《访问权限和管理权限》由会员分享,可在线阅读,更多相关《访问权限和管理权限(17页珍藏版)》请在金锄头文库上搜索。
1、第5章 访问权限和管理权限(一)Windows 身份验证模式 SQL Server数据库系统通常运行在Windows NT服务器平台上,而NT作为网络操作系统,本身就具备管理登录、验证用户合法性的能力 Windows NT认证模式正是利用了这一用户安全性和帐号管理的机制,允许SQL Server也可以使用NT的用户名和口令。在这种模式下,用户只需要通过Windows NT的认证,就可以连接到SQL Server,而SQL Server本身也就不需要管理一套登录数据(二)混合验证模式 混合验证模式允许用户使用Windows NT安全性或SQL Server安全性连接到SQL Server NT的
2、用户既可以使用NT认证,也可以使用SQL Server认证Windows身份验证SQL Server身份验证当用户登录到Windows域时,用户名和密码被传递到Windows域控制器之前被加密Windows操作系统从不验证用户支持复杂加密、密码的截止日期和最短长度等密码策略不支持密码策略支持帐户锁定策略,在使用无密码进行多次尝试后锁定帐户不支持帐户锁定策略在Windows 98/Me操作系统中不能使用在Windows 98/Me操作系统中可以使用5.1.2 Windows和SQL Server身份验证的比较 Windows身份验证模式:用户只能使用Windows身份验证连接到SQL Serve
3、r 2000 混合模式:用户既可以使用Windows身份验证连接到SQL Server 2000,又可以使用SQL Server身份验证连接到SQL Server 20005.1.3 设置验证模式 对于指定了验证模式的SQL Server服务器,还可以在企业管理器中打开服务器的 属性 安全性审核级别: 无:表示禁用审核。 成功:表示只审核成功登录尝试。 失败:表示只审核失败登录尝试。 全部:表示既审核成功登录尝试又审核失败登录尝试 在安装SQL Server后,系统默认创建两个帐号。BUILTINAdministrator是Windows NT组帐户,属于这个组的帐户都可以作为SQL Serv
4、er登录帐户。sa是系统管理员登录帐户,系统管理员sa是为向后兼容而提供的特殊登录,此SQL Server的管理员不一定是Windows NT的管理员5.2 创建和管理登录5.2.1 创建和管理服务器登录账号其具体执行方式有:(1)使用向导方式(2)打开企业管理器,展开希望创建新的登录的服务器,展开安全性,选择“新建登录” 在安装SQL Server后,默认数据库中包含两个用户:dbo和guest。 任何一个登录帐号都可以通过guest帐号来存取相应的数据库 当建立一个新的数据库时,默认只有dbo帐号而没有guest帐号操作步骤为: (1)在企业管理器中展开服务器组 (2)展开希望创建新的数据
5、库 (3)在“用户”下选择“新建数据库用户”5.2.2 创建和管理用户登录账号 在SQL Server中权限可以分为对象权限、语句权限和暗示性权限1、对象权限(对象许可) 对特定的数据库对象,即表、视图、字段和存储过程的操作许可,它决定了能对表、视图等数据库对象执行哪些操作2、语句权限(语句许可) 表示对数据库的操作许可。也就是说,创建数据库或者创建数据库中的其它内容所需要的许可类型3、暗示性权限(预定义许可) 指系统安装以后有些用户和角色不必授权就有的许可 5.3 数据库特定的权限5.3.1 权限的分类可用于语句权限的Transact-SQL语句及其含义如下:Create database:
6、创建数据库Create table:创建表Create view:创建视图Create rule:创建规则Create default:创建缺省Create procedure:创建存储过程Create index:创建索引Backup database:备份数据库Backup log:备份事务日志(1)打开企业管理器,展开指定的数据库节点(2)选中到需要查看或修改权限的表,单击鼠标右键,选择菜单命令“属性”,打开“表属性”对话框(3)在“表属性”对话框中单击“权限”按钮,在后面的6列表示对数据库对象的操作,具体含义如下:SELECT 对表或者视图的查询INSERT 对表或者视图的插入记录UP
