我有一个域,其中有几台带有专用 SQL Server 数据库的服务器。还有几家外部公司需要以不同的权限级别访问这些服务器和数据库(即使在同一个公司内)。
目前,我只能通过使用此文章中的解决方案来进行远程桌面访问: https://social.technet.microsoft.com/wiki/contents/articles/17671.how-to-add-domain-usersgroup-to-remote-desktop-users-group-on-servers-using-group-policy.aspx
我基本上为每个公司在每个权限级别(如用户和管理员)上都有一个 GPO。在 GPO 中,我将与公司成员关联的安全组(例如“RDP 访问 - 用户 - 公司 A”)分配给“远程桌面用户”。我可以将此 GPO 拖放到与计算机关联的特定 OU。这样,公司安全组内的每个人也将被分配给“远程桌面用户”,并将获得该服务器上 RDP 的访问权限。
我无法授予数据库访问权限。我尝试了与 RDP 相同的方法 - 我将创建一个 GPO,将公司的安全组分配给负责数据库访问的组。但问题是没有这样的内置组。因此,我尝试创建自己的安全组,假设为“数据库用户”,它将等同于“远程桌面用户”,但它将应用于数据库而不是 RDP。然后,我按照本文在我的数据库中创建了与该组相对应的登录名: https://www.mssqltips.com/sqlservertip/6702/sql-server-windows-authentication-with-users-and-groups/
但这并不奏效,即使用户处于正确的安全组中,他们也无法连接到数据库。“数据库用户”组本身可以工作,我可以直接将用户分配给该组,他们就可以连接。但当通过 GPO 处理分配时,它不起作用。
我怀疑这是由于“远程桌面用户”是该特定计算机上的本地组而我的组仅通过域可见(我可以在本地用户和计算机中查看“远程桌面用户”,但没有“数据库用户”)。
在这种情况下,有没有办法通过 GPO 授予数据库访问权限?如果有,怎么做?
这是我的 GPO 结构的简化示例:
