《SQL Server 2005 数据库应用技术 教学课件 ppt 作者 刘宏 第10章 数据库的安全性管理》由会员分享,可在线阅读,更多相关《SQL Server 2005 数据库应用技术 教学课件 ppt 作者 刘宏 第10章 数据库的安全性管理(42页珍藏版)》请在金锄头文库上搜索。
1、10.1 设置验证模式,10.1.1 SQL Server 2005的安全机制,SQL Server 2005的安全控制机制包括4个方面,分别为操作系统级的安全控制、服务器级的安全控制、数据库级的安全控制和数据库对象级的安全控制。 操作系统级:在操作系统层次提供的安全控制。 服务器级:服务器级的安全性建立在控制服务器登录帐号和密码的基础上。 数据库级:默认情况下,在用户通过SQL Server服务器的安全性检验以后,只有数据库的所有者才可以访问该数据库内的对象。 数据库对象级:用户登录了数据库后,仍然不能访问数据,必须为其授予访问数据库对象(表、存储过程、视图和函数等)的权限,才能够访问数据。
2、,10.1.2 验证模式,SQL Server 2005有Windows验证机制和SQL Server验证机制。由这两种验证机制产生了Windows身份验证和SQL Server身份验证两种身份验证模式。 Windows 身份验证模式是指要登录到SQL Server系统的用户身份由Windows系统来进行验证。这是默认的身份验证模式。 SQL Server身份验证模式是指用户登录SQL Server系统时,其身份验证由Windows和 SQL Server共同进行。所以SQL Server身份验证模式也称混合验证模式。,10.1.3 设置验证模式,SQL Server 2005安装成功后,利用
3、SQL Server管理控制台可以重新设置身份验证模式,基本操作步骤演示。,10.2 登录管理,10.2.1 登录帐户,登录名即能登录到SQL Server 2005服务器的帐号,用于服务器级的安全控制。SQL Server 2005服务器在安装成功后,已经自动创建了一些登录名,如sa是给SQL Server 2005系统管理员使用的,另外还有“BUILTINAdministrators”,是为Windows系统管理员管理SQL Server 2005服务器而提供的,它也可以执行服务器范围内的所有操作。,10.2.2 使用SSMS创建SQL Server 2005登录名。,使用SQL Serv
4、er Management Studio创建SQL Server 2005登录名的基本操作步骤演示。,10.2.3 使用系统存储过程创建登录名,在SQL Server 2005服务器中添加登录名,还可以使用系统存储过程sp_addlogin,基本语法格式如下: sp_addlogin 登录名 ,密码 ,默认数据库 【例】 EXEC sp_addlogin newlogin, 123456, StudentElective,10.2.4 查看服务器的登录名,在“对象资源管理器”中单击“安全性”选项,展开“登录名”节点,即可看到系统创建的默认登录名以及建立的其他登录名。也可以在查询窗口中使用存储过
5、程“sp_helplogins”查看登录名信息。,10.2.5 修改登录名,可以使用SSMS和存储过程两种方法修改登录名。 (1)使用SSMS修改登录名属性演示。 (2)用存储过程修改登录名属性。 可以使用存储过程sp_defaultdb修改登录的默认数据库,使用存储过程sp_password修改登录名的密码,基本语法格式如下: sp_defaultdb 登录名 , 默认数据库 sp_password 旧密码, 新密码, 登录名 【例】 EXEC sp_defaultdb newlogin,master EXEC sp_password 123456, 123, newlogin,10.2.6
6、 删除登录名,在“对象资源管理器”中右键单击要删除的登录名,在弹出的快捷菜单中选择“删除”命令即可实现登录名的删除操作。也可以使用存储过程“sp_droplogin”删除登录名,其语法格式如下: sp_droplogin 登录名 【例】 EXEC sp_ droplogin newlogin,10.3 用户管理,10.3.1 数据库用户名和登录名的关系,登录名是访问SQL Server的通行证,登录名本身并不能让用户访问服务器中的数据库资源。要访问特定的数据库,还必须有数据库用户名。 数据库用户在特定的数据库内创建,必须和一个登录名相关联。 一个登录名可以与服务器上的所有数据库进行关联,而数据
7、库用户是一个登录名在某个数据库中的映射,也就是说一个登录名可以映射到不同的数据库,产生多个数据库用户,而一个数据库用户只能映射到一个登录名。,10.3.2 使用SSMS创建数据库用户,使用SQL Server Management Studio创建数据库用户操作演示。,10.3.3 使用存储过程创建数据库用户,使用sp_grantdbaccess创建数据库用户的语法格式为: sp_grantdbaccess 登录名 ,用户名 【例】 EXEC sp_grantdbaccess newlogin,10.3.4 查看数据库用户,在“对象资源管理器”窗口中,右键单击希望查看的数据库用户名,在弹出菜单
8、中选择“属性”命令,打开“数据库用户”对话框,可以查看和修改数据库用户属性。 也可利用存储过程sp_helpuser查看数据库的用户 【例】 EXEC sp_helpuser,10.3.5 删除用户,在“对象资源管理器”窗口中右键单击要删除的数据库用户名称,在弹出菜单中选择“删除”命令,在打开的对话框中,单击“确定”按钮,即可完成数据库用户的删除操作。也可使用存储过程sp_revokedbaccess删除数据库用户,其语法格式如下: sp_revokedbaccess 用户名 【例】 EXEC sp_revokedbaccess newlogin,10.4 角色管理,10.4.1 角色,在SQ
