[IT认证]第十一章 SQL Server数据库应用开发技术.ppt

《[IT认证]第十一章 SQL Server数据库应用开发技术.ppt》由会员分享，可在线阅读，更多相关《[IT认证]第十一章 SQL Server数据库应用开发技术.ppt（75页珍藏版）》请在三一办公上搜索。

1、第11章 数据库安全管理,知识技能目标：1理解SQL Server 2005安全机制和身份验证 模式 2掌握服务器登录帐号的创建和删除 3掌握数据库用户的创建和删除 4理解角色概念，掌握服务器角色和数据库角色的 管理 5掌握权限的授予、拒绝和废除,引导案例：教务管理数据库建立起来后，可供学生、教师和教务人员等不同用户来访问。现在的重要问题是，如何保证只有合法的学生、教师和教务人员才能访问教务管理数据库，并且不同的用户只能进行自己权限范围内的访问操作，比如学生只能查看成绩，不能修改成绩等。这就需要进行数据库安全管理，以保证数据库中数据的安全。本章介绍实现数据安全保证的技术。,第11章 数据库安全

2、管理,第11章 数据库安全管理,11.1 SQL Server 2005的安全机制11.2 SQL Server 2005的身份验证模式11.3 服务器登录管理11.4 数据库用户管理11.5 角色管理 11.6 权限管理小结,11.1 SQL Server 2005的安全机制,数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄漏、更改或破坏。系统安全保护措施是否有效是数据库系统的主要指标之一。SQL Server2005 按照访问的范围把访问实体化分为三大类的安全对象：服务器级 数据库级 模式级SQL Server 2005的安全是建立在权限和认证两种机制之上。每个用户在访问SQL

3、 Server数据库时，都必须经过两个安全验证阶段：第一阶段：身份验证第二阶段：权限验证。,返回目录,11.2 SQL Server 2005的身份验证模式,11.2.1 验证模式安全身份验证用来确认登录SQL Server的用户的登录帐号和密码的正确性，由此来验证该用户是否具有连接SQL Server的权限。任何用户在使用SQL Server数据库之前，必须经过系统的安全身份验证。SQL Server 2005的身份验证模式有两种：（1）Windows验证模式使用Windows身份验证模式是默认的身份验证模式，在Windows验证模式下，用户只需要通过Windows的验证，就可以连接到SQL

4、 Server，而SQL Server本身也不需要管理这些登录数据，但需要在indows服务器中为使用者创建用户。,返回目录,11.2 SQL Server 2005的身份验证模式,11.2.1 验证模式（2）混合验证模式使用混合模式时，无论是使用Windows身份验证方式的用户，还是使用SQL Server身份验证方式的用户，都可以连接到SQL Server系统上。使用混合验证模式中的SQL Server身份验证方式时，系统管理员创建一个登录账户和口令，并将它们存储在SQL Server中，当用户连接到SQL Server上时，必须提供SQL Server登录账户和口令。,返回目录,11.2

5、 SQL Server 2005的身份验证模式,11.2.2 设置验证模式利用SQL Server Management Studio可以进行认证模式的设置，步骤如下：（1）打开SQL Server Management Studio，右击要设置验证模式的服 务器，从弹出的快捷菜单中选择“属性”选项，则出现服务器属 性对话框。（2）在服务器属性对话框中选择“安全性”选项页。（3）在“服务器身份验证”选项栏中，可以选择要设置的验证模式，同时在“登录审核”中还可以选择跟踪记录用户登录时的哪种信 息，例如登录成功或登录失败的信息等。,返回目录,11.2 SQL Server 2005的身份验证模式,

6、11.2.2 设置验证模式（4）在“服务器代理帐户”选项栏中设置当启动并运行SQL Server时，默认的登录者是哪一位用户。（5）单击“确定”按钮完成验证模式的设置,返回目录,11.3 服务器登录管理,11.3.1 系统管理员登录账户 SQL Server有两个默认的系统管理员登录帐户：sa BUILTINAdministrators 这两个登录帐户具有SQL Server系统和所有数据库的全部权限。sa是一个特殊的登录名，它代表混合验证机制下SQL Server的系统管理员，sa始终关联数据库用户dbo。BUILTINAdministrators是NT系统的系统管理员组。,返回目录,11.

