小议MSSQLServer 2000的安全及管理
我们简单列出8种服务器角色所拥有的权限。
system administrators表示系统治理员可执行任何动作。
security administrators表示治理登入账户。
server administrators表示设置SQL Server的各项参数。
setup administrators 表示有关replication(复制)的设置与治理扩充预存程序。
process administrators表示治理SQL Server所有执行中的程序。
disk administrators表示治理资料库文件。
database administrators表示建立和更改资料库属性。
bulk insert administrators表示对可执行bulk insert操作的治理。
copyright dedecms
2.角色
SQL Server内建10种资料库角色,它不能更改或删除,但可对个别资料库增加角色。若给予使用者有内建角色中的资料库拥有者权限,它便拥有该资料库的完整操作权。其余各角色的具体权限说明可参考SQL Server的bol(即SQL Server books online),通过查询要害字roles,进入标题为roles的项目,其中有包含内建服务器角色与资料库角色的完整说明,在此不多赘述。需要注重的是,在对使用者分别设置了各种角色(每一使用者或群组可具有多种角色)后,它便拥有所有角色联集的权限,但若其中有某一角色对某一操作权(如对某一表格的select权)设置了拒绝,它将失去了该项权限,换句话说,拒绝权限优于授予权限。
织梦好,好织梦
三、资料库中部件的存取权限
对于SQL Server的治理与可连接特定资料库的权限,由SQL Server所提供的服务器角色与资料库角色基本上可以符合我们大部份需求。另外,可直接对使用者或群组设置对资料库中部件的个别存取权限,这些个别的存取权限有select、insert、update、delete、exec和dri,其中exec与dri分别表示对预存程序的执行权限和对表格有效性的验证权限。在做直接的权限设置时,我们也可针对非凡的使用者(如内建资料库角色不能满足时),当然,假如使用相同权限方式的用户比较多时,可以增加一个符合需求的资料库角色,或将这些使用者在Windows NT/2000上先归于某群组,再对该群组设置权限,这样做比较方便于治理与维护。 copyright dedecms
除上述内容之外,在实际运行时,笔者对于资料库安全的把关总结出以下几点建议。
1. 除非必要,否则尽量以Windows验证来治理可连接SQL Server的使用者,以整合Windows NT/2000的安全机制。
2. 善用SQL Server的服务器角色与资料库角色功能。
3. 善用SQL Server的加密功能。
SQL Server提供了登入账号、网络传输、虚拟表和预存程序的加密功能。其中账号的密码加密是预设的,而网络间传输资料则可用SSL方式进行加密,要启动此功能必须启动net-library的加密功能,同时要配合Windows 2000的CA功能,并在服务器端与用户端设置完成,从而双方在传输资料前,便会在SSL加密后再进行传输。由于虚拟表和预存程序的定义是以明码保存在系统资料表中,若要将虚拟表和预存程序加密,可在其建立时在eNTerprise manager中设置加密选项或以 alter 叙述来设置加密。
4. 系统安装完毕后,务必更改预设的sa密码,免得有其他使用者"义务"治理您的SQL Server。
本文来自织梦
文章评论
共有位Admini5网友发表了评论 查看完整内容