View a markdown version of this page

Verwenden der Berechtigungen aus der AD-Sicherheitsgruppenmitgliedschaft - Amazon Aurora
Übernehmen von Berechtigungen auf ServerebeneÜbernehmen von Berechtigungen auf Datenbankebene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Berechtigungen aus der AD-Sicherheitsgruppenmitgliedschaft

Übernehmen von Berechtigungen auf Serverebene

AD-Benutzer, die Mitglieder der angegebenen AD-Sicherheitsgruppe sind, übernehmen die Berechtigungen auf Serverebene, die der zugeordneten Windows-Gruppenanmeldung erteilt wurden. Denken Sie zum Beispiel an die accounts-group-AD-Sicherheitsgruppe, der die Mitgliedschaft in der sysadmin-Serverrolle in Babelfish erteilt wird. Sie können die Berechtigungen auf Serverebene mit dem folgenden Befehl übernehmen: 


1> ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];

Folglich übernimmt jeder Active-Directory-Benutzer, der Mitglied der accounts-group-AD-Sicherheitsgruppe ist, die mit der sysadmin-Rolle verbundenen Berechtigungen auf Serverebene. Das bedeutet, dass ein Benutzer wie corp\user1, der Mitglied von accounts-group ist, nun in Babelfish Operationen auf Serverebene ausführen kann.

Anmerkung

Zum Ausführen von DDLs auf Serverebene muss eine Windows-Anmeldung für den einzelnen AD-Benutzer vorhanden sein. Weitere Informationen finden Sie unter Einschränkungen.

Übernehmen von Berechtigungen auf Datenbankebene

Zum Erteilen von Berechtigungen auf Datenbankebene muss ein Datenbankbenutzer erstellt und ihm eine Windows-Gruppenanmeldung zugeordnet werden. AD-Benutzer, die Mitglieder einer angegebenen AD-Sicherheitsgruppe sind, übernehmen die Berechtigungen auf Datenbankebene, die diesem Datenbankbenutzer erteilt wurden. Im folgenden Beispiel können Sie sehen, wie Berechtigungen auf Datenbankebene für die Windows-Gruppe [corp\accounts-group] zugewiesen werden. 


1> CREATE DATABASE db1; 
2> GO
1> USE db1;
2> GO
Changed database context to 'db1'.
1> CREATE TABLE dbo.t1(a int);
2> GO

Erstellen Sie einen Datenbankbenutzer [corp\sales-group] für die Windows-Gruppenanmeldung [corp\accounts-group]. Zum Ausführen dieses Schrittes stellen Sie eine Verbindung über den TDS-Endpunkt her. Verwenden Sie dazu die Anmeldung, die Mitglied von sysadmin ist. 


1> CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group];
2> GO

Stellen Sie nun eine Verbindung als AD-Benutzer user1 her, um den Zugriff auf die Tabelle t1 zu überprüfen. Da wir die Berechtigungen auf Datenbankebene noch nicht erteilt haben, wird dies zu dem Fehler „Zugriff verweigert“ führen. 


1> SELECT * FROM dbo.t1;
2> GO
Msg 33557097, Level 16, State 1, Server db-inst, Line 1
permission denied for table t1

Erteilen Sie dem Datenbankbenutzer [corp\accounts-group] SELECT für die Tabelle t1. Zum Ausführen dieses Schrittes stellen Sie eine Verbindung über den TDS-Endpunkt her. Verwenden Sie dazu die Anmeldung, die Mitglied von sysadmin ist.


1> GRANT SELECT ON dbo.t1 TO [corp\accounts-group];
2> GO

Stellen Sie eine Verbindung als AD-Benutzer user1 her, um den Zugriff zu validieren. 


1> SELECT * FROM dbo.t1;
2> GO
a
-----------

(0 rows affected)