"?

а логин и не нужен в этом случае вообще.
база авторизует юзера, AD группу в данном случае

А 2012-й сервер тут тогда каким боком? Это делается с доисторических времен. У меня под рукой рабочий 2005-й сервер, где всё именно так и происходит.
19 окт 18, 20:18    [21709518]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
Сон Веры Павловны,
в 2005ом есть contained databases?
и авторизация самой базой?
и у вас есть виндовые юзеры в базе без соответствующих логинов?
какие новости...
19 окт 18, 21:36    [21709559]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
aleks222
Yasha123
пропущено...

может.
Contained databases, SQL Server 2012 and above

Может ты ишо расскажешь как "привязать его к тому логину"?
CREATE USER [DOMAIN\ACCOUNT] WITHOUT LOGIN
Забавно конечно. То есть можно добавить одну группу в качестве логина и совсем другую как пользователя базы и для тех аккаунтов которые в обеих группах все будет работать. Но только вот потом следующий ДБА будет долго ломать голову, у кого же на что есть доступ и каким образом. Особенно учитывая то что xp_logininfo покажет только ту группу которая добавлена как логин и возможно не имеет вообще никаких прав на базы.

А у кого нибудь есть скрипт чтобы узнать эффективные права пользователя в таком случае?
19 окт 18, 21:46    [21709562]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
Mind
aleks222
пропущено...

Может ты ишо расскажешь как "привязать его к тому логину"?
CREATE USER [DOMAIN\ACCOUNT] WITHOUT LOGIN
Забавно конечно. То есть можно добавить одну группу в качестве логина и совсем другую как пользователя базы и для тех аккаунтов которые в обеих группах все будет работать. Но только вот потом следующий ДБА будет долго ломать голову, у кого же на что есть доступ и каким образом. Особенно учитывая то что xp_logininfo покажет только ту группу которая добавлена как логин и возможно не имеет вообще никаких прав на базы.

А у кого нибудь есть скрипт чтобы узнать эффективные права пользователя в таком случае?

наверное имперсонэйтить юзера и опрашивать права через fn_my_permissions.
а чтобы понять, откуда что, опросить sys. user_token и sys. login_token
19 окт 18, 21:59    [21709570]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Yasha123
а чтобы понять, откуда что, опросить sys.user_token и sys.login_token
Спасибо. Почему то не знал про такие таблицы.

Yasha123
в 2005ом есть contained databases?
и авторизация самой базой?
А какая связь с contained databases? Да и зачем в данном случае авторизация на уровне базы? Сервер все разруливает.
Yasha123
и у вас есть виндовые юзеры в базе без соответствующих логинов?
Только что проверил на 2008R2, где еще не было contained databases. Все работает.
Yasha123
какие новости...
Ну вот такой сегодня день, все узнают что-то новое для себя.
19 окт 18, 23:59    [21709618]     Ответить | Цитировать Сообщить модератору
 Re: Создание user в БД, который включен в группу AD  [new]
Yasha123
Member

Откуда:
Сообщений: 1833
[quot Mind]
Yasha123
Yasha123
в 2005ом есть contained databases?
и авторизация самой базой?
А какая связь с contained databases? Да и зачем в данном случае авторизация на уровне базы? Сервер все разруливает.

в данном случае contained databases не нужны.
но ведь мой ответ адресован НЕ автору топика.
у меня же приведена цитата, разве не видно?
я отвечаю на категоричное заявление
aleks222
"на уровне базы юзера Windows" нет и быть не может.
22 окт 18, 09:31    [21710711]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить