65.9K
CodeProject 正在变化。 阅读更多。
Home

如何为 SMS 设置 SQL Server 集成安全性

Ahmed_EL Sayed
starIcon
emptyStarIcon
starIcon
emptyStarIconemptyStarIconemptyStarIcon

1.89/5 (5投票s)

2005年4月19日

9分钟阅读

viewsIcon

64833

如何设置 SQL Server 集成安全性以配合 SMS 使用。

引言

本文信息适用于 Microsoft Systems Management Server 版本 1.2。

当大规模使用 Systems Management Server 时,管理员通常需要授予其他人使用 Systems Management Server 管理员实用程序的权限。为了满足这一需求,并且由于很少有人希望授予所有功能权限,因此有必要创建一组单独的 SQL Server 登录 ID。这些 ID 拥有不同的权限,以匹配独特而特定任务的需求。此外,使用 SQL Server 集成安全性有助于减少所需的管理工作量,因为用户只需记住一个密码;即他们的 Windows NT 帐户密码。

更多:在使用 Systems Management Server 管理员工具时,用户只能访问与其匹配的 SQL Server 登录 ID 或用户别名所指向的 SQL Server 登录 ID 授予的那些功能。下面描述的过程结合了 SQL Server 集成安全性的使用,这样用户只需登录一次工作站。

这些说明还结合了将某些 SQL Server 登录 ID 别名设置为“唯一”SQL Server 登录 ID,该 ID 不匹配特定的用户帐户。这使得管理 SQL Server 登录 ID 的权限变得更容易,因为 Systems Management Server 安全管理器仅允许修改单个 SQL Server 登录 ID 的权限。例如,如果您有 20 个 SQL Server 登录 ID(即用户帐户),需要授予执行 Systems Management Server 中远程控制的访问权限,则可以更轻松地授予这些权限。单独修改每个帐户的权限可能需要很长时间。但是,如果这 20 个 SQL Server 登录 ID 都别名到一个名为“HelpDesk”的 SQL Server 登录 ID,那么修改单个 HelpDesk 登录 ID 的权限就变成了一个简单的任务。

注意:如果您管理的 SQL Server 登录 ID 数量很少,则可能不需要使用别名。如果是这种情况,请跳过下面引用 SQL Server 登录 ID 别名到其他 SQL Server 登录 ID 的部分。对于步骤 5,只需为用户的 SQL Server 登录 ID 分配权限。

初始设置

  1. 在 Windows NT 用户管理器中,创建 Windows NT 用户组,并将用户帐户分配给组。
  2. 使用 SQL 安全管理器为刚创建的 Windows NT 组中的用户创建 SQL Server 登录 ID。为此,请执行以下步骤:
    • 在 SQL 安全管理器中,在“视图”菜单上,单击“用户权限”。
    • 在“安全”菜单上,单击“授予新”。
    • 选择正确的 Windows NT 组,并确保选择了“为组成员添加登录 ID”和“将用户添加到数据库”选项。同时,确保从下拉菜单中选择了 SMS 数据库。
    • 单击“授予”。
  3. 使用 SQL 企业管理器实用程序,为您的用户在使用 Systems Management Server 管理员实用程序时所需的访问类型(或级别)创建唯一的 SQL Server 登录 ID。这些是您将分配不同权限以使用 Systems Management Server 安全管理器实用程序的 SQL Server 登录帐户。这些唯一的 SQL Server 登录 ID 可作为自定义模板或用户组。同样,如果您需要更改权限,修改用户别名指向的 SQL Server 登录 ID 比更改每个单独 SQL Server 登录 ID 的权限要简单得多。一些例子包括“HelpDesk”、“SoftDist”(软件分发)或“SMSAdmins”。要创建登录 ID,请执行以下步骤:
    • 单击 SQL 企业管理器。
    • 在“管理”菜单上,单击“登录”。
    • 键入与此登录 ID 将具有的权限的功能类型相对应的登录名。
    • 键入密码。
    • 为 Systems Management Server 数据库选择“允许”列。
    • 单击“添加”。
  4. 在 SQL 企业管理器中操作时,将 SQL 安全管理器创建的 SQL Server 登录 ID(与 Windows NT 用户登录帐户匹配)别名到步骤 3 中手动创建的唯一登录 ID。为此,请执行以下步骤:
    • 在“管理”菜单上,单击“登录”。
    • 从可用帐户的下拉列表中选择新的 SQL Server 登录 ID。
    • 单击“别名”(针对 Systems Management Server 数据库),并选择在本文“初始设置”的步骤 3 中创建的相应唯一 SQL Server 登录 ID(例如,“HelpDesk”、“SoftDist”等)。
    • 单击“添加”。
  5. 使用 Systems Management Server 安全管理器,将 Systems Management Server 的特定区域的访问权限授予在步骤 3 中创建的唯一 SQL Server 登录 ID。由于 SQL Server 登录 ID 的用户被别名到少数唯一 ID,因此无需修改用户 SQL Server 登录 ID 的权限。为此,请执行以下步骤:

    注意:不要修改“dbo”(数据库所有者)的权限。此登录 ID 应对所有安全对象始终具有完全权限。

    • 在 Systems Management Server 安全管理器中,从下拉列表中选择 SQL Server 登录 ID。
    • 选择适当的安全对象,并为这些对象选择所需的访问类型;即,完全访问、查看或无访问。您可以通过单击“安全”菜单上的“使用模板”来使用默认安全模板。
    • 设置完所需权限后,单击工具栏上的“保存”或在“安全”菜单上单击“保存用户”以使更改生效。
  6. 要实现 SQL Server 集成安全性,请执行以下步骤:
    • 在 SQL 企业管理器中,右键单击“服务器管理器”窗口中显示的 SQL Server 名称,然后在快捷菜单上单击“配置”。
    • 单击“安全选项”。
    • 选择“Windows NT 集成”作为登录安全模式,然后单击“确定”。

