将管理员授予 SQL Server 中的 Active Directory 帐户

您所要求的某些内容实际上非常简单。

您的 AD 组的权限

您为 AD 组创建登录名

CREATE LOGIN [domain\AD Group] FROM WINDOWS

然后授予它您想要的访问权限。您说您想授予它Admin访问权限，但除非这是您的 DBA 团队，否则我不会将 AD 组添加到类似sysadmin. 而是授予他们您真正希望他们拥有的权限。听起来你想要

• db_ddladmin - 授予在数据库中创建/修改对象的权限的角色。
• db_datareader - 授予权限以SELECT针对数据库中的任何表/视图运行的角色
• db_datawriter - 授予对数据库中任何表/视图运行或语句的UPDATE权限的角色。INSERTDELETE
• EXECUTE - 授予EXECUTE数据库中任何存储过程或函数能力的权限。

要添加它，请在每个用户数据库上运行以下命令。

CREATE USER [domain\AD Group] LOGIN [domain\AD Group] 
ALTER ROLE db_ddladmin ADD MEMBER [domain\AD Group]
ALTER ROLE db_datareader ADD MEMBER [domain\AD Group]
ALTER ROLE db_datawriter ADD MEMBER [domain\AD Group]
GRANT EXECUTE TO [domain\AD Group]

如果您希望将这些权限添加到新用户数据库中，那么也要在model数据库中运行脚本。

使用您的服务帐户连接

如果您有一个应用程序在您的服务帐户下运行，那么当该应用程序使用受信任的身份验证连接时，它将使用该服务帐户连接到 SQL。但是，如果您想使用 SSMS 之类的东西连接到 SQL，那么您有两种选择。您可以使用服务帐户登录机器，也可以以其他用户身份运行 SSMS。

要在其他用户下运行 SSMS，请按住SHIFT 键并右键单击 SSMS 的快捷方式并选择Run as different user

然后，您将获得 AD 登录的登录名/密码提示。输入您的服务帐户名称和密码。一旦 SSMS 打开任何受信任的（Windows 身份验证）连接，将使用您连接下的 AD 登录名（在这种情况下为您的服务帐户）进行。

您可以使用以下代码授予管理员访问权限：

CREATE LOGIN [DOMAIN\ADGroupName] FROM WINDOWS;
GRANT CONTROL SERVER TO [DOMAIN\ADGroupName];

这将允许任何属于 [DOMAIN\ADGroupName] 成员的用户在不指定用户名/密码的情况下登录 SQL Server，并将授予这些用户对整个实例（包括所有数据库）的管理员访问权限。

您可以使用命令行小程序“runas”来“作为”服务帐户启动 SQL Server Management Studio。其语法将是（从命令行）：

runas /user:<service_account_name> C:\the\path\to\SSMS.exe

以这种方式授予CONTROL SERVER组或登录权限允许您还可以DENY访问特定对象或数据库。例如，您可以DENY ALTER ON DATABASE::master TO [DOMAIN\ADGroupName];阻止这些用户对 进行更改master，同时仍然允许他们创建和删除其他数据库、表等。请注意，具有CONTROL SERVER权限的用户可以轻松创建 SQL 登录，授予该登录sysadmin访问权限，并拥有完全访问 SQL Server 中的所有内容，包括对master. 这通常被认为是一个相当大的安全风险，并且可能只用于非生产盒。

我使用最优秀的SQL Server 权限层次结构海报来查看特定权限含义的高级视图。