Надання дозволу в межах SQL Server групі AD досить просто. Це можна зробити через T-SQL або Management Studio.
Наприклад, якщо у вас викликана група AD MYDOMAIN\APPLICATION SUPPORT
, ви б створили логін на рівні сервера, а потім використовували відображення для окремих баз даних, щоб дати трохи більш детальні дозволи, такі як зчитувач даних.
В ідеалі весь доступ до додатків повинен здійснюватися через збережені процедури *, тому потрібно виконувати лише дозволи на ті збережені процедури в цій базі даних.
* З точки зору безпеки, щоб дозволити конкретному користувачеві бачити певні конкретні дані, ви можете створити процедуру і надати користувачеві право на виконання дозволу на цю процедуру, і нічого іншого. Дозвіл користувача на запит безпосередньо означатиме надання дозволу на вибір для всіх задіяних таблиць. Так само простіше працювати з процедурами і простіше налагоджувати.
Збережені процедури абстрактного доступу до таблиці та обмеження доступу. Для типів DBA це як "дозвольте мені побачити всі ваші змінні екземпляра: я не хочу використовувати методи, геттери або сетери".