7、3 服务器登录管理,11.3.1 系统管理员登录账户 系统管理员具有如下管理功能：创建登录账户；配置服务器；创建、删除数据库；无须考虑所有权和权限，可以操作各种数据库对象；停止、启动服务器；停止在服务器上运行的无效过程；某些权限只能被系统管理员拥有并且不能被授予其他用户；这些功能是管理存储空间，管理用户进程及改变数据库选项。,返回目录,11.3 服务器登录管理,11.3.2 Windows组或用户登录管理将Windows组或用户映射成SQL Server的登录帐户命令格式：sp_grantlogin|说明：为Windows NT 用户创建一个登录账户。：为指定的组建立一个登录账户。该组中每个成

8、员都能连接到SQL Server上。【例11.1】将Windows XP中的本地组users映射成SQL Server的登录帐户。,返回目录,11.3 服务器登录管理,11.3.2 Windows组或用户登录管理2禁止指定的Windows NT用户或组连接SQL Server服务器命令格式：sp_denylogin|【例11.2】禁止本地计算机中用户组Users中的用户登录权限。,返回目录,11.3 服务器登录管理,11.3.2 Windows组或用户登录管理3.撤销Windows NT用户或组和SQL Server帐户的映射命令格式：sp_revokelogin|说明：撤销Windows N

9、T用户或组与SQL Server账户的映射，不会删除Windows NT 组或用户。【例11.3】撤销本地计算机中用户组Users与SQL Server账户的映射。,返回目录,11.3 服务器登录管理,11.3.3 创建登录账户1使用SQL Server Management Studio创建登录帐户【例11.4】创建以SQL Server身份认证的登陆帐户1）打开SQL Server Management Studio。2）在“对象资源管理器中”展开服务器。3）展开“安全性”，右击“登录名”，然后选择“新建登录名”选项，打开“登录名-新建”窗口。4）在“登录名”文本框中输入登录名，这里输入“

10、LOGIN_01”。5）选中“SQL Server身份验证”复选框。6）在“密码“文本框中输入密码，这里输入”001”。7）在“确认密码”文本框中输入确认密码，这里输入“001”。,返回目录,11.3 服务器登录管理,11.3.3 创建登录账户1使用SQL Server Management Studio创建登录帐户【例11.4】创建以SQL Server身份认证的登陆帐户 8）取消“强制实施密码策略”复选框中选中状态。实施密码复杂性策略时，使在Windows Server 2003或更高版本环境下运行SQL Server 2005时，可以使用Windows密码策略机制。9）“默认数据库”和“

11、默认语言”保持系统提供的默认值。10）在左上角的“选择页”列表中选中“用户映射”，然后在出现的“登录属性”对话中选中“教务管理数据库”，在“教务管理数据库”中选中“db_owner和“public”。这样login_01拥有“教务管理数据库”的所有操作权限。,返回目录,11.3 服务器登录管理,11.3.3 创建登录账户1使用SQL Server Management Studio创建登录帐户【例11.4】创建以SQL Server身份认证的登陆帐户 11）在左上角的“选择页”列表中选中“状态”，将“是否允许连接到数据库引擎”设置为“授予”，“登录”设置为“启用”。12）单击“确定”按钮完成操

12、作。,返回目录,11.3 服务器登录管理,11.3.3 创建登录账户1使用SQL Server Management Studio创建登录帐户【例11.5】创建以Windows身份认证的登录账户1）在Windows下创建一个名为“Win_login_01”，密码为“w001”的用户。2）打开SQL Server Management Studio。3）在“对象资源管理器中”展开服务器。4）展开“安全性”，右键单击“登录名”，然后选择“新建登录名”选项，打开如图11.5所示的“登录名-新建”窗口。5）单击“登录名”文本框右边的“搜索”按钮，打开如图11.6所示的“选择用户或组”对话框。,返回目录

