数据库管理员应严格控制用户账户的使用方式（数据库系统的安全策略）

本文目录

• 数据库系统的安全策略
• 保证数据库安全的一般方法包括哪四种
• 数据管理员是做什么
• **L2005, 在连接数据库引擎时，用windows身份验证时可以正常连接上，但是用Sql身份验证就连接不上
• 数据库安全的安全策略
• **L Server数据库管理员(DBA)的工作内容

数据库系统的安全策略

第一，系统安全策略：包括了数据库用户管理、数据库操作规范、用户认证、操作系统安全4个部分。 　　1）数据库用户管理。数据库用户对信息访问的最直接途径就是通过用户访问。因此需要对用户进行严格的管理，只有真正可信的人员才拥有管理数据库用户的权限； 　　2）数据库需要有操作规范。数据库中数据才是核心，不能有任何的破坏，数据库管理员是唯一能直接访问数据库的人员，管理员的操作是非常重要的，因此需要对数据库维护人员培训，树立严谨的工作态度，同时需要规范操作流程； 　　3）用户身份的认证。Oracle数据库可以使用主机操作系统认证用户，也可以使用数据库的用户认证，从安全角度出发，initSID.ora文件中的remote_os_authent参数设成FALSE，以防止没有口令的连接。建议将remote_os_roles设成FALSE，防止欺骗性连接； 　　4）操作系统安全。对于运行任何一种数据库的操作系统来说，都需要考虑安全问题。数据库管理员以及系统账户的口令都必须符合规定，不能过于简单而且需要定期的更换口令，对于口令的安全同样重要。系统管理员在给操作系统做维护的时候，需要与数据库管理员合作，避免。 　　第二，数据安全策略。 　　数据安全策略决定了可以访问特定数据的用户组，以及这些用户的操作权限。数据的安全性取决数据的敏感程度，如果数据不是那么敏感，则数据的安全策略则可以稍微松一些；反之则需要制定特定的安全策略，严格的控制访问对象，确保数据的安全。 　　第三，用户安全策略。 　　用户安全策略是由一般用户安全、最终用户安全、管理员安全、应用程序及开发人员安全、应用程序管理员安全5个部分组成。 　　1）一般用户安全。如果对于用户的认证由数据库进行管理，则安全管理员就应该制定口令安全策略来维护数据库访问的安全性。可以配置oracle使用加密口令来进行客户机/服务器连接； 　　2）最终用户安全。安全管理员必须为最终用户安全制定策略。如果使用的是大型数据库同时还有许多用户，这是就需要安全管理员对用户组进行分类，为每个用户组创建用户角色，并且对每个角色授予相应的权限； 　　3）管理员安全。安全管理员应当拥有阐述管理员安全的策略。在数据库创建后，应对SYS和SYSTEM用户名更改口令，以防止对数据库的未认证访问，且只有数据库管理员才可用； 　　4）应用程序开发人员安全。安全管理员必须为使用数据库的应用程序开发人员制定一套特殊的安全策略。安全管理员可以把创建必要对象的权限授予应用程序开发人员。反之，创建对象的权限只能授予数据库管理员，他从开发人员那里接收对象创建请求； 　　5）应用程序管理员安全。在有许多数据库应用程序的大型数据库系统中，可以设立应用程序管理员 　　第四，口令管理策略。口令管理包括账户锁定、口令老化及到期、口令历史记录、口令复杂性校验。 　　1）帐户锁定。当某一特定用户超过了失败登录尝试的指定次数，服务器会自动锁定这个用户帐户； 　　2）口令老化及到期。DBA使用CREATE PROFILE语句指定口令的最大生存期，当到达了指定的时间长度则口令到期，用户或DBA必须变更口令； 　　3）口令历史记录。DBA使用CREATE PROFILE语句指定时间间隔，在这一间隔内用户不能重用口令； 　　4）口令复杂性校验。通过使用PL/**L脚本utlpwdmg.sql（它设置缺省的概要文件参数），可以指定口令复杂性校验例行程序。

保证数据库安全的一般方法包括哪四种

1.数据库用户的管理，按照数据库系统的大小和数据库用户所需的工作量，具体分配数据库用户的数据操作权限，控制系统管理员用户账号的使用。
2.建立行之有效的数据库用户身份确认策略，数据库用户可以通过操作系统、网络服务以及数据库系统进行身份确认，通过主机操作系统进行用户身份认证。
3.加强操作系统安全性管理，数据服务器操作系统必须使用正版软件，同时要有防火墙的保护。
4.网络端口按需开放，根据实际需要只开放涉及业务工作的具体网络端口，屏蔽其它端口，这样可以在较大程度上防止操作系统受入侵。

数据管理员是做什么

数据库管理员是指全面负责数据库系统的日常管理、维护和运行的人员。DBA处于终端用户与应用程序之间，是数据库系统能否正常运转的关键，大型数据库系统需要设置专门的管理办公室。其职责是监督控制数据库的使用和运行，实施数据库系统的维护、改进和重组，开展信息社会化服务。

