数据库基础第10章SQLServer的安全管理.ppt

《数据库基础第10章SQLServer的安全管理.ppt》由会员分享，可在线阅读，更多相关《数据库基础第10章SQLServer的安全管理.ppt（50页珍藏版）》请在三一办公上搜索。

1、第10章 SQL Server的安全管理,本章学习目标l 理解身份验证模式、安全账户管理、角色管理、权限管理的基本概念l 熟练使用和管理用户账号、角色并授予相应权限,10.1 身份验证模式 SQL Server 2000的安全机制是基于用户、角色、对象和权限的基础上建立的。系统可以将用户加入角色，也可以为它们指定对象权限。每个对象都有所有者，所有权也影响到权限。数据库对象（表、索引、视图、触发器、函数或存储过程）的用户称为数据库对象的所有者。创建数据库对象的权限必须由数据库所有者或系统管理员授予。但是，在授予数据库对象这些权限后，数据库对象所有者就可以创建对象并授予其他用户使用该对象的权限。,

2、SQL Server 2000安全系统的构架建立在用户和用户组的基础上，也就是说Windows的用户和用户组可以映射到SQL Server 2000中的安全账户，而SQL Server 2000也可以独自建立安全账户。对于安全账户SQL Server 2000可以对其分配权限，也可以将其加入到角色中，从而获得相应的权限。如图10-1所示。在SQL Server 2000工作时，用户要经过两个安全性阶段：第一阶段：身份验证。如果身份验证成功，用户可连接到SQL Server实例。第二阶段：授权（权限验证）。授权阶段又分为验证用户连接到SQL Server实例的权限和访问服务器上数据库的权限。为此

3、，需授予每个数据库中映射到用户登录的账号访问权限。权限验证阶段则控制用户在SQL Server数据库中所允许进行的活动。,图10-1 SQL Server 2000的安全架构,10.1.1 SQL Server的身份验证模式 在SQL Server2000中，必须以合法的登录身份注册本地或远程服务器后，才能与服务器建立连接并获得对SQL Server的访问权。系统提供了2种登录身份验证模式：1Windows身份验证模式（Windows身份验证）Windows身份验证模式使用户得以通过WindowsNT或Windows2000用户账号进行登录连接，并获得对SQL Server的访问权限。2混合模

4、式（Windows身份验证和SQL Server2000身份验证）混合模式使用户得以使用Windows身份验证或SQL Server 2000身份验证的用户账号进行登录连接。在Windows身份验证模式或混合模式下，通过Windows用户账号连接的用户可以使用信任连接。,10.1.2 身份验证模式的选择选择身份验证模式，可按以下步骤操作：在企业管理器中展开【SQL Server组】，选择目前连接的服务器。单击【菜单】中的【属性】命令，打开【SQL Server属性】对话框，选择【安全性】标签，即可打开如图10-2所示的对话框。可在【安全性】选项组中设置身份验证模式。如图10-2所示。,图10-

5、2 设置身份验证模式对话框,10.2 安全账户管理10.2.1 创建安全账户在SQL Server 2000中，可以使用两种方法添加登录账号：使用企业管理器添加登录账号；使用系统存储过程添加登录账号。1系统安装时建立的账号（1）sa系统管理员（sa）是为向后兼容而提供的特殊登录账号，拥有最高管理权限，可以执行服务器范围内的所有操作。默认情况下，它指派给固定服务器角色sysadmin，并不能进行更改。虽然是内置了管理员登录账号，但不应例行公事地使用它。相反，应使其他的系统管理员账号都成为sysadmin固定服务器角色的成员，并让他们使用自己的登录名登录。只有当没有其它方法登录到SQL Serve

6、r实例（例如：当其它系统管理员不可用或忘记了密码）时才使用sa。（2）Builtinadministrators本地管理员组，默认加入sysadmin角色中，因此具有管理员权限。,2使用企业管理器添加登录账号具体操作步骤如下：在企业管理器中展开服务器组，然后展开服务器。展开【安全性】，右击【登录】，然后单击【新建登录】命令，系统打开如图10-3所示【SQL Server登录属性-新建登录】对话框。,图10-3【SQL Server登录属性-新建登录】对话框,在【身份验证】下，单击【Windows身份验证】,在【名称】框中，输入要被授权访问Microsoft SQL ServerTM的Micro

