第8章身份认证

1、第8章身份认证1. Windows NT认证模式认证模式 用户登录用户登录Windows NT时进行身份认证，登录时进行身份认证，登录SQL Server时不再进行身份验证。时不再进行身份验证。 对于对于Windows NT认证模式登录的几点重要说明认证模式登录的几点重要说明: (1) 必须将必须将NT网络账号加入到网络账号加入到SQL Server中，才能采用中，才能采用NT网络账号登录网络账号登录SQL Server。 (2) 如果使用如果使用NT网络账号登录到另一个网络的网络账号登录到另一个网络的SQL Server，必须在必须在NT网络中设置彼此的托管权限。网络中设置彼此的托管权限。8

2、.1 SQL Server 2000的身份认证模式的身份认证模式8.1 SQL Server 2000的身份认证模式的身份认证模式2. SQL Server认证模式认证模式 在在SQL Server认证模式下，认证模式下，SQL Server服务器要对登录的服务器要对登录的用户进行身份验证用户进行身份验证 对于对于Windows 9x系列的操作系统只能使用系列的操作系统只能使用SQL Server认认证模式，而当证模式，而当SQL Server 在在Windows NT或或Windows2000上运行时，系统管理员设定登录认证模式的类型可为上运行时，系统管理员设定登录认证模式的类型可为Wind

3、ows NT认证模式和混合模式。认证模式和混合模式。8.2.1 Windows NT认证模式登录账号的建立与删除认证模式登录账号的建立与删除1. Windows NT认证模式登录账号的建立认证模式登录账号的建立1) 通过企业管理器建立通过企业管理器建立Windows NT认证模式的登录账号认证模式的登录账号Windows 2000本地计算机本地计算机管理界面管理界面Windows 2000本地计算机创建本地计算机创建新用户的界面新用户的界面在企业管理器中选择在企业管理器中选择“登录登录”图标右击图标右击SQL Server信任连接设置窗口信任连接设置窗口8.2.1 Windows NT认证模式

4、登录账号的建立与删除认证模式登录账号的建立与删除 2) 通过调用系统存储过程建立通过调用系统存储过程建立Windows NT认证模式的登录账号认证模式的登录账号 创建创建Windows NT、Windows 2000的用户或组后，使用系统存储过程的用户或组后，使用系统存储过程sp_grantlogin可将一个可将一个Windows NT或或Windows2000的用户或组的登的用户或组的登录账号添加到录账号添加到SQL Server中，以便通过中，以便通过Windows 身份验证连接到身份验证连接到SQL Server。语法格式如下。语法格式如下: sp_grantlogin loginame

5、 = login 参数含义参数含义 : loginame =:原样输入的常量字符串原样输入的常量字符串注意注意:(1) 不能在用户定义的事务内执行不能在用户定义的事务内执行 sp_grantlogin；(2) 仅仅 sysadmin 或或 securityadmin 固定服务器角色的成员可以固定服务器角色的成员可以 执行执行 sp_grantlogin。8.2.1 Windows NT认证模式登录账号的建立与删除认证模式登录账号的建立与删除8.2.1 Windows NT认证模式登录账号的建立与删除认证模式登录账号的建立与删除2. Windows NT认证模式登录账号的删除认证模式登录账号的删

6、除 (1) 以系统管理员身份进入企业管理器以系统管理员身份进入企业管理器，并展开目录树；，并展开目录树； (2) 在目录树的在目录树的“登录登录” 节点下，选中待删节点下，选中待删除的除的“账号账号”节点，节点，2) 通过调用系统存储过程删除通过调用系统存储过程删除Windows NT认证认证模式的登录账号通过执行系统存储过程模式的登录账号通过执行系统存储过程sp_revokelogin可删除可删除Windows NT 用户或组登用户或组登录录SQL Server的账号。的账号。1) 通过企业管理器删除通过企业管理器删除Windows NT认证模认证模式的登录账号式的登录账号.步骤如下步骤如下

7、:8.2.2 混合认证模式下混合认证模式下SQL Server登录账号的建立与删除登录账号的建立与删除 (1) 在企业管理器中，选择在企业管理器中，选择要登录的要登录的SQL Server服服务器图标右击，出现一快务器图标右击，出现一快捷菜单，选择菜单项捷菜单，选择菜单项“属属性性”，出现如图的，出现如图的SQL Server服务器属性配置服务器属性配置窗口。窗口。SQL Server服务器属性配置窗口服务器属性配置窗口 (2) 选择选择“安全性安全性”选项选项卡，如图所示，选择卡，如图所示，选择身份验证方式为身份验证方式为“SQL Server与与Windows”，选择，选择“确定确定”按钮

8、。按钮。SQL Server身份认证方式配置窗口身份认证方式配置窗口 8.2.2 混合认证模式下混合认证模式下SQL Server登录账号的建立与删除登录账号的建立与删除 1. 通过企业管理器创建通过企业管理器创建SQL Server登录账号登录账号 (1) 在企业管理器中选择在企业管理器中选择“登录登录”图标右击，出现快捷菜单，选择图标右击，出现快捷菜单，选择“新新建登录建登录”菜单项，进入如下图的界；菜单项，进入如下图的界； (2) 输入账号名、密码，选择输入账号名、密码，选择“SQL Server身份验证身份验证”方式，点方式，点击击“确定确定”按钮。按钮。 SQL Server登录账登

