보고 목적으로 SQL Server 인스턴스를 구축 중입니다. 내 계획은 서버 및 데이터베이스 로그인에 AD 그룹을 사용하는 것입니다. 다양한 역할(관리자, 개발자, 사용자 등)을 가진 여러 그룹이 있고 이러한 역할을 SQL Server 데이터베이스 역할(db_owner, db_datawriter 등)에 매핑하고 싶습니다. 로그인에 AD 그룹을 사용할 때의 장단점은 무엇입니까? 어떤 종류의 문제를 발견했나요?
답변1
애초에 AD를 관리해야 하는 오버헤드 외에는 단점이 없다고 생각합니다. SQL Server용 Windows 로그인 자격 증명을 사용하는 것은 특히 조직화된 역할 그룹과 관련하여 이야기하는 방식으로 Microsoft에서 권장하는 모범 사례입니다. 원하는 대로라면 SQL Server 인증 옵션을 완전히 제거할 것입니다.
부록:
SQL 2005 이상을 사용하는 경우 다음과 같이 기본 스키마 옵션을 사용하십시오(이에 대한 GUI 옵션은 없다고 생각하십시오).
ALTER USER userName
WITH <set_item> [ ,...n ]
<set_item> ::=
NAME = newUserName
| DEFAULT_SCHEMA = schemaName
| LOGIN = loginName
즉:
ALTER USER DOMAIN\UserName DEFAULT_SCHEMA = dbo;
GO
답변2
Active Directory 그룹 관리는 Active Directory 관리자가 아닌 사람에게 위임할 수도 있습니다. 이는 응용 프로그램 관리 도구가 아닌 편리한 기능이 될 수 있습니다.
답변3
내가 겪은 가장 큰 단점은 AD 인증을 지원하지 않고 일반적으로 관리자/관리자와 같은 창의적인 로그인을 사용하여 SQL 인증을 사용하도록 요구하는 타사 앱입니다. 이를 제외하고 유일한 다른 문제는 누가 데이터베이스에 액세스할 수 있는지 SQL 서버에서 완전히 볼 수 없고 그룹만 볼 수 있거나 사용자가 활성 상태일 때 또는 개체를 소유하고 있는지 여부만 볼 수 있다는 것입니다. 그러나 사용자 수준 정보가 필요한 경우 DBA가 Active Directory에 액세스할 수 있는 한 이는 매우 사소한 문제입니다.