Добрый день!
Вопрос про авторизацию через AD.
Проверяю один из серверов в новой компании.
Шаг 1. Сунул свою тестовую доменную учетку в группу server_connect зашел на экземпляр. Логин domain\server_connect на экземпляре имеет права только соединения, ни в одну из баз доступа нет.
Шаг 2. Добавил тестовую учетку в доменную группу DB_reader. Получил доступ к таблицам базы. Смотрю юзер DB_reader в базе есть с парвами на чтение, связан он с логином domain\DB_reader, но логина domain\DB_reader на экземпляре нет.
Вопросы:
Как работает доступ в базу DB на чтение, если я подключен пол логином domain\server_connect не имеющим доступа?
Как юзер domain\DB_reader связан с доменной группой DB_reader если нет логина?

Неуловимый Джо [игнорируется] 

Нет, я проверил как в настройках, так и опытным путем. Только public. Ни в одну базу под ним не пускает, если не добавлять себя в доп группы.
Через SSMS можно создать пользователя БД с типом Windows User и не указывать логин. И он будет работать.
Может кто знает, как экземпляр связывает юзера БД с учеткой в AD. SID вроде как разные.