7、soft Windows NT 4.0或Windows2000账号（以DOMAINUser的形式）；在【身份验证】下，单击【SQL Server身份验证】，在【名称】框中，输入登录账号名称。设置可选项。可在【数据库】中，单击用户在登录到SQL Server实例后所连接的默认数据库。在【语言】中，单击显示给用户的信息所用的默认语言。【例10-1】将dss_ibm390 x中的本机用户zhangsan加入到SQL Server实例中，并建立一个SQL Server登录账号,账号名称为wang。在企业管理器中可以按以下步骤操作：在企业管理器中展开服务器组，然后展开服务器展开【安全性】，右击【登录】，

8、然后单击【新建登录】命令，打开如图10-4所示【SQL Server登录属性-新建登录】对话框。在【名称】框中，输入dss_ibm390 xzhangsan。在【身份验证】下，单击【Windows身份验证】。填写完成之后，单击【确定】按钮。重复、步。在【名称】框中，输入wang。在【身份验证】下，单击【SQL Server身份验证】,在【密码】框中，输入密码，也可以密码为空图10-2-2登录帐户信息填写完成之后，单击【确定】按钮，即可在企业管理器中看到如图10-5所示的登录账号信息。,图10-4【SQL Server登录属性-新建登录】对话框,图10-5 登录账号信息,3使用系统存储过程添加登

9、录账号 在SQL Server 2000中，也可用sp_grantlogin系统存储过程来创建一个Windows登录 账号。其语法为：Sp_grantlogin Windows账号或组其中：Windows 账号或组的格式为域名用户名。也可用sp_addlogin命令来创建一个SQL Server登录账号。其语法为：sp_addlogin loginame=login,passwd=password,defdb=database,deflanguage=language,其中：loginame=login：登录的名称。login 的数据类型为 sysname，没有默认设置。passwd=pass

10、word：登录密码。password 的数据类型为 sysname，默认设置为 NULL。sp_addlogin 执行后，password 被加密并存储在系统表中。defdb=database：登录的默认数据库（登录后登录所连接到的数据库）。database 的数据类型为 sysname，默认设置为 master。其中：,loginame=login：登录的名称。login 的数据类型为 sysname，没有默认设置。passwd=password：登录密码。password 的数据类型为 sysname，默认设置为 NULL。sp_addlogin 执行后，password 被加密并存储在系

11、统表中。defdb=database：登录的默认数据库（登录后登录所连接到的数据库）。database 的数据类型为 sysname，默认设置为 master。deflanguage=language：用户登录到 SQL Server 时系统指派的默认语言。language 的数据类型为 sysname，默认设置为 NULL。如果没有指定 language，那么 language 被设置为服务器当前的默认语言（由 sp_configure 配置变量 default language 定义）。更改服务器的默认语言不会更改现有登录的默认语言。language 保持与添加登录时所使用的默认语言相同。

12、,可以使用上述系统存储过程实现【例10-1】的功能。在查询分析器中执行下列存储过程：Sp_grantlogin dss_ibm390 xzhangsan添加一个Windows登录账号GOSp_addlogin wang,master添加一个SQL Server登录账号GO10.2.2 管理安全账号删除SQL Server登录账号Sp_drop loginlogin表示登录账号禁止一个Windiws账号访问SQL Server实例Sp_denylogin loginlogin表示Windows用户账号，形式为DomainUser删除一个Windiws登录账号Sp_revokelogin logi

13、nlogin表示Windows用户账号，形式为DomainUser,10.2.3 创建数据库用户账号有了登录账号之后，可以访问SQL Server，但还不能访问数据库。要让用户能够访问数据库，还需要在指定数据库中生成数据库用户账号。在SQL Server 2000中，可以使用两种方法将登录账号生成为指定数据库的用户账号。它们是使用企业管理器新建数据库用户；使用系统存储过程新建数据库用户。1缺省数据库用户账号（1）dbodbo是可以在数据库范围内执行一切操作的最高权利拥有者。系统将固定服务器角色sysadmin的任何成员都映射到每个数据库内称为dbo的这个特殊用户上。另外，由固定服务器角色sys

14、admin的任何成员创建的任何对象都自动属于dbo,并且dbo用户无法删除（2）guestGuest用户账号允许任何已经登录到SQL Server服务器的用户都可以访问数据库。但必须满足以下两个条件：登录有访问SQL Server实例的权限，但没有通过自己的用户账号访问数据库的权限；数据库中含有guest用户账号。,10.2.4 创建数据库用户账号使用企业管理器创建数据库用户账号可按以下步骤进行操作：在企业管理器中展开服务器组，然后展开服务器。展开指定数据库，右击【用户】，在弹出的快捷菜单中单击【新建数据库用户(U)】命令,打开如图10-6所示的【数据库用户属性-新建用户】对话框。在【登录名】

