我应该创建映射到 Active Directory 组的 NT 身份验证登录吗？

Question

我们希望使用 Active Directory 组来限制对 SQL Server 2005 数据库的访问。我看到您可以在映射到 AD 组的 SQL 中创建登录名（使用 Windows 身份验证），但这是一个好主意吗？明显的好处是我们将能够通过 AD 维护组成员身份，我们已经在网络访问和各种应用程序中这样做了。 还有其他好处吗？缺点呢？我想，如果一个 AD 用户属于多个作为单独登录名存在的 AD 组，那么情况可能会有点棘手。

我当前计划创建模式来包含各种安全数据库对象组。然后，我将使用适当的默认架构创建用户，并且仅在需要时才授予对其他架构的访问权限。

Answer 1

您无法将“SQL 登录名”映射到 AD 组：您在 SQL 级别授予对 AD 组的访问权限。我这样说是因为“SQL 登录”意味着用户名和密码。

无论如何，管理 AD 组更加容易。在实践中你的替代方案是什么？

如果用户位于两个 AD 组中，那么您需要控件来检查这一点。或者使用登录触发器来测试多个成员身份并拒绝访问

Answer 2

SQL Server 支持两种登录：SQL 身份验证和 NT 身份验证。您正在描述 NT 身份验证。多年来，Microsoft、行业专家以及我读过的几乎所有书籍都强烈建议仅使用 NT 身份验证，而根本不使用 SQL 身份验证。事实上，您可以禁用 SQL 身份验证，但不能禁用 NT 身份验证。

换句话说，是的，这就是要走的路。