Active Directory、Web和MS是否都有相同的用户？

Question

我正在寻找一种干净的方法在MS中进行审计跟踪，因为遵从性的原因，最好是完全在数据库端，而不涉及web应用程序。

在谈到审计跟踪时，我指的是在数据级别上对数据库所做更改的完整日志。那么，是谁改变了什么和什么时候？

我有一个以活动目录作为身份验证后端的设置，我需要开发一个基于Java的web应用程序。

因此，为了获得有效的审计跟踪，我需要有关于谁更改了什么和什么时候的信息。AFAIK有一个叫做Server审计的特性，它可以提供这个功能。

我的问题是关于MS方面的用户管理和身份验证。web应用程序应该使用AD用户，然后访问数据库。因此，我同意需要web应用程序将AD用户转发到MS，以便在审计跟踪中显示出来。

这似乎得到了MS：https://docs.microsoft.com/en-us/sql/relational-databases/security/authentication-access/getting-started-with-database-engine-permissions?view=sql-server-2017的证实。

这意味着，在一个典型的场景中，人们会尝试通过AD来管理用户和组，并让MS将这些组映射到数据库中的角色。这些角色也将被授予特权。

另一方面，我的一些同事说，我们应该使用一个共享应用程序帐户进行数据库访问，并在应用程序中自己构建审计跟踪。他们引用了模糊的安全理由。

正确的做法是什么？

Answer 1

所以你打算让大量的用户访问你的数据库，而不是让它真正应该在哪里进行审计跟踪？这不是你的同事们的“模糊的安全问题”，而是普通的常识。数据库审计跟踪显示“此用户更新/插入/删除了该记录”。它没有说明实际发生了什么，比如“这个人在20日请假了一天”(以休假管理系统为例)。数据库审计应该在那里，以查看是谁对数据进行了手动更改。web应用程序应该有自己的审计跟踪(它可能在数据库中疼痛)事件发生在它( web应用程序)。