数据库管理员工作内容包括三大方向，其典型的工作内容重点如下。

·规划与建设。

·营运与维护。

·故障排除与灾后恢复。

1. 规划与建设

   数据库服务器环境架构评估与规划

   安装及升级数据库软件

   数据库的创建与设置

   设计数据库存储方式

   建立完善的备份计划

   建立数据库安全性管理规范

   2.营运与维护

     建立及维护数据库使用者与所有对象

    检查数据库备份是否成功地执行及确认备份的有效性

    控制和躲控使用者对数据库的存取状况与使用数据库资源

    监控数据库的性能、存储状况及可用性

    数据库安全性的监控

  3.障碍排除与灾后恢复

    调整数据库性能

    灾后恢复

【参考资料：MBA智库百科“数据库管理员”】

**L2005, 在连接数据库引擎时，用windows身份验证时可以正常连接上，但是用Sql身份验证就连接不上

**L Server 2005 之 Windows身份认证 无法**“网络追踪” 收藏
今天有个网友安装完**L Server2005后，**是遇到了一个我问题：
Windows身份认证方式无法**，**l Server 身份认证方方式可以**
我用sql server 的时间并不长，对于这个我问题我也没遇到过。起初跟他说很多我知道的方法去尝试，比如 ，安装后要是把机器名修改了，就会导致**界面上的“服务器名”失效，从而无法**；还有什么混合**模式，是否开启 sql server agent，然后仔细看了一下他发过来的截图
发现 “服务器名称 ”只有一个机器名，我记得我安装的时候应该是： 机器名\**LServer2005(后面这个好像安装的时候可以自己设置的) ，然后我就以为他缺少后面那个东西，然后他说安装完成后就是那样，什么都没改。死马当活马医吧，我让他在后面添上了
\**L Server2005、\**L Server、\MS**LSERVER ,结果还是不行。接着，就让他去查看“安全性”，发现以windows身份验证创建**名的时候会报错 ，而sql serser身份验证创建**名不会报错。
遇到没见过的错误当然是上网去搜索一下再说啊，查来查去，根据网上说的，我怀疑是和 本地系统帐户，域用户帐户有关，网上的资料如下：（有点多，呵呵）
1、装**L Server2000，服务设置里的，使用本地系统帐户和使用域用户帐户 有何区别？
**LServer2000 使用本地系统帐户和使用域用户帐户两者区别
在安装**LSERVER2000时，会有这样的一个选择画面，这是设置启动sqlserver服务的登录身份。**LSERVER2000装好后，会产 生一个MS**LSERVER服务，在这里设置的就是启动它这个服务的登录身份。

那么我们究竟要选择哪一个呢？两者各代表什么意思呢？下文我们就来研究一下。
我们先看熟悉一下两个相关概念。
什么是凭据？
Windows凭据（Credential）其实就是指用户帐户和口令，我们调用一些API，如 WTSOpenServer，QueryServiceStatus，NetUserEnum等等涉及到RPC的，只要当前用户存储有目标远程机的权限合 适的凭据，则这些API就不会因产生ERROR_ACCESS_DENIED而执行失败。
不好理解么？那么我们来看一下访问别的计算机的情形，加深理解。访问远程计算机必然用到rpc。

