数据库《数据库的安全与权限》实验报告_第1页
数据库《数据库的安全与权限》实验报告_第2页
数据库《数据库的安全与权限》实验报告_第3页
已阅读5页,还剩46页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、XX大学计算机与信息技术学院实 验 报 告姓 名课程名称成 绩数据库系统概论指导教师专业班级实验日期批改日期实验名称数据库的安全与权限目的和意义?理解SQL Server身份验证模式?学会创建和管理登录帐户和用户帐户;?学会创建和管理服务器角色和数据库角色?学会授予、拒绝和撤销权限的方法实验内容?设置验证模式,熟悉系统登录验证过程。?登录管理?用户管理实 验 内 容?角色管理?权限管理实现步骤?SQL Server的安全管理假若你是SQL Server2005数据库服务器的管理员, 服务器中包含7个用户数据库,它们为学 校的多个部门应用程序提供数据,每个部门的用户维护自己的数据库,你需要配置服

2、务器和数据库许可权限,让每个维护自己数据库的用户有足够的权限来管理数据库。你该怎么做呢?你需要为每个用户创建一个账户,把每个账户映射到它们的数据库中,添加所有的用户账户到自己的数据库中的db_owner角色中去。一、两个安全性阶段在SQL Server2005中工作时,用户要经过两个安全性阶段: 身份验证和权限验证 (授权)。 每个用户必须通过登录账户建立自己的连接能力(身份验证),以获得对SQL Server2005实例的访问权限。然后,该登录必须映射到用于控制在数据库中所执行的活动(权限验证)的SQLServer用户账户。如果数据库中没有用户账户,则即使用户能够连接到 SQL Server

3、实例,也无法访问数据库。二、两种安全验证模式SQL Server提供了两种安全验证模式,即Windows身份验证模式和混合身份验证模式(也称SQL Server身份验证模式),数据库设计者和数据库管理员可以根据实际情况进行选择。1、Windows身份验证模式Windows身份验证模式是指用户通过Windows用户账户连接到 SQL Server,即用户身份由Windows系统来验证。SQL Server使用 Windows操作系统中的信息验证账户名和密码。这 是默认的身份验证模式,比混合验证模式安全得多。一般情况下,客户机都支持混合信任连接,建议使用Windows身份验证方式。使用Window

4、s身份验证有如下特点。(1)Windows验证模式下由 Windows管理登录账户,数据库管理员主要是使用该账户。(2)Windows有功能很强的工具与技术去管理用户的登录账户。(3)可以在SQL Server中增加用户组,可以使用用户组。2、混合身份验证模式(也称 SQL Server身份验证模式)混合身份验证模式允许用户使用Windows身份和SQL Server身份进行连接。通过Windows登录账户连接的用户可以使用Windows验证的受信任连接。当用户使用指定的登录名称和密码进行非信任连接时,SQL Server检测输入的登录名和密码是否与系统表syslogins中记录的情况相同,据

5、此进行身份验证。如果不存在该用户的登录账户,则身份验证失败。用户只有提供 正确的登录名和密码,才能通过SQL Server的验证。提供SQL Server身份验证是为了考虑非 Windows客户兼容及向后兼容,早期 SQL Server 的应用程序可能要求使用 SQL Server登录和 密码。当 SQL Server实例在 Win dows98/Wi ndows2000professio nal 上运行时,由于 Win dows98/Wi ndows2000professio nal 不 支持Windows身份验证模式,必须使用混合模式。非Windows客户端也必须使用 SQL Server

6、身份验证。混合身份验证模式有如下特点。(1) 混合模式允许非 Win dows客户、In ternet客户和混合的客户组连接到SQL Server 中。(2)增加了完全性方面的选择。如果必须选择“混合身份验证模式”并要求使用SQL登录以适应旧式应用程序,则必须为所有 SQL账户设置强密码。这对于属于sysadmin角色的账户(特别是sa账户) 尤其重要。3、设置验证模式安装SQL Server2005默认的是 Windows身份验证模式。系统管理员在 management studio中有两种设置方法(参看实验指导),均需要重新启动 SQL Server后,才能生效。三、登录管理1、系统管理员

