收藏
下载资源

数据库基础SQLServer的安全管理

上传人:宝路 文档编号:48373076 上传时间:2018-07-14 格式:PPT 页数:50 大小:445.39KB
返回 下载 相关 举报
数据库基础SQLServer的安全管理_第1页
第1页 / 共50页
数据库基础SQLServer的安全管理_第2页
第2页 / 共50页
数据库基础SQLServer的安全管理_第3页
第3页 / 共50页
数据库基础SQLServer的安全管理_第4页
第4页 / 共50页
数据库基础SQLServer的安全管理_第5页
第5页 / 共50页
点击查看更多>>
资源描述

《数据库基础SQLServer的安全管理》由会员分享,可在线阅读,更多相关《数据库基础SQLServer的安全管理(50页珍藏版)》请在金锄头文库上搜索。

1、第10章 SQL Server的 安全管理本章学习目标l 理解身份验证模式、安全账户管理、 角色管理、权限管理的基本概念 l 熟练使用和管理用户账号、角色并授 予相应权限10.1 身份验证模式SQL Server 2000的安全机制是基于用户、角色、对象和 权限的基础上建立的。系统可以将用户加入角色,也可以为 它们指定对象权限。每个对象都有所有者,所有权也影响到 权限。数据库对象(表、索引、视图、触发器、函数或存储 过程)的用户称为数据库对象的所有者。创建数据库对象的 权限必须由数据库所有者或系统管理员授予。但是,在授予 数据库对象这些权限后,数据库对象所有者就可以创建对象 并授予其他用户使用

2、该对象的权限。SQL Server 2000安全系统的构架建立在用户和用户组的 基础上,也就是说Windows的用户和用户组可以映射到SQL Server 2000中的安全账户,而SQL Server 2000也可以独自 建立安全账户。对于安全账户SQL Server 2000可以对其分配 权限,也可以将其加入到角色中,从而获得相应的权限。如 图10-1所示。在SQL Server 2000工作时,用户要经过两个安全性阶段 :第一阶段:身份验证。如果身份验证成功,用户可连接到 SQL Server实例。第二阶段:授权(权限验证)。授权阶段又分为验证用户连 接到SQL Server实例的权限和访

3、问服务器上数据库的权限。 为此,需授予每个数据库中映射到用户登录的账号访问权限 。权限验证阶段则控制用户在SQL Server数据库中所允许进 行的活动。SQL Server 指定登录 用户和角色数据库用户数据库角色Windows 2000 组用户SQL Server 登录账户SQLServer 验证信任联结SQL Server 验证用户名和口令SQL ServerWindo ws 2000或图10-1 SQL Server 2000的安全架构10.1.1 SQL Server的身份验证模式在SQL Server2000中,必须以合法的登录身份注册本地 或远程服务器后,才能与服务器建立连接并获

4、得对SQL Server的访问权。系统提供了2种登录身份验证模式: 1Windows身份验证模式(Windows身份验证)Windows身份验证模式使用户得以通过WindowsNT或 Windows2000用户账号进行登录连接,并获得对SQL Server 的访问权限。 2混合模式(Windows身份验证和SQL Server2000身份验 证)混合模式使用户得以使用Windows身份验证或SQL Server 2000身份验证的用户账号进行登录连接。在Windows身份验证模式或混合模式下,通过Windows 用户账号连接的用户可以使用信任连接。10.1.2 身份验证模式的选择 选择身份验证

5、模式,可按以下步骤操作: 在企业管理器中展开【SQL Server组】,选择目前连接的 服务器。 单击【菜单】中的【属性】命令,打开【SQL Server属性 】对话框,选择【安全性】标签,即可打开如图10-2所示的 对话框。 可在【安全性】选项组中设置身份验证模式。如图10-2所 示。图10-2 设置身份验证模式对话框10.2 安全账户管理 10.2.1 创建安全账户 在SQL Server 2000中,可以使用两种方法添加登录账号: 使用企业管理器添加登录账号;使用系统存储过程添加登录 账号。 1系统安装时建立的账号 (1)sa 系统管理员(sa)是为向后兼容而提供的特殊登录账号,拥 有最

6、高管理权限,可以执行服务器范围内的所有操作。默认 情况下,它指派给固定服务器角色sysadmin,并不能进行更 改。虽然是内置了管理员登录账号,但不应例行公事地使用 它。相反,应使其他的系统管理员账号都成为sysadmin固定 服务器角色的成员,并让他们使用自己的登录名登录。只有 当没有其它方法登录到SQL Server实例(例如:当其它系统 管理员不可用或忘记了密码)时才使用sa。 (2)Builtinadministrators 本地管理员组,默认加入sysadmin角色中,因此具有管理员 权限。2使用企业管理器添加登录账号 具体操作步骤如下:在企业管理器中展开服务器组,然后展开服务器。

7、展开【安全性】,右击【登录】,然后单击【新建登录】命令,系统 打开如图10-3所示【SQL Server登录属性-新建登录】对话框。图10-3【SQL Server登录属性-新建登录】对话框 在【身份验证】下,单击【Windows身份验证】,在【名称】框中, 输入要被授权访问Microsoft SQL ServerTM的Microsoft Windows NT 4.0 或Windows2000账号(以DOMAINUser的形式);在【身份验证】下, 单击【SQL Server身份验证】,在【名称】框中,输入登录账号名称。 设置可选项。可在【数据库】中,单击用户在登录到SQL Server实例

