Otorgar los permisos dentro de SQL Server a un grupo de AD es relativamente sencillo. Se puede hacer a través de T-SQL o Management Studio.
Por ejemplo, si tiene un grupo de AD llamado MYDOMAIN\APPLICATION SUPPORT
, crearía el inicio de sesión en el nivel del servidor y luego usaría asignaciones a bases de datos individuales para otorgar permisos ligeramente más granulares, como el lector de datos.
Idealmente, todo el acceso a la aplicación debe ser a través de procedimientos almacenados *, por lo que solo se requieren permisos de ejecución en esos procedimientos almacenados en esa base de datos.
* Desde el punto de vista de la seguridad, para permitir que un usuario en particular vea algunos datos específicos, puede crear un procedimiento y otorgarle al usuario permiso para ejecutar ese procedimiento, y nada más. Permitir que el usuario realice consultas directamente significaría otorgar un permiso de selección en todas las tablas involucradas. También es más fácil trabajar con procedimientos y más fácil de depurar.
Los procedimientos almacenados resumen el acceso a la tabla y limitan el acceso. Para los tipos de DBA, es como "déjame ver todas tus variables de instancia: no quiero usar métodos, captadores o establecedores".