এসকিউএল সার্ভার ২০০৮-এ আমি কীভাবে একটি সম্পূর্ণ সক্রিয় ডিরেক্টরি গোষ্ঠী সুরক্ষা অ্যাক্সেস বরাদ্দ করব?

আমি আমার অভ্যন্তরীণ অ্যাপ্লিকেশনটির সাথে একীভূত সুরক্ষা ব্যবহার করতে চাই যা পুরোপুরি একটি ডোমেনে রয়েছে। দুর্ভাগ্যক্রমে, আমি এটি কখনই ভালভাবে কাজ করতে পারি না। আমি নির্দিষ্ট টেবিলগুলিতে পঠন / লেখার অ্যাক্সেসের জন্য একটি সম্পূর্ণ এক্সচেঞ্জ (অ্যাক্টিভ ডিরেক্টরি) গ্রুপকে এসকিউএল সার্ভারে একটি ভূমিকা নির্ধারণ করতে চাই। এইভাবে আমাকে যখনই কেউ নিয়োগ দেওয়া হয় তখনই অপারেটর তৈরি করতে বা কোনও অপারেটর মুছতে হবে না যখনই কাউকে বরখাস্ত করা হবে। এটা কি সম্ভব? এটি করার জন্য আমি কী পদক্ষেপ নেব?

• লগইন হিসাবে এডি গ্রুপ সেট করুন। এবং "লগইন" মানে সার্ভার স্তরের লগইন ব্যবহারকারী / লগইন এর AD ধারণা নয়। এসকিউএল সার্ভারের ভাষায়, এটি একটি সার্ভার স্তরের অধ্যক্ষ
• এতে কোনও ম্যাপযুক্ত ব্যবহারকারী তৈরি করুন You আপনাকে সরাসরি টেবিলগুলিতে কোনও ব্যবহারকারীর অনুমতি দেওয়া উচিত নয়। এবং "ব্যবহারকারীর" অর্থ ডাটাবেস ব্যবহারকারীর ব্যবহারকারীর AD ধারণা নয়: এসকিউএল সার্ভারে, এটি একটি "ডাটাবেস স্তর প্রধান"
• ভূমিকায় ব্যবহারকারী যুক্ত করুন (একটি "ডাটাবেস স্তরের প্রধান")
• টেবিলগুলির ভূমিকার জন্য অনুদানের অনুমতিগুলি (একটি টেবিল বা প্রোক ইত্যাদি একটি "সুরক্ষিত")

নমুনা লিপি

USE master;
GO
CREATE LOGIN [MYDOMAIN\APPLICATION SUPPORT] FROM WINDOWS;
GO
USE mydb;
GO
CREATE USER [MYDOMAIN\APPLICATION SUPPORT] FROM LOGIN [MYDOMAIN\APPLICATION SUPPORT];
GO
CREATE ROLE rSupport;
GO
EXEC sp_addrolemember 'rSupport', 'MYDOMAIN\APPLICATION SUPPORT';
GO
GRANT SELECT, INSERT,UPDATE, etc ON Mytable TO rSupport;
GO

sp_addrolememberএসকিউএল সার্ভার ২০১২ দিয়ে শুরু করে হ্রাস করা হয়েছে, যেখানে ALTER ROLEপরিবর্তে ব্যবহার করা উচিত।

একটি এডি গ্রুপে এসকিউএল সার্ভারের মধ্যে অনুমতিগুলি প্রদান অপেক্ষাকৃত সহজ। এটি টি-এসকিউএল বা ম্যানেজমেন্ট স্টুডিওর মাধ্যমে করা যেতে পারে।

উদাহরণস্বরূপ, যদি আপনার কোনও AD গ্রুপ কল করা থাকে তবে আপনি MYDOMAIN\APPLICATION SUPPORTসার্ভার স্তরে লগইন তৈরি করতে পারবেন এবং তারপরে ডেটা রিডার হিসাবে কিছুটা দানাদার অনুমতি দেওয়ার জন্য পৃথক ডাটাবেসে ম্যাপিং ব্যবহার করবেন।

