Gerenciando usuários do SQL Server por meio de grupos de diretórios ativos

Question

Gerenciando usuários do SQL Server por meio de grupos de diretórios ativos

#1 resposta do (3 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

2

Estou criando uma instância do SQL Server para fins de relatório. Meu plano é usar grupos do AD para logins de servidor e banco de dados. Eu tenho vários grupos com diferentes funções (admin, desenvolvedor, usuário, etc.) e gostaria de mapear essas funções para as funções de banco de dados do SQL Server (db_owner, db_datawriter etc.). Quais são os prós e contras de usar grupos de AD para logins? Que tipo de problemas você notou?

sql active-directory windows-server-2008 sql-server sql-server-2008

por hyty 09.06.2010 / 17:30

3 respostas

1

O gerenciamento de grupos do Active Directory também pode ser delegado a administradores que não são do Active Directory, o que pode ser um recurso prático, exceto em uma ferramenta de gerenciamento de aplicativos.

por 12.06.2010 / 00:02

0

Os maiores problemas que eu enfrentei são aplicativos de terceiros que não suportam autenticação AD e insistem em usar a autenticação SQL, geralmente com logins criativos como admin / admin; Exceto que, o único outro problema é que você não tem visibilidade total no servidor SQL de quem tem acesso aos bancos de dados, você só vê o grupo, ou vê os usuários quando eles estão ativos, ou se eles possuem objetos. Mas, desde que o seu DBA tenha acesso ao Active Directory, se ele precisar de informações no nível do usuário, é um problema muito pequeno.

por 09.06.2010 / 18:03

Tags sql active-directory windows-server-2008 sql-server sql-server-2008

Os servidores ARR no pool de balanceamento de carga passam automaticamente do indisponível para o disponível Evento 4098, 0x80070533 Falha de logon: conta atualmente desativada?

score 3 · Accepted Answer

Além da sobrecarga de ter que gerenciar o AD em primeiro lugar, não acho que haja algum cons. Usando as credenciais de login do Windows para o SQL Server, particularmente na maneira como você está falando com grupos de funções organizados, é certamente uma recomendação de práticas recomendadas da Microsoft. Se eles tivessem o seu caminho, eles teriam a opção de autenticação do SQL Server completamente.

Adendo:

Se você estiver usando o SQL 2005 ou superior, use a opção Esquema Padrão (não pense que há uma opção de GUI para isso), por:

ALTER USER userName  
     WITH <set_item> [ ,...n ]

<set_item> ::= 
     NAME = newUserName 
     | DEFAULT_SCHEMA = schemaName
     | LOGIN = loginName

ou seja:

ALTER USER DOMAIN\UserName DEFAULT_SCHEMA = dbo;
GO