7、登录账户SQL Server有两个默认的系统管理员登录账户:sa和administrators。这两个登录账户具有SQL Server系统和所有数据库的全部权限。在安装SQL Server之后,自动创建的登录标识符只有系统管理员sa账户和administrators账户,administrators是Windows系统的系统管理员组。sa是一个特殊的登录名,它代表SQLServer身份验证机制下 SQL Server的系统管理员,sa始终关联dbo(dbo是默认的用户账号,就是指数据库的创建者)数据库用户,并且没有为sa指定口令。这意味着如果 SQL Server身份验 证模式,任何得知这个

8、SQL Server存在的人都可以登录到SQL Server上,并且可以做任意操作。为安全起见,在安装 SQL Server后,应尽快地给系统管理员账户指定口令。为SQL Server系统管理员指定口令的步骤如下。(1)在“对象资源管理器”窗口中某数据库引擎下。(2)分别展开“安全性”、“登录名”节点,查看所有当前存在的登录标示符,系统管理 员账户sa应包含在其中。(3)右击sa,然后选择“属性”项,系统弹出“登录属性”窗口。(4) 在“密码” 一栏中输入新的口令,并在“确认密码” 一栏再次输入相同“密码”。(5) 在“默认数据库”一栏输入sa默认使用的数据库。(6)单击“确定”按钮,系统关闭

9、对话框,这样完成了为系统管理员设置新口令操作。2、使用 management studio 管理 SQL Server 登录账户在management studio中能方便地创建、查看、修改、删除登录账户。有如下两种方式创建SQL Server登录账户(1和2)。(1)映射 Windows登录账户为 SQL Server登录账户在management studio中可以将一个 Windows账户或一个组映射成一个SQL Server登录名。每个SQL Server登录名都可以在指定的数据库中创建数据库用户名。这个特性可以让Windows组中的用户直接访问服务器上的数据库。至于这些指定的数据库用

10、户的权限,可以另行指定的。提示:Windows账户应是已经存在的。具体步骤(参看实验指导)。(在用户映射选项卡中,选定某数据库后用户名默认与登录名 一样,也可设定为不一样的。)(2)在 management studio 中创建 SQL Server 登录账户提示:首先需将验证模式设置为SQL Server验证模式。具体步骤参看实验指导。(在用户映射选项卡中,选定某数据库后用户名默认与登录名一样,也可设定为不一样的。)注意:在创建登录名时,在点击“新建登录名”后,进入“登录名-新建”对话框时,选择的默认数据库要与用户映射选项卡中选择的数据库一致,再去掉“强制实施密码策略”的对 勾即可创建成功。

11、在通过新创建的登录名连接SQL Server后,会发现只能访问和打开所选的数据库,而其他数据库无法访问和打开。(3)在Management Studio中查看、修改或删除登录账户具体步骤(参看实验指导)四、用户管理用户是基于数据库的名称,是和登录账户相关联的。1、登录名与数据库用户名的关系登录名、数据库用户名是 SQL Server中两个容易混淆的概念。登录名是访问SQL Server的通行证。每个登录名的定义存放在master数据库的表syslogins (登录名是服务器级的)中。登录名本身并不能让用户访问服务器中的数据库资源。要访问具体数据库中的资源,还必须有该数据库的用户名。新的登录创建

12、以后,才能创建数据库用户,数据库用户在特定的数据库内 创建,必须和某个登录名相关联。数据库用户的定义信息存放在与其相关的数据库的sysusers表(用户名是数据库级的)中的,这个表包含了该数据库的所有用户对象以及和它们相对应的 登录名的标识。用户名没有密码和它相关联,大多数情况下,用户名和登录名使用相同的名称,数据库用户名主要用于数据库权限的控制。就如同企业门口先刷卡进入(登录服务器),然后再拿钥匙打开自己的办公室(进入数据库)一样。数据库用户创建后,通过授予用户权限来指定用户访问特定对象的权限。用户用一个登 录名登录SQL Server,以数据库用户的身份访问服务器上的数据库。当一个登录账户

13、试图访问某个数据库时,SQL Server将在库中的sysusers表中查找对应的用户名,如果登录名不能映射 到数据库的某个用户,系统尝试将该登录名映射成guest用户,如果当前数据库不许可guest 用户,这个用户访问数据库将失败。在SQL Server中,登录账户和数据库用户是 SQL Server进行权限管理的两种不同的对象。 一个登录账户可以与服务器上的所有数据库进行关联,而数据库用户是一个登录账户在某数据库中的映射,也即一个登录账户可以映射到不同的数据库,产生多个数据库用户(但一个登录 账户在一个数据库至多只能映射一个数据库用户),一个数据库用户只能映射到一个登录账户。允许数据库为每