13、,11.3 服务器登录管理,11.3.3 创建登录账户1使用SQL Server Management Studio创建登录帐户【例11.5】创建以Windows身份认证的登录账户6）单击“高级”按钮，再单击“立即查找”按钮，打开如图11.7所示的对话框。7）在搜索结果中找到名为“Win_login_01”的用户，选中后单击“确定”按钮，返回到“选择用户或组”对话框。8）在“选择用户或组”对话框中单击“确定”按钮，返回“新建-用户”对话框。9）单击“确定”按钮完成创建。,返回目录,11.3 服务器登录管理,11.3.3 创建登录账户2用-SQL语句创建登录帐户命令格式：CREATE LOGIN

14、 登录帐户|说明：创建 SQL SERVER身份认证的登录账户。：创建WINDOWS身份认证的登录账户。【例11.6】使用-SQL语句创建一个以SQL Server身份认证的登录账户，登录账户名为“login_02”，密码为“002”。【例11.7】使用-SQL语句创建一个以Windows身份认证的登录账户，登录账户名为“win_login_02”（假设计算机名为“SERVER”）。,返回目录,11.3 服务器登录管理,11.3.4 查看登录帐户使用SQL Server Management Studio可以查看已经创建的登录帐户及每个登录帐户的身份验证模式、服务器角色、用户映射、状态等信息。

15、方法如下：1）打开SQL Server Management Studio。2）在“对象资源管理器中”展开服务器。3）展开“安全性”，再展开“登录名”，便显示了已经创建的所 有登录帐户。4）双击登录帐户，可以查看每个登录帐户的身份验证模式、服务 器角色、用户映射、状态等信息。,返回目录,11.3 服务器登录管理,11.3.5 删除登录账户 1使用SQL Server Management Studio删除登录帐户1）打开SQL Server Management Studio。2）在“对象资源管理器中”展开服务器。3）展开“安全性”，再展开“登录名”，便显示了已经创建的所有登录帐户。4）右击要

16、删除的登录帐号，如选择“login_02”，在弹出的快捷菜单中选择“删除”选项。5）单击“确定”按钮完成删除。,返回目录,11.3 服务器登录管理,11.3.5 删除登录账户 2用-SQL语句删除登录帐户命令格式：DROP LOGIN 登录账户【例11.8】使用-SQL语句删除“win_login_02”的登录账户（假设计算机名为“SERVER”）。,返回目录,11.4 数据库用户管理,11.4.1 数据库用户与服务器登录账户的关系在SQL Server 2005中有两种帐户，一种是登录服务器的登录帐户，另外一种是数据库用户。服务器登录帐户只是让用户登录到SQL Server 中，登录帐户本身

17、不能让用户访问服务器中的数据库。要访问特定的数据库，它必须与一个有效的数据库用户相关联。数据库用户是在特定的数据库内创建，并关联一个登录帐户（当创建一个数据库用户时，必须关联一个登录帐户）。通过授权给数据库用户来指定用户可以访问数据库对象的权限。,返回目录,11.4 数据库用户管理,11.4.2 创建数据库用户1使用SQL Server Management Studio创建数据库用户1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。3）再展开要在其中创建新数据库

18、用户的数据库。这里展开的是“教务管理数据库”。4）右键单击“安全性”文件夹，指向“新建”，再单击“用户”。,返回目录,11.4 数据库用户管理,11.4.2 创建数据库用户1使用SQL Server Management Studio创建数据库用户5）在“用户名”文本框中输入新数据库用户的名称。这是输入的用户名为“db_user01”6）在“登录名”框中，输入要映射到数据库用户的 SQL Server 登录名的名称。这是输入的是“login_01”。7）单击“确定”按钮完成数据库用户的创建。,返回目录,11.4 数据库用户管理,11.4.2 创建数据库用户2用-SQL语句创建数据库用户语法格式