    注意:启用 SQL Server 集成安全性后,所有属于 Administrators 内置 Windows NT 用户组的成员都将拥有 SQL Server 的系统管理员(SA)特权。为避免这种情况,您必须创建一个单独的 Windows NT 用户组(例如,一个名为“SQLAdmins”的组),其中包含需要 SQL Server SA 特权的用户帐户。Systems Management Server 服务帐户应在此新组中。创建组后,使用 SQL 安全管理器(具有 SA 特权视图)向新组授予 SA 特权,然后从 Administrators 组撤销 SA 特权。

  7. 停止并重新启动 MSSQLServer 服务,为此,请使用 SQL 企业管理器、SQL 服务管理器或控制面板服务。

完成这些步骤后,应测试系统。要进行测试,请执行以下步骤:

  • 使用在此过程中步骤 1 中创建的 Windows NT 用户帐户,登录到运行 Windows NT Workstation 的计算机。
  • 运行 Systems Management Server 管理员实用程序,并键入 SQL Server 名称和数据库信息。由于正在使用 SQL Server 集成安全性,因此无需键入任何 SQL Server 登录 ID 或密码。实际上,这样做没有任何效果。
  • 点击“确定”。

Systems Management Server 管理员现在只允许已启用功能的正常运行。如果某些功能无法正常工作,可能是因为依赖于另一个未启用安全对象。如有疑问,请参阅 Systems Management Server Books Online 中的《安装和配置指南》第 6 章“为 Systems Management Server 管理员配置安全性”。

初始设置后添加用户

要在完成上述步骤后添加另一个用户,请执行以下步骤:

  • 在 Windows NT 用户管理器中,将 Windows NT 用户帐户添加到相应的组。
  • 使用 SQL 安全管理器或 SQL 企业管理器创建新的 SQL Server 登录 ID。选择使用 SQL 安全管理器或 SQL 企业管理器。

注意:当只添加少量(一两个)SQL Server 登录 ID 时,SQL 企业管理器方法更快。如果您想一次添加多个新登录 ID,SQL 安全管理器方法更简单。

SQL 企业管理器方法

  • 打开 SQL 企业管理器。
  • 在“管理”菜单上,单击“登录”。
  • 键入与用户 Windows NT 帐户匹配的登录名。
  • 键入密码,并注意它需要与相应 Windows NT 帐户的密码匹配。
  • 单击 Systems Management Server 数据库的“允许”列。
  • 单击“别名”(针对 Systems Management Server 数据库),并选择在本文“初始设置”的步骤 3 中创建的相应唯一 SQL Server 登录 ID。
  • 单击“添加”。

SQL 安全管理器方法

  • 在 SQL 安全管理器的“用户权限”视图中,选择包含新 Windows NT 用户帐户的组。
  • 在“安全”菜单上,单击“帐户详细信息”。
  • 在“帐户详细信息”窗口中,单击“更新登录”。这将为新的 Windows NT 用户帐户创建一个匹配的 SQL Server 登录 ID。注意:对于每个已有 SQL Server 登录 ID 的 Windows NT 帐户,将生成一个帐户已存在的错误。您可以忽略这些错误消息。
  • 打开 SQL 企业管理器,并在“管理”菜单上单击“登录”。
  • 从可用帐户的下拉列表中选择新的 SQL Server 登录 ID。
  • 单击“别名”(针对 Systems Management Server 数据库),并选择在本文“初始设置”的步骤 3 中创建的相应唯一 SQL Server 登录 ID;即,HelpDesk、SoftDist 等。
  • 单击“添加”。

删除用户

要删除用户,请执行以下步骤:

  • 使用 SQL 企业管理器,删除与 Windows NT 用户帐户匹配的 SQL Server 登录 ID。为此,请执行以下步骤:
    • 在 SQL 企业管理器中,单击“管理”菜单上的“登录”。
    • 从下拉列表中选择与用户 Windows NT 帐户匹配的登录名。
    • 要暂时禁用此用户的访问权限,请单击以清除 Systems Management Server 数据库的“允许”列,然后单击“修改”。要永久删除 SQL Server 登录 ID,请单击“删除”。

    注意:如有必要,请使用 Windows NT 用户管理器实用程序将用户的帐户从 Windows NT 用户组中删除,和/或删除该帐户。

可能遇到的问题

以下是一些需要注意的事项:

  • 如果删除然后重新创建了用户的 SQL Server 登录 ID,Systems Management Server 安全管理器可能会显示用户的 SQL Server 登录 ID 仍对 Systems Management Server 数据库具有某些允许的权限,而实际上这些权限无效。如果发生这种情况,请撤销现有权限,然后使用 Systems Management Server 安全管理器重新授予它们。如果使用了别名,请重新建立对重新创建帐户的别名(参见“初始设置”过程中的步骤 4)。
  • 当使用较低权限集运行 Systems Management Server 管理员时,某些菜单按钮将从工具栏中移除。当再次使用完整权限运行 Systems Management Server 管理员控制台时,这些按钮不会自动恢复。要恢复这些按钮,请执行以下步骤:
    • 在 Systems Management Server 管理员的“选项”菜单上,单击“自定义工具栏”。
    • 单击“重置”,然后单击“确定”。

参考文献

有关更多信息,请访问 MSDN

© . All rights reserved.