আদর্শভাবে, সমস্ত অ্যাপ্লিকেশন অ্যাক্সেস সঞ্চিত প্রক্রিয়া * এর মাধ্যমে হওয়া উচিত, সুতরাং কেবলমাত্র সেই ডাটাবেসে থাকা সঞ্চিত পদ্ধতিতে কেবল অনুমতিগুলি প্রয়োগ করা দরকার।

* সুরক্ষার দৃষ্টিকোণ থেকে, নির্দিষ্ট ব্যবহারকারীকে কিছু নির্দিষ্ট ডেটা দেখার অনুমতি দেওয়ার জন্য, আপনি একটি পদ্ধতি তৈরি করতে এবং ব্যবহারকারীকে সেই পদ্ধতিতে অনুমতি কার্যকর করার অনুমতি দিতে পারেন এবং অন্য কিছু নয়। ব্যবহারকারীকে সরাসরি জিজ্ঞাসা করার অনুমতি দেওয়ার অর্থ জড়িত সমস্ত টেবিলগুলিতে নির্বাচিত অনুমতি দেওয়ার অর্থ । পদ্ধতিগুলির সাথে কাজ করা আরও সহজ এবং ডিবাগ করা সহজ।

সঞ্চিত প্রক্রিয়া বিমূর্ত ছক অ্যাক্সেস দূরে এবং অ্যাক্সেস সীমাবদ্ধ। ডিবিএ টাইপের ক্ষেত্রে এটি "আপনার সমস্ত দৃষ্টান্তের ভেরিয়েবলগুলি আমাকে দেখতে দিন: আমি পদ্ধতি, গেটর বা সেটটার ব্যবহার করতে চাই না" like

"এসকিউএল সার্ভারে লগইন হিসাবে কীভাবে অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী গোষ্ঠী যুক্ত করবেন" উত্তর দিয়ে মারক_স থেকে :

এসকিউএল সার্ভার ম্যানেজমেন্ট স্টুডিওতে যান Object Explorer > (your server) > Security > Loginsএবং ডান ক্লিক করুন New Login:

তারপরে যে ডায়লগ বাক্সটি পপ আপ হয়, আপনি যে ধরণের অবজেক্ট দেখতে চান তা বাছুন ( Groupsএটি ডিফল্টরূপে অক্ষম করা আছে - এটি পরীক্ষা করুন!) এবং আপনি যেখানে নিজের অবজেক্টগুলির সন্ধান করতে চান তা চয়ন করুন (যেমন ব্যবহার Entire Directory) এবং তারপরে আপনার AD গ্রুপটি সন্ধান করুন ।

আপনার এখন একটি নিয়মিত এসকিউএল সার্ভার লগইন রয়েছে - ঠিক যেমন কোনও একক AD ব্যবহারকারীর জন্য একটি তৈরি করার সময়। সেই নতুন লগইনটিকে প্রয়োজনীয় ডেটাবেজে অনুমতি দাও এবং আপনি চলে যান!

AD AD গ্রুপের যে কোনও সদস্য এখন এসকিউএল সার্ভারে লগইন করতে পারেন এবং আপনার ডাটাবেসটি ব্যবহার করতে পারেন।

যদি ব্যবহারকারী কোনও এসএমএল-এ সিসাদমিন কর্তৃপক্ষের একটি \ সুরক্ষা গোষ্ঠীর সদস্য হন তবে ডাটাবেসগুলি অ্যাক্সেস করার সময় এটি ব্যবহার করা হবে। অন্যথায় আপনাকে প্রতিটি ডাটাবেসে DOMAIN \ সিকিউরিটি গ্রুপ (গুলি) কী ক্ষমতা দিয়েছে তা দেখতে হবে। যদি ব্যবহারকারী 2 সিকিউরিটি গ্রুপের সদস্য হন, সেকগ্রুপের সাথে সিলেক্ট অথোরিটি রয়েছে এবং সেকগ্রুপবি সন্নিবেশনের কর্তৃত্ব রাখে, তবে ব্যবহারকারীটি নির্বাচন করে সন্নিবেশ করতে পারে।