19、：CREATE USER 用户名 FOR LOGIN 登录帐户【例11.9】使用-SQL语句创建一个数据库用户，数据库用户名为“db_user02”。映射到此数据库用户的 SQL Server 登录帐户为“SERVERwin_login_01”(SERVER为计算机名),返回目录,11.4 数据库用户管理,11.4.3查看数据库用户使用SQL Server Management Studio可以查看已经创建的数据用户及每个数据库用户相关联的登录帐户、所属的数据库角色、安全对象等信息。1）打开SQL Server Management Studio。2）在 SQL Server Manageme

20、nt Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。3）展开要查看的数据库用户的数据库。4）展开“安全性”，再展开“登录名”，便显示了已经创建的所有数据库用户。5）双击每个数据库用户，便可以查看此数据库用户相关联的登录帐户、所属的数据库角色、安全对象等信息。,返回目录,11.4 数据库用户管理,11.4.4 删除数据库用户1使用SQL Server Management Studio删除数据库用户1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。

21、3）再展开要在其中删除的数据库用户的数据库。这里展开的是“教务管理数据库”。4）展开“安全性”，再展开“登录名”，便显示了已经创建的所有数据库用户。5）右击要删除的登录帐号，此时选择“Dbuser01”,在弹出的快捷菜单中选择“删除”选项。6）单击“确定”按钮完成删除。,返回目录,11.4 数据库用户管理,11.4.4 删除数据库用户2用-SQL语句删除数据库用户语法格式：DROP USER 数据库用户名【例11.10】使用-SQL语句删除例11.9创建的“db_user02”数据库用户名,返回目录,11.5 角色管理,角色是一个强大的管理工具，通过角色可以将用户集中到一个单元中，然后对该单元

22、应用权限。对一个角色授予、拒绝或废除权限适用于该角色的任何成员。这就为权限管理带来了便利。在SQL Server 2005中，角色分为服务器角色和数据库角色，下面分别介绍。,返回目录,11.5 角色管理,11.5.1 服务器角色 服务器角色是预定义角色，角色的种类和每个角色的权限都是固定的，不能更改，也不能删除，只能为其添加成员或删除成员。下表列出了SQL Server2005的固定服务角色，它们存在于数据库之外，其作用域在服务器范围内。,返回目录,11.5 角色管理,11.5.1 服务器角色,返回目录,11.5 角色管理,11.5.1 服务器角色固定服务器角色的成员是服务器登录账户。固定服务

23、器角色的每个成员能够向该角色中添加其他登录账户。注意：属于Windows 2000/2003 Administrators组的账户，在SQL Server 2005中被自动设置为sysadmin服务器角色成员。,返回目录,11.5 角色管理,11.5.2 将登录账户添加为服务器角色成员1使用SQL Server Management Studio添加服务器角色成员1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“安全性”文件夹。4）展开“安全性”，再展开“服务器角色”，便显示了固

24、定服务器角色。5）右击要添加登录帐号的服务器角色，此时选择“sysadmin”角色,在弹出的快捷菜单中选择“属性”选项。打开“服务器角色属性”窗口。,返回目录,11.5 角色管理,11.5.2 将登录账户添加为服务器角色成员1使用SQL Server Management Studio添加服务器角色成员6）在“服务器角色属性”窗口中，单击“添加”按钮，打开“选择登录名”窗口。7）在“选择登录名”窗口中单击“浏览”按钮，便打开“查找对象”窗口。8）在“查找对象”窗口中，选择登录名，这里选择的是“login_01”登录账户,单击“确定”按钮返回“选择登录名”窗口，再单击“确定”按钮，返回到“服务器

25、角色属性”窗口。9）在“服务器角色属性”窗口中单击“确定”按钮完成添加。,返回目录,11.5 角色管理,11.5.2 将登录账户添加为服务器角色成员2用-SQL语句添加服务器角色成员语法格式：SP_ADDSRVROLEMEMBER 登录帐号,服务器角色【例11.11】使用-SQL语句将登录账户“SERVER win_login_01”添加为“sysadmin”服务器角色成员。,返回目录,11.5 角色管理,11.5.3 从服务器角色中删除成员1使用SQL Server Management Studio删除服务器角色成员1）打开SQL Server Management Studio2）在 S

