如何选择SQLServer2008的认证机制

目前，SQL Server 2008将继续支持两种连接和访问数据库资源的验证和 认证 模式：Windows 认证 模式和SQL Server 对于总是要归入到某一用户组的新增用户，就不需要再逐一为这些用户进行数据库访问权限的设置了。 不过，这种模式并不总是适用于任何情况。如果

目前，SQL Server 2008将继续支持两种连接和访问数据库资源的验证和认证模式：Windows认证模式和SQL Server & Windows认证模式，后者又称为混合认证模式。这两种认证方法都能够提供访问SQL Server 2008及其资源的权限。首先我们来看看这两种认证模式之间的差异。

Windows认证模式

Windows认证模式是默认的认证模式，也是推荐使用的认证模式。这种认证模式巧妙地利用了活动目录(Active Directory)用户帐号或用户组来设置SQL Server的访问权限。在这个模式下，数据库管理员就能够设置域或本地服务器用户访问数据库服务器的权限，而不需要创建和管理一个独立的SQL Server帐号。而且，Windows认证模式下的用户域遵循活动目录域所实施的企业范围管理策略，例如复杂的密码、密码史、帐号锁定、最小密码长度、最大密码长度和Kerberos协议等。

混合认证模式

当设置SQL Server的访问认证时，在混合认证模式下，活动目录帐户和SQL Server帐户都是可用的。SQL Server 2005在使用SQL Server认证时为SQL Server登录帐号引入了一种方法可以加强密码和锁定策略。而在SQL Server 2008中继续沿用。这些SQL Server策略能够通过复杂密码设置、密码失效和用户锁定等进行实施。SQL Server 2000并不具备这一备受众多企业和数据库管理员关注的安全设置功能。而正因为如此，使得Windows认证模式一直以来都是大家首选的管理认证模式。现在有了这些策略，混合认证模式也许能够和Windows认证模式一较高下了。

应当选择哪种模式来加强认证?

数据库管理员了解了各种认证方法的细节以后，就需要从中选择一种认证模式来管理 SQL Server的安全了。虽然，SQL Server 2008现在具备了实施策略的能力，但仍然推荐使用Windows认证模式来控制对SQL Server的访问，因为这种模式具备更多额外的优点。活动目录通过Kerberos协议提供了多一层面的保护。因此，改认证机制更加成熟稳健，而且使用活动用户组来对基于角色的访问权限设置时，能够简化管理工作。简而言之，由于Windows中使用了用户组，我们需要把单个用户归入到一定的用户组中，对用户组的数据库访问权限设置时，可以把这种权限设置传递到组内的单一用户;对于总是要归入到某一用户组的新增用户，就不需要再逐一为这些用户进行数据库访问权限的设置了。

不过，这种模式并不总是适用于任何情况。如果需要支持原有应用或从一个平台而不是Windows进入的客户，或者需要分离用户职责，那么还是需要用到混合认证模式。在企业里往往会出现SQL Server团队和Windows团队相互不信任的情况。因此，当SQL Server帐户不是通过活动目录进行管理的时候，就需要清晰地区分好各自的职责。

Windows认证模式是一个更安全的选择;不过，在需要用到混合模式的情况下，要确保设置复杂的密码和SQL Server 2008密码并利用锁定策略来进一步加强系统安全性。