教你管理SQLServer实例（8）身份验证模式

一、身份验证模式（Authenticate mode）
　　身份验证模式也就是用户登录方式，这是SQL Server实施安全性的第一步，用户只有登录到服务器之后才能对数据库系统进行管理。
　　SQL Server和身份验证模式有两个选项：
（1）集成安全性（Windows身份验证模式）
　　在此模式时，只能使用Windows帐户登录SQL Server实例。这是默认的身份验证模式。
　　一般情况下，SQL Server实例都运行在Windows服务器上，Windows本身就提供帐户的管理和验证功能。此模式时，允许SQL Server使用Windows的用户名和密码，并将登录验证的任务交给Windows操作系统，用户只要通过了Windows的身份验证，就可以连接到SQL Server实例（如果有权限的话）。

（2）混合模式（SQL Server和Windows身份验证模式）
　　在此模式时，既能使用Windows帐户也能使用SQL Server创建的帐户来登录SQL Server实例。
　　使用混合模式登录时，可以同时使用Windows身份验证和SQL Server身份验证。
　　在使用SQL Server身份验证时，用户需要使用SQL Server帐户连接到实例。对于SQL Server 2012，除了旧版本的帐户类型，还可以为某些“包含数据库”创建一种“带密码的SQL用户”（此类帐户仅可用于连接该数据库）。

二、设置身份验证模式
1. 安装时指定身份验证模式
　　在安装SQL Server时，需要指定身份验证模式。

2. 通过SSMS修改身份验证模式
　　通过SSMS可以修改身份验证模式，修改后需要重启该实例才会生效。

三、新建登录名
　　创建登录用户可以用SSMS，也可以用T-SQL脚本。
1. 创建Windows登录帐户
　　首先通过Windows的管理工具创建帐户，然后在SSMS中通过“新建登录名”将此Windows帐户添加到SQL Server登录列表。单击“登录名”旁边的“搜索”按钮可打开一个对话框，以查找 Windows 用户。

2. 创建SQL Server登录帐户
　　不需要事先创建Windows帐户，而是直接创建一个SQL Server用户帐户。
　　SQL Server 身份验证使用存储在数据库中的密码。如果身份验证模式设为“混合模式”，则此SQL Server登录帐户在创建后可立即使用。如果身份验证模式设为“集成模式”，则SQL Server登录帐户无效。

　　如果是SQL Server登录帐户，则要注意密码策略的3个选项：
（1）强制实施密码策略。将对此登录帐户强制实施密码策略，对在 SQL Server 内部使用的密码应用在 Windows Server 2003（或更高版本中）中使用的相同复杂性策略和过期策略。如果选择 SQL Server 身份验证，这将是默认设置。关闭此选项可能会造成安全风险。
（2）强制密码过期。将对此登录帐户强制实施密码过期策略，系统将提醒用户更改旧密码，并禁用带有过期密码的帐户。必须选择“强制实施密码策略”才能启用此复选框。
（3）用户在下次登录时必须更改密码。首次使用新登录名时，SQL Server 将提示用户输入新密码。必须选择“强制实施密码策略”才能启用此复选框。

四、“Windows 组”帐户
　　可以将Windows组帐户作为登录名。
　　此功能默认是关闭的，需要手动勾选“组”选项。

最佳实践：
（1）Windows 身份验证比 SQL Server 身份验证更加安全。
（2）与 SQL Server 登录相比，使用 Windows 身份验证的登录更易于管理。
除非您确定要求使用 SQL Server 身份验证，否则请选择使用 Windows 身份验证。

1. SQL Server的安全策略比较简陋，比不上Windows。
2. 不是所有的Windows用户都可以访问SQL Server，还得在SQL Server为授权用户添加登录名（或添加一个Windows安全组）。

喜欢 (1)赏

[[email protected]]

分享 (0)