Como crio logins de usuário em meu banco de dados de réplica de leitura?

É possível que diferentes usuários acessem meu banco de dados de réplica de leitura?

Sim, até certo ponto .

Este não é de fato um caso de uso popular para uma réplica de leitura?

Mover leituras para réplicas legíveis do primário? Sim!

Quero que um determinado conjunto limitado de credenciais tenha acesso ao meu banco de dados primário de leitura e gravação e, em seguida, quero que várias outras pessoas possam ter acesso somente leitura à réplica de leitura para relatórios, consultas ad-hoc, etc. . Não quero necessariamente que os dois bancos de dados tenham exatamente os mesmos acessadores.

Não tenho muita certeza do que significa "exatamente os mesmos acessadores", mas vou interpretar como "Não quero os mesmos logins e usuários em cada instância". Dado esse entendimento, a resposta é não, atualmente não é possível.

Você pode ter acessos diferentes por instância, mas o próprio banco de dados precisará ter um usuário criado para esse login ou o login precisa ser sysadmin.

Bem, é claro que o banco de dados é somente leitura, é minha réplica de leitura. Mas não estou tentando gravar dados no banco de dados, apenas definir os detalhes de meta-segurança para quem na minha organização tem permissão para acessar a réplica de leitura.

Esses metadados residem no banco de dados, então sim, você está tentando gravar dados no banco de dados. Usersresidem no banco de dados e estão vinculados a logins (que residem master) por meio de seu SID. Se você estiver tentando adicionar um login à instância, tudo bem e funcionará. Se você estiver tentando adicionar um usuário, ele precisará ser adicionado à réplica primária e fluirá para as réplicas secundárias. Os logins não precisam estar em cada réplica, os usuários não podem ser alterados conforme discutido.

Então o superconjunto de TODOS os usuários deve ser definido no banco de dados primário?

Sim, o primário é a única cópia gravável do banco de dados e a adição de usuários requer gravação no banco de dados.

E então o subconjunto de logins deve ser criado em cada servidor?

Sim. Se você não deseja que esse login acesse o banco de dados nesse servidor, não o adicione. É isso que você está pedindo em sua pergunta, acredito.

Como eu criaria um usuário no banco de dados primário se o login desse usuário não existisse no servidor primário?

Se for um login SQL que estará vinculado ao usuário, use a SIDopção CREATE USER. Se for um login de domínio, basta usar CREATE USERcom o nome de login do domínio. O usuário em ambos os casos terá o SID correto para vinculá-lo ao login.

Para concluir isso, o banco de dados e o servidor primários precisam ter os superconjuntos de logins e usuários aos quais será concedido acesso ao banco de dados em qualquer um de seus locais secundários?

O primário (qualquer servidor que esteja em um determinado momento) é o único local onde os usuários podem ser adicionados. Se você quiser que um usuário tenha acesso, isso precisa ser feito lá. A menos que use sysadminlogins, o login precisará de um usuário associado (tecnicamente, você poderia fazer outras coisas para obter acesso sem um usuário, mas isso é, na melhor das hipóteses, suspeito). Cada servidor não precisa dos mesmos logins, apenas dos logins que você deseja naquele servidor.

Os usuários residem dentro do banco de dados, incluindo permissões de banco de dados. Os logins residem masterjunto com as permissões no nível do servidor. Se você deseja adicionar permissões de usuário, isso precisa ser concluído no primário.

Você pode explicar melhor: "Se você estiver tentando adicionar um login à instância, tudo bem e funcionará."?

Como afirmei, os logins permanecem, masterportanto não há problema em adicionar logins em uma réplica secundária, pois nada precisa ser gravado no banco de dados.

Qual é a finalidade de um login sem um usuário de banco de dados correspondente?

Existem vários usos. No seu caso, permitiria um login com sysadmin para acessar o banco de dados sem um usuário associado.