MSSQL Server 2000的安全及管理介绍

　　通俗地讲， 材料库是 储存 存在某些 特点的 材料的数据库 。通常，我们把 使用 材料库系统的消费者划分为四类， 材料库设计者、 材料库治理者、 利用程序设计者及普通 使用者 。其中 材料库治理者负责账号的治理与 保护，决定全部 材料库 使用者的 使用权限 。 材料库安全治理可说是 材料库治理者最主要的工作 。SQL Server是Microsoft的企业级 材料库，它是个 性能 壮大、易于 使用的 材料库，可直接与Windows NT/2000的 使用者账号做安全机制整合 。

　　那么，到底什么是安全治理呢？简而言之，安全治理是指对需要登入服务器的人员进行治理 。在 利用程序中，我们会对 材料库的各类 使用者设置 材料操作权限，通常是直接在 利用程序中做账号与密码的治理，但这种做法需要撰写程序操纵 。而SQL Server 存在亲切、易操作的图形 使用界面， 可以容易地治理 使用者对SQL Server的存取权限 。

　　SQL Server 安全治理可分为3个 品位，即登入账户、 材料库的治理与衔接特定 材料库的权限和 使用者对所衔接 材料库 部分的操作权限 。下面，我们将针对这3个 品位做 详尽 注明 。

　　一、登入账户　　任何需要存取 SQL Server的 使用者皆需要有一组服务器认可的账户和密码 。SQL Server 支撑2种登入 模式，一种为Windows验证，另一种为SQL Server验证 。前者 惟独在SQL Server中 构建与Windwos NT/2000对应的登入账户，让 使用者登入Windows NT/2000时所用的账户能与在SQL Server中的账户 彼此对应，即可顺利连上SQL Server，由此，我们 实现了对Windows NT/2000安全治理机制的整合 。

　　接下来， 材料库治理者在Windows NT上登入账号，可直接将Windows NT中的群组加到SQL Server中，从而成为一个登入账户 。

　　通过上述操作，Windows NT登入群组中的成员皆可衔接SQL Server 。假如该群组中某一成员不同意其登入SQL Server，可在SQL Server中将该成员的个人账户设为 回绝存取 。假如把SQL Server安装在 Windows 95、windows 98或Windows Me中，则 无奈 使用Windows验证 模式 。

　　假如 使用SQL Server验证，必须在SQL Server中为要衔接SQL Server的 使用者 构建登入的账号名称和密码，这些账号和密码与Windows NT/2000的账户无关 。

　　二、治理与衔接特定 材料库的权限　　在 构建登入账户后， 使用者便能进入SQL Server中，但并不代表 使用者有衔接SQL Server特定 材料库的权限，必须对 使用者或群组设置对SQL Server的操作权限 。SQL Server中对 材料库的操作权限可分为服务器 本身的操作权限与 材料库的存取权限 。对SQL Server的操作权限可由服务器角色来设置， 材料库的存取权限则可由角色与 使用者对个别表格的存取权限来设置 。那么，服务器角色与角色中间有什么不同呢？

　　1. 服务器角色　　SQL Server系统内建8种服务器角色(可把角色想像成Windows NT账号中的群组)，它不能更改或新增 。当对某一 使用者或群组设置好服务器角色后，其便 占有该服务器角色所 占有的权限 。服务器角色是将SQL Server的各项治理工作加以分类，如 构建账号和 材料库备份等，它与 材料库角色不一样，后者为对个别 材料库的操作权限 。

　　我们 容易列出8种服务器角色所 占有的权限 。

　　system administrators 示意系统治理员可执行任何动作 。

　　security administrators 示意治理登入账户 。

　　server administrators 示意设置SQL Server的各项参数 。

　　setup administrators 示意有关replication(复制)的设置与治理扩充预存程序 。

　　process administrators 示意治理SQL Server全部执行中的程序 。

　　disk administrators 示意治理 材料库文件 。

　　database administrators 示意 构建和更改 材料库属性 。

　　2. 角色　　SQL Server内建10种 材料库角色，它不能更改或删除，但可对个别 材料库添加角色 。若赋予 使用者有内建角色中的 材料库 占有者权限，它便 占有该 材料库的 完全操作权 。其余各角色的 详尽权限 注明可参考SQL Server的bol(即SQL Server books online)，通过 查问 要害字roles，进入 题目为roles的 名目，其中有包括内建服务器角色与 材料库角色的 完全 注明，在此不多赘述 。需要 留神的是，在对 使用者分别设置了各种角色(每一 使用者或群组可 存在多种角色)后，它便 占有全部角色联集的权限，但若其中有某一角色对某一操作权(如对某一表格的select权)设置了 回绝，它将失去了该项权限，换句话说， 回绝权限优于授予权限 。

　　三、 材料库中部件的存取权限　　关于SQL Server的治理与可衔接特定 材料库的权限，由SQL Server所提供的服务器角色与 材料库角色 根本上 可以 相符我们大部份需要 。另外，可直接对 使用者或群组设置对 材料库中部件的个别存取权限，这些个别的存取权限有select、insert、update、delete、exec和dri，其中exec与dri分别 示意对预存程序的执行权限和对表格有效性的验证权限 。在做直接的权限设置时，我们也可针对特别的 使用者(如内建 材料库角色不能满足时)，固然，假如 使用 雷同权限 模式的消费者 比较多时， 可以添加一个 相符需要的 材料库角色，或将这些 使用者在Windows NT/2000上先归于某群组，再对该群组设置权限，这样做 比较容易于治理与 保护 。

　　除上述内容之外，在实际运行时，小编关于 材料库安全的把关总结出以下几点 提议 。

　　1. 除非必要，不然尽量以Windows验证来治理可衔接SQL Server的 使用者，以整合Windows NT/2000的安全机制 。

　　2. 善用SQL Server的服务器角色与 材料库角色 性能 。

　　SQL Server提供了登入账号、网络传输、 虚构表和预存程序的加密 性能 。其中账号的密码加密是预设的，而网络间传输 材料则可用SSL 模式进行加密，要启动此 性能必须启动net-library的加密 性能，同时要配合windows 2000的CA 性能，并在服务器端与消费者端设置 实现，从而双方在传输 材料前，便会在SSL加密后再进行传输 。因为 虚构表和预存程序的定义是以明码 保留在系统 材料表中，若要将 虚构表和预存程序加密，可在其 构建时在eNTerprise manager中设置加密选项或以 alter 叙述来设置加密 。

　　4. 系统安装 结束后，务必更改预设的sa密码， 免得有 其余 使用者"义务"治理您的SQL Server 。