上图就是我们连接到IP为172.16.100.1计算时的情形，这个时候是需要我们输入用户帐户与密码的。这里的用户帐户与密码就是所谓的凭据。

当我们输入用户帐户与密码后，并把“记住我的密码”打上勾，点确定。那么我们的凭据(即这个用户帐户与密码)被存储了，以后再访问的时候就无须再输入。
安 全上下文
安全上下文（Security context）是指在一个系统中有效的安全属性或规则。
下面我们来看**LSERVER2000服务的两种登录方式：本地系统帐户和域用户帐户
本 地系统帐户：
该帐户是对本地计算机具有管理员权限的预定义本地帐户。在本地系统帐户的安全上下文中运行的服务向远程服务器提供本地计算机的凭据。在本地系统帐户的安全 上下文中运行的服务不能建立身份验证会话，因为本地系统帐户不属于域中的 Everyone 组。因此，使用该帐户的服务只能通过空会话(没有凭据)来访问网络资源。(这个访问指的是为了完成某项任务服务的自动访问，和我们的连接**L服务器不一 概念)
域 用户帐户：
使用专用域用户帐户作为登录帐户
域用户帐户是指在 Active Directory 目录服务中创建的用户帐户。该帐户是域中 Authenticated Users 组的成员。在域用户帐户的安全上下文中运行的服务向远程服务器提供域用户帐户的 Kerberos 票证。在域用户帐户的安全上下文中运行的服务可以访问经过身份验证的用户或特定用户帐户有权访问的远程服务器上的资源。
使用本地用户帐户作为登录帐户
本地用户帐户是指在本地计算机上创建的Windows用户帐户。在本地用户帐户的安全上下文中运行的服务向远程服务器提供本地用户帐户的访问标记。如果在 远程服务器上配置了匹配用户名和密码，则使用本地用户帐户的服务将能够访问同名帐户有权访问的远程服务器上的资源。虽然此方案行之有效，但是维护这些单独 的帐户并保持帐户密码同步将增加管理开销。
如果你没有加入域，但又需要连接到网络资源，那么可以使用本地用户帐户作为登录帐户。
由此可见使用域用户帐户可以使用凭据来访问远程计算机，并使用相应的资源。
例如**LSERVER服务，当它进行以下操作时，是需要访问远程计算机的。
• 远程过程调用。
• 复制。
• 备份到网络驱动器。
• 涉及远程数据源的异类联接。
• **L Server 代理邮件功能和 **L 邮件。
在这几种情况下是无法不使用凭证去访问远程计算机，并使用其资源的。所以必须得把登录类型改为“域用户帐户”，并输入在远程计算机上配置好的，存在的“用 户名”和“密码”。
如果只是装在本机进行开发或学习，完全没必要使用域用户帐户登录模式，因为有时候因为切换不同用户而导致服务不能启动。
修 改**LSERVER服务的登录类型
服务的登录类型是随时可以改变的。可以需要的时候通过以下两种方法修改**LSERVER服务的登录类型。
1． 通过企业管理器修改
右击**LSERVER服务器---“属性”---“安全性”下的“启动服务帐户”
2．通过服务修改
“控制面板”---“服务”----“MS**LSERVER”，右击---“属性”---“登录”
装 **LSERVER时遇到的一些问题
1.在安装时出现提示"command line option syntax error!type command /? for help"
这是因为你可能把**LSERVER的安装文件放在了中文目录下，可以你它改为英文目录即可。每一级目录都不能含有中文。
2.出现提示"以前的某个程序安装已在安装计算机上创建挂起的文件操作。运行安装程序之前必须重启计算机"
打开注册表器(或在命令行输入:regedit)，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\Session Manager中找到PendingFileRenameOperati***项目，并删除它。然后进行安装。
2、安装**L时，使用域用户账户中的域填写什么（填写其他无法继续下一步）急急急！！！！
此时出现"服务账户"对话框，在该对话框中共有4个选项，我们建议用户选择"对每个服务使用同一账户。自动启动**L Server 服务"和"使用本地系统账户"这两个选项，选好以后点击下一步，继续安装；
进入"身份验证模式"窗口，此时请选择第二项"混合模式"只有选择混合模式后**L Server 数据库的超级用户才是"sa"；在此窗口可输入超级用户的密码，也可选择空密码（建议：不要使用空密码）。选择下一步后继续安装；
这时安装程序将从光盘向您的机器安装**L 2000的部件，这需要一段时间。当安装完成后，出现"安装完成"对话框。单击"完成"按钮，完成**L 2000的安装。
3、**L2000 1069错误(由于登录失 败而无法启动服务)解决办法？
原因很简单，安装**L Server时是使用默认登录用户来作为启动**L Server服务的账号（对于自己使用的单机，通常就是administrator了），当该用户更改了用户名（如有人喜欢把administrator 改成admin）或更改了其口令时，再次启动服务器，就出现"同于登录失败而无法启动服务"的错误了
知道了原因，解决方法也就很显然了
1、把用户口令改回原来的，再启动服务
2、使用控制面版服务管理器，找到 MS**LSERVER服务，更改启动账号信息，改成变更后的，再启动服务
3、也是推荐使用的方法，创建一个新用户，专门用于启动**L Server服务，安装**L Server时就使用该用户来启动**L Server，这样就可以避免用于频繁更改administrator口令而带来的1069错误了。如果已经安装好**L Server，也可以在控制面版服务管理器下更改MS**LSERVER服务的服务账号信息，换成**L服务专用的用户。
首先介绍网络上常用的两种解决方法：
　 　1.我的电脑--控制面板--管理工具--服务--右键 MS**LSERVER--属性--**--**身份--选择"本地系统帐户"
　或:
　　2.我的电脑--控制面板--管理工具--服务--右键 MS**LSERVER--属性--**--**身份--选择"此帐户"--密码和确认密码中输入你修改后的administrator密码.
　　两者的区别:
　　选择第一种方式,以后修改了administrator密码,不用再调整(但要求**操作系统的是系统管理员)
　　选择第二种方式,以后修改了administrator密码,还要再重复做上面的操作.
　　下面是我遇到的一种情况：
　　今天上午同事又告诉我他的**L不能**自己的"企业管理器"了，报出的错误就是"1069 错误，由于登录失败而无法启动服务"，上网查到了以上两种方案，但是当我看到了服务的窗口又发现了一个可能引起此问题的地方，我们先找到 MS**LSERVER服务，然后查看它的属性,发现是使用域帐户在启动服务时进行验证，于是便询问是否修改过**域的密码，得到答案是修改过，因为域中作了设置，一定时期后要求用户修改密码，而且不能与以前密码相同（空密码除外，这个我做过实验^_^）。于是将这里的密码重新进行设置，再重新启动服务成功，**L也可**成功。
4、发生错误1069：由于登录失败而无法启动服务 （这个和上面的差不多）
如何修改 **L Server 2000身份验证模式和系统 管理 员Sa的登录密码
1、如何修改**L Server 2000身份验证模式？
　　分析：由于千方百剂软件，在 数据库 安全方面采用了最安全的方式“混合模式”，它主要应用于网络主要是Novell网络或者对等网，使用S**/IP协议和**L Server验证模式。
　　优点如下：
　　创建了Windows NT/2000之上的另外一个安全层次。
