小议SQL Server 2000的安全及管理

核心提示： 2. 角色 SQL Server内建10种资料库角色，它不能更改或删除，小议SQL Server 2000的安全及管理(3)，但可对个别资料库增加角色，若给予使用者有内建角色中的资料库拥有者权限， 4. 系统安装完毕后，务必更改预设的sa密码，它便拥有该资料库的完整操作权，其余各角色的详细

2. 角色

SQL Server内建10种资料库角色，它不能更改或删除，但可对个别资料库增加角色。若给予使用者有内建角色中的资料库拥有者权限，它便拥有该资料库的完整操作权。其余各角色的详细权限说明可参考SQL Server的bol(即SQL Server books online)，通过查询关键字roles，进入标题为roles的项目，其中有包含内建服务器角色与资料库角色的完整说明，在此不多赘述。需要注意的是，在对使用者分别设置了各种角色(每一使用者或群组可具有多种角色)后，它便拥有所有角色联集的权限，但若其中有某一角色对某一操作权(如对某一表格的select权)设置了拒绝，它将失去了该项权限，换句话说，拒绝权限优于授予权限。

三、资料库中部件的存取权限

对于SQL Server的管理与可连接特定资料库的权限，由SQL Server所提供的服务器角色与资料库角色基本上可以符合我们大部份需求。另外，可直接对使用者或群组设置对资料库中部件的个别存取权限，这些个别的存取权限有select、insert、update、delete、exec和dri，其中exec与dri分别表示对预存程序的执行权限和对表格有效性的验证权限。在做直接的权限设置时，我们也可针对特殊的使用者(如内建资料库角色不能满足时)，当然，如果使用相同权限方式的用户比较多时，可以增加一个符合需求的资料库角色，或将这些使用者在Windows NT/2000上先归于某群组，再对该群组设置权限，这样做比较方便于管理与维护。

除上述内容之外，在实际运行时，笔者对于资料库安全的把关总结出以下几点建议。

1. 除非必要，否则尽量以Windows验证来管理可连接SQL Server的使用者，以整合Windows NT/2000的安全机制。

2. 善用SQL Server的服务器角色与资料库角色功能。

3. 善用SQL Server的加密功能。

SQL Server提供了登入账号、网络传输、虚拟表和预存程序的加密功能。其中账号的密码加密是预设的，而网络间传输资料则可用SSL方式进行加密，要启动此功能必须启动net-library的加密功能，同时要配合Windows 2000的CA功能，并在服务器端与用户端设置完成，从而双方在传输资料前，便会在SSL加密后再进行传输。由于虚拟表和预存程序的定义是以明码保存在系统资料表中，若要将虚拟表和预存程序加密，可在其建立时在eNTerprise manager中设置加密选项或以 alter 叙述来设置加密。

4. 系统安装完毕后，务必更改预设的sa密码，免得有其他使用者"义务"管理您的SQL Server。