15、框中，选择一个登录账号。在【用户名】框中，输入用户名称。需要说明的是，一个登录账号可以在不同的数据库中拥有不同的用户名称。在【数据库角色成员】栏中，可以选择该数据库用户将加入到哪一个数据库角色中，但所有的用户都属于public角色。填写完毕之后，单击【确定】按钮。,图10-7 为数据库XSCJ新建用户登录账号,图10-6【数据库用户属性-新建用户】对话框,【例10-2】为数据库XSCJ新建用户登录账号为：dss_ibm390 xzhangsan，在数据库XSCJ中的用户名为zhangsan。在企业管理器中可以按以下步骤操作：在企业管理器中展开服务器组，然后展开服务器，在展开数据库。展开指定数据

16、库XSCJ，右击【用户】，然后单击【新建数据库用户】命令，打开【数据库用户属性-新建用户】对话框，如图10-7所示。在【登录名】框中，选择一个登录账号(dss_ibm390 xzhangsan)。在用户名框中，输入用户名称zhangsan。在数据库角色成员栏中，可以选择zhangsan为数据库XSCJ的拥有者，既在db_owner上打。,单击【确定】按钮，设置结果如图10-8所示,图10-8 为数据库XSCJ新建用户登录账号,2使用系统存储过程创建数据库用户账号在SQL Server 2000中，也可用sp_grantdbaccess命令来新建数据库用户账号。其语法为：sp_grantdbac

17、cess loginame=login,name_in_db=name_in_dbOUTPUT 其中：loginame=login：当前数据库中新安全账号的登录名称。Windows NT 组和用户必须用 Windows NT 域名限定，格式为域用户，例如 LONDONJoeb。登录不能使用数据库中已有的账号作为别名。name_in_db=name_in_db OUTPUT：数据库中用户账号的名称。name_in_db 是 sysname 类型的 OUTPUT 变量，默认值为 NULL。如果没有指定，则使用 login。如果将其指定为 NULL 值的 OUTPUT 变量，则设置 name_in_

18、db 为 login。当前数据库不必存在 name_in_db。,【例10-3】为数据库XSCJ新建用户账号，该用户账号的登录账号为wang，在数据库XSCJ中的用户名为wang。在查询分析器中运行如下命令：Sp_grantdbaccess wang,wangGO运行结果如图10-9所示。,图10-9使用系统存储过程创建数据库用户账号,10.2.5 管理数据库用户账号1删除数据库用户Sp_revokedbaccess namename表示数据库用户名2报告当前数据库的用户信息Sp_helpuser namename表示数据库用户名,10.3 角色管理 角色是一个强大的工具，可以将用户集中到一个

19、单元中，然后对该单元应用权限。对一个角色授予、拒绝或废除权限也适用于该角色的任何成员。可以建立一个角色来代表单位中一类工作人员所执行的工作，然后给这个角色授予适当的权限。当工作人员开始工作时，只须将他们添加为该角色成员，当他们离开工作时，将他们从该角色中删除，而不必在每个人接受或离开工作时，反复授予、拒绝和废除其权限。权限在用户成为角色成员时自动生效。,10.3.1 固定服务器角色将用户添加到表10-1所列角色中，这些用户就获得管理SQL Server的管理权限。表10-1 固定服务器角色,上述角色是在安装SQL Server时自动创建的，并且系统已经给这些角色分配权限。用户不能修改其权限，也

20、不能再定义固定服务器角色。10.3.2 固定数据库角色每个数据库都有一系列固定数据库角色。虽然每个数据库中都存在名称相同的角色，但各个角色的作用域只限于特定的数据库内。将用户添加到表10-2所列角色中，这些用户就获得这个数据库的管理权限。,表10-2 固定数据库角色,10.3.3 创建数据库角色1创建自定义数据库角色 当一组用户需要在SQL Server中执行一组指定的活动时，可以创建SQL Server数据库角色。用户添加到角色中就继承角色的权限，这样可以更加方便管理。方法一、使用企业管理器创建SQL Server自定义数据库角色具体操作步骤为：展开服务器组，然后展开服务器。展开【数据库】文

21、件夹，然后展开指定的数据库右击【角色】，在弹出的快捷菜单中单击【新建数据库角色】命令，打开【数据库角色属性-新建角色】对话框，如图10-10所示。在【名称】框中输入新角色的名称。单击【添加】按钮，将成员添加到【标准角色】列表中，然后选择要添加的一个或多个用户。设置完毕后，点击【确定】。设置结果如图10-10所示。,图10-10【数据库角色属性-新建角色】对话框,方法二、使用系统存储过程创建自定义数据库角色并将用户添加到角色中在查询分析器中执行下列命令即可：USE 数据库名选择要创建角色的数据库sp_addrole role在当前数据库创建新的角色，role为角色名2创建应用程序角色 由于某种需