　　支持更大范围的用户，例如非Windows NT客户、Novell网络等。
　　一个应用程序可以使用单个的**L Server登录和口令。
　　下面以操作系统Windows 2000上的**L Server 2000为例，对误将身份验证模式选择为“windows身份验证模式”的数据库进行修改，操作步骤为：
　　1． 打开企业管理器，依次展开服务器组，用右键单击软件使用的服务器。
　　2． 在弹出的快捷菜单，执行“属性”命令，出现“**L Server属性”对话框。如图3所示。单击“安全性”标签，在“安全性”选项框中，将“仅Windows”改为“**L Server和Windows”身份验证。
　　3． 设置完成后，单击“确定”按钮，系统提示重新启动服务器。
　　4． 单击“是”按钮，完成对身份验证模式的修改。
　　说明：在 Windows XP操作系统与Windows 2000操作系统下修改**L Server 2000身份验证模式相同，但在Windows 98操作系统下，却不能通过以上方法对身份验证模式进行修改。因为在Windows 98操作系统下，安装**L Server 2000时，系统只支持“混合模式”身份验证模式。
2、如何修改**L Server 2000系统管理员Sa的登录密码？
　　分析：**L Server 2000系统管理员Sa的登录密码，一般在安装**L Server 2000时就已经设置。在数据库管理系统中，用检查口令等手段来检查用户身份，合法的用户才能进入数据库系统。千方百剂系列需要通过验证Sa登录密码才能 创建、删除账套，这样Sa的登录密码在此就显得尤为重要。
　　操作步骤如下：
　　1． 打开企业管理器，依次展开服务器组，然后展开服务器。
　　2． 打开“安全性”文件夹，单击“登录”，然后用右键单击“Sa”，执行“属性”命令。
　　3． 弹出“**L Server登录属性”对话框，如图4所示。在“**L Server身份验证”密码栏，输入最新密码。
　　4． 单击“确定”按钮，弹出“确认密码”对话框，再输一遍登录密码。
　　5． 单击“确定”按钮，完成对Sa登录密码的修改。
3、发生错误1069：由于登录失败而无法启动服务
错误1069是一个Windows NT/2000的系统错误。错误1069表明服务不能被启动（当启动服务时返回“登录失败”错误）。例如，当启动MS**LServer服务时，得到如下 错误提示：
发生错误1069：由于登录失败而无法启动服务
此时正在MS**LServer服务上执行该服务操作
如果服务被一个没有“登录服务”权限的帐户所启动时会发生1069错误。解决该问题的方法是给予该帐户以“登录服 务”权限。
具体到MS**LServer的问题，如果在安装在Windows XP上安装**L Server 2000开发版，并选择了默认设置（仅Windows的身份验证方式，默认实例，用Windows的Administrator用户进行的安装等），一般 会发生上述问题。解决的方**有很多种，但最简单的方法是：
依次打开Windows控制面版-》管理工具-》服务-》MS**LSERVER-》属性-》登录，将登录身份改为本地系 统帐户
通过以上资料，初步认为是因为设置了 “使用域用户帐户 ”，于是就去查看了 控制面板--管理工具--服务--右键 MS**LSERVER--属性--**--**身份--选择"本地系统帐户" ，哎！发现他的电脑本来就是选择的“ 本地系统帐户 ”
这下我是真的无语了。。。。无奈啊！
他说是不是因为win7系统的缘故，也许安装的时候和 xp 不一样，我也这么想过，但是我觉得应该没多大差别才对。没办法，继续上网查！
5、win7安装sql server 2005的方法详解：
本文将为大家介绍Windows 7下如何安装**L Server 2005，相信通过本文，能让大家了解安装的过程。
　　一、配置IIS
　　到控制面板，打开IIS Features,点左边的加号，打开详细信息，我们勾上以下组件：
　　1: Web Managerment Tools\IIS 6 Management Compatibility\IIS6 WMI Compatibility
　　2: Web Managerment Tools\IIS 6 Management Compatibility\IIS6 Metabase and IIS 6 Configuration Compatibility
　　3: World Wide Web Services\Application Development Features\Asp.net
　　4: World Wide Web Services\Common Http Features\Http Redirection
　　5: World Wide Web Services\Security\Windows Authentication
　　二、安装标准版**L Server 2005
　　按照提示安装即可。
　　三、安装**L Server 2005 SP3
　　最后一步设置系统帐号权限，需要先到任务管理器中关闭 sqlserver 进程，然后到打开dos窗口之前的一步，又需要手动启动 sqlserver服务。
　　四、启用 **L Server Browser 服务
　　单击“开始”，依次指向“程序”、“Microsoft **L Server 2005”和“配置工具”，然后单击“**L Server 外围应用配置器”。
　　在“**L Server 2005 外围应用配置器”页上，单击“服务和连接的外围应用配置器”。
　　在“服务和连接的外围应用配置器”页上，单击“**L Server Browser”，在“启动类型”中单击“自动”选项，然后单击“应用”。
　　打开 Windows 防火墙，请单击“开始”，再单击“运行”，键入 firewall.cpl，然后单击“确定”。
　　五、在 Windows 防火墙中为 **L Server 2005 创建例外
　　若要在 Windows 防火墙中为 **L Server 2005 创建例外，请执行以下步骤：
　　六、在 Windows 防火墙中为 **L Server Browser 服务创建例外
　　若要在 Windows 防火墙中为 **L Server Browser 服务创建例外，请执行以下步骤：
　　1.在 Windows 防火墙中，单击“例外”选项卡，然后单击“添加程序”。
　　2.在“添加程序”窗口中，单击“浏览”。
　　3.单击 C:\Program Files\Microsoft **L Server\90\Shared\sqlbrowser**** 可执行程序，单击“打开”，然后单击“确定”。
　　七、配置**LServer2005 远程连接
　　第一步 ：**L Server Configuration Manager -》 **L Server 2005 Services 将 **L Server Browser 设置为 running，
　　如果没有Enable的话，右键Properties -》 Service -》 StartMode = Auotomatic
　　注意，同时必须打开**L Server Browser 服务
　　
　　第二步： **L Server 2005 Network Configuration -》 Protocols for **LXPRESS 下同时使用TCP/IP和named pipes
　　
　　第三步：**L Native Client Configuration 下同时使用TCP/IP和named pipes
　　

　　2、**改为混合模式:
　　打开manage管理器-》以windows方式连接并进入数据库-》右键点击你的数据服务器-》属性 -》security》选中Sql server and windows Authentication
　　
　　3、新建**L server方式的用户名和密码:
　　manage管理器 -》 security -》 右键点击logins-》new login...-》 选中sql server authentication -》设置login name 和password(confirm password)以及 默认的数据库
　　最好去掉“enforce password expiration”前的小钩，否则每次**都要修改密码。
　　注意 ： 一定要在User Mapping 页面中选择该用户对应的数据库(即使前面已经选择了默认数据库)，否则还是会登录不上

如果需要修改数据库，必须分配 db_Owner 角色
　　
　　4、重新启动服务器
　　虽然网上好多文章都说只需要重新启动**L服务就可以，但是经过验证，必须重新启动机器才行
　　In order to get things to work. You might need to completely reboot the server machine after ****** the changes. There have been reports (thanks P.C.) that starting and stopping the **L Server and Browser software is not enough.
　　5、使用**L Server Configuration Manager 测试
　　注意 ： Server Name 一定要 Serever\**LEXPRESS
　　
　　同时还要在 Opti*** -》 Network protocol 中选择TCP/IP才能顺利登录
　　
　　在 Windows 防火墙中，单击“例外”选项卡，然后单击“添加程序”。
　　在“添加程序”窗口中，单击“浏览”。
　　单击 C:\Program Files\Microsoft **L Server\MS**L.1\MS**L\Binn\sqlservr**** 可执行程序，单击“打开”，然后单击“确定”。
　　注意：上述路径可能会根据 **L Server 2005 的安装位置而不同。MS**L.1 这个占位符代表的是您在前面过程的步骤 3 中获得的实例 ID。
　　对于每个需要为其创建例外的 **L Server 2005 实例，重复步骤 1 到步骤 3。
6、Windows7安装**L Server 2005 全攻略
费了整整两个晚上加一天时间，把**L Server 2005 不知安装、卸载过多少次，今天终于完美安装上去了，记录一下安装过程，以备以后查看，首先说一下本机配置。
本人操作系统是Windows7简体中文旗舰版，安装的是**L.Server.2005.开发人员版、企业版、标准版32、64位DVD合集，这个版的镜像文件网上很多。用虚拟光驱载入镜像，照例是检查组建支持，刚开始安装的时候，就检查iis和com+组件警告，我一开始只勾选了asp.net这个选项，结果还是警告，后来发现全选就没事了。在com+组件上浪费的时间最多，开始老是无法启动这个分布式事务支持组件，在网上了查了无数资料还是无法启动，最终发现是之前安装的操作系统的版本问题，估计是被修改过的版本，然后不想再发生麻烦，就重装了一下系统。
接下来sql顺利安装通过，中间会有多次警告"版本不受支持"，不用管它，继续安装。有一点也很搞笑，估计是安装包的bug，在安装过程中虽然选择了"混合模式验证"，安装完成过后用windows系统帐户却死活登不上去，sa账户可以正常登录。安装完成后需要下载**L Server 2005 sp3的升级包，一路默认下去，有两点注意：第一个需要先把sql服务手动停掉，升级包才能安装；第二点，也是最关键的一点，当一切安装完成，出现一个 "完成后启动Windws Vista 配置工具的时候"，不要动，要先启动sql服务后，再点下一步，然后一个dos窗口一闪而过，出现一个配置工具，把左侧的系统默认账户添加到右侧，下一步，现在就可以用系统帐户正常登录sql了。
之前因为安装升级包都是一路"下一步"，但是因为停掉的sql服务没有启动，导致最后一步添加系统帐户失败，好像是什么"错误18456"，我在这个上浪费的时间最多，后来仔细回忆一下安装步骤，猛然想到服务未启动怎么能添加进去账户呢，今天安装的时候特意把sql服务启动之后再添加果然成功了。
用系统帐户登录进去看了下，多了一个"计算机名/默认账户名"的用户，这也为我们提供了一个思路：如果安装过程中忘记启动sql服务，用sa帐户登录，然后安全性--右键登录名--新建登录帐户--搜索--高级--立即查找，在下面找到自己系统的默认登录帐户（必须是管理员组的），确定。然后选择 "Windows身份验证"，服务器脚色选择public和sysadmin这两个，状态选"授权"和"启用"这两个，至此应该就可以了。之所以说应该就可以了，因为我没试过，我看到那个"计算机名/默认账户名"是这样配置的。
还有些人可能安装的过程中数据库服务安装成功了，但是企业管理器没有安装上去，没关系，到网上下载一个企业管理器，比如 **LServer2005_SSMSEE.msi，放到人一个盘，最好是根目录，比如我的放到G：盘，直接运行这个安装程序是不行，会提示安装失败，这时新建一个文本文件，内容是msiexec /i G:\**LServer2005_SSMSEE.msi ，注意路径和你的文件名要对应一致。然后把文本文件后缀名改为cmd，右键"以管理员身份运行"这个文件，这样就安装成功了，最好先安装这个管理器，再安装sp3升级包。

数据库安全的安全策略

数据库的安全配置在进行安全配置之前，首先必须对操作系统进行安全配置，保证操作系统处于安全状态。然后对要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的Web应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似“,; @ /”等字符，防止破坏者构造恶意的**L语句。接着，安装**L Server2000后请打上最新**L补丁SP4 。