14、个用户分配不同的权限,这一特性为在组内分配权限提供了最大的自由度与可控性。2、使用Management Studio管理数据库用户管理数据库用户包括对数据库的创建、查看、修改、删除等管理操作。首先如何创建数据 库用户呢? 一般有两种方法。一种是在创建登录帐户的同时指定该登录帐户允许访问的数据 库,同时生成该登录帐户在数据库中的用户。如前面使用Management Studio创建登录帐户时就能完成数据库用户的创建;另一种方法是先创建登录帐户,再将登录帐户映射到某数据库, 在其中创建同名用户名(具体步骤参看实验指导)。五、角色管理SQL Server 2005数据库管理系统利用角色设置,管理用户

15、的权限。 通过角色,可以将用户集中到一个单元中,然后对这个单元应用权限。对角色授予、拒绝或吊销权限时,将对其中的 所有成员生效。角色的功能非常强大,其原因如下。(1 )除固定的服务器角色外,其他角色都是在数据库内实现的。这意味着数据库管理员 无需依赖Windows管理员来组织用户。(2)角色可以嵌套。嵌套的深度没有限制,但不允循环嵌套。(3)数据库用户可以同时是多个角色的成员。这样只对角色进行权限设置便可以实现对所有用户权限的设置,大大减少了管理员的工作量。在SQL Server 2005中,可以认为有 5中角色类型。1、public 角色Public角色在每个数据库(包括所有的系统数据库)中

16、都存在,它也是数据库角色成员。Public角色提供数据库中用户的默认权限, 不能删除。每个数据库用户都自动是次角色的成员, 因此,无法在此角色中添加或删除用户。 当尚未对某个用户授予或拒绝对安全对象的特定权限 时,则该用户将继承授予该安全对象在 public角色中对应的权限。SQL Server 2005包括几个预定义的角色,这些角色具有预定义的、不能授予其他用户账户的内在的权限。其中有两种最主要的预定义角色是:固定服务器角色和固定数据库角色。2、固定服务器角色固定服务器角色的作用域在服务器范围内。它们存在于数据库之外,固定服务器角色的 每个成员都能够向该角色中添加其他登录。打开Managem

17、ent Studio,用鼠标单击"对象资源管理器”窗口中某数据库引擎的"安全 性”目录下的“服务器角色”,显示当前数据库服务器的所有服务器角色,共有8个,具体名称及角色描述如下。(1) bulkadmin角色成员:可以运行 bulk insert语句。(2)dbcreator角色成员:可以创建、更改、删除和还原任何数据库。(3)diskadmin角色成员:用于管理磁盘文件。(4)processadmin角色成员:可以终止 SQL Server实例中运行的进程。(5) securityadmin角色成员:将管理登录名及其属性。它们可以grant、deny和revoke服务器级

18、权限。也可以grant、deny和revoke数据库级权限。另外,它们可以重置SQL Server登录名的密码。(6)serveradmin角色成员:可以更改服务器范围配置选项和关闭服务器。(7)setupadmin角色成员:可以添加和删除链接服务器,并且也可以执行某些系统存储 过程。(8) sysadmin角色成员:可以在服务器中执行任何活动。默认情况下,windowsadministrators组(即本地管理员组)的所有成员都是sysadmin固定服务器角色的成员。固定服务器角色成员的添加与删除(有两种方法,具体步骤参看实验指导)3、数据库角色固定数据库角色在数据库级别定义以及每个数据库中

19、都存在。Db_owner和db_security管理员角色的成员可以管理固定数据库角色的成员身份。但是,只有Db_owner角色可以将其他用户添加到Db_owner固定数据库角色中。打开Management Studio,用鼠标单击“对象资源管理器”窗口中某数据库下的“安全性” 目录下的“角色”的“数据库角色”,显示的所有数据库角色,共有10个,具体名称及角色描述如下。(1) db_accessadmin:可以为 Windows 登录账户、Windows 组和 SQL Server登录账户添加或删除访问权限。(2)db_backupoperator:可以备份该数据库。(3)db_datarea

