我们使用SQL Server 2008和有我们的权限活动目录(AD)的设置。核心表中的每一行只能由有权查看每一行的人查看。我不能对每行设置的行级安全性(每行包含一个单一的角色将各行与AD组),但是,我有以下问题: -SQL Server行级安全性 - 多对多
- 因为角色代表国家,我有几个100级的角色。此外,我有一些用户可以访问几个角色......并且用户可以访问的几个角色不会一致地分组(即存在重叠):因此角色与用户是多对多关系
为了实现灵活的模型,我的第一个直觉是在每个国家创建一个AD组,然后在数据库角色中创建分组(将每个国家分组)。然而,这将成为维护开销 - 例如,有许多员工可以访问所有组,因此当一个国家上线时,将创建一个新的AD组,这意味着我将不得不请求这些用户作为成员添加到新的AD团队(以及一个新的全球用户需要被添加到所有团体中) - 我宁愿有一个可以全面访问的全球团体。
有没有人碰到这种问题。基本上,如果我只有非常精细的AD组,我基本上可以容纳数据库角色级别的多对多,但是我宁可例如拥有精细的AD组(对于那些需要精细权限的用户)以及针对这些用户的全局AD组需要访问的所有行(即我只需要添加用户,谁拥有全球访问)用户
你是什么意思与“创建一个数据库组“?创建一个数据库**角色**? –