CHECK_EXPIRATION - указывает, надо ли принудительно применять к данному имени
входа SQL Server политику истечения срока
действия паролей;
CHECK_POLICY - указывает, что политика паролей Windows на компьютере, где выполняется SQL Server, должна быть
принудительно применена к данному имени
входа.
183
Для создания безопасной среды SQL 
Server рекомендуется использовать
параметры, которые задают
принудительное выполнение политики истечения срока действия паролей для имен входа SQL Server и применяют к ним локальную политику паролей Windows.
184
Пример - создание имени входа SQL Server
и включение проверки истечения срока
действия пароля и политики паролей:
CREATE LOGIN secureSQL
WITH PASSWORD = 'пароль',
CHECK_EXPIRATION = ON,
CHECK_POLICY = ON
185
Для изменения свойства имени входа,
используется инструкция ALTER LOGIN.
Например, для изменения пароля для имени входа SQL Server можно использовать инструкцию:
ALTER LOGIN имя_входа
WITH PASSWORD = 'пароль'
186
Для отключения имени входа SQL Server 
выполняется следующий код:
ALTER LOGIN имя_входа DISABLE
Для удаления имени входа SQL Server используется инструкция:
DROP LOGIN имя_входа
Для удаления имени входа Windows:
DROP LOGIN [Домен\Пользователь]
187
Данные об имени входа SQL Server,
например, о его состоянии или
параметрах, можно получить из представления каталога
sys.sql_logins.
188
Особенности удаления имен входа
Если имя входа - владелец защищаемого
объекта уровня сервера или задания SQL Server Agent, то его нельзя удалить.
Перед удалением имен входа их следует отключить и убедиться в том, что их удаление не будет иметь отрицательных последствий для среды SQL Server.
Кроме того, если удаляемое имя входа
сопоставлено с пользователем БД, SQL Server |
|
не удалит этого пользователя |
|
автоматически. |
189 |
|
|
Часто требуется определять исключения
при предоставлении доступа группе Windows. Например, нужно предоставить доступ к SQL Server всем пользователям группы Windows, кроме одного. Для этого создается имя входа
Windows для группы Windows и запрещается доступ пользователю, который не должен его получить. Базовый синтаксис для выполнения этих задач.
CREATE LOGIN
[имя_домена\имя_пользователя]
FROM WINDOWS DENY CONNECT SQL TO [имя_домена\имя_пользователя] 190
Управление фиксированными серверными ролями и ролями базы данных
Роль в SQL Server указывает на
определенный набор действий, который могут выполнять пользователи.
Роль позволяет объединять пользователей, выполняющих одинаковые функции, для упрощения администрирования системы безопасности.
Роли существуют на уровне сервера
и на уровне БД. |
191 |
|
С помощью фиксированных серверных ролей
администраторы БД могут назначать и управлять административными разрешениями имен входа (учетных записей), добавляя эти имена входа как члены соответствующих ролей.
Фиксированные серверные роли SQL Server 2005: