SQL Server 2008 安全性.docVIP

SQL Server 2008 安全性 SQL Server身份验证模式 　　Microsoft SQL Server 2008提供了两种对用户进行身份验证的模式，默认模式是Windows身份验证模式，它使用操作系统的身份验证机制对需要访问服务器平局进行身份验证，从而提供了很高的安全级别。另一种方式是SQL Server和Windows身份验证模式，允许基于Windows的和基于SQL的身份验证。因此，它又是被称为混合模式。Windows身份验证模式允许使用存储在本地计算机的安全帐户管理器SAM数据库中的现有帐户，或者，如果该服务器是活动目录域的一个成员，则可以使用Micorsoft Windows活动目录数据库中的帐户。使用Windows身份验证模式的好处包括允许SQL或数据库管理员使用已经存在的帐户，从而减少管理开销，以及允许他们使用强大的身份验证协议，例如Kerberos或Windows NT LAN Manager（NTLM）。在Windows身份验证模式中，SQL并不存储或需要访问用于身份验证的密码信息。Windows身份验证提供程序将负责验证用户的真实性。混合模式允许创建SQL Server独有的登录名，这些登录名没有相应的Windows或活动目录帐户。这可以帮助那些不属于您的企业的用户通过身份验证，并获得访问数据库中安全对象的权限。当使用SQL登录名时，SQL Server将用户名和密码信息存储在master数据库中，它负责对这些平局进行身份验证。 主体 　　主题Principal这个术语用于描述将与SQL Server交互的个人、组和进程。主题可用的资源取决于他们的位置。Microsoft SQL Server支持集中不同类型的主题，他们定义在三个不同的级别上:Windows级别、SQL Server级别和数据库级别。 登录名 　　和SQL 以前的版本不同，SQL Server 2008并不自动为[BUILTIN\Administrators]组创建登录名，以免使服务器上具有本地管理权限的任何人都可以登录进该SQL Server。相反，必须在安装向导中设置帐户时添加管理员，或在安装后将管理员添加到sysadmin角色。同时还创建一个SQL登录名sa，sa帐户对于所有的SQL功能拥有完全管理访问权限。在安装时，系统会提示为sa帐户指定密码。 CREATE LOGIN [AughtEight\Bob] from Windows; GO CREATE LOGIN [AughtEight\G NorthWest Sales] from Windows; GO CREATE LOGIN Carol PASSWORD=Th1sI$|\/|yP@ssw0rd; GO ALTER LOGIN Carol WITH PASSWORD=newpassword, CHECK_POLICY=OFF; GO DROP LOGIN [AughtEight\Bob]; GO 凭据 　　Microsoft SQL Server 2008提供了一个将SQL Server登录名映射到外部Windows帐户的功能。如果需要允许SQL Server登录名与SQL Server本身范围之外的资源交互，这个功能很有帮助。他们还可以与为EXTERNAL_ACCESS权限配置的程序集一起使用。凭据可以配置为一对一映射，也可以配置为多对一映射，允许多个SQL Server登录名使用一个共享Windows帐户进行外部访问。在SQL Server 2008中，登录名可以与多个凭据相关联。 --使用自己的服务器名称替代AughtEight USE master CREATE CREDENTIAL StreetCred WITH IDENTITY=AughtEight\CarolStreet, SECRET=P@ssw0rd; GO --把Carol的SQL Server登录名和StrretCred平局相关联 ALTER LOGIN Carol WITH CREDENTIAL=StreetCred; GO; 服务器角色 　　Microsoft SQL Server 2008定义了8个可用于简化SQL 登录名管理和委托管理的服务器级别角色。这些角色通常被称为固定服务器角色，因为对于这些角色，唯一能更改的只是成员资格。固定服务器角色可以基于角色的用途，为一个登录名自动支配一组通用权限。要向固定服务器角色添加一个登录名，可使用sp_addsrvrolemember存储过程。 USE master CREATE LOGIN Ted WITH PASSWORD=P@ssw0rd; GO EXEC sp_addsrvrolemember