Discussion :

[janlouk]

Bonjour à tous,

Je voudrais être certains, pour moi SQL va donner accès avec les droits les plus restreints, mais j'ai besoin d'être certains.

J'ai une personne avec le nom AAA123 qui a un compte AD (donc windows). Dans l'AD, il est dans le groupe GROUP_R_W. Ce groupe dans SQL Server à un login avec des accès à 4 DB en Read et Write.

Si je veux donner accès en tant que db_owner à ce compte AD sur les 4 DB, donc le compte AAA123. Je créé le login, lui donne les accès et droits aux 4 DB en tant que db_owner.

MAIS, si je ne le retire pas dans l'AD du groupe GROUP_R_W, quand il se connectera, il ne sera jamais db_owner des 4 DB? SQL va lui attibuer les accès les plus restreint, donc celui du groupe dans lequel il est?

Je dois donc le retirer du groupe GROUP_R_W ?

Merci,
Jean-Luc

[aieeeuuuuu]

Bonjour,

si, il aura bien les privilèges du rôle db_owner, moins ceux explicitement refusés par un DENY pour le rôle GROUP_R_W.
Donc, si GROUP_R_W a reçu uniquement des privilèges GRANT SELECT, INSERT, UPDATE, DELETE..., alors AAA123 aura bien les privilèges du rôle db_owner.

C'est d'ailleurs toute l'utilité de la commande REVOKE, qui permet de retirer un privilège accordé par un GRANT ou un DENY, sans pour autant refuser le dit privilège.