Добрый день!
Вроде много работал с базами и раньше с доступами пользователей особо не заморачивался, но назрел вопрос целесообразности, правильности способа заведение пользователя и раздачи прав.
Пусть есть самописная программа на уровне организации (СУБД SQL), все пользователи заведены в домене , есть учетки в AD.
Какой способ авторизации вы используете или считаете верным?

1. SQL авторизация (может быть через общую роль или отдельные логины), то есть заводится отдельный sql логин для каждого пользователя, который может включаться в единственную роль, роли даются разрешения и работа ведётся под роолью, без учета AD.
2. На стороне СУБД заводятся логины как в AD, например company\Pupkin (для каждого пользователя), под них заводится определенная sql роль, в которой прописывается права и пользователи, созданные ранее включаются в эту роль.
3. Создаётся 1-на учетка SQL или в AD (единственная и универсальная для программы), вся работа ведётся под ней, когда пользователь запускает приложение, то авторизация для всех пользователей происходит под этой учеткой автоматически из программы.
4. Создается 1-н логин или роль (единственный) в базе, а в этот логин или роль на уровне AD прописываются все пользователи (тоесть раздачей прав занимается администратор домена). При этом с токи зрения СУБД есть только один логин, а состав пользователей, кто в ходит в этот логин - знает только AD админ.

Может я что то забыл или исказил, прошу подсказать, поправить. Спасибо!

Я 1-ый способ, если вы о нём не использую давно ! Вы какой способ используете из перечисленных или что то своё?

Ну пусть ближе ко второму случаю. Про роли в БД я с вами согласен полностью, так всегда и делал. Но вопрос , кто должен пользователей включать в эту роль или исключать. Я так понял мы говорим только про windows авторизацию, ок...
Получается на уровне AD заводится такая же группа, как и роль и включение/исключение производится только на уровне AD, тогда всем заведует сис админ.
Если мы говорим, что windows логины заводятся повторно на сервере субд, тогда включение и исключение в раннее заведённую роль пользователей может делать админ СУБД или даже администратор приложения. Вот в этом и вопрос, доступ к базе новым пользователя кто должен контролировать админ сети или админ субд/приложения?

Это и есть почти 4-ый способ. Получается, без сетевого админа - нового пользователя в систему не завести.

Получается заведение нового пользователя из приложения вы не рассматриваете вовсе и если админ СУБД не будет иметь доступ к АД, он тоже нового пользователя по стандартной схеме для программы не заведёт!?

Это да, но судя по прошлому поддерживаемому мной приложению, когда пользователей в него заводили ит-аналитики, через интерфейс - вряд ли этому аналитику дали бы права на AD. Так что такой подход не весьма гибок, имхо!

А как потом на уровне субд понять, кто из пользователей завесил базу например /создал блокировку/поудалял лишнего, если все коннекты под одной учетной записью на уровне субд делаются?

Немного не в тему Ваш пример, мне кажется! Если у него не будет собственного логина в базу, то он и через студию к базе не подцепится вовсе! Общий логин для всех пользоватиелей и sql авторизацию - я не рассматриваю вовсе!

А если будет логин, но он через студию что то удалит, то при должном аудите в базе - всё будет видно кто что удалил/изменил, вне зависимости от инструментария доступа к БД!