Ich habe in AD eine Gruppe mit dem Namen "DomainSQL" erstelltAdmins ", bestehend aus 3 hochrangigen Mitarbeitern und 2 generischen Benutzernamen (mit sehr starken Passwörtern). Diese Gruppe wurde zu den verschiedenen SQL-Servern hinzugefügt und erhielt Rechte.
Meine Frage - Gibt es eine Möglichkeit, einen der generischen Benutzernamen herunterzuschreiben, um nur auf einem bestimmten Server zu lesen?
Beispiel: Gewünschte Ergebnisse - innerhalb dieser Gruppe "DomainSQL-Administratoren":
- DomainJDoe (Sysadmin)
- DomainJSmith (Sysadmin)
- DomainDJones (Sysadmin)
- DomainServerUser (sysadmin)
- DomainJobRunner (schreibgeschützt)
Ich denke, ich muss möglicherweise den schreibgeschützten Benutzer entfernen und eine neue Gruppe erstellen / diesen Benutzer speziell für jeden fraglichen Server hinzufügen.
Vielen Dank.
SQL 2008 R2
Antworten:
1 für die Antwort № 1Da Sie AD-Gruppen zum Erstellen von Anmeldungen verwendet habenund Erlaubnis / zugewiesene Rollen. Wenn ein Benutzer Mitglied einer Gruppe ist, werden ihm alle Berechtigungen / Rollen zugewiesen. Selbst wenn Sie für diesen Benutzer ein separates Login erstellen und Berechtigungen für diese individuelle Login-Ebene entfernen, hat dieser Benutzer immer noch Berechtigungen, da er Mitglied einer Gruppe ist, die über alle Berechtigungen verfügt.
Sie müssen diesen Benutzer aus der AD-Gruppe entfernen. Erstellen Sie eine weitere Gruppe mit Leseberechtigung, oder erstellen Sie ein Login mit der Berechtigung dieses Benutzers, und geben Sie diesem Benutzer nur Leseberechtigung.