Conceder Admin a uma conta do Active Directory no SQL Server

Parte do que você está pedindo é realmente muito simples.

Permissões para seu grupo AD

Você cria um login para seu grupo AD

CREATE LOGIN [domain\AD Group] FROM WINDOWS

Em seguida, conceda o acesso que você deseja. Você diz que deseja conceder Adminacesso, mas, a menos que seja sua equipe de DBA, eu não adicionaria o AD Group a algo como sysadmin. Em vez disso, conceda a eles as permissões que você realmente deseja que eles tenham. Parece que você quer

• db_ddladmin - Função que concede permissões para criar/modificar objetos em um banco de dados.
• db_datareader - Função que concede permissões para executar um SELECTem qualquer tabela/exibição dentro do banco de dados
• db_datawriter - Função que concede permissões para executar UPDATEou instruções em INSERTqualquer DELETEtabela/exibição no banco de dados.
• EXECUTE - Permissão que concede a capacidade de EXECUTEqualquer procedimento armazenado ou função dentro do banco de dados.

Para adicionar isso, execute o seguinte em cada banco de dados do usuário.

CREATE USER [domain\AD Group] LOGIN [domain\AD Group] 
ALTER ROLE db_ddladmin ADD MEMBER [domain\AD Group]
ALTER ROLE db_datareader ADD MEMBER [domain\AD Group]
ALTER ROLE db_datawriter ADD MEMBER [domain\AD Group]
GRANT EXECUTE TO [domain\AD Group]

Se você deseja que essas permissões sejam adicionadas aos novos bancos de dados do usuário, execute o script no modelbanco de dados também.

Conectando usando sua conta de serviço

Se você tiver um aplicativo em execução em sua conta de serviço, quando esse aplicativo se conectar usando autenticação confiável, ele se conectará ao SQL usando essa conta de serviço. Se, no entanto, você quiser se conectar ao SQL usando algo como SSMS, terá duas opções. Você pode fazer login em uma máquina usando a conta de serviço ou executar o SSMS como um usuário diferente.

Para executar o SSMS sob um usuário diferente, mantenha pressionada a tecla SHIFT e clique com o botão direito do mouse no atalho para o SSMS e selecioneRun as different user

Você receberá um prompt de login/senha para um login do AD. Digite o nome e a senha da sua conta de serviço. Depois que o SSMS abrir, todas as conexões confiáveis ​​(autenticação do Windows) serão feitas usando o login AD que você conectou (sua conta atendida neste caso).

Você pode conceder acesso de administrador usando este código:

CREATE LOGIN [DOMAIN\ADGroupName] FROM WINDOWS;
GRANT CONTROL SERVER TO [DOMAIN\ADGroupName];

Isso permitirá que qualquer usuário que seja membro de [DOMAIN\ADGroupName] faça login no SQL Server sem especificar um nome de usuário/senha e concederá a esses usuários acesso de administrador a toda a instância, incluindo todos os bancos de dados.

Você pode usar o miniaplicativo de linha de comando "runas" para iniciar o SQL Server Management Studio "como" a conta de serviço. A sintaxe para isso seria (a partir de uma linha de comando):

runas /user:<service_account_name> C:\the\path\to\SSMS.exe

Conceder CONTROL SERVERdireitos a um grupo ou login dessa maneira permite que você também DENYacesse determinados objetos ou bancos de dados. Por exemplo, você pode DENY ALTER ON DATABASE::master TO [DOMAIN\ADGroupName];impedir que esses usuários façam alterações em master, enquanto ainda permite que eles criem e excluam outros bancos de dados, tabelas, etc. Esteja ciente de que um usuário com CONTROL SERVERdireitos pode facilmente criar um login SQL, conceder acesso a esse login sysadmine ter acesso completo a tudo no SQL Server, incluindo acesso não controlado a arquivos master. Isso geralmente é considerado um risco de segurança bastante considerável e provavelmente só deve ser usado em caixas que não sejam de produção.

Eu uso o mais excelente pôster de hierarquia de permissões do SQL Server para ter uma visão de alto nível das implicações de permissões específicas.