20、der:可以读取所有用户表中的所有数据。(4)db_datawriter :可以在所有用户表中添加、删除或更改数据。(5)db_ddladmin :可以在数据库中运行任何数据定义语言( DDL )命令。(6)db_denydatareader:不能读取数据库内用户表中的任何数据。(7)db_denywriter :不能添加、修改或删除数据库内用户表中的任何数据。(8)db_owner:可以执行数据库的所有配置和维护活动。(9)db_securityadmin :可以修改角色成员身份和管理权限。固定数据库角色到权限有映 射关系,请参阅联机帮助查询。固定数据库角色与固定服务器角色不能被删除,用户自

21、定义的角色可以删除。4、用户定义的角色当一组用户执行 SQL Server中一组指定的活动时,通过用户定义的角色可以轻松地管理 数据库中的权限。在没有合适的Windows组,或数据库管理员无权管理Windows用户账户的情况下,用户定义的角色为数据库管理员提供了与Windows组同等的灵活性。用户定义的角色只适用于数据库级别,并且只对创建时所在的数据库起作用。(1)数据库角色创建、修改与删除(具体步骤参看实验指导)(2)数据库角色成员的添加与删除(具体步骤参看实验指导)5、应用程序角色 (略,不作要求)六、权限管理(数据库应用技术 SQL Server2005提高篇,参看复印资料)设置安全验证

22、模式一一厂Windows身份验证模式默认的系统管理员登录账户:adminjsjrators。VWindows 身份混合身份验证模式Y、SQL Server身份默认的系统管理员登录账户:sa创建SQL Server登录账户一一映射 Windows登录账户为 SQL Server登录账户将验证模式设为 SQL Server验证模式,在 management studio中创建SQL Server登录账户数据库A 1. _用户名a亀用户名b厂登录名a厶丄+数据库B 1 一"用户名a佥用户名bi登录名b范. 数据库C 1 . 用户名aA用户名b1. 验证模式安装SQL Server 2005

23、 默认的是 Windows身份验证模式。可能使用Management Studio工具来设置验证模式, 但设置验证模式的工作只能由系统管理员来完成,以下是在ManagementStudio中的两种设置方法,以下两种方法均需要重新启动SQL Server后,才能生效。方法之一:(1)打开 Management Studio。(2)在“已注册的服务器”子窗口中要设置验证模式的服务器上单击鼠标右键,然后在弹出的快捷菜单上选择“属性”项,系统弹出“编辑服务器注册属性”窗口。(3) 在“常规”选项卡中,“服务器名称”栏按“ 服务器名实例名 ”格式选择要注册的服务器实例“身份验证”栏在连接到SQL Ser

24、ver实例时,可以使用两种身份验证模式:Windows身份验证和SQL Server身份验证(或称混合身份验证)。如图4-1。(4)设置完成后,单击“测试”按钮以确定设置是否正确。(5)单击“保存”按钮,单击对话窗口,完成验证模式的设置或改变。方法之二:(1)在ManagementStudio对象资源管理器中,右键单击服务器,再单击"属性” 项。(2)在“安全性”页上的“服务器身份验证”下,选择新的服务器身份验证模式,再单击 “确定”按钮。如图 4-3。2. 帐号和角色1)登录管理使用 Management Studio 管理 SQL Server 登录账户(1)映射 Windows

25、 Studio 登录账户为 SQL Server登录账户录名。每个SQL Server登录名都可以在指定的数据库中创建数据库用户名。这个特性可以让Windows组中的用户直接访问服务器上的数据库。至于这些指定的数据库用户的权限,可以另行指定的。使用 Management Studio将已经存在的Windows账户或组映射到 SQLServer 中的操作步骤如下: 启动Management Studio,分别展开"服务器”、"安全性”、"登录名”。 右击“登录名”,选择“新建登录名”项,进入“登录名-新建”对话框。 选择Windows验证模式,登录名通过按“搜索”按

26、钮来自动产生,单击“搜索”按钮 后“选择用户或组”对话框,在对象名称框内直接输入名称或单击“高级”按钮后查 找用户或组的名称来完成输入。 单击“服务器角色”选项卡,可以查看或更改登录名在固定服务器角色中的成员身份。 单击“用户映射”选项卡,以查看或修改SQL登录名到数据库用户的映射,并可选择其在该数据库中允许担任的数据库角色。单击“确定”按钮,一个Windows组或用户即可增加到 SQL Server登录账户中去了。量鼻-世j,r" Ha t. £cm 島 f6"崔)正筑J'SQL Sura AMMSJr遥网iv送证老喀喘!I)厂H衆钏”曲济计EffiSw

