Problema de estratégia de autenticação somente no Windows do SQL Server

2

Eu gostaria de usar a autenticação somente do Windows no SQL Server para nossos aplicativos da Web. No passado, sempre criamos o 1 Login SQL poderoso para o aplicativo da web. Depois de fazer alguns testes iniciais, decidimos criar grupos do Windows Active Directory que imitam as funções de segurança do aplicativo (por exemplo, Administradores, Gerentes, Usuários / Operadores, etc ...) Criamos logins mapeados no SQL Server para esses grupos e lhes deu acesso ao banco de dados para o aplicativo. Além disso, criamos as funções de banco de dados do SQL Server e atribuímos a cada grupo a função apropriada. Isso está funcionando muito bem. Meu problema gira em torno de que, para a maioria dos aplicativos, todos na empresa devem ter acesso de leitura aos relatórios (e, portanto, aos dados). Tanto quanto eu posso dizer, eu tenho duas opções: 1) Crie um "role" de grupo de AD somente leitura / visualizador para cada aplicativo e coloque todos nele. 2) Use o (s) grupo (s) "domain \ domain users" e atribua a eles as funções corretas no SQL. Qual é a melhor e / ou a maneira mais fácil de permitir que todos tenham acesso a objetos de banco de dados específicos usando um método de autenticação somente do Windows?

    
por Mike Thien 18.03.2010 / 16:10

2 respostas

2

A opção 1 é sua melhor aposta.

Conceder acesso ao público não é uma boa ideia. Pode ser o caso de um usuário alterar as funções do trabalho e, nesse momento, você não desejaria que a função Pública tivesse acesso aos seus dados. A menos que seja o caso de que TODAS as pessoas da sua organização tenham acesso ao seu aplicativo.

Criar um grupo e atribuí-lo à função datareader não é necessariamente uma boa ideia, pois pode haver dados que você não quer que todos na função leiam (portanto, sua especificação "objetos específicos de banco de dados").

Se você criar um grupo e, em seguida, conceder acesso SELECT / EXECUTE / etc aos objetos em questão, isso deverá ser feito para você.

    
por 18.03.2010 / 16:47
0

Você sempre pode conceder acesso a vários objetos protegíveis à função de servidor Público. A menos que privilégios concedidos ou negados especificamente, o usuário a cada herda as permissões concedidas ao público.

    
por 18.03.2010 / 16:39