এসকিউএল সার্ভার ২০০৮-এ আমি কীভাবে একটি সম্পূর্ণ সক্রিয় ডিরেক্টরি গোষ্ঠী সুরক্ষা অ্যাক্সেস বরাদ্দ করব?


40

আমি আমার অভ্যন্তরীণ অ্যাপ্লিকেশনটির সাথে একীভূত সুরক্ষা ব্যবহার করতে চাই যা পুরোপুরি একটি ডোমেনে রয়েছে। দুর্ভাগ্যক্রমে, আমি এটি কখনই ভালভাবে কাজ করতে পারি না। আমি নির্দিষ্ট টেবিলগুলিতে পঠন / লেখার অ্যাক্সেসের জন্য একটি সম্পূর্ণ এক্সচেঞ্জ (অ্যাক্টিভ ডিরেক্টরি) গ্রুপকে এসকিউএল সার্ভারে একটি ভূমিকা নির্ধারণ করতে চাই। এইভাবে আমাকে যখনই কেউ নিয়োগ দেওয়া হয় তখনই অপারেটর তৈরি করতে বা কোনও অপারেটর মুছতে হবে না যখনই কাউকে বরখাস্ত করা হবে। এটা কি সম্ভব? এটি করার জন্য আমি কী পদক্ষেপ নেব?

উত্তর:


48
  • লগইন হিসাবে এডি গ্রুপ সেট করুন। এবং "লগইন" মানে সার্ভার স্তরের লগইন ব্যবহারকারী / লগইন এর AD ধারণা নয়। এসকিউএল সার্ভারের ভাষায়, এটি একটি সার্ভার স্তরের অধ্যক্ষ
  • এতে কোনও ম্যাপযুক্ত ব্যবহারকারী তৈরি করুন You আপনাকে সরাসরি টেবিলগুলিতে কোনও ব্যবহারকারীর অনুমতি দেওয়া উচিত নয়। এবং "ব্যবহারকারীর" অর্থ ডাটাবেস ব্যবহারকারীর ব্যবহারকারীর AD ধারণা নয়: এসকিউএল সার্ভারে, এটি একটি "ডাটাবেস স্তর প্রধান"
  • ভূমিকায় ব্যবহারকারী যুক্ত করুন (একটি "ডাটাবেস স্তরের প্রধান")
  • টেবিলগুলির ভূমিকার জন্য অনুদানের অনুমতিগুলি (একটি টেবিল বা প্রোক ইত্যাদি একটি "সুরক্ষিত")

নমুনা লিপি

USE master;
GO
CREATE LOGIN [MYDOMAIN\APPLICATION SUPPORT] FROM WINDOWS;
GO
USE mydb;
GO
CREATE USER [MYDOMAIN\APPLICATION SUPPORT] FROM LOGIN [MYDOMAIN\APPLICATION SUPPORT];
GO
CREATE ROLE rSupport;
GO
EXEC sp_addrolemember 'rSupport', 'MYDOMAIN\APPLICATION SUPPORT';
GO
GRANT SELECT, INSERT,UPDATE, etc ON Mytable TO rSupport;
GO

sp_addrolememberএসকিউএল সার্ভার ২০১২ দিয়ে শুরু করে হ্রাস করা হয়েছে, যেখানে ALTER ROLEপরিবর্তে ব্যবহার করা উচিত।


3
এসকিউএল ব্যবহারকারীদের পরিবর্তে আপনার কেন ভূমিকার জন্য অনুমতি বরাদ্দ করা উচিত (এই ক্ষেত্রে, AD গোষ্ঠীগুলি) তা বোঝাতে সহায়ক হবে।
ড্রু চ্যাপিন

সম্ভবত আপনি " লগইন থেকে" এর পরিবর্তে " ব্যবহারকারী তৈরি করুন [...] লগইন করার জন্য [...]" বলতে চান?
Agostino

ব্যবহারকারী তৈরি ... জন্য লগইন ...; এবং ব্যবহারকারী তৈরি করুন ... লগইন থেকে ...; উভয়ই আমার পক্ষে কাজ করে (এমএসএসকিউএল ২০১6)। নিশ্চিত না পার্থক্য আছে কিনা?
বিপরীত প্রকৌশলী

না, উভয়ই বৈধ ডকস.মাইক্রোসফট
en-

4

একটি এডি গ্রুপে এসকিউএল সার্ভারের মধ্যে অনুমতিগুলি প্রদান অপেক্ষাকৃত সহজ। এটি টি-এসকিউএল বা ম্যানেজমেন্ট স্টুডিওর মাধ্যমে করা যেতে পারে।

উদাহরণস্বরূপ, যদি আপনার কোনও AD গ্রুপ কল করা থাকে তবে আপনি MYDOMAIN\APPLICATION SUPPORTসার্ভার স্তরে লগইন তৈরি করতে পারবেন এবং তারপরে ডেটা রিডার হিসাবে কিছুটা দানাদার অনুমতি দেওয়ার জন্য পৃথক ডাটাবেসে ম্যাপিং ব্যবহার করবেন।

আদর্শভাবে, সমস্ত অ্যাপ্লিকেশন অ্যাক্সেস সঞ্চিত প্রক্রিয়া * এর মাধ্যমে হওয়া উচিত, সুতরাং কেবলমাত্র সেই ডাটাবেসে থাকা সঞ্চিত পদ্ধতিতে কেবল অনুমতিগুলি প্রয়োগ করা দরকার।

