Windows用户权限与任何SQL Server GRANT集之间的区别似乎是不相关的概念.通常情况下,似乎实际上是使用伪登录实现数据库角色; 但是这并没有有效地映射回Windows权限.假设单一登录身份验证,为什么不尽量使用最简单的数据库角色呢?
编辑:
到目前为止,我们已经获得了您不需要在应用程序中存储密码的单一好处; 但这似乎更像是一个微不足道的有益结果而不是设计目标; 还有很多其他更直接的方法来实现这一点,而不是紧密耦合两个宇宙的整个安全设备.
再次编辑:
除了单一登录和SD维护组的能力之外,没有其他人有任何建议的好处,从而复制SQL Server中已存在的组(基于相同的用户登录)的功能吗?
小组问题有几个缺陷,包括假设AD经理被认为同样有资格维持两者; 它不包括任何不属于AD的网络连接(从而将您锁定为MS技术.)
并且以最佳实践术语来说,你已经建立了系统的耦合,这通常被认为是一件坏事.
其中许多已经说过或类似于之前的答案......使用AD集成:
a)我不必担心有权访问任何给定应用程序的用户,我可以将其传递给安全人员.
b)我可以根据已经存在的组限制表级访问,以及强制标准用户只能调用存储过程.
c)当开发人员离开我的小组时,我们不必更改所有数据库密码(即,如果您关心数据安全性......)
d)根据进行更改的用户,可以轻松进行自定义日志记录.还有其他方法可以做到这一点,但我只是在懒惰.
e)与IIS身份验证集成.如果您已经在内部网上使用IE和IIS,这只会让生活变得更轻松.
注意:有更多的理由不使用它,我从来没有在我现在的位置之前使用它.在这里,所有内容都已在AD中排成一列......这是我用过数据库安全的最简单的时间.
当使用集成安全性时,您的应用程序不需要知道任何事情或处理任何有关安全性的事情,如果用户已经登录到您的域,他们也不需要登录您的应用程序(假设您已经模仿)设置正确).
最大的优势是必须使用AD组作为SQL Server中的登录.通过这种方式,您可以访问"帐户"组中的所有人访问一组sprocs,表等,并且"Managers"组中的每个人都可以访问不同的集合,所有这些都使用AD.您的系统管理员无需跳转到Management Studio即可授予用户对您应用的访问权限.
京公网安备 11010802040832号 | 京ICP备19059560号-6 