27、r畑"医卬-髀乂碍s(*)在Management Studio中创建 SQL Server登录账户的具体步骤类似于“在ManagementStudio中映射 Windows登录账户为 SQL Server登录账户”,只是,要选择 SQL Server验证模式,这是需要输入登录账户名称、密码及确认密码。其他选项卡的设置操作类似。最后按“确定”按钮,即增加了一个新的登录账户。(3)在Management Studio中查看、修改或删除登录账户一个新的登录账户增加后,可以在ManagementStudio中查看其详细信息,并能做修改或删除操作。方法如下: 启动Management Stud

28、io,分别展开“服务器”、 “安全性”、“登录名”。如图4-3。 单击“登录名”下的某一个登录账户,在系统弹出菜单上单击“属性”项,可进入“登 录属性”对话框查看该登录账户的信息,同时需要时能直接修改相应账户设置信息。 在上一步系统弹出菜单上单击“删除”菜单,能出现“删除对象”对话框,在对话框 上单击“确定”按钮,能删除该登录账户。2)用户管理使用Management Studio管理数据库用户管理数据库用户包括对数据库的创建、查看、修改、删除等管理操作。首先如何创建数据库用户呢? 一般有两种方法。一种是在创建登录帐户的同时指定该登录帐户允许访问的数据库,同时生成该登录帐户在数据库中的用户。如

29、前面使用Management Studio创建登录帐户时就能完成数据库用户的创建;另一种方法是先创建登录帐户,再将登录帐户映射到某数据库, 在其中创建同名用户名。(1)在Management Studio 中创建数据库用户在Management Studio中创建数据库用户中创建数据库用户的步骤如下: 启动Management Studio,分别展开“服务器"、“数据库"、“KCGL、“安全性”、“用户”,在“用户”文件夹下能看到该数据库的已有用户。 右击“用户”文件夹,选择“新创建数据库用户”,弹出“数据库用户-新建”对话框。 输入要创建的数据库用户的名字,然后再“登陆名

30、”对应的文本框中输入相对应的登录名,或单击“浏览”按钮,在系统中选择相应的登录名。 单击“确定”按钮,将新创建的数据库用户添加到数据库中。(2)在Management Studio中查看、修改或删除数据库用户操作方式是: 启动Management Studio,分别展开“服务器”、“数据库”、“ KCGL、“安全性”、“用户”,在“用户”文件夹下能看到该数据库的已有用户。 右击某要操作的用户,在系统弹出的快捷菜单中含有“属性”、“删除”等菜单项。 若选择“属性”菜单项,可以查看或修改用户的权限信息,如“常规”中的“拥有架构”“角色成员”;“安全对象”中的具体权限设置及“扩展属性”等。 若选择“

31、删除”菜单项,可从数据库中删除该用户。3)角色管理固定服务器角色成员的添加与删除固定服务器角色成员的添加与删除操作可以通过Management Studio或T-SQL两种方法来操作。在Management Studio中添加或删除固定服务器角色成员。:方法一:打开Management Studio,用鼠标单击“对象资源管理器”窗口->某数据库引擎-> “安全性”-> “服务器角色”,显示当前数据库服务器的所有服务器角色,再要添加或删除 成员的某固定服务器角色上单击鼠标右键,选择快捷菜单中的“属性”菜单项。在“服务器角 色属性”对话框中,能方便单击“添加”或“删除”按钮实现对

32、成员的添加或删除。方法二:打开Management Studio,用鼠标单击”对象资源管理器“窗口 ->某数据库引擎 -> ”安全性“-> ”登录名“;在某登录名上右击,选择”属性“菜单项,出现”登陆属性“对 话框或单击”新建登录名“出现”登陆-新建”对话框;单击“服务器角色”选项卡,能直接多项选择登陆名需要属于的固定服务器角色。这样也完成了对固定服务器角色成员的添加与删除。用户定义的角色(1)数据库角色创建、修改与删除数据库角色的创建、修改与删除操作可以通过ManagementStudio或T-SQL两种方法来操作。在Management Studio中创建、修改与删除数据