26、QL Server Management Studio 中，打开对象资源管理器，然后展开“安全性”文件夹。4）展开“安全性”，再展开“服务器角色”，便显示了固定服务器角色。5）右击要删除成员的服务器角色，此时选择“sysadmin”角色,在弹出的快捷菜单中选择“属性”选项，便打开“服务器角色属性”窗口。6）在“服务器角色属性”窗口中选择要删除的角色成员，这里选择“SERVERwin_login_01”，单击“删除”按钮，再单“确定”按钮,返回目录,11.5 角色管理,11.5.3 从服务器角色中删除成员2用-SQL语句删除服务器角色成员语法格式：SP_DROPSRVROLEMEMBER 登录帐

27、号,服务器角色【例11.12】使用-SQL语句将登录账户“login_01”从“sysadmin”服务器角色成员中删除。,返回目录,11.5 角色管理,11.5.4 数据库角色 数据库角色在数库级别定义，数据库角色是为某一用户或某一组用户授予不同级别的管理或访问数据库以及数据库对象的权限，这些权限是数据库专有的，并且还可以使一个用户属于同一数据库的多个角色。SQL Server提供了两种类型的数据库角色：标准数据库角色应用程序角色,返回目录,11.5 角色管理,11.5.4 数据库角色（1）标准数据库角色标准数据库角色通过对用户权限等级的认定而将用户划分为不同的用户组，使用户总是相对于一个或多

28、个角色，从而实现管理的安全性。标准数据库角色可以分为两种类型：固定数据库角色自定义数据库角色,返回目录,11.5 角色管理,11.5.4 数据库角色 固定数据库角色固定数据库角色是预定义角色，角色的种类和每个角色的权限都是固定的，不能更改，也不能删除，只能为其添加成员或删除成员。SQL Server提供了十种常用的固定数据库角色，这些角色在每个数据库中都存在。db_owner和db_securityadmin管理员角色的成员可以管理固定数据库的成员身份。但是只有db_owner角色可以将其他用户添加到db_owner固定数据库角色中。public 数据库角色是最基本的数据库角色，每个数据库用户

29、可以不属于其他9个固定数据库角色，但是至少属于public数据库角色，当在数据库中添加新用户账户时，SQL Server 2005 会自动将新用户账户加入到 public角色中。,返回目录,11.5 角色管理,11.5.4 数据库角色,返回目录,11.5 角色管理,11.5.4 数据库角色 自定义数据库角色 自定义数据库角色是用户自己创建的角色。创建自定义数据库角色就是创建一组用户，这些用户具有相同的一组许可。如果一组用户需要执行在SQL Server中指定的一组操作并且不存在对应的Windows组，或者没有管理Windows用户账户的许可，就可以在数据库中建立一个用户自定义的数据库角色。,返

30、回目录,11.5 角色管理,11.5.4 数据库角色（2）应用程序角色 应用程序角色是一种比较特殊的角色。在打算让某些用户只能通过特定的应用程序间接存取数据库中的数据而不是直接存取数据库数据时，就应该考虑使用应用程序角色。当某一用户使用应用程序角色时，便放弃了已被赋予的所有数据库专有权限，该用户所拥有的只是应用程序角色被设置的权限。通过应用程序角色，能够以可控制方式来限定用户的语句或者对象许可。,返回目录,11.5 角色管理,11.5.5 创建用户定义数据库角色1.使用SQL Server Management Studio创建用户自定义数据库角色1）打开SQL Server Manageme

31、nt Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展开“安全性”，再展开“角色”文件夹4）右击“数据库角色”，将鼠标指向快捷菜单中“新建”，再单“新建数据库角色”菜单项，打开“数据库角色-新建”窗口。在角色名称文本框中输入“db_role_01”。5）单击“确定”按钮，完成用户自定义数据库角色的添加。,返回目录,11.5 角色管理,11.5.5 创建用户定义数据库角色2用-SQL语句创建用户自定义数据库角色语法格式：CREATE ROLE 角色名 AUTHORIZATION