22、要，可能希望限制用户只能通过特定应用程序来访问数据或防止用户直接访问数据。限制用户的这种访问方式将禁止用户使用应用程序连接到SQL Server实例并执行编写质量差的查询，以免对整个服务器的性能造成负面影响。,应用角色不包含成员，默认情况下，应用程序角色是非活动的，需要用密码激活，当一个应用程序角色被该应用程序激活以用于连接时，连接会在连接期间永久地失去数据库中所有用来登录的权限。使用sp_addapprole role,password命令即可创建一个应用程序角色。使用sp_setapprole role,password命令即可激活应用程序角色。role为应用程序角色名,password为

23、激活口令。也可以使用企业管理器创建应用程序角色，如图10-10所示。,10.3.4 管理数据库角色1将用户加入到固定服务器角色中sp_addsrvrolemember 用户名称,角色名称2将用户从固定服务器角色中移去sp_dropsrvrolemember 用户名称,角色名称3将用户加入到数据库角色中sp_addrolemember 角色名称,用户名称4将用户从数据库角色中移去sp_droprolemember 角色名称,用户名称5查询角色信息sp_helprole 角色名称-列出角色的名称、识别码sp_helprolemember 角色名称-列出该角色所有成员及各成员的对象识别码 6删除角色

24、sp_droprole 角色名称 注意：内建角色无法删除，当角色中仍有成员时也无法删除。,10.4.1 权限概述在SQL Server中，并不是所有的用户（login）都可以访问特定的数据库，能访问某个数据库的用户也不一定有全部访问权限。为了进行这种限制，我们需要使用权限进行控制。管理权限包括：处理数据和执行过程（对象权限）创建数据库或数据库中项目（语句权限）利用授予预定义角色的权限（暗示性权限）2.许可权限包括：GRANT：授予用户有访问权限REVOKE：撤消已经授予、或撤消已经拒绝的权限DENY：拒绝用户有访问权限三者之间的关系如图10-11所示。,图10-11许可权限之间的关系,10.4

25、.2 对象权限1对象权限类别处理数据或执行过程时需要的权限称为对象权限。SELECT、INSERT、UPDATE和DELETE语句权限，它们可以应用到整个表或视图中。SELECT和UPDATE语句权限，它们可以有选择性地应用到表或视图中单个列上。SELECT权限，它们可以应用到用户定义函数。INSERT和DELETE语句权限，它们会影响整行，因此只可以应用到表或视图中，而不能应用到单个列上。EXEXUTE语句权限，它们可以影响存储过程和函数。,2分配权限【例10-4】给public角色授予SELECT权限。然后，将特定的权限授予用户wang、zhangsan、tom。于是这些用户有了对“班级表

26、”的所有权限。在查询分析器中执行以下命令即可：GRANT SELECT ON 班级表TO publicGRANT INSERT,UPDATE,DELETE ON 班级表 TO wang,zhangsan,tom上述过程既是分配对象权限的过程。撤消权限只要将GRANT换为REVOKE，拒绝权限只要将GRANT换为DENY即可。,10.4.3 语句权限创建数据库或数据库中的项（如表或存储过程）所涉及的活动要求另一类称为语句权限的权限。例如，如果用户必须能够在数据库中创建表，则应该向该用户授予CREATE TABLE语句权限。语句权限适用于语句自身，而不适用于数据库中定义的特定对象。1语句权限有：B

27、ACKUP DATABASEBACKUP LOGCREATE DATABASECREATE DEFAULTCREATE FUNCTIONCREATE PROCEDURECREATE RULECREATE TABLECREATE VIEW,2分配权限【例10-5】使用户wang和dss_ibm390 xzhangsan做建立数据库和建立表的工作。在查询分析器中执行以下命令即可：GRANT CREATE DATABASE,CREATE TABLE TO wang,dss_ibm390 xzhangsan上述过程既是分配语句权限的过程。撤消权限只要将GRANT换为REVOKE，拒绝权限只要将GRAN

28、T换为DENY即可。10.4.4 使用企业管理器授予、撤消和拒绝权限分配具体操作步骤如下：1从对象列表设置对象权限展开企业管理器，然后展开【数据库】，指定数据库。在指定数据库的对象列表（表、视图、存储过程等）中，右击某对象，并从弹出的快捷菜单中选择【属性】命令，打开【对象属性】对话框。,单击【权限】按钮，打开【对象属性】对话框，如图10-12所示。【对象属性】对话框显示了所有的用户和角色，可以使用它来修改这些用户和角色的权限。在上打为授予权限，打为拒绝，无为撤消。对话框底部的【列】按钮可以打开【列权限】对话框，利用【列权限】对话框可以为单个列设置select和update权限，如图10-13所

