iT邦幫忙

0

SQL Server 安全性設定 - 心得分享

DBA Bootcamp

大多數 SQL Server 的伺服器驗證都是設為 mixed mode, 就是 SQL Server 及Windows 驗証模式。較具規模的 IT, 由於安全性的考量,都是盡可能避免用 SQL Server 認證,而採用 Windows 認證。一般來講,都是以 AD groups (Active Directory) 來管理資料庫安全。舉個例子來說,資料庫部門有三名 DBA,在這種情況下,可以設定一個 AD 的 SA (sysadmin) 群組, 然後將三名 DBA 的 AD 帳號加入這個 AD 的 SA 群組。在 SQL Server 的安全性設定,把 sysadmin 伺服器角色授與這個 AD SA group。 DBA 則是用自己的AD 帳號登入資料庫。舉例如下.

Domain Name: Bootcamp

AD 的 SA 群組: Bootcamp\SQLSA, 其中群組包含下面的成員 (members).

DBA Jason’s AD account: Bootcamp\Jason

DBA Debbie’s AD account: Bootcamp\Debbie

DBA Mark’s AD account: Bootcamp\Mark

設定正確以後, Jason 就可以用自己的帳號 (Bootcamp\Jason) 以 Windows 驗証模式登入資料庫。

這個設定法的優點是,如果有新的 DBA 加入,只要把新加入成員的 AD 帳號加進 AD SA 群組 就可以了。簡化了許多資料庫安全設定上的手續。

若想查看細節, 可以用下面的 SQL scripts 來查詢登入帳號以及群組權限路徑的關係。

https://ithelp.ithome.com.tw/upload/images/20210220/20135038Rfsofa10UE.jpg


尚未有邦友留言

立即登入留言