与以前的老版本相比，SQL Server 7.0的安全模式有了很大改进，并且与Windows 2000和Windows NT的安全模式的集成非常紧密。如果你安装的是SQL Server 6.5而且没有专职的DBA，我建议你还是升级到SQL Server 7.0，因为它的管理相对要简单得多。尽管在写这篇稿子时我是在Windows NT 4.0上运行的SQL Server 7.0，但在Windows 2000上这些指令和安全问题也同样适用。另外，SQL Server 2000与SQL Server 7.0之间的区别并不大，因此这篇稿子中提到的一些问题也同样适用于SQL Server 2000。

　　SQL Server支持三级安全层次。第一个层次是，用户必须登录到SQL Server，或者已经成功登录了一个映射到SQL Server的NT帐号。在SQL Server登录成功并不意味着用户已经可以访问SQL Server上的数据库。第二层次的安全权限允许用户与一个特定的数据库相连接，第三个层次的安全权限允许用户拥有对指定数据库中一个对象的访问权限。例如，可以指定用户有权使用哪些表和视图、运行哪些存储过程。这种三层次的安全结构与Windows 2000、Windows NT安全结构相似，你所掌握的Windows安全知识也适用将会对掌握SQL Server有很大帮助。

　　SQL Server有两种验证模式：NT安全模式和混合模式。如果你选择的是NT安全模式并把NT用户登录映射到了SQL Server登录上，那么合法的NT用户也就连到了SQL Server上，不是NT合法用户的用户则不能连接到SQL Server上。在混合模式中，NT用户访问NT和SQL Server的方式与NT安全模式下相同，而一个非法的NT用户则可以通过合法的用户名和口令访问SQL Server（当然，合法的NT用户也可以通过其他合法的用户名和口令而不通过NT登录访问SQL Server）。除非必须使用混合模式，我们建议使用NT安全模式。

　　如果要查验或改变SQL Server系统的安全设置，需要打开Microsoft Management Console（MMC）中的SQL Server Enterprise Manager插件，右击服务器的名字，选择“Properties”，再选择“Security”标签，整个过程如图1所示。

如果要改变SQL Server系统的安全设置，需要中止SQL Server的运行并重新启动它（无需重新启动系统。）。在SQL Server的程序文件夹中，选择“Service Manager”，使用它中止SQL Server服务并重新启动SQL Server服务和SQL Server Agent服务（在中止服务器的运行时同时也中止了代理服务的运行）。

　　SQL Server支持三级安全层次。第一个层次是，用户必须登录到SQL Server，或者已经成功登录了一个映射到SQL Server的NT帐号。在SQL Server登录成功并不意味着用户已经可以访问SQL Server上的数据库。第二层次的安全权限允许用户与一个特定的数据库相连接，第三个层次的安全权限允许用户拥有对指定数据库中一个对象的访问权限。例如，可以指定用户有权使用哪些表和视图、运行哪些存储过程。这种三层次的安全结构与Windows 2000、Windows NT安全结构相似，你所掌握的Windows安全知识也适用将会对掌握SQL Server有很大帮助。

　　SQL Server有两种验证模式：NT安全模式和混合模式。如果你选择的是NT安全模式并把NT用户登录映射到了SQL Server登录上，那么合法的NT用户也就连到了SQL Server上，不是NT合法用户的用户则不能连接到SQL Server上。在混合模式中，NT用户访问NT和SQL Server的方式与NT安全模式下相同，而一个非法的NT用户则可以通过合法的用户名和口令访问SQL Server（当然，合法的NT用户也可以通过其他合法的用户名和口令而不通过NT登录访问SQL Server）。除非必须使用混合模式，我们建议使用NT安全模式。

　　如果要查验或改变SQL Server系统的安全设置，需要打开Microsoft Management Console（MMC）中的SQL Server Enterprise Manager插件，右击服务器的名字，选择“Properties”，再选择“Security”标签，整个过程如图1所示。

如果要改变SQL Server系统的安全设置，需要中止SQL Server的运行并重新启动它（无需重新启动系统。）。在SQL Server的程序文件夹中，选择“Service Manager”，使用它中止SQL Server服务并重新启动SQL Server服务和SQL Server Agent服务（在中止服务器的运行时同时也中止了代理服务的运行）。