33、库角色: 打开Management Studio,用鼠标单击”对象资源管理器“窗口->某数据库引擎-> ”数据库“->"某具体数据库"-> ”安全性“-> ”角色“->"数据库角色”,显示当前数据 库的所有数据库角色,在”数据库角色“目录或某数据库角色上单击鼠标右键,单击快捷菜单中的”新建数据库据角色“菜单项。在”数据库角色-新建“对话框中,指定角色名称与所有者,单击”确定“按钮即简单创建了新的数据库角色。 在某数据库角色上单击鼠标右键,单击快捷菜单中的”属性“菜单项。在”数据库 角色属性“对话框中,查阅或修改角色信息,如制定新

34、的所有者、安全对象、拥有的 架构、角色、角色成员等信息的修改等。 在某自定义数据库角色上单击鼠标右键,单击快捷菜单中的“删除”菜单项。启动“删除对象”来删除数据库角色。但要注意:角色必须为空时才能删除。(2)数据库角色成员的添加与删除数据库角色成员的添加及与删除操作可以通过Management Studio或T-SQL两种方法来操作。在Management Studio中添加与删除数据库角色成员:方法一:在上面提到过的某数据库角色的“数据库角色属性“对话框中,“常规”选线卡上,右下角色成员操作区,单击“添加”或“删除”按钮实现操作。方法二:通过“对象资源管理器”窗口 ->某数据库引擎-&

35、gt; “数据库”-> “某具体数据库” -> “安全性”->"用户"->"某具体用户”;单击鼠标右击,单击“属性”菜单,出现“数据库 用户”对话框,在右下角色成员操作区,通过多选按钮直接实现该用户从某个或某些数据库 角色中添加或删除的操作功能。应用程序角色在Management Studio中创建与删除数据库程序角色:通过“对象资源管理器”窗口->"数据库引擎"->"数据库"->"某具体数据库"->"安全性"->"角色&

36、quot;->"应用程序角色”;单击油表有机,单击“新建应用程序角色”菜单项,出现“应 用程序角色新建”对话框,在”常规“选项卡右边指定角色名称默认架构、密码、确认密 码、角色拥有的架构等信息后,单击”确定“按钮即可。当然在创建应用程序角色的同时, 可以指定”安全对象“、”扩展属性“选项卡中的属性。在已有某应用程序角色上单击鼠标右键,再单击“删除”菜单项,能实现角色的删除操作。3.权限管理1) 在ManagementStudio中管理权限在Management Studio中管理权限是非常方便的,可以从权限相关的主体与安全对象这 两者的任意一方出发考虑实现操作。2) 在Mana

37、gementStudio中管理凭据(1)创建凭据 在对象资源管理器中,展开“安全性”,右击“凭据”,然后单击“新建凭据”项。 在“新建凭据”对话框中的“凭据名称”框中,输入凭据的名称。 在“标识”框中,输入对于对外连接的账户名称(在离开SQL Server的上下文时)。通常为 Windows用户账户。但标识可以是其他类型的账户。 在“密码”和“确认密码”框中,输入“标识”框中指定的账户的密码。如果“标识”为 Windows用户账户,则密码为 Windows密码。如果不需要密码,“密码”可为空。 单击“确定”按钮。(2)将登录名映射到凭据 在对象资源管理器中,展开“安全性”,右击SQL Serv

38、er登录名,然后单击“属性”项。 在“登录属性”对话框的“常规”页的“凭据”框中,输入凭据的名称,然后单击“确定”按钮。3)用T - SQL命令管理权限主要命令有 GRANT、REVOKE、DENY、CREATE CREDENTIAL、ALTER CREDENTIAL、 DROP CREDENTIAL 等。(1) GRANT将安全对象的权限授予主体。GRANT命令的简单语法:GRANTALLPRIVILEGES|permissio n(colu mn ,n),nONclass:securableTOprin cipal ,. n WITH GRANT OPTIONAS prin cipalAL

39、L :该选项并不授予全部可能的权限。授予ALL参数相当于授予以下权限。 如果安全对象为数据库,则ALL表示BACKUP DA TABASE、BACKUP LOG、CREATEDATABASE、CREATE DRFAULT、CREATE FUNCTION、CREATE PROCEDURE、 CREATETABLE 和 CREATE VIEW。 如果安全对象为标量函数,则ALL表示EXECUTE和REFERENCES。 如果安全对象为表值函数,贝UALL 表示DELETE、INSERT、REFERENCES、SELECT和 UPDATE。 如果安全对象为存储过程,则ALL表示DELETE、EXEC

