我应该创建映射到Active Directory组的NT Authenticated Logins吗?

时间:2010-12-21 15:13:09

标签: sql-server sql-server-2005 security active-directory

我们希望使用Active Directory组来限制对SQL Server 2005数据库的访问。我看到你可以创建一个映射到AD组的SQL登录(使用Windows身份验证),但这是一个好主意吗?显而易见的好处是我们能够通过AD维护组成员资格,我们已经为网络访问和各种应用程序做了这些工作。 还有其他好处吗?那些缺点呢?我想如果一个AD用户属于作为单独登录存在的多个AD组,它可能会有点毛茸茸。

我目前计划创建Schema以包含各种安全数据库对象组。然后,我将使用适当的默认架构创建用户,并且只在需要时才允许访问其他架构。

2 个答案:

答案 0 :(得分:1)

您无法将“SQL登录”映射到AD组:您在SQL级别授予对AD组的访问权限。我这样说是因为“SQL登录”意味着用户名和密码。

无论如何,管理AD组更容易。您的替代方案在实践中会有什么作用?

如果用户位于两个AD组中,则需要控件来检查这一点。或使用登录触发器测试多个成员身份并拒绝访问

答案 1 :(得分:0)

SQL Server支持两种登录:SQL身份验证和NT身份验证。您正在描述NT身份验证。多年来,微软,行业专家以及我读过的几本书都强烈建议仅使用NT身份验证,使用SQL身份验证。实际上,您可以禁用SQL身份验证,但不能禁用NT身份验证。

换句话说,是的,这是要走的路。