Verwalten von SQL Server-Benutzern über Active Directory-Gruppen

Question 1

Abgesehen vom Aufwand, AD überhaupt verwalten zu müssen, gibt es meiner Meinung nach keine Nachteile. Die Verwendung von Windows-Anmeldeinformationen für SQL Server, insbesondere in der von Ihnen angesprochenen Weise mit organisierten Rollengruppen, ist sicherlich eine Best-Practice-Empfehlung von Microsoft. Wenn es nach ihnen ginge, würden sie die Option zur SQL Server-Authentifizierung vollständig entfernen.

Nachtrag:

Wenn Sie SQL 2005 oder höher verwenden, verwenden Sie die Option „Standardschema“ (glauben Sie nicht, dass es hierfür eine GUI-Option gibt), indem Sie:

ALTER USER userName  
     WITH <set_item> [ ,...n ]

<set_item> ::= 
     NAME = newUserName 
     | DEFAULT_SCHEMA = schemaName
     | LOGIN = loginName

dh:

ALTER USER DOMAIN\UserName DEFAULT_SCHEMA = dbo;
GO

Answer

Abgesehen vom Aufwand, AD überhaupt verwalten zu müssen, gibt es meiner Meinung nach keine Nachteile. Die Verwendung von Windows-Anmeldeinformationen für SQL Server, insbesondere in der von Ihnen angesprochenen Weise mit organisierten Rollengruppen, ist sicherlich eine Best-Practice-Empfehlung von Microsoft. Wenn es nach ihnen ginge, würden sie die Option zur SQL Server-Authentifizierung vollständig entfernen.

Nachtrag:

Wenn Sie SQL 2005 oder höher verwenden, verwenden Sie die Option „Standardschema“ (glauben Sie nicht, dass es hierfür eine GUI-Option gibt), indem Sie:

ALTER USER userName  
     WITH <set_item> [ ,...n ]

<set_item> ::= 
     NAME = newUserName 
     | DEFAULT_SCHEMA = schemaName
     | LOGIN = loginName

dh:

ALTER USER DOMAIN\UserName DEFAULT_SCHEMA = dbo;
GO

Question 2

Die Verwaltung von Active Directory-Gruppen kann auch an Nicht-Active Directory-Administratoren delegiert werden, was eine praktische Funktion sein kann, die kein integriertes Anwendungsverwaltungstool bietet.

Answer

Die Verwaltung von Active Directory-Gruppen kann auch an Nicht-Active Directory-Administratoren delegiert werden, was eine praktische Funktion sein kann, die kein integriertes Anwendungsverwaltungstool bietet.

Question 3

Der größte Nachteil, den ich festgestellt habe, sind Apps von Drittanbietern, die keine AD-Authentifizierung unterstützen und auf SQL-Authentifizierung bestehen, normalerweise mit kreativen Anmeldungen wie admin/admin. Abgesehen davon besteht das einzige andere Problem darin, dass Sie auf dem SQL-Server keine vollständige Übersicht darüber haben, wer Zugriff auf die Datenbanken hat. Sie sehen nur die Gruppe oder die Benutzer, wenn sie aktiv sind oder ob sie Objekte besitzen. Aber solange Ihr DBA Zugriff auf Active Directory hat, wenn er Informationen auf Benutzerebene benötigt, ist dies ein sehr kleines Problem.

Answer

Der größte Nachteil, den ich festgestellt habe, sind Apps von Drittanbietern, die keine AD-Authentifizierung unterstützen und auf SQL-Authentifizierung bestehen, normalerweise mit kreativen Anmeldungen wie admin/admin. Abgesehen davon besteht das einzige andere Problem darin, dass Sie auf dem SQL-Server keine vollständige Übersicht darüber haben, wer Zugriff auf die Datenbanken hat. Sie sehen nur die Gruppe oder die Benutzer, wenn sie aktiv sind oder ob sie Objekte besitzen. Aber solange Ihr DBA Zugriff auf Active Directory hat, wenn er Informationen auf Benutzerebene benötigt, ist dies ein sehr kleines Problem.

Verwalten von SQL Server-Benutzern über Active Directory-Gruppen

Antwort1

Nachtrag:

Antwort2

Antwort3

verwandte Informationen