40、UTE、INSERT、SELECT和UPDATE。 如果安全对象为表,贝U ALL 表示 DELETE、INSERT > REFERENCES > SELECT 和 UPDATE。 如果安全对象为视图,贝UALL 表示 DELETE、INSERT、REFERENCES、SELECT 和UPDATE。Permission:权限的名称。Column :指定表中将授予其权限的列的名称。需要使用括号“()”。Class:指定将授予其权限的安全对象的类。需要范围限定符“::”。Securable :指定将授予其权限的安全对象。TO principal :主体的名称。可为其授予安全对象权限的主

41、体随安全对象而异。GRANT OPTION :指示被授权者在获得指定权限的同时还可以将指定权限授予其他主 体。AS principal :指定一个主体,执行该查询的主体从该主体获得授予该权限的权利。REVOKE语句可用于删除已授予的权限,DENY语句可用于防止主体通过GRANT获得特定权限。授予权限将删除对所指定安全对象的相应权限的DENY或REVOKE权限。如果在包含该安全对象的更高级别拒绝了相同的权限,则DENY优先。但是,在更高级别撤销已授予权限的操作并不优先。数据库级权限在指定的数据库范围内授予。如果用户需要另一个数据库中的对象的权限,请在该数据库中创建用户账户,或者授权用户账户访问该

42、数据库以及当前数据库。数据库特定安全对象有:应用程序角色、程序集、非对称密钥、证书、约定、数据库、端 点、全文目录、函数、登录、消息类型、对象、队列、远程服务绑定、角色、路由、架构、 服务器、服务、存储过程、对称密钥、同义词、系统对象、表、类型、用户、视图、XML架构集合。Sp_helprotect系统存储过程可报告对数据库级安全对象的权限。(2)GRANT对象权限。授予对表、视图、表值函数、存储过程、扩展存储过程、标量函数、聚合函数、服务 队列或同义词的权限,语法如下:GRANT vpermission>,nONOBJECT:schema_name.object_name (colum

43、n ,n)TO <database_principal> ,n WITH GRANT OPTIONAS<database_principal>:=ALLPRIVILEGES| permission(column, n)<database_principal>:=Database_user Database_role| Application_role | Database_user_mapped_to_Windows_User| Database_user_mapped_to_Windows_Group| Database_user_mapped_to_ce

44、rificate| Database_user_ mapped_to_asymmetric_key | Data_user_with_no_loginPermission :指定可以授予的对架构包含的对象的权限。ALL :授予ALL不会授予所有可能的权限。授予ALL等同于授予适用于指定对象的所有ANSI-92权限。对于不同权限,ALL的含义有所不同。 标量函数权限:EXECUTE和REFERENCES。 表值函数权限:DELETE、INSERT、REFERENCES、SELECT 和 UPDATE。 存储过程权限:EXECUTE、SYNONYM、DELETE、INSERT > SELEC

45、T 和 UPDATE。 表权限:DELETE、INSERT > REFERENCES、SELECT 和 UPDATE。 视图权限:DELETE、INSERT、REFERENCES、SELECT 和 UPDATE。Database_user指定数据库用户;Database_role指定数据库角色;Application role 指定应用程序角色;Database_user_mapped_to_Windows_User指定映射到 Windows用户的数据库用户; Database_user_mapped_to Windows_Group 指 定映射至U Windows 组 的数据库用户;

46、Database_user_mapped_to_cerificate 指定映射到证书的数据库用户 ; Database_user_mapped_to_asymmetric_key 指定映射到非对称密钥的数据库用户;Data_user_with_no_login指定无相应服务器级主体的数据库用户。对象是一个架构级的安全对象,包含于权限层次结构中作为其父级的架构中* GRANT 命令的使用实例:例1:授予对表的 SELECT权限,本例授予用户 RosaQdM对AdventureWorks数据库中表Person.Address 的 SELECT 权限。USE Adve ntureWorksGRANT

47、 SELECT ON OBJECT : Person.Address TO RosaQdM例2 :授予对存储过程的EXECUTE权限,本例授予名 Recruiting 11的应用程序角色对存储过程 HumanResources.uspUpdateEmployeeHirelnfo 的 EXECUTE 权限。GRANT EXECUTE ON OBJECT : HumanResources.uspUpdateEmployeeHirelnfo TO Recruit ing 11(3) REVOKE取消以前授予或拒绝了的权限。REVOKE简单语法:REVOKE GRANT OPTION FOR ALLP

