SQL Server 安全性设定 - 心得分享

DBA Bootcamp

大多数 SQL Server 的伺服器验证都是设为 mixed mode, 就是 SQL Server 及Windows 验証模式。较具规模的 IT, 由于安全性的考量，都是尽可能避免用 SQL Server 认证，而採用 Windows 认证。一般来讲，都是以 AD groups (Active Directory) 来管理资料库安全。举个例子来说，资料库部门有三名 DBA，在这种情况下，可以设定一个 AD 的 SA (sysadmin) 群组, 然后将三名 DBA 的 AD 帐号加入这个 AD 的 SA 群组。在 SQL Server 的安全性设定，把 sysadmin 伺服器角色授与这个 AD SA group。 DBA 则是用自己的AD 帐号登入资料库。举例如下.

Domain Name: Bootcamp

AD 的 SA 群组: Bootcamp\SQLSA, 其中群组包含下面的成员 (members).

DBA Jason’s AD account: Bootcamp\Jason

DBA Debbie’s AD account: Bootcamp\Debbie

DBA Mark’s AD account: Bootcamp\Mark

设定正确以后, Jason 就可以用自己的帐号 (Bootcamp\Jason) 以 Windows 验証模式登入资料库。

这个设定法的优点是，如果有新的 DBA 加入，只要把新加入成员的 AD 帐号加进 AD SA 群组 就可以了。简化了许多资料库安全设定上的手续。

若想查看细节, 可以用下面的 SQL scripts 来查询登入帐号以及群组权限路径的关係。