* সুরক্ষার দৃষ্টিকোণ থেকে, নির্দিষ্ট ব্যবহারকারীকে কিছু নির্দিষ্ট ডেটা দেখার অনুমতি দেওয়ার জন্য, আপনি একটি পদ্ধতি তৈরি করতে এবং ব্যবহারকারীকে সেই পদ্ধতিতে অনুমতি কার্যকর করার অনুমতি দিতে পারেন এবং অন্য কিছু নয়। ব্যবহারকারীকে সরাসরি জিজ্ঞাসা করার অনুমতি দেওয়ার অর্থ জড়িত সমস্ত টেবিলগুলিতে নির্বাচিত অনুমতি দেওয়ার অর্থ । পদ্ধতিগুলির সাথে কাজ করা আরও সহজ এবং ডিবাগ করা সহজ।

সঞ্চিত প্রক্রিয়া বিমূর্ত ছক অ্যাক্সেস দূরে এবং অ্যাক্সেস সীমাবদ্ধ। ডিবিএ টাইপের ক্ষেত্রে এটি "আপনার সমস্ত দৃষ্টান্তের ভেরিয়েবলগুলি আমাকে দেখতে দিন: আমি পদ্ধতি, গেটর বা সেটটার ব্যবহার করতে চাই না" like


3

"এসকিউএল সার্ভারে লগইন হিসাবে কীভাবে অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী গোষ্ঠী যুক্ত করবেন" উত্তর দিয়ে মারক_স থেকে :

এসকিউএল সার্ভার ম্যানেজমেন্ট স্টুডিওতে যান Object Explorer > (your server) > Security > Loginsএবং ডান ক্লিক করুন New Login:

এখানে চিত্র বর্ণনা লিখুন

তারপরে যে ডায়লগ বাক্সটি পপ আপ হয়, আপনি যে ধরণের অবজেক্ট দেখতে চান তা বাছুন ( Groupsএটি ডিফল্টরূপে অক্ষম করা আছে - এটি পরীক্ষা করুন!) এবং আপনি যেখানে নিজের অবজেক্টগুলির সন্ধান করতে চান তা চয়ন করুন (যেমন ব্যবহার Entire Directory) এবং তারপরে আপনার AD গ্রুপটি সন্ধান করুন ।

এখানে চিত্র বর্ণনা লিখুন

আপনার এখন একটি নিয়মিত এসকিউএল সার্ভার লগইন রয়েছে - ঠিক যেমন কোনও একক AD ব্যবহারকারীর জন্য একটি তৈরি করার সময়। সেই নতুন লগইনটিকে প্রয়োজনীয় ডেটাবেজে অনুমতি দাও এবং আপনি চলে যান!

AD AD গ্রুপের যে কোনও সদস্য এখন এসকিউএল সার্ভারে লগইন করতে পারেন এবং আপনার ডাটাবেসটি ব্যবহার করতে পারেন।


2
এই উত্তরটির সাথে লিঙ্ক করা সম্ভবত দরকারী তবে আপনি পোস্টে নতুন কিছু যুক্ত করছেন না, আপনি কি। আপনি মন্তব্য হিসাবে লিঙ্কটি পোস্ট করতে পারেন।
অ্যান্ড্রি এম

2
জবাবটি অবজেক্ট টাইপের অধীনে গ্রুপগুলি পরীক্ষা করার জন্য একটি দুর্দান্ত স্ক্রিনশট রয়েছে, যেহেতু আমি যখন এটি করার চেষ্টা করছিলাম তখন আমি অনুপস্থিত ছিলাম। কোনও লিঙ্ক আমার মতে এটি কার্যকর উপায়ে দেখায় না। কেবলমাত্র পরবর্তী ব্যক্তিকে সাহায্য করার চেষ্টা করা হচ্ছে ...
এমনকি মিয়েন

আপনি কি বোঝাতে চেয়েছেন? সাধারণত এটি অনুসরণ করার জন্য একটি লিঙ্ক থাকে এবং লিঙ্কটি অনুসরণকারী প্রত্যেকে আপনার যে সুন্দর স্ক্রিনশটটি নিয়ে কথা বলছেন তা দেখতে পাবেন এবং পাশাপাশি এখানে আপনি পুনরায় পোস্ট করেছেন এমন সমস্ত কিছুই দেখতে পাবে। তর্ক করা যাচ্ছে না, যদিও, আপনাকে কেবল আমার মতামত অপরিবর্তিত রয়েছে তা জানাতে: একটি লিঙ্ক (একটি মন্তব্যে) ঠিক তেমনটি করবে।
অ্যান্ড্রি এম

4
আমার মতামতও অপরিবর্তিত। একটি মন্তব্যে একটি লিঙ্ক একটি ওয়েব পৃষ্ঠায় প্রকৃত চিত্র হিসাবে একই তথ্য বহন করে না। "দেখান, বলবেন না।"
এমনকি Mien,

1

যদি ব্যবহারকারী কোনও এসএমএল-এ সিসাদমিন কর্তৃপক্ষের একটি \ সুরক্ষা গোষ্ঠীর সদস্য হন তবে ডাটাবেসগুলি অ্যাক্সেস করার সময় এটি ব্যবহার করা হবে। অন্যথায় আপনাকে প্রতিটি ডাটাবেসে DOMAIN \ সিকিউরিটি গ্রুপ (গুলি) কী ক্ষমতা দিয়েছে তা দেখতে হবে। যদি ব্যবহারকারী 2 সিকিউরিটি গ্রুপের সদস্য হন, সেকগ্রুপের সাথে সিলেক্ট অথোরিটি রয়েছে এবং সেকগ্রুপবি সন্নিবেশনের কর্তৃত্ব রাখে, তবে ব্যবহারকারীটি নির্বাচন করে সন্নিবেশ করতে পারে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.