**L Server的安全配置
1．使用安全的密码策略
我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库账号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa账号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步，建议密码含有多种数字字母组合并9位以上。**L Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非您确认必须使用空密码，这比以前的版本有所改进。同时养成定期修改密码的好习惯，数据库管理员应该定期查看是否有不符合密码要求的账号。
2．使用安全的账号策略
由于**L Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个账号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa账号，只有当没有其他方法登录到 **L Server 实例（例如，当其他系统管理员不可用或忘记了密码）时才使用 sa。建议数据库管理员新建立个拥有与sa一样权限的超级用户来管理数据库。安全的账号策略还包括不要让管理员权限的账号泛滥。
**L Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登录来接触数据库的话，可以在账号管理中把系统账号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa账号忘记密码的话，就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配账号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public账号能够select就可以了。
3．加强数据库日志的记录
审核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有账号的登录事件。请定期查看**L Server日志检查是否有可疑的登录事件发生，或者使用DOS命令。
4．管理扩展存储过程
对存储过程进行大手术，并且对账号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而**L Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。如果您不需要扩展存储过程Xp_cmdshell请把它去掉。使用这个**L语句：
use master
sp_dropextendedproc ’Xp_cmdshell’
Xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。如果您需要这个存储过程，请用这个语句也可以恢复过来。
sp_addextendedproc ’xp_cmdshell’, ’xp**L70.dll’
如果您不需要请丢弃OLE自动存储过程（会造成管理器中的某些特征不能使用）。
这些过程如下： Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，命令如下：
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
还有一些其他的扩展存储过程，也最好检查检查。在处理存储过程的时候，请确认一下，避免造成对数据库或应用程序的伤害。
5．使用协议加密
**L Server 2000使用的Tabular Data Stream协议来进行网络数据交换，如果不加密的话，所有的网络传输都是明文的，包括密码、数据库内容等，这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西，包括数据库账号和密码。所以，在条件容许情况下，最好使用SSL来加密协议，当然，您需要一个证书来支持。
6．不要让人随便探测到您的TCP/IP端口
默认情况下，**L Server使用1433端口**，很多人都说**L Server配置的时候要把这个端口改变，这样别人就不会轻易地知道使用的什么端口了。可惜，通过微软未公开的1434端口的UDP探测可以很容易知道**L Server使用的什么TCP/IP端口。不过微软还是考虑到了这个问题，毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 **L Server实例。如果隐藏了**L Server实例，则将禁止对试图枚举网络上现有的 **L Server实例的客户端所发出的广播作出响应。这样，别人就不能用1434来探测您的TCP/IP端口了（除非用Port Scan）。
7．修改TCP/IP使用的端口
请在上一步配置的基础上，更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性，将TCP/IP使用的默认端口变为其他端口。
8．拒绝来自1434端口的探测
由于1434端口探测没有限制，能够被别人探测到一些数据库信息，而且还可能遭到DoS攻击让数据库服务器的CPU负荷增大，所以对Windows 2000操作系统来说，在IPSec过滤拒绝掉1434端口的UDP通信，可以尽可能地隐藏您的**L Server。
9．对网络连接进行IP限制
**L Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，对来自网络上的安全威胁进行有效的控制。
上面主要介绍的一些**L Server的安全配置，经过以上的配置，可以让**L Server本身具备足够的安全防范能力。当然，更主要的还是要加强内部的安全控制和管理员的安全培训，而且安全性问题是一个长期的解决过程，还需要以后进行更多的安全维护。