8、后所连接的默认数据库。在【语言】中,单击显示给用户的信息所用的默 认语言。 【例10-1】将dss_ibm390x中的本机用户zhangsan加入到SQL Server实 例中,并建立一个SQL Server登录账号,账号名称为wang。 在企业管理器中可以按以下步骤操作: 在企业管理器中展开服务器组,然后展开服务器 展开【安全性】,右击【登录】,然后单击【新建登录】命令,打开如 图10-4所示 【SQL Server登录属性-新建登录】对话框。 在【名称】框中,输入dss_ibm390xzhangsan。 在【身份验证】下,单击【Windows身份验证】。 填写完成之后,单击【确定】按钮。

9、重复、步。在【名称】框中,输入wang。 在【身份验证】下,单击【SQL Server身份验证】在【密码】框中,输入密码,也可以密码为空 图10-2-2登录帐户信息 填写完成之后,单击【确定】按钮,即可在企业管理器中看到如 图10-5所示的登录账号信息。图10-4 【SQL Server登录属性-新建登录】对话框 图10-5 登录账号信息3使用系统存储过程添加登录账号在SQL Server 2000中,也可用sp_grantlogin系统存储过程来创建一个 Windows登录 账号。其语法为: Sp_grantlogin Windows账号或组 其中:Windows 账号或组的格式为域名用户名

10、。 也可用sp_addlogin命令来创建一个SQL Server登录账号。其语法为: sp_addlogin loginame = login , passwd = password , defdb = database , deflanguage = language 其中: lloginame = login:登录的名称。login 的数据类型为 sysname,没 有默认设置。 lpasswd = password:登录密码。password 的数据类型为 sysname ,默认设置为 NULL。sp_addlogin 执行后,password 被加密并存储在 系统表中。 ldefdb

11、 = database:登录的默认数据库(登录后登录所连接到的数 据库)。database 的数据类型为 sysname,默认设置为 master。其中:lloginame = login:登录的名称。login 的数据类型为 sysname,没 有默认设置。 lpasswd = password:登录密码。password 的数据类型为 sysname ,默认设置为 NULL。sp_addlogin 执行后,password 被加密并存储在 系统表中。 ldefdb = database:登录的默认数据库(登录后登录所连接到的数 据库)。database 的数据类型为 sysname,默认设

12、置为 master。 ldeflanguage = language:用户登录到 SQL Server 时系 统指派的默认语言。language 的数据类型为 sysname,默 认设置为 NULL。如果没有指定 language,那么 language 被设置为服务器当前的默认语言(由 sp_configure 配置变 量 default language 定义)。更改服务器的默认语言不会更 改现有登录的默认语言。language 保持与添加登录时所使 用的默认语言相同。可以使用上述系统存储过程实现【例10-1】的功能。 在查询分析器中执行下列存储过程: Sp_grantlogin dss_

13、ibm390xzhangsan添加一个 Windows登录账号 GO Sp_addlogin wang,master添加一个 SQL Server登录账号 GO 10.2.2 管理安全账号 删除SQL Server登录账号 Sp_drop login login表示登录账号 禁止一个Windiws账号访问SQL Server实例 Sp_denylogin loginlogin表示Windows用户账号,形式 为DomainUser 删除一个Windiws登录账号 Sp_revokelogin loginlogin表示Windows用户账号,形式 为DomainUser10.2.3 创建数据库用

14、户账号 有了登录账号之后,可以访问SQL Server,但还不能访问数据库。要让 用户能够访问数据库,还需要在指定数据库中生成数据库用户账号。在 SQL Server 2000中,可以使用两种方法将登录账号生成为指定数据库 的用户账号。它们是使用企业管理器新建数据库用户;使用系统存储过 程新建数据库用户。 1缺省数据库用户账号 (1)dbo dbo是可以在数据库范围内执行一切操作的最高权利拥有者。系统将固 定服务器角色sysadmin的任何成员都映射到每个数据库内称为dbo的这 个特殊用户上。另外,由固定服务器角色sysadmin的任何成员创建的任 何对象都自动属于dbo,并且dbo用户无法删

15、除 (2)guest Guest用户账号允许任何已经登录到SQL Server服务器的用户都可以访 问数据库。但必须满足以下两个条件:登录有访问SQL Server实例的 权限,但没有通过自己的用户账号访问数据库的权限;数据库中含有 guest用户账号。10.2.4 创建数据库用户账号 使用企业管理器创建数据库用户账号 可按以下步骤进行操作: 在企业管理器中展开服务器组,然后展开服务器。 展开指定数据库,右击【用户】,在弹出的快捷菜单中单击【新建数 据库用户(U)】命令,打开如图10-6所示的【数据库用户属性-新建用户 】对话框。 在【登录名】框中,选择一个登录账号。 在【用户名】框中,输入用

16、户名称。需要说明的是,一个登录账号可 以在不同的数据库中拥有不同的用户名称。 在【数据库角色成员】栏中,可以选择该数据库用户将加入到哪一个 数据库角色中,但所有的用户都属于public角色。 填写完毕之后,单击【确定】按钮。图10-7 为数据库XSCJ新建用户登录账号图10-6 【数据库用户属性-新建用户】对话框【例10-2】为数据库XSCJ新建用户登录账号为: dss_ibm390xzhangsan,在数据库XSCJ中的用户名为zhangsan。 在企业管理器中可以按以下步骤操作: 在企业管理器中展开服务器组,然后展开服务器,在展开数据库。 展开指定数据库XSCJ,右击【用户】,然后单击【新建数据库用户】 命令,打开【数据库用户属性-新建用户】对

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号