Создание и управление учетными записями

Новые учетные записи можно создавать при помощи Enterprise Manager и средствами Transact SQL.

К средствам Transact SQL предназначенным для управления системой безопасности, относится хранимая процедура sp_addlogin. С помощью этой процедуры можно создать новую учетную запись MS SQL Server 2000:

• sp_addlogin [@loginname =] 'login',

• [,[@password] =] 'password',

• [,[@defdb] =] 'database',

• [,[@deflanguage =] 'language',

• [,[@sid =] 'SID',

• [,[@ encryptopt =] 'encryption_option'

• Параметры хранимой процедуры имеют следующий смысл.

• login — в качестве данного параметра вы указываете имя учетной записи (login) MS SQL Server 2000, которое будет использоваться для аутентификации пользователя;

• password — пароль, который ассоциируется с данной учетной записью. При создании учетной записи можно указать любой пароль, даже пустой. Единственное, что необходимо сделать в этом случае, — это проинструктировать пользователя, чтобы он поменял пароль при первом входе в систему. Это можно сделать при помощи хранимой процедуры sp_password

• database — база данных по умолчанию. Именно к этой базе данных пользователь получает доступ после подключения к MS SQL Server 2000. Например, работники отдела кадров после подключения к серверу могут быть сразу соединены с базой данных, в которой содержатся сведения о сотрудниках компании;

• language — этот параметр определяет язык, который будет автоматически установлен для пользователя при соединении с SQL Server;

• SID — с помощью этого параметра можно указать двоичное число, которое будет являться идентификатором безопасности создаваемой учетной записи. Таким образом можно на разных серверах создавать учетные записи с одинаковым параметром SID (Security ID);

• encryption_option — определяет, будет ли шифроваться пароль данной учетной записи. Допускаются следующие значения— NULL, skip_encryption, skip_encryption_old. При указании значения NULL, также являющегося значением по умолчанию, пароль будет шифроваться.

Примечание

Хотя параметр database можно опустить, старайтесь всегда ассоциировать учетную запись пользователя с определенной базой данных. В противном случае пользователь будет подключен к системной базе данных master, что может привести к нежелательным последствиям.

Хранимая процедура sp_grantlogin позволяет разрешить доступ к SQL Server для пользователя или группы Windows NT:

sp_grantlogin [@loginname =] 'login'

В параметре login указывается полное имя пользователя или группы Windows NT, которым необходимо предоставить доступ к SQL Server. Имя должно содержать указание на домен, в котором оно определено. Так, например, чтобы предоставить пользователю Accel домена MATRIX право подключиться к MS SQL Server 2000 необходимо выполнить следующую команду: EXEC sp_grantlogin 'MATRIX\Accel'.

Использование Enterprise Manager

Для создания новой учетной записи или просмотра списка созданных учетных записей и их параметров выделите значок logins (учетные записи) в папке Security нужного сервера. После этого в правой части окна Enterprise Manager (рис. 1) будет отображен список учетных записей, созданных на выбранном сервере.

Рис. 1 Enterprise Manager

В поле Туре (тип) можно узнать происхождение учетной записи: соответствует она пользователю или группе Windows NT, либо пользователю MS SQL Server 2000. В поле Server Access (доступ к серверу) возможно два значения: Permit (разрешено) и Deny (запрещено), которые соответственно разрешают и запрещают доступ к серверу. В поле Default Database (база данных по умолчанию) указывается обязательный параметр для пользователя — база данных, к которой он подключается но умолчанию. Учетная запись отображается в пользователя базы дан ных, имя которого указано в поле User (пользователь). Б последнем поле — Default Language (язык по умолчанию) — устанавливается язык по умолчанию для данной учетной записи.

Для создания новой учетной записи щелкните на кнопке New Login (новая учетная запись) на панели инструментов или выберите одноименную команду в контекстном меню значка Logins (учетные записи). В появившемся диалоговом окне (рис. 2) необходимо сконфигурировать базу данных по умолчанию, язык по умолчанию, права доступа к базам данных и другие параметры.

Рис. 2 Вкладка General окна создания учетной записи

Для создания новой учетной записи на вкладке General (общие) введите имя учетной записи в поле Name (имя). В группе параметров Authentication (аутентификация) необходимо указать, какой тип аутентификации будет использоваться для создаваемой учетной записи — SQL Server или Windows NT. Если вы выбираете аутентификацию Windows NT, то дополнительно требуется указать домен, в котором состоит пользователь или группа Windows NT. Имя выбранного домена автоматически добавляется в поле Name (имя). Остается только дописать имя нужной группы или пользователя. Можно также выбрать учетную запись с помощью специального окна просмотра, открыть которое можно щелчком на кнопке с многоточием.

Обратите внимание, что вы можете не только разрешить доступ, но и сделать так, чтобы создаваемая учетная запись никогда не смогла зарегистриро ваться на SQL Server. Чтобы воспользоваться этой возможностью, в группе Security access (безопасный доступ) установите переключатель Deny access (доступ запрещен). По умолчанию установлен переключатель Grant Access (доступ разрешён).

Если же вы решаете использовать аутентификацию SQL Server, установите переключатель MS SQL Server 2000 Authentication (аутентификация MS SQL Server 2000) и введите пароль для учетной записи.

В группе Defauls (умолчания) указываются база данных, к которой пользователь подключается автоматически, если явно не указана другая база данных и язык по умолчанию. В противном случае SQL Server установит системную базу данных master как базу данных по умолчанию и задаст язык, сконфигурированный на вкладке Server Settings (параметры сервера) диалогового окна свойств сервера.

С помощью вкладки Server Roles (роли сервера) можно включить создавав мую учетную запись в одну из встроенных ролей сервера (рис. 3). Для этого достаточно всего-навсего установить флажок напротив имени нужной роли. Более подробно назначение и использование ролей сервера будет рассмотрено далее.

Рис. 3 Выбор встроенных ролей сервера

На вкладке Database Access (доступ к базам данных) можно разрешить учетной записи доступ к созданным на сервере базам данных (рис. 4). Эта вкладка разделена на две части. Б верхней части приводится список всех баз данных, созданных на локальном сервере MS SQL Server 2000. Если установить флажок в поле Permit (разрешить), то создаваемой учетной записи будет разрешен доступ к соответствующей базе данных. Имя базы данных указывается в поле Database (база данных). Предоставляя учетной записи доступ к базе данных, необходимо указать имя пользователя, в которого будет отображаться учетная запись. Имя этого пользователя указывается в поле User (пользователь).

Рис. 4 Доступ к созданным на сервере базам данных

Если в поле Permit (разрешить) для базы данных установлен флажок, то нужно обязательно указать имя пользователя базы данных. По умолчанию имя пользователя базы данных устанавливается идентичным имени учетной записи. В принципе, для каждой базы данных можно выбрать произвольное имя пользователя базы данных. В нижней части окна отображается список ролей базы данных. Этот список будет пустым, если учетной записи не предоставлен доступ к базе данных, выбранной в верхней части окна. Установив флажки напротив названии ролей баз данных, можно включить пользователя в ту или иную роль для указанной вверху базы данных.