Всем привет. Есть указанный в теме сервер.
Есть несколько AD групп добавленных в раздел Logins.
Нужно максимально ограничить в правах пользователей из определенных групп.

Есть пара вопросов:
- могу ли я как то ограничить группу в правах так, чтобы она видела только пользователей и их разрешения и не видела вообще никаких баз данных?
И т.к. в разделе логинов будут только группы AD к примеру, есть ли какой то еще способ, кроме вызова xp_logininfo 'domain\group' , members ? Ведь если вызывать это, необходимо будет предоставлять доступ к хранимке из которой будет вызываться данная функция. А если я правильно понимаю, нельзя дать доступ только к одной хранимке, не предоставляя при этом доступ к БД.

- у всех пользователей по умолчанию есть серверная роль public. Я поснимал все галки allow(кроме собственно возможности подключаться к серверу) для этой роли. Но пользователи с этой ролью по прежнему видят системные базы данных и их содержимое.
Можно как то убрать это?

Владислав Колосовdim289,

авторчтобы она видела только пользователей и их разрешения и не видела вообще никаких баз данных

Как это? Пользователи находятся в базах.
Какие общие цели преследуете?


по поводу пользователей и баз - я так понимаю изначально мы задаем логины именно на уровне сервера, и уже потом некоторым из них мы можем предоставить доступ к базам, у них и своя папка Security у каждой есть.

Владислав КолосовЕсли у вас там совсекретно, то ни о каких xp_ процедурах речи идти в принципе не может.
все таки чем то можно заменить вызов xp_logininfo 'domain\group' , members?

Владислав Колосовdim289,

вы же хотите, чтобы этого не было, так зачем заменять?
наоборот хочу чтобы было. чтобы пользователи с определенной ролью на MS SQL могли смотреть состав групп входящих в раздел Logins MS SQL сервера и их разрешения.