　　SQL Server的登录和服务器角色

　　在SQL Server 7.0中，可以把一个NT组映射到一个SQL Server登录上。无需为每个用户添加一个登录脚本，一个允许与SQL Server连接的NT组中的用户无需输入用户名和口令就可以与一个SQL Server连接。SQL Server根据每个用户各自的NT SID而非它们的组NT SID对用户进行跟踪，因此即使是通过组连接到SQL Server的，在SQL Server也可以判断出每个用户的变化。在一个NT组中增加用户时，该用户即可自动地拥有对SQL Server的访问权，从这个NT组中删除用户时，该用户也就失去了对SQL Server的访问权限。需要牢记的一点是，当在一个NT组中增加用户时，这些用户可以同时获得了对SQL Server的访问权限。

　　考虑到NT组和SQL Server之间的联系，在设置SQL Server安全性时首先需要规划NT组和用户策略。如果指定了NTFS访问权限，就可以建立一个全局组并将所有用户都放入这个组中，然后可以打开SQL Server Enterprise Manager，为这个组增加一个SQL Server登录。如果是作为一个NT系统管理员登录的，就会拥有SQL Servers的缺省安全设置，可以以DBA的身份登录SQL Server。

　　在Enterprise Manager窗口的左部，依次扩展Microsoft SQL Servers、SQL Server Group、你要登录的服务器和“Security”。稍后我们将说明如何用“Logins”条目把NT中的组和用户与SQL Server连接，非Windows用户如何设置用户名和口令。

　　在Logins之下是“Server Roles”条目，在开始添加登录前点击“Server Roles”，熟悉一下各种不同的角色，如图2所示。

这些角色与NT的特别操作者本地组（例如服务器操作者和备份操作者）有点类似，它们已经被指派了不同的权限。我们不能增加新的服务器角色，也不能对由SQL Server提供的这些服务器角色修改。我们可以把服务器角色看作是本地组。

　　双击一个角色打开一个标签对话框，可以在一个角色上增加新的登录，观察这个角色的成员和权限。“System Administrators”角色与超级用户等价，可以在SQL Server中进行任何操作，为了满足那些真正需要这些权限的用户的需求，应该保留这个角色。你还应该为开发人员指派“Database Creators”权限，使他们可以建立测试性的数据库。你还可以指派给初级管理人员“Security Administrators”和“Server Administrators”权限，以便在没有系统管理员的情况下他们也可以管理服务器的资源和安全性。

　　在熟悉了服务器角色后，又该来讨论登录问题了。唯一预定义的登录是系统管理员的登录，如果你使用的是混合模式的安全设置，首先你需要键入系统管理员口令。缺省状态下，在安装完SQL Server后的口令是空格，双击“Save”按钮，键入新的口令。如果在NT安全模式下运行SQL Server，用户不会被要求提供口令，也就无需在这里建立口令。

　　要为NT组或用户增加新的登录，可以右击“Logins”，选择“New Login”来打开SQL Server的登录属性━━“New Login”对话框，如图3所示。

你需要做的第一件事是在“General”标签上键入一个名字，无下拉列表的对话框提供了一个可供选择的NT组或用户名的清单（在SQL Server 2000中也有这么一项功能，但你需要输入一个用户名）。如果输入一个NT组或用户名，从下拉列表中选择包含这个组或用户的域。在选择后，域名也将出现在“Name”字段中。

　　你还可以利用“General”标签来允许或拒绝用户对SQL Server的访问。如果某个组中的一个用户无权访问SQL Server，你可以使这个组的其他成员拥有访问SQL Server的权限，而使这个用户不能访问SQL Server。与在NT中一样，拒绝访问权限会覆盖掉这个用户的所有权限以及作为组用户而具有的权限。

　　一个SQL Server登录可以使组或用户拥有与SQL Server相连接的权限，但并没有给予组或用户访问任何数据库的权限。你可以利用“General”标签为每个登录设置一个缺省的数据库，但这并不能使它拥有访问这个数据库的权限，它只是表明在组或用户有权限访问数据库时，SQL Server应该把哪个数据库与组或用户相连接。“Login Properties”属性对话框中的“Separate”标签可以指派数据库的访问权限，可以把组或用户指派给一个服务器角色。

[1] [2] 下一页