32、所有者说明：AUTHORIZATION关键字用来指定自定义的数据库角色所属的所有者。若省略此选项，则默认所有者为“dbo”。【例11.13】使用T-SQL语句创建一个角色名为“db_role_02”的自定义数据库角色。,返回目录,11.5 角色管理,11.5.6 将数据库用户添加为数据库角色成员1.使用SQL Server Management Studio添加数据库角色成员1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展开“

33、安全性”，再展开“角色”文件夹4）双击“db_role_01”角色，打开“数据库角色属性”窗口。在此窗口中单击“添加”按钮。打开“选择数据库用户或角色”窗口5）在“选择数据库用户或角色”窗口中单击“浏览”按钮，打开“查找对象”窗口，选择数据库用户“db_user01”用户。并返回到“数据库角色属性-db_role_01”窗口。6）单击“确定”按钮，完成数据库用户的添加。,11.5 角色管理,11.5.6 将数据库用户添加为数据库角色成员2.用-SQL语句添加数据库角色成员语法格式：SP_ADDROLEMEMBER 角色名,数据库用户【例11.14】使用-SQL语句将“db_user01”数据库

34、用户添加到“db_role2”数据库角色中。,返回目录,11.5 角色管理,11.5.7 从数据库角色中删除成员1.使用SQL Server Management Studio删除数据库角色成员1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展开“安全性”，再展开“角色”文件夹4）双击“db_role2”角色，打开“数据库角色属性-db_role2”窗口。在此窗口中选中“db_user01”用户。并单击“删除”按钮。）单击“确定

35、”按钮，完成从数据库角色中删除成员。,返回目录,11.5 角色管理,11.5.7 从数据库角色中删除成员2.用-SQL语句从数据库角色中删除成员语法格式：SP_DROPROLEMEMBER 角色名,数据库用户【例11.15】使用T-SQL语句将“db_user01”数据库从“db_role_02”数据库角色中删除。,返回目录,11.5 角色管理,11.5.8 删除用户定义数据库角色1.使用SQL Server Management Studio删除用户定义数据库角色1）打开SQL Server Management Studio。2）在 SQL Server Management Studio

36、 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展开“安全性”，再展开“角色”文件夹4）右击“db_role_01”角色，在弹出的菜单中单击“删除”菜单项。,返回目录,11.5 角色管理,11.5.8 删除用户定义数据库角色2.用-SQL语句删除用户自定义数据库角色语法格式：DROP ROLE 角色名【例11.16】使用-SQL语句将“教务管理数据库”数据库中的“db_role_02”自定义数据库角色删除。,返回目录,11.6 权限管理,11.6.1 权限类型权限用来指定授权用户可以使用的数据库对象和这些授权用户可以对这些数据库对象执行的操作。用户在登录到

37、SQL Server之后，其用户帐号所归属的Windwos组或角色所被赋予的权限决定了该用户能够对哪些数据库对象执行哪种操作以及能够访问、修改哪些数据。在SQL Server中包括三种类型的权限：语句权限对象权限预定义权限,返回目录,11.6 权限管理,11.6.1 权限类型（1）语句权限语句权限是指对数据库的操作权限，这些语句通常是一些具有管理性的操作，如创建数据库、表和存储过程等。这种语句虽然仍包含有操作的对象，但这些对象在执行该语句之前并不存在于数据库中。因此，语句许可针对的是某个SQL语句，而不是数据库中已经创建的特定的数据库对象。,返回目录,11.6 权限管理,11.6.1 权限类型

38、（2）对象权限对象权限是指对特定的数据库对象（即表、视图、字段和存储过程）的操作权限，它决定了能对表、视图等数据库对象执行哪些操作。如果用户想要对某一对象进行操作，必须具有相应的操作权限。表和视图的权限用来控制用户在表和视图上执行SELECT、INSERT、UPDATE和DELETE语句的能力。字段的权限用来控制用户在单个字段上执行SELECT、UPDATE和REFERENCES操作的能力。存储过程的权限用来控制用户执行EXECUTE语句的能力。,返回目录,11.6 权限管理,11.6.1 权限类型（3）预定义权限预定义权限是指系统安装以后部分用户和角色不必授权就有的权限。其中的角色包括固定服