9、L Server 2005中,可以将角色理解为组。角色允许用户分组接受同样的数据库权限,而不用单独给每一个用户分配这些权限。 角色有服务器角色和数据库角色两种。服务器角色是服务器级的一个对象,只能包含登录名。数据库角色是数据库级的一个对象,数据库角色只能包含数据库用户名。,10.4.2 固定服务器角色,服务器角色只有固定服务器角色,在SQL Server安装时就创建了在服务器级别上应用的大量预定义的角色,每个角色对应着相应的管理权限。这些固定服务器角色用于授权给数据库管理员,使其拥有与相应角色对应的服务器管理权限。SQL Server在安装过程中定义几个固定的服务器角色,其具体权限如表所示。,
10、10.4.2 固定服务器角色,10.4.3 使用SSMS设置服务器角色,在SQL Server Management Studio中,为用户分配固定服务器角色的步骤演示。,10.4.4 使用系统存储过程为登录名指定及收回服务器角色,使用存储过程sp_addsrvrolemember可以添加登录名为固定服务器角色的成员,基本语法格式如下: sp_addsrvrolemember 登录名,服务器角色名 从固定服务器角色中删除登录名可以使用系统存储过程sp_dropsrvrolemember,基本语法格式如下: sp_dropsrvrolemember 登录名,服务器角色名 【例】 EXEC sp_
11、addsrvrolemember newlogin, serveradmin GO EXEC sp_dropsrvrolemember newlogin, sysadmin,10.4.5 固定数据库角色,数据库角色分为固定数据库角色和自定义数据库角色。固定数据库角色预定义了数据库的安全管理权限和对数据对象的访问权限,用户自定义数据库角色由管理员创建并且定义对数据对象的访问权限。 在安装完SQL Server后,系统将自动创建如表所示的10个固定数据库角色。,10.4.5 固定服务器角色,10.4.6 使用SSMS设置固定数据库角色,在SQL Server Management Studio中,
12、设置固定数据库角色的基本步骤演示。,10.4.7 使用SSMS创建用户自定义数据库角色,在SQL Server Management Studio中,在“对象资源管理器”中,展开“服务器”“数据库”“用户数据库(如StudentElective)”“安全性”“角色”节点,在“数据库角色”上单击鼠标右键,在弹出快捷菜单中选择“新建数据库角色”命令,打开“数据库角色-新建”对话框。在该窗口中,输入相应的角色名称和所有者,选择角色拥有的架构及添加相应的角色成员即可。,10.4.7 使用SSMS创建用户自定义数据库角色,10.4.8 使用SSMS为数据库角色增删成员,使用SQL Server Mana
13、gement Studio为数据库角色增加及删除成员的具体步骤演示。,10.4.9 使用存储过程为数据库角色增删成员,使用存储过程sp_addrolemembe可为数据库角色增加成员,基本语法格式如下: sp_addrolemember 数据库角色名,数据库用户名 使用存储过程sp_droprolemembe可删除数据库角色的成员,基本语法格式如下: sp_droprolemembe 数据库角色名,数据库用户名 【例9】 EXEC sp_addrolemember Studentsrole,newlogin GO EXEC sp_droprolemember Studentsrole,newl
14、ogin,10.4.10 删除用户自定义数据库角色,在“对象资源管理器”面板中,右键单击要删除的自定义数据库角色,在弹出的快捷菜单中选择“删除”命令,确认“删除”操作即可。如该角色无成员,该角色将被删除,如该角色有成员,系统将给出提示。 使用存储过程sp_droprole删除自定义数据库角色的基本语法格式如下: sp_droprole 数据库角色名 【例】 EXEC sp_droprole Studentsrole,10.5 权限管理,10.5.1 权限,权限用来指定授权用户可以使用的数据库对象和这些授权用户可以对这些数据库对象执行的操作。用户在登录到SQL Server之后,根据其用户帐户所
15、属的Windows组或角色,决定了该用户能够对哪些数据库对象执行哪种操作以及能够访问和修改哪些数据。 在SQL Server中包括三种类型的许可权限,即对象权限、语句权限和默认权限。,10.5.2 对象权限,处理数据或执行过程时需要的权限称为对象权限。对象权限决定用户操作的数据库对象,它主要包括数据库中的表、视图、列或存储过程等对象,对象操作及其所作用的数据库对象如表所示。,10.5.3 语句权限,语句权限通常授予需要在数据库中创建对象或修改对象、执行数据库和事务日志备份的用户。如果一个用户获得某个语句的权限,该用户就具有了执行该语句的权力。表是需要进行权限设置的语句。,10.5.3 语句权限
16、,10.5.4 默认权限,默认权限指系统安装后,固定服务器角色,固定数据库角色和数据库对象所有者所具有的默认的权限,可以对所拥有的对象执行一切活动。例如,拥有表的用户可以查看、添加或删除数据、更改表定义或控制允许其他用户对表进行操作的权限。,10.5.5 使用SSMS管理权限,使用SQL Server Management Studio管理权限的基本操作步骤演示。,10.5.6 使用T-SQL语句管理权限,(1)授予权限 授予权限的操作可通过GRANT语句来完成。基本语法格式如下: GRANT permission ON object TO user 其中: permission:可以是相应对象的任何有效权限的组合。可以使用关键字ALL来替代权限组合。 object:被授权的对象。可以是一个表、视图、列或存储过程。 user:被授权的一个或多个用户或组。 【例