**L Server数据库管理员(DBA)的工作内容

　　在Microsoft **L Server 系统中 数据库管理员(Database Administration 简称为DBA)是最重要的角色 DBA的工作目标就是确保Microsoft **L Server 系统正常高效地运行 DBA的工作也是最繁忙的工作 无论是性能调整 还是灾难恢复 都离不开DBA的支持

　　 一般地 作为一个DBA 至少应该做好以下 项任务

　　&# ;任务一 安装和配置;&# ;任务二 容量规划;&# ;任务三 应用架构设计;&# ;任务四 管理数据库对象;&# ;任务五 存储空间管理;&# ;任务六 安全管理;&# ;任务七 备份和恢复;&# ;任务八 性能监视和调优;&# ;任务九 调度作业;&# ;任务十 网络管理;&# ;任务十一 高可用性和高可伸缩性管理;&# ;任务十二 故障解决;

　　下面简单描述这些DBA的任务

　　 任务一 安装和配置

　　DBA的第一项任务是安装和配置Microsoft **L Server 软件系统 为顺利使用Microsoft **L Server 软件创建良好的环境 无论是安装还是配置 都应该根据实际需要来进行 使得系统满足用户的实际需求 需要注意的是 系统配置不是一劳永逸的 应该随时根据需求的变化和环境的需要 进行监视和适当地调整

　　 任务二 容量规划

　　容量规划是对整个Microsoft **L Server 系统进行一个总体的规划 规划的重点应该放在解决瓶颈问题上 可以从内容和期限两个方面考虑系统的容量规划

　　从内容上来看 应该考虑的主要内容包括 硬件容量规划 软件规划 网络规划 硬件容量规划包括磁盘空间 CPU I/O等规划 软件规划包括操作系统的安装和配置规划 数据库规划 数据库对象内容和数量规划等 网络规划包括网络硬件 网络软件和协议 网络客户数量流量和分布 网络拓扑结构等规划

　　从期限上来看 应该考虑短期 中期和长期规划 短期规划的目的是满足当前日常业务的需要 中期规划主要是满足业务发展和扩大的需要 长期规划主要是满足业务极限需要等 例如 如果预测某个系统的当前并发用户数量是 年后的用户可能达到 万 那么这时既不能按照 用户的需求来设计 也不能一下子按照 万用户的需求来设计 一定要采取一个折中的形式

　　 任务三 应用架构设计

　　应用架构设计包括数据库设计 应用程序设计和相应的技术架构设计

　　数据库设计应该考虑数据库的逻辑需求 数据库的创建方式和数量 数据库数据文件和日志文件的物理位置等 一般情况下 可以在Microsoft **L Server 系统成功安装之后 根据规划的目标 手工创建数据库

　　应用设计应该考虑开发工具的选择 API技术 内部资源和外部资源的结合 应用架构的分布等 需要强调是在应用设计时 DBA应该与开发人员共同工作 确保他们编写出优化的代码 尽可能地使用服务器的资源

　　技术架构设计主要包括表示层 逻辑层和数据层的分布 这些分布不应该考虑到硬件资源和用户需求 既不能片面地追求过高的硬件资源 也不能仅仅局限于当前的环境 一定要按照可扩展的观点来综合考虑

　　 任务四 管理数据库对象

　　管理数据库对象是使用数据库的最基本 最重要的工作 这些对象包括表 索引 视图 存储过程 函数 触发器 同义词等 为了完成管理数据库对象的工作 DBA应该能够很好地回答诸如下面的这些问题

　　&# ;系统应该包括哪些数据?&# ;应该怎样存储这些数据?&# ;应该在系统中创建哪些表?&# ;应该在这些表中创建哪些索引 以便加速检索?&# ;是否应该创建视图?为什么要创建这些视图?&# ;应该创建哪些存储过程 函数 CLR对象?&# ;应该在哪些表上创建触发器?应该针对哪些操作创建触发器?&# ;是否应该创建同义词?

