账户和存取权限总结实用教案

1、会计学1账户账户(zhn h)和存取权限总结和存取权限总结第一页，共50页。这种安全管理模式是建立在安全身份验证和访问许可两者机制上的。第1页/共50页第二页，共50页。第2页/共50页第三页，共50页。主 体主体(zht)Server 角色(ju s)SQL Server 登录(dn l)Windows 组域用户账户本地用户账户用户数据库角色应用程序角色组SQLServer数据库Windows安全对象权限第3页/共50页第四页，共50页。安全(nqun)对象主体(zht)Server 角色(ju s)SQL Server 登录Windows 组域用户账户本地用户账户用户数据库角色应用程序角色

2、组SQLServer数据库Windows安全对象权限文件密钥服务器架构数据库第4页/共50页第五页，共50页。SQL Server 2005 权限(qunxin)主体(zht)Server 角色(ju s)SQL Server 登录Windows 组域用户账户本地用户账户用户数据库角色应用程序角色组SQLServer数据库Windows安全对象权限文件密钥服务器架构数据库CREATEALTERDROPCONTROLCONNECTSELECTEXECUTEUPDATEDELETEINSERTTAKE OWNERSHIPVIEW DEFINITIONBACKUP授予/撤销/拒绝ACL第5页/共50

3、页第六页，共50页。nn登录到SQL Server上以后，系统检查用户(yngh)是否有访问服务器上数据的权限。第6页/共50页第七页，共50页。第7页/共50页第八页，共50页。第8页/共50页第九页，共50页。则将使用SQL Server验证模式(msh)；如果用户使用Named Pipes，则登录时将使用Windows验证模式(msh)。nSQL Server验证模式(msh)处理登录的过程：n用户输入登录名和密码后，SQL Server在系统注册表中检测输入的登录名和密码。如果输入的登录名存在，而且密码也正确，就可以登录到SQL Server上。第9页/共50页第十页，共50页。第10

4、页/共50页第十一页，共50页。 .n第2步：在“服务器身份验证”栏中设置验证模式后，单击“确定”按钮.n第3步：重新启动SQL Server，以新的验证模式登录服务器。第11页/共50页第十二页，共50页。n使用数据库的用户帐户（user name ）n用户名在特定的数据库内创建。用户定义的信息放在服务器上的每个数据库的sysusers表中。通过授权给用户来指定银行可以访问(fngwn)的数据库对象的权限。第12页/共50页第十三页，共50页。(y )(role)定了可以访问相同数据库对象的一组数据库用户。第13页/共50页第十四页，共50页。密码。nProcessadmin 管理SQL S

5、erver进程nDbcreator 创建、修改和删除数据库nDiskadmin 管理磁盘文件nPublic 具有查看任何数据库的权限第14页/共50页第十五页，共50页。第15页/共50页第十六页，共50页。登录帐户的添加1、SQL Server服务器登录管理(gunl)：创建、管理(gunl)SQL Server登录帐号，具体执行步骤如下：（1）打开SSMS在【对象资源管理(gunl)器】中，展开【安全性】文件夹。（2）右击【登录名】，从弹出的快捷菜单中选择【新建登录名】选项，则出现【登录名新建】对话框，如下图。（3）选择【服务器角色】页框，如图。在框中，列出了系统的固定服务器角色。在这些固

6、定服务器角色的左端有相应的复选框，打勾的复选框表示该登录帐号是相应的服务器角色成员。 第16页/共50页第十七页，共50页。第17页/共50页第十八页，共50页。登录(dn l)帐户的添加（3）选择【服务器角色】页框，如图。在框中，列出了系统的固定服务器角色。在这些固定服务器角色的左端有相应的复选框，打勾的复选框表示该登录(dn l)帐号是相应的服务器角色成员。 第18页/共50页第十九页，共50页。图10-3 服务器角色(ju s)对话框 第19页/共50页第二十页，共50页。登录帐户的添加（4）选择【用户映射】页框，如图。上面的列表框列出了【映射到此登录名的用户】，单击左边的复选框设定该登

7、录账号可以访问的数据库以及该帐号在各个数据库中对应的用户名。在【数据库角色成员(chngyun)身份】中可指定该帐号所属的数据库角色。 第20页/共50页第二十一页，共50页。图10-4 用户(yngh)映射对话框 第21页/共50页第二十二页，共50页。登录帐户的添加（5）选择【安全对象】页框，如图。安全对象是 SQL 数据库引擎授权系统控制对其进行访问的资源。点击【添加】按钮，可对不同类型的安全对象进行安全授予或拒绝；单击【确定(qudng)】即可完成登录帐号的创建。第22页/共50页第二十三页，共50页。第23页/共50页第二十四页，共50页。并关联到该登录帐户，则该登录帐户会自动具有对

8、该数据库的访问权限。n例：在AdventureWorks库中创建(chungjin)一个用户帐户bookA,并将其关联到bookadm登录帐户中。第24页/共50页第二十五页，共50页。利用(lyng)SSMS可授予SQL Server登录访问数据库的许可权限： 打开SSMS，展开要登录的服务器和数据库文件夹，展开要创建(chungjin)用户的数据库及安全性文件夹。第25页/共50页第二十六页，共50页。图10-6 新建数据库用户(yngh)对话框 右击用户(yngh)图标，从快捷菜单中选择【新建用户(yngh)】选项，则出现【数据库用户(yngh)新建】对话框，如图。第26页/共50页第二

