Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memanfaatkan hak istimewa keanggotaan grup keamanan AD
## Mewarisi hak istimewa tingkat server
Pengguna AD yang merupakan anggota grup keamanan AD yang diberikan akan mewarisi hak istimewa tingkat server yang diberikan kepada login grup Windows yang dipetakan. Misalnya, pertimbangkan grup keamanan `accounts-group` AD, yang diberikan keanggotaan ke peran `sysadmin` server di Babelfish. Anda dapat mewarisi hak istimewa tingkat server menggunakan perintah berikut:
```
1> ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];
```
Akibatnya, setiap pengguna Active Directory yang merupakan anggota grup keamanan `accounts-group` AD akan mewarisi hak istimewa tingkat server yang terkait dengan peran tersebut. `sysadmin` Ini berarti bahwa pengguna seperti`corp\user1`, menjadi anggota`accounts-group`, sekarang akan memiliki kemampuan untuk melakukan operasi tingkat server dalam Babelfish.
**catatan**
Untuk melakukan DDL tingkat server, login Windows untuk pengguna AD individu harus ada. Untuk informasi selengkapnya, lihat [Batasan](babelfish-kerberos-securityad-limitations.md).
## Mewarisi hak istimewa tingkat database
Untuk memberikan hak istimewa tingkat database, pengguna database harus dibuat dan dipetakan dengan login grup Windows. Pengguna AD yang merupakan anggota grup keamanan AD yang diberikan akan mewarisi hak istimewa tingkat database yang diberikan kepada pengguna database tersebut. Dalam contoh berikut, Anda dapat melihat bagaimana hak istimewa tingkat basis data untuk grup Windows [corp\\ accounts-group] ditetapkan.
```
1> CREATE DATABASE db1;
2> GO
1> USE db1;
2> GO
Changed database context to 'db1'.
1> CREATE TABLE dbo.t1(a int);
2> GO
```
Buat pengguna database [corp\\ sales-group] untuk login grup Windows [corp\\ accounts-group]. Untuk melakukan langkah ini, hubungkan melalui titik akhir TDS menggunakan login yang merupakan anggota sysadmin.
```
1> CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group];
2> GO
```
Sekarang, hubungkan sebagai pengguna AD user1 untuk memeriksa akses tabel t1. Karena kami belum memberikan hak istimewa tingkat basis data, itu akan menghasilkan kesalahan izin ditolak.
```
1> SELECT * FROM dbo.t1;
2> GO
Msg 33557097, Level 16, State 1, Server db-inst, Line 1
permission denied for table t1
```
Berikan SELECT pada tabel t1 kepada pengguna database [corp\\ accounts-group]. Untuk melakukan langkah ini, hubungkan melalui titik akhir TDS menggunakan login yang merupakan anggota sysadmin.
```
1> GRANT SELECT ON dbo.t1 TO [corp\accounts-group];
2> GO
```
Connect as AD user user1 untuk memvalidasi akses.
```
1> SELECT * FROM dbo.t1;
2> GO
a
-----------
(0 rows affected)
```