29、示点击【确定】按钮，权限分配完毕。,图10-12【对象属性】对话框,图10-13【列权限】对话框,2从用户列表设置对象权限展开企业管理，然后展开【数据库】，指定数据库。在指定数据库的用户列表中，选择一个用户点击鼠标右键，并从弹出的快捷菜单中选择【属性】，打开【数据库用户属性】对话框，如图10-14所示。,图10-14【数据库用户属性】对话框,图10-15【数据库用户属性】的【权限】对话框,在属性框中可以将用户加入到数据库角色中，点击【权限】按钮将会打开【权限】选项卡，如图10-15所示。在此可以为用户设置单个权限。点击【确定】，权限设置完毕。3从角色列表设置对象权限展开企业管理，然后展开【数据

30、库】，指定数据库在指定数据库的角色列表中，选择一个角色点击鼠标右键，并从弹出的快捷方式菜单中选择【属性】，打开【数据库角色属性】对话框，如图10-16所示。,图10-16【数据库角色属性】对话框,在属性框中可以将用户或其它角色加入到指定的角色，也可以将它们从角色中删除。通过点击【权限】按钮将会打开【权限】选项卡，如图10-17所示。在此可以为角色设置对象权限。点击【确定】，权限设置完毕。,图10-17【数据库角色属性】的【权限】对话框,本章小结 在本章中同学们学习了SQL Servers的安全机制和安全管理的基础知识，并重点学习了登录账号、用户账号的创建和管理、权限分配和灵活使用角色实现权限管

31、理的技术。本章应重点掌握如何根据安全规划，创建登录账号和用户账号，并对其进行合理的权限分配和有效管理。,思考与练习一、选择题1、下列语句中不是语句权限的是（）。A、CREATE DATABASE B、CREATE TABLE C、INSERT D、BACKUP LOG2、可以在SQL Server中执行任何任务的角色是（）。A、db_owner B、sysadmin C、serveradmin D、setupadmin3、允许没有用户账号的登录，且能访问数据库的用户账号是（）。A、sa B、administrator C、guest D、dbo4、（）是授予用户有访问权限。A、CREATE B

32、、DENY C、GRANT D、REVOKE,5、查看角色信息的存储过程是（）。A、sp_help B、sp_helpuser C、sp_helprole D、sp_helplogin6、新建数据库用户的系统存储过程是（）。A、sp_revokedbaccess B、sp_addlogin C、sp_grantlogin D、sp_grantdbacess二、填空题1、在SQL Server 2000工作时，用户要经过两个安全性阶段，分别是 _和_。2、由固定服务器角色_的任何成员创建的任何对象都自动属于_。3、SQL Server 2000安全系统的构架建立在_和_的基础上的。4、混合模式使

33、用户得以使用_或_验证的用户账号进行连接。5、处理数据或执行过程时需要的权限称为_。,三、简答题1.数据库角色分为哪几类？各有什么特点？2.SQL Server管理权限分为哪几类？如何使用这几类权限？四、上机练习【目的】1.给服务器和数据库角色分配安全账号。2.创建数据库角色。3.给语句和对象分配许可权限。【要求】使用SQL Server2000的企业管理器或存储过程完成所有工作，创建数据库角色时要求把用户添加到数据库角色中，并且从Northwind数据库中的角色里删除用户，同时实验如何为各种角色分配许可权限。【步骤】1创建一个角色并且添加用户,使用企业管理器或存储过程创建一个新的数据库角色并

34、且添加成员到northwind数据库中，并且不要设置任何许可。,2修改角色成员资格使用企业管理器或存储过程从northwind数据库中的db_datareader和db_datawriter固定角色里删除全部用户。3分配许可权限使用使用企业管理器和存储过程两种方法进行许可权限的设置。要求：把创建视图和存储过程的权限设置给角色成员Student2。4分配对象许可权限使用使用企业管理器或存储过程两种方法给安全账号分配对象许可权限。具体要求如下表所示：,项目实训在XSCJ数据库中有两个表，表名分别为【班级表】和【成绩表】。有八个账号A1、A2、B1、B2、C1、C2、D1和E1，其中A1、A2对班级表有查询权限；B1、B2对成绩表有查询权限；C1、C2对班级表和成绩表都享有拒绝查询权限；D1需要拥有管理登录账号的权限；E1需要有管理用户账号的权限。要求分别使用两种方法实现上述安全规划。,