9、十七页，共50页。其他的数据库角色。第27页/共50页第二十八页，共50页。ndb_securityadmin可以管理数据库中与安全权限有关所有动作ndb_backoperator 可以备份数据库ndb_denydatareader 不能选择数据库中任何数据ndb_denydatawriter 不能改变数据库中任何数据nPublic 第28页/共50页第二十九页，共50页。（1）管理服务器角色。 打开(d ki)SSMS,展开指定的服务器，单击【安全性】文件夹，再单击【服务器角色】，在右边的页框中右击所要的角色，从弹出菜单中选择【属性】，则出现【服务器角色属性】对话框，如图。第29页/共50页

10、第三十页，共50页。在该对话框可看到属于该角色的成员。单击【添加(tin ji)】或单击【删除】按钮。第30页/共50页第三十一页，共50页。图10-16 “数据库角色(ju s)新建”对话框 （2）管理数据库角色。 在SSMS中，展开(zhn ki)【服务器】、【数据库】和【安全性】文件夹，右击【数据库角色】，从弹出菜单中选择【新建数据库角色】，则出现【新建数据库角色】对话框，如图。第31页/共50页第三十二页，共50页。图10-16 “数据库角色(ju s)新建”对话框 第32页/共50页第三十三页，共50页。比如，如果公司中的员工只是使用某个特定的应用程序(而不是使用Transact-S

11、QL语句或其他任何工具)来修改员工的数据信息，那么就可以为它创建一个应用程序角色。n当应用程序角色被应用程序的会话(huhu)激活以用于连接时，在连接期间，会话(huhu)就失去了登录、用户账户或所有数据库中的角色的权限。第33页/共50页第三十四页，共50页。认权限。n对于用户建立的数据库对象，public角色默认是不设置权限。npublic角色为数据库中的所有用户都保留了默认的权限，因此是不能被删除的。第34页/共50页第三十五页，共50页。第35页/共50页第三十六页，共50页。第36页/共50页第三十七页，共50页。第37页/共50页第三十八页，共50页。 在SSMS中，展开【服务器】

12、、【数据库】和【安全性】，单击【用户】图标，在页框中将(zhngjing)显示数据库的所有用户。 右击要进行许可设置的【用户】，从弹出菜单中选择【属性】，出现【数据库用户属性】对话框，选择【安全(nqun)对象】，如图。第38页/共50页第三十九页，共50页。 单击【添加】按钮，则弹出【添加对象】对话框，如左下图所示。选择【特定(tdng)对象】单选钮后，出现如右下图所示的对话框。第39页/共50页第四十页，共50页。 点击(din j)【确定】后则出现左下图的对话框，在该框中可进行对象许可的设置。 点击对话框底部【列权限】按钮，出现右下图所示对话框，在该对话框中可选择用户对哪些列具有哪些权限

13、；单击【确定】即可完成许可(xk)的设置。第40页/共50页第四十一页，共50页。 在选项页【常规】中，在【数据库角色成员身份】中选择(xunz)一个数据库角色，就完成了数据库用户语句许可的设置。第41页/共50页第四十二页，共50页。图10-14 表属性(shxng)中的权限对话框 在SSMS中展开【服务器】、【数据库】和【具体数据库】，选择需要设置的用户对象，即表、视图等。 右击该对象，从弹出菜单中选择【属性】，在弹出的该对象对话框中选择【权限(qunxin)】，单击【添加】按钮设置好相应的对象许可后，如图；单击【确定】即可。（2）面向(min xin)数据库对象的许可设置：第42页/共5

14、0页第四十三页，共50页。 命名空间将相关对象组织在一起，从而(cng r)使复杂的对象列表更加方便管理。 SQL Server 2005 使用架构对数据库对象实现了类似的概念。提问： 在数据库中专门有名为 student_id 的表用来统计学生的学号和姓名，现在的问题就是每一届的学生数据都会存在这样一张同名的表，这可能会给查询带来困难。 举例：针对(zhndu)上面的情况，数据库将不知道如何区分 2006 级的学生和 2007 级的学生。如何解决这一问题呢？第43页/共50页第四十四页，共50页。举例：我们(w men)以每一届的学生建立架构，要查找 2007 级的学生学号时，在这个数据库中

15、就可以通过 2007.student.id 来找到合适的表了。架构：是数据库对象的命名空间。换言之，架构定义了一个边界，边界内的所有名称都是唯一的。数据库中每一个对象的唯一完全限定名称为server.database.schema.object。第44页/共50页第四十五页，共50页。PersonContact(Server1.AdventureWorks.Person.Contact)SalesCustomer(Server1.AdventureWorks.Sales.Customer)AdventureWorksdboErrorLog(Server1.AdventureWorks.dbo.

16、ErrorLog) 数据库对象(duxing)的命名空间下图有名为 Server的 SQL Server 实例中 AdventureWorks 数据库内的三个架构。架构分别名为Person、Sales和dbo，每一个架构都包含一个表。表的完全限定名称(mngchng)：包括服务器名、数据库名和架构名。例如：dbo 架构中的 ErrorLog 表的完全限定名称(mngchng)为server1. AdventureWorks.dbo.ErrorLog第45页/共50页第四十六页，共50页。第46页/共50页第四十七页，共50页。 创建架构，在SSMS 中通过(tnggu)【对象资源管理器】，展开

17、数据库下的【安全性】，就可创建架构。第47页/共50页第四十八页，共50页。使用(shyng)CREATE SCHEMA语句创建架构：CREATE SCHEMA schema_name | AUTHORIZATION owner_name 第48页/共50页第四十九页，共50页。举例(j l)：创建名为 marketing 的架构，该架构由名为 Lance 的用户拥有；在新建的架构中创建名为 promotions 的表。 该语句将架构中的SELECT权限授予给Don的用户，并拒绝将SELECT 权限授予给名为 Erik 的用户。-创建名为marketing的架构，该架构由名为Lance的用户拥有CREATE SCHEMA Marketing AUTHORIZATION Lance -在架构中创建promot