　　 任务五 存储空间管理

　　存储空间管理任务就是怎样为数据分配空间 怎样保持空间可以满足数据的不断增长 随着业务量的继续和扩大 数据库中的数据也会逐渐地增加 事务日志也不断地增加 存储空间管理任务主要围绕下面几个问题

　　&# ;当前的数据库由那些数据文件组成?&# ;事务日志的大小应该如何设置?&# ;数据的增长速度是多大?&# ;如何配置数据文件和日志文件的增长方式?&# ;数据库中的数据何时可以清除或转移到其他地方?

　　 任务六 安全管理

　　安全性是DBA重要的日常工作之一 安全管理的主要内容包括账户管理和权限管理 账户管理就是在数据库中应该增加哪些账户 这些账户应该组合成哪些角色等等 权限管理是对象权限和语句权限的管理 应该回答下面这些问题

　　&# ;这些账户或角色应该使用哪些对象?&# ;这些账户或角色应该对这些对象执行哪些操作?&# ;这些账户或角色应该在数据库中执行哪些操作?&# ;如何设置架构?如何建立架构和对象 架构和用户的关系?

　　 任务七 备份和恢复

　　无论系统运行如何 系统的灾难性管理是不可缺少的 天灾 人祸 系统**都有可能造成系统的瘫痪 失败 怎样解决这些灾难性问题呢?办法就是制订和实行备份和恢复策略 备份就是制作数据的副本 恢复就是将数据的副本复原到系统中 备份和恢复工作是DBA的一项持续性的重要工作 其执行频率根据数据的重要程度和系统的稳定程度来确定

　　 任务八 性能监视和调优

　　根据企业的经营效益评价企业的管理水平 根据学生的考试成绩评价学生的学习好坏 作为一个大型软件系统 Microsoft **L Server 系统的运行好坏必须得到正确地监视 评价和相应的调整 这是DBA的一项高级工作 借助一些工具和运行性能指标 DBA应该能够监视系统的运行 如果某些运行指标出现了问题 DBA应该及时地采取补救措施 使得系统始终保持高效运行状态

　　 任务九 调度作业

　　DBA不可能一天 小时不停地盯住系统的运行 及时地执行某些指定的操作 Microsoft **L Server 系统提供了许多工具 DBA应该充分利用这些工具和机制 解决下面一些问题

　　&# ;调度哪些作业应该由系统执行?&# ;这些作业应该在何时执行?&# ;如何确保这些作业可以正确地执行?&# ;如果自动执行的作业执行失败时 应该如何处理?&# ;如何使得系统可以均衡地执行相应的操作?

　　 任务十 网络管理

　　作为一种分布式的网络数据库 网络管理的任务更加的重要 Microsoft **L Server 系统提供了网络管理工具和服务 DBA应该借助这些工具进行服务规划和管理网络操作

　　 任务十一 高可用性和高可伸缩性管理

　　作为一个DBA 必须保持系统具有高可用性和高可伸缩性 可用性是一项度量计算机系统正常运行时间的指标 可伸缩性描述应用程序可以接受的并发用户访问的数量问题 影响系统可用性的主要因素包括 网络可靠性 硬件故障 应用程序失败 操作系统崩溃 自然灾害等 无论是数据库系统管理员 还是应用程序设计人员 都应该最小化系统破坏的几率 最大化系统的可用性 在设计系统的可用性时 应该确定采取什么样的可用性策略来满足可用性的需求

　　可用性的需求可以通过 个方面描述 即运行的时间 连接性需求和数据的紧密和松散要求 在确定可用性的需求时 首先考虑系统的运行时间 一般地 数据库应用程序有两种运行时间 即在工作时间是可用的和在任何时间都是可用的 如果只是要求在工作时间是可用的 那么可以把系统的维护等工作安排在周末进行 但是 有许多应用程序要求每天运行 小时 每周运行 天 例如 在线超市等 这时必须采取措施保证系统总是运行的 不同的应用程序有不同的连接性要求 大多数的应用程序和电子商务解决方案要求采用可靠的网络连接 这时 要求永久性的在线连接 必须最小化各种异常现象的发生 有些应用程序允许用户离线使用 这时 系统的可用性要求降低了 大多数应用程序要求数据是同步使用的 用户对数据的请求 系统必须立即做出回应 这是紧密型的数据要求 这种情况必须保证系统的高可用性 有些应用程序不需要数据是同步的 对用户的请求可以延迟回应 这种要求是数据松散型的要求 这时系统的可用性需求比较低

　　 任务十二 故障解决