SQL Server 安全性設定 - 心得分享
大多數 SQL Server 的伺服器驗證都是設為 mixed mode, 就是 SQL Server 及Windows 驗証模式。較具規模的 IT, 由於安全性的考量,都是盡可能避免用 SQL Server 認證,而採用 Windows 認證。一般來講,都是以 AD groups (Active Directory) 來管理資料庫安全。舉個例子來說,資料庫部門有三名 DBA,在這種情況下,可以設定一個 AD 的 SA (sysadmin) 群組, 然後將三名 DBA 的 AD 帳號加入這個 AD 的 SA 群組。在 SQL Server 的安全性設定,把 sysadmin 伺服器角色授與這個 AD SA group。 DBA 則是用自己的AD 帳號登入資料庫。舉例如下.
Domain Name: Bootcamp
AD 的 SA 群組: Bootcamp\SQLSA, 其中群組包含下面的成員 (members).
DBA Jason’s AD account: Bootcamp\Jason
DBA Debbie’s AD account: Bootcamp\Debbie
DBA Mark’s AD account: Bootcamp\Mark
設定正確以後, Jason 就可以用自己的帳號 (Bootcamp\Jason) 以 Windows 驗証模式登入資料庫。
這個設定法的優點是,如果有新的 DBA 加入,只要把新加入成員的 AD 帳號加進 AD SA 群組 就可以了。簡化了許多資料庫安全設定上的手續。
若想查看細節, 可以用下面的 SQL scripts 來查詢登入帳號以及群組權限路徑的關係。