SQL Server 2008如何禁用Windows登陆模式？

ggsysy 2013-02-19 11:27:30

继续昨天的数据库安全性问题。我昨天已经分配好一个登录名了，用的是“db_datareader”的角色。
今天又发现一个问题，要是系统管理员直接远程服务器去操作数据库，那我分配的只读账号就没用了啊。
看了一下服务器身份验证：
windows身份验证模式
SQL Server和windows身份验证模式
只有这两个？我现在想把数据库的登录方式改为只能用SQL Server的模式登录，即禁用windows身份验证模式，该如何操作。
或者还有没有其他更好的办法，最终目的是要让每个系统管理员只能使用我分配好的登录名进去，即使他们直接登录服务器使用数据库，也不能让他们修改数据库中的任何数据。

...全文

2444 20 打赏收藏转发到动态举报

写回复

用AI写文章

20 条回复

切换为时间正序

请发表友善的回复…

发表回复

ggsysy 2013-02-19

打赏
举报

引用 2 楼 szm341 的回复:

把登录名中的windows登录名都禁用，至少保留一个sql验证的sa账户

这个方法还真管用，在数据库安全性中，我把服务器本机账号登录名administrator的登录状态给禁用了，就登不上去了。

發糞塗牆 2013-02-19

打赏
举报

Windows登录具有更高的安全性，如果是内部环境，强烈建议使用这个。这样也有据可查。那个机子登录了SQLServer都可以查到，如果用sql登录，那就难了。

發糞塗牆 2013-02-19

打赏
举报

别想着禁用Windows，那个是内置的、默认的，且非常有用，你只需要把除管理员的Windows账号意外的禁用甚至删除即可。但是管理员就别了。如果这个账号都给人知道了，那么禁用都没用，别人都可以直接卸掉SQLServer了，设置强密码且好好管理即可。

--小F-- 2013-02-19

打赏
举报

引用 1 楼 htl258 的回复:

在安全性下面，禁用无关的登录名试试。

TONY哥N久不见了。

szm341 2013-02-19

打赏
举报

把登录名中的windows登录名都禁用，至少保留一个sql验证的sa账户

htl258_Tony 2013-02-19

打赏
举报

在安全性下面，禁用无关的登录名试试。

ggsysy 2013-02-19

打赏
举报

引用 18 楼 DBA_Huangzj 的回复:

引用 16 楼 guangguang2007 的回复: 引用 15 楼 DBA_Huangzj 的回复: 你控制好SQLServer所在的那台服务器的本地管理员和域管理员账号密码（如果有域的话），sa通常建议禁用，然后把其他所有账号先禁用，再开一个sql登录的账号，假设名字为erpuser，赋予足够权限。别的区的所谓管理员不能直接登录到服务器，只能通过ssms+sql登录来访问数据库，别的区的……

恩，有道理。那就结贴了。。

htl258_Tony 2013-02-19

打赏
举报

引用 3 楼 fredrickhu 的回复:

引用 1 楼 htl258 的回复:在安全性下面，禁用无关的登录名试试。 TONY哥N久不见了。

这两年做的工作跟这个有点偏，所以没怎么来，有愧~~

發糞塗牆 2013-02-19

打赏
举报

引用 16 楼 guangguang2007 的回复:

引用 15 楼 DBA_Huangzj 的回复: 你控制好SQLServer所在的那台服务器的本地管理员和域管理员账号密码（如果有域的话），sa通常建议禁用，然后把其他所有账号先禁用，再开一个sql登录的账号，假设名字为erpuser，赋予足够权限。别的区的所谓管理员不能直接登录到服务器，只能通过ssms+sql登录来访问数据库，别的区的管理员不应该有权限进入数据中心的操作系统上每个地区都是……

有些东西要全局去做的，不是说你力所能及做好了就是好的。这个情况你可以反映给上级管理层去协助。如果服务器可以给一大串人自由出入，那么控制权限也不见得是什么好方法。不过实在没办法的情况下，创建一个足够权限给erp用的sql账号，然后把那堆管理员账号禁用吧。sa你自己保留。

szm341 2013-02-19

打赏
举报

呵呵，你不给应用程序单独开账户，竟然把sa账户直接给应用程序

看来你要从操作系统的账户入手了你把admin的windows账号收回来，不给那些管理员用

ggsysy 2013-02-19

打赏
举报

引用 15 楼 DBA_Huangzj 的回复:

你控制好SQLServer所在的那台服务器的本地管理员和域管理员账号密码（如果有域的话），sa通常建议禁用，然后把其他所有账号先禁用，再开一个sql登录的账号，假设名字为erpuser，赋予足够权限。别的区的所谓管理员不能直接登录到服务器，只能通过ssms+sql登录来访问数据库，别的区的管理员不应该有权限进入数据中心的操作系统上

每个地区都是独立的服务器，我要是能控制当地服务器的本地管理员和域管理员账号密码，那样就不用折腾啦。他们就得用我分配的只读权限去操作数据库了。现在的问题就是每个地区的管理员都是有权限进入服务器的，看来我要的效果是达不到了，那我只能让各地区系统管理员尽量不要修改数据了。

發糞塗牆 2013-02-19

打赏
举报

你控制好SQLServer所在的那台服务器的本地管理员和域管理员账号密码（如果有域的话），sa通常建议禁用，然后把其他所有账号先禁用，再开一个sql登录的账号，假设名字为erpuser，赋予足够权限。别的区的所谓管理员不能直接登录到服务器，只能通过ssms+sql登录来访问数据库，别的区的管理员不应该有权限进入数据中心的操作系统上

ggsysy 2013-02-19

打赏
举报

引用 12 楼 DBA_Huangzj 的回复:

不会啊，SQLServer所在的服务器只有一个，不至于所有人都用那台上的管理员账号吧？

接下来要怎样操作呢？

發糞塗牆 2013-02-19

打赏
举报

晕，你不应该用这个账号来给应用程序啊....设一个sql账号给erp用啊。你仅用了当然登录不上拉。

發糞塗牆 2013-02-19

打赏
举报

不会啊，SQLServer所在的服务器只有一个，不至于所有人都用那台上的管理员账号吧？

ggsysy 2013-02-19

打赏
举报

administrator这个账号禁用后，数据库虽然是连不上了，但是前台登录ERP系统的时候，报这个错。
刚才把账号重新开启，ERP系统才能正常登录。

ggsysy 2013-02-19

打赏
举报

引用 9 楼 DBA_Huangzj 的回复:

引用 7 楼 guangguang2007 的回复: 额，还是有问题，服务器本机账号登录名administrator的登录状态给禁用后，用户反馈连系统也登录不上去了。。你的用户是用什么账号登录的？你用这个账号登录一下SQLServer然后把报错信息贴出来，还是那句，没必要禁用administrator这个账号。

因为每个地区都有系统管理员，我只想分配查询数据的权限给各管理员。但是他们又能直接进入服务器的，因此他们可以用windows身份验证去登录数据库，这样对数据库还是有最高权限的。我现在就是纳闷在这里。如果各系统管理员是不能登录服务器的话，那他们就只能乖乖的使用我分配的只读账号了，就是这个意思。我现在该怎么办呢？

發糞塗牆 2013-02-19