7、DATE 对表或者视图的数据修改DELETE 删除表或者视图的数据EXEC 执行存储过程DRI 可对表的外键加上限制,以达成表的参考完整性5.3.2 管理对象权限1、使用企业管理器管理对象权限(4)授予权限 表示允许某个用户或角色对一个对象执行某些操作 禁止权限 禁止某个用户或角色获得对一个对象执行某种操作的权限 空未授权限 表示尚未授权用户或角色对一个对象执行某种操作(5)还可以单击一个特定的用户或角色,然后单击“列”按钮,打开“列权限”对话框,将权限控制到字段级别5.3.2 管理对象权限1、使用企业管理器管理对象权限 可以使用grant(授予)、revoke(取消)和deny(禁止)三种命
8、令来实现管理权限(1)Grant语句其语法:Grant on|To with grant option 获得某种权限的用户可将其再授予其他用户含义:对指定的操作对象 的指定操作权限 授予指定的用户例1:把查询Student表的权限授予给用户Z1 Grant select on student to Z1例2:把对Student表和Course表的全部操作权限授予给用户Z2和Z3 Grant all privileges on student,course to Z2,Z35.3.2 管理对象权限2、使用Transact-SQL语句管理对象权限 (2)Deny语句其语法:Deny on|To 含
9、义:拒绝权限并防止指定的用户、组或角色从组和角色成员的关系中继承权限例1:禁止用户Z1使用Student表的查询操作权限 Deny select on student to Z1例2:禁止用户Z2,Z3使用Student表和Course表的全部操作权限 Deny all privileges on student,course to Z2,Z35.3.2 管理对象权限2、使用Transact-SQL语句管理对象权限 (3)Revoke语句其语法:Revoke on|To 含义:取消以前授予或拒绝了的权限例:Revoke select on student to Z15.3.2 管理对象权限2、
10、使用Transact-SQL语句管理对象权限 服务器角色是负责管理和维护SQL Server的组 SQL Server2000在安装过程中定义了几个固定的服务器角色:System AdministratorsSystem Administrators:可执行SQL Server安装中的任何操作Security AdministratorsSecurity Administrators:可管理登录和创建数据库的权限,还可以 读取错误日志和更改密码Server AdministratorsServer Administrators:可设置服务器范围的配置选项,关闭服务器Setup Administ
11、ratorsSetup Administrators:可以管理链接服务器和启动过程Process AdministratorsProcess Administrators:可以管理在SQL Server中运行的进程Database CreatorsDatabase Creators:可以创建、更改和除去数据库Disk AdministratorsDisk Administrators:可以管理磁盘文件Bulk Insert AdministratorsBulk Insert Administrators:可以执行大容量插入(Bulk Insert) 语句5.4.1 服务器角色5.4 角色的使用
12、5.4.2 数据库角色5.4 角色的使用publicpublic:最基本的数据库角色,数据库的所有用户都自动属于public角色,并且不能从public角色中删除db_ownerdb_owner:拥有在数据库中的全部权限,可以执行SQL Server数据库中的任何操作db_accessadmindb_accessadmin:可以增加或删除数据库用户、工作组和角色db_addladmindb_addladmin:增加、修改和删除数据库中的对象(使用Create 、Alter和 Drop语句)db_securityadmindb_securityadmin:可以管理全部权限、对象所有权、角色和角色
13、成员资格(使用GRANT、REVOKE和DENY语句)5.4.2 数据库角色5.4 角色的使用db_backupoperatordb_backupoperator:可以备份和恢复数据库db_datareaderdb_datareader:能且仅能对数据库中的任何表执行select操作,从而读取所有表的信息db_datawriterdb_datawriter:能够增加、修改和删除表中的数据,但不能进行select操作db_denydatareaderdb_denydatareader:不能读取数据库中任何表中的数据db_denydatawriterdb_denydatawriter:不能对数据库中的任何表执行增加、修改和删除数据操作