39、务器角色和固定数据库角色，用户包括数据库对象所有者。只有固定角色或者数据库对象所有者的成员才可以执行某些操作。执行这些操作的权限就称为预定义权限。,返回目录,11.6 权限管理,11.6.2 用SQL Server Management Studio管理权限用户对权限的管理包括授予权限、拒绝权限和废除权限。授予权限主要是授予用户账户在数据库中允许执行的语句权限和对象权限。拒绝权限主要用于删除以前授予用户、组或角色的权限；停用从其他角色继承的权限；确保用户、组或角色将来不继承更高级别的组或角色的权限。废除权限用于废除以前授予或拒绝的权限，废除权限与拒绝权限有类似的功能。都是删除已授予的权限。但是

40、，废除权限是删除已授予的权限，并不删除用户、组或角色从其他角色继承的权限。,返回目录,11.6 权限管理,11.6.2 用SQL Server Management Studio管理权限1使用SQL Server Management Studio授予权限1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，后展开“数据库”文件夹。再展开“教务管理数据库”数据库。3）展开“安全性”，再展开“用户”文件夹。4）右击数据库用户“db_user01”在弹出的快捷菜单中选择“属性”，打开“数据库用户-

41、db_user01”窗口。5)在数据库用户的“常规”选项页中，如果在“数据库角色成员身份”选项栏中选择一个数据库角色，实际上就完成了数据库用户语句权限的设置。因为对于这些数据库固定角色，SQL Server已经定义了其具有哪些语句权限。如果要设置对象权限,需要执行如下步骤,返回目录,11.6 权限管理,11.6.2 用SQL Server Management Studio管理权限1使用SQL Server Management Studio授予权限6)在左边的“选择页”中选中“安全对象”，打开“数据库用户权限设定”窗口。7）单击“添加”按钮，打开“添加对象”窗口。8）单击“特定对象”单选按钮

42、，单击“确定”打开“选择对象”窗口。9）单击“对象类型”单选按钮，打开“选择对象类型”窗口，选择对象类型“表”，单击“确定”按钮。返回“选择对象”窗口。,返回目录,11.6 权限管理,11.6.2 用SQL Server Management Studio管理权限1使用SQL Server Management Studio授予权限11）单击“浏览”按钮，打开“查找对象”窗口。选中“dbo.学生表”，单击“确定”按钮，返回“选择对象”窗口。12）单击“确定”按钮。返回“授予权限”窗口。选中“select”权限的“授予”列中的“复选框”按钮，并单击“确定”按钮。授予用户db_user01可以对“

43、学生表”进行select 操作。13）如果还想限制只能对“学生表”的某些列具有select权限，可单击“列权限”，打开“列权限”窗口，限定只能对“性别”和“姓名”两个字段具有SELECT权限。,返回目录,11.6 权限管理,11.6.2 用SQL Server Management Studio管理权限使用SQL Server Management Studio拒绝权限和废除权限1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展

44、开“安全性”，再展开“用户”文件夹。4）右击“db_user01”,在弹出的快捷菜单中选择“属性”，打开“数据库用户-db_user01”窗口。5)在左边的“选择页”中选中“安全对象”，打开“数据库用户权限设定”窗口。6）若在此窗口中取消已选中的“授予”列中的“复选框”按钮，可以废除权限已经授予的权限。,返回目录,11.6 权限管理,11.6.2 用SQL Server Management Studio管理权限使用SQL Server Management Studio拒绝权限和废除权限7）若在此窗口中单击“拒绝”列中的“复选框”按钮，可以拒绝权限8）单击“确定”按钮，完成拒绝权限和废除权限

