第十一讲设计数据库的安全性(2)

1、第第11章章 设计数据库的安全性设计数据库的安全性上节回顾上节回顾服务器角色SQL Server 登录账户Windows登录账户数据库用户数据库角色SQL Server数据库数据库Windows服务器架构数据库安全对象权限主体主体服务器练练 习习登录账户UserstuMaryNorthwind用户账户DboGuestuserNewDB用户账户Dbouser请分析各登录账户对两个数据库的访问权限。注意:1、假设所有的登录名与相应的数据库用户名相同。2、NewDB数据库是登录账户Mary所创建问题问题操作系统中创建好并能正常登录的用户，却不能登操作系统中创建好并能正常登录的用户，却不能登录录SQL

2、 Server服务器？请分析哪里出了问题？服务器？请分析哪里出了问题？刚创建的刚创建的SQL Server登录账户登录登录账户登录SQL Server服务服务器时，用户名和密码都输入正确，却不能登录，为器时，用户名和密码都输入正确，却不能登录，为什么？什么？要让权限最小的登录用户可以创建自己的数据库，要让权限最小的登录用户可以创建自己的数据库，应该怎么办？应该怎么办？要让权限最小的登录用户在要让权限最小的登录用户在Test数据库中可以创建数据库中可以创建自己的数据表，应该怎么办？自己的数据表，应该怎么办？案例案例Adventure公司各个部门都有自己的业务范围，数据公司各个部门都有自己的业务范

3、围，数据库管理员（库管理员（DBA）要为他们设置不同的使用权限）要为他们设置不同的使用权限销售部对Sales架构表内数据可以查看，经理有增删改的权限，销售员只有添加的权限产品部对Production架构表内数据可以查看，经理有增删改的权限，技术员只有修改的权限董事长办公室对数据库内所有数据有查看权限数据管理部经理管理登录名和数据库用户角色的分配，操作员只完成数据库备份11.5 管理数据库用户管理数据库用户4、自定义数据库角色、自定义数据库角色不需要对大量的数据库用户单独分配权限，可以分不需要对大量的数据库用户单独分配权限，可以分组管理，自定义数据库角色就是对数据库用户的权组管理，自定义数据库角

4、色就是对数据库用户的权限分组限分组可以定义新的数据库角色，并添加到固定数据库角可以定义新的数据库角色，并添加到固定数据库角色授予更多的权限色授予更多的权限除了除了Public角色，其它数据库角色的权限不允许更改角色，其它数据库角色的权限不允许更改11.6 管理权限管理权限权限在用户和角色的基础上，给予不同类型对象权限在用户和角色的基础上，给予不同类型对象的权限。的权限。权限的状态权限的状态GRANTDENYREVOKE权限的类型权限的类型 INSERT DELETE UPDATE SELECT1、权限的作用域、权限的作用域架构作用域架构作用域架构(Schema)：是形成单个命名空间的数据库实体

5、的集合。我们可以将架构看成一个存放数据库中对象的一个容器。 角色或用户都可对应一个默认架构数据库对象作用域数据库对象作用域表视图存储过程2、数据库对象权限设置、数据库对象权限设置两种途径两种途径将某一对象权限授予给用户和角色为一个用户或角色分配安全对象SQL命令命令GRANT / DENY / REVOKE 权限 ON 对象名/架构 : 架构名 TO 主体3、用户权限的继承、用户权限的继承用户是否具有对数据库存取的权利，要看其权限设用户是否具有对数据库存取的权利，要看其权限设置而定，但是它还要受所属角色的权限的限制。置而定，但是它还要受所属角色的权限的限制。只要下面两个条件成立，则用户有执行权限：只要下面两个条件成立，则用户有执行权限：已直接将权限授予用户或用户所属的角色用户的权限没有被直接拒绝或者用户所属的角色之一没有被拒绝该权限。允许的权限继承允许的权限继承selectInsertPublic的权限Role1的权限User1的权限User1的最终权限拒