AD セキュリティグループメンバーシップの権限の使用

サーバーレベルの権限の継承

特定の AD セキュリティグループのメンバーである AD ユーザーは、マッピングされた Windows グループログインに付与されたサーバーレベルの権限を継承します。例えば、Babelfish の sysadmin サーバーロールにメンバーシップが付与されている accounts-group AD セキュリティグループを考えてみましょう。次のコマンドを使用して、サーバーレベルの権限を継承できます。

1> ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];
            

したがって、accounts-group AD セキュリティグループのメンバーである Active Directory ユーザーは、sysadmin ロールに関連付けられたサーバーレベルの権限を継承します。つまり、accounts-group のメンバーである corp\user1 のようなユーザーは、Babelfish 内でサーバーレベルのオペレーションを実行できるようになります。

データベースレベルの権限の継承

データベースレベルの権限を付与するには、データベースユーザーを作成し、Windows グループログインとマッピングする必要があります。特定の AD セキュリティグループのメンバーである AD ユーザーは、そのデータベースユーザーに付与されたデータベースレベルの権限を継承します。次の例では、Windows グループ [corp\accounts-group] のデータベースレベルの権限がどのように割り当てられているかを確認できます。

1> CREATE DATABASE db1; 
2> GO
1> USE db1;
2> GO
Changed database context to 'db1'.
1> CREATE TABLE dbo.t1(a int);
2> GO
            

Windows グループログイン [corp\accounts-group] 用のデータベースユーザー [corp\sales-group] を作成します。このステップを実行するには、sysadmin のメンバーであるログインを使用して TDS エンドポイント経由で接続します。

1> CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group];
2> GO
            

次に、AD ユーザー user1 として接続し、テーブル t1 へのアクセスを確認します。データベースレベルの権限をまだ付与していないため、アクセス許可の拒否エラーが発生します。

1> SELECT * FROM dbo.t1;
2> GO
Msg 33557097, Level 16, State 1, Server db-inst, Line 1
permission denied for table t1
            

データベースユーザー [corp\accounts-group] にテーブル t1 の SELECT を付与します。このステップを実行するには、sysadmin のメンバーであるログインを使用して TDS エンドポイント経由で接続します。

1> GRANT SELECT ON dbo.t1 TO [corp\accounts-group];
2> GO
            

AD ユーザー user1 として接続し、アクセスを検証します。

1> SELECT * FROM dbo.t1;
2> GO
a
-----------

(0 rows affected)