45、的操作。,返回目录,11.6 权限管理,11.6.3 用T-SQL语句管理权限 1.用T-SQL语句授予权限（1）授予语句权限语法格式：GRANT ALL|TO WITH ADMIN OPTION说明：ALL：表示所有的语句权限。：用来指定要授予的语句权限列表。多个语句权限之间用逗号分隔。：用来指定要授予语句权限的用户列表，多个用户之间用逗号分隔。WITH ADMIN OPTION：为可选项，指定后则允许用户将其拥有的语句权限再授予其他用户。,11.6 权限管理,11.6.3 用T-SQL语句管理权限 1.用T-SQL语句授予权限（1）授予语句权限语句权限有如下几种：CREATE DATABA

46、SECREATE TABLECREATE VIEWCREATE FUNCTIONCREATE PROCEDURECREATE DEFAULTCREATE RULEBACKUP DATABASEBACKUP LOG,11.6 权限管理,11.6.3 用T-SQL语句管理权限 1.用T-SQL语句授予权限（1）授予语句权限【例11.17】使用T-SQL语句给“教务管理数据库”数据库中的“DB_USER01”用户授予CREATE TABLE、CREATE VIEW语句权限。,11.6 权限管理,11.6.3 用T-SQL语句管理权限 1.用T-SQL语句授予权限（2）授予对象权限语法格式：GRANT

47、 ALL|ON TO WITH ADMIN OPTION,11.6 权限管理,11.6.3 用T-SQL语句管理权限 1.用T-SQL语句授予权限（2）授予对象权限说明：ALL：表示所有的对象权限。：指定要授予的对象权限列表，多个对象权限之间用逗号分隔。对象权限可以包括：SELECT、INSERT、UPDATE、DELETE、EXECUTE：指定要授予对象权限的数据库对象名，数据库对象可以是表、视图、字段和存储过程等。：指定要授予对象权限的用户列表，多个用户之间用逗号分隔。WITH ADMIN OPTION：为可选项，指定后则允许用户将其拥有的对象权限再授予其他用户。,11.6 权限管理,11

48、.6.3 用T-SQL语句管理权限 1.用T-SQL语句授予权限（2）授予对象权限【例11.18】给“教务管理数据库”数据库中的“DB_USER01”用户授予对“学生表”具有SELECT、INSERT对象权限。,11.6 权限管理,11.6.3 用T-SQL语句管理权限 2.用T-SQL语句拒绝权限（1）拒绝语句权限语法格式：DENY ALL|TO 说明：ALL：表示用户所拥有的所有语句权限。：指定要拒绝的语句权限列表，多个语句权限之间用逗 号分隔。：指定要拒绝语句权限的用户名列表，多个用户之间用逗 号分隔。,返回目录,11.6 权限管理,11.6.3 用T-SQL语句管理权限 2.用T-SQ

49、L语句拒绝权限（1）拒绝语句权限【例11.19】拒绝“DB_USER01”用户所拥有的CREATE VIEW语句权限。,返回目录,11.6 权限管理,11.6.3 用T-SQL语句管理权限 2.用T-SQL语句拒绝权限（2）拒绝对象权限语法格式：DENY ALL|ON TO 说明：ALL：表示用户所拥有的所有对象权限。：指定要拒绝的对象权限列表，多个对象权限之间用逗号分隔。：指定要拒绝对象权限的数据库对象名。：指定要拒绝对象权限的用户名列表，多个用户之间用逗号分隔。,返回目录,11.6 权限管理,11.6.3 用T-SQL语句管理权限 2.用T-SQL语句拒绝权限（2）拒绝对象权限【例11.2

50、0】拒绝“DB_USER01”用户对“学生表”所拥有的SELECT、INSERT对象权限。,返回目录,11.6 权限管理,11.6.3 用T-SQL语句管理权限 3.用T-SQL语句废除权限（1）废除语句权限语法格式：REVOKE ALL|TO 说明：ALL：表示用户所拥有的所有语句权限。：指定要废除的语句权限列表，多个语句权限之间用逗号分隔。：指定要废除语句权限的用户名列表，多个用户之间用逗号分隔。【例11.21】废除“DB_USER01”用户所拥有的CREATE VIEW语句权限。,返回目录,11.6 权限管理,11.6.3 用T-SQL语句管理权限 3.用T-SQL语句废除权限（2）废除