48、RIVILEGES | permission(column,n), n ONclass:securableTO | FROMprincipal,nCASCADEAS principalREVOKE对象权限有:撤销对表、视图、表值函数、存储过程、扩展存储过程、标量函数、聚合函数、服务队列或同义词的权限。语法如下:REVOKE GRANT OPTION FOR vpermission> ,n ON OBJECT: schema_ name.object_name (coloumn,n) FROM | TO<database_principal> ,nCASCADE AS<d

49、atabase_pri ncipal>* REVOKE命令的使用实例:例:撤销对表的 SELECT权限,本例从用户RosaQdM中撤销对 AdventureWorks数据库中表Person.Address 的 SELECT 权限。REVOKE SELECT ON OBJECT : : Person.Address FROM RosaQdM用T-SQL令管理权限的例子1. 给用户授权:a) use database_coursecreate logi n user3 with password="create user user3 for logi n user3;b) gran

50、t update(sno),selecton scto user1;2. 回收权限:a) revoke update(sno)on scfrom user1;b) revoke selecton SCfrom public;3. 数据库角色:a) create role r1;grant select,i nsert,updateon courseto r1;将角色 r1 授予 user1、user2、user3 : grant VIEW DEFINITION,TAKE OWNERSHIP on role:r1 to user1,user2,user3;一次性的通过r1回user1的3个权限:

51、revoke VIEW DEFINITION,TAKE OWNERSHIP on role:r1 from user1;回收user2对于r1的控制权限:revoke con trol on role:r1 from user2;b)角色的权限修:grant deleteon courseto r1;revoke inserton coursefrom r1;(4) DENY拒绝授予主体权限。防止主体通过其组或角色成员身份继承权限。DENY的简单语法:DENYALLPRIVILEGES | permission(column,n),n ONclass:securable TO principa

52、l,nCASCADE AS principalDENYde对象权限,拒绝对安全对象的OBJECT类成员授予的权限。OBJECT类的成员包括:表、视图、表值函数、存储过程、扩展存储过程、标量函数、聚合函数、服务队列以 及同义词。语法如下:DENY <permission> ,n ON OBJECT:schema_name.object_name (column ,n)TO <database_Principal> ,n CASCADEAS<database_principal> <permission>:=ALLPRIVILEGES | permi

53、ssion(Column ,n)* DENY命令的使用实例:例:拒绝对表的 SELECT权限,本例拒绝用户RosaQdM中撤销对 AdventureWorks数据库中表 Person.Address 的 SELECT 权限。DENY SELECT ON OBJECT : : Person.Address TO RosaQdM(5) CREATE CREDENTIAL仓U建凭据。语法如下:CREATE CREDENTIALcredential_nameWITH IDENTITY= 'identity_name',SECRET= 'secret'参数:credent

54、ial_name指定要创建的凭据的名称。credential_name不能以数字符号(#)开头。系统凭据以#开头。IDENTITY= 'identity_name '指定在服务器以外进行连接时使用过的账户的名称。SECRET= 'secret'指定发送身份验证所需的机密内容。该子句为可选项。可以在sys.credentials目录视图中查看有关凭据的信息。* CREATE CREDENTIAL命令的使用实例 :例:本例创 建名为 AlterEgo 的凭据。凭据包含 Windows用户 RettigB 和密码 sdrlk8$40-dksli87nNN8。CREAT

55、E CREDENTIAL AlterEgo WITH IDENTITY= ' RettigB ', SECRET=' sdrlk8$40-dksli87nNN8 '(6) ALTER CREDENTIAL更改凭据的属性。语法如下:ALTER CREDENTIALcredential_nameWITH IDENTITY= 'identity_name ',SECRET= 'secret'使用服务主密钥对密码进行加密。如果重新生成服务主密钥,则需要使用新服务主密钥对改密码重新加密。* ALTER CREDENTIAL命令的使用实例:例:更改凭据的密码,本例将更改存储在名为Saddles的凭据中的密码。该凭据包含Windows登录名RettigB及其密码。使用 SECRET子句将新密码添加到凭据。ALTER CREDENTIAL Saddles WITH IDENTITY= ' RettigB ' , SECRET=' sdrlk8$40-dksli87nNN8 '(7) DROP CREDENTIAL 从服务器中删除凭据。语法如下:DROP CREDENTIAL crede ntial_namecredential_name为要从服务器中删除

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论