9、录账号新建号新建窗口窗口 8.2.2 混合认证模式下混合认证模式下SQL Server登录账号的建立与删除登录账号的建立与删除 2. 利用系统存储过程创建利用系统存储过程创建SQL Server登录账号登录账号.语法格式如下语法格式如下: sp_addlogin loginame = login , passwd = password , defdb = database , deflanguage = language , sid = sid , encryptopt = encryption_option 8.2.2 混合认证模式下混合认证模式下SQL Server登录账号的建立与删除登录

10、账号的建立与删除 3. SQL Server登录账号的删除登录账号的删除 利用利用sp_droplogin系统存储过程可删除系统存储过程可删除SQL Server登录账号登录账号: 语法格式语法格式: sp_droplogin loginame = login 参数含义参数含义: login:将被删除的登录账号名。将被删除的登录账号名。 返回值返回值:0（成功）或（成功）或 1（失败）。（失败）。 (1) 若要删除一个数据库现有用户的登录账号，必须首先若要删除一个数据库现有用户的登录账号，必须首先 使用使用 sp_dropuser 删除该用户。删除该用户。 (2) 不能删除系统管理员不能删除系

11、统管理员 (sa) 的登录账号。的登录账号。 (3) 不能在用户定义的事务内执行不能在用户定义的事务内执行 sp_droplogin。 (4) 只有只有sysadmin 和和 securityadmin 固定服务器角色的成员才固定服务器角色的成员才 能执行能执行 sp_droplogin。8.2.2 混合认证模式下混合认证模式下SQL Server登录账号的建立与删除登录账号的建立与删除 8.3.1 固定服务器角色固定服务器角色 (1) 以系统管理员身份登录到以系统管理员身份登录到SQL Server服务服务器，在登录图标对应的列表项中，选择登录账号器，在登录图标对应的列表项中，选择登录账号“

12、DLGC-YPOOLOLRW4LIU”的项目双击；的项目双击； (2) 选择选择“服务器角色服务器角色” 选项卡，选项卡中选项卡，选项卡中列出了列出了SQL Server所有的固定服务器角色，将所有的固定服务器角色，将“System administrators”服务器角色前服务器角色前的复选框选中。的复选框选中。1. 通过企业管理器添加服务器角色成员通过企业管理器添加服务器角色成员SQL Server服务器角色设置窗口服务器角色设置窗口8.3.1 固定服务器角色固定服务器角色2. 利用系统存储过程添加固定服务器角色成员利用系统存储过程添加固定服务器角色成员 利用系统存储过程利用系统存储过程s

13、p_addsrvrolemember可将一登录账号添加可将一登录账号添加到某一固定服务器角色中，使其成为固定服务器角色的成员。说明到某一固定服务器角色中，使其成为固定服务器角色的成员。说明: (1) 将登录账号添加到固定服务器角色时，该登录就会得到与此固定服务器角色相关的权将登录账号添加到固定服务器角色时，该登录就会得到与此固定服务器角色相关的权限。限。 (2) 不能更改不能更改 sa角色成员资格。角色成员资格。 (3) 不能在用户定义的事务内执行不能在用户定义的事务内执行 sp_addsrvrolemember 存储过程。存储过程。 (4) sysadmin 固定服务器的成员可以将登录账号添

14、加到任何固定服务器角色，其他固固定服务器的成员可以将登录账号添加到任何固定服务器角色，其他固定服务器角色的成员可以执行定服务器角色的成员可以执行sp_addsrvrolemember 将登录账号添加到同一个固定将登录账号添加到同一个固定服务器角色。服务器角色。8.3.1 固定服务器角色固定服务器角色3. 利用系统存储过程删除固定服务器角色成员利用系统存储过程删除固定服务器角色成员 利用利用sp_dropsrvrolemember系统存储过程可从固定服务器角色系统存储过程可从固定服务器角色中删除中删除SQL Server 登录账号或登录账号或Windows NT用户或组。说明用户或组。说明: (

15、1) 不能删除不能删除 sa 登录账号。登录账号。 (2) 不能在用户定义的事务内执行不能在用户定义的事务内执行 sp_dropsrvrolemember。 (3) sysadmin固定服务器角色的成员执行固定服务器角色的成员执行sp_dropsrvrolemember可删除任可删除任意固定服务器角色中的登录账号，其他固定服务器角色的成员只可以删除相同固定服意固定服务器角色中的登录账号，其他固定服务器角色的成员只可以删除相同固定服务器角色中的其他成员。务器角色中的其他成员。8.3.2 固定数据库角色固定数据库角色1. 固定数据库角色固定数据库角色(1) db_owner:数据库所有者，可执行数

16、据库的所有管理操作数据库所有者，可执行数据库的所有管理操作.(2) db_accessadmin:数据库访问权限管理者，具有添加、删除数据库使用者、数据库角色数据库访问权限管理者，具有添加、删除数据库使用者、数据库角色和组的权限和组的权限.(3) db_securityadmin:数据库安全管理员，可管理数据库中的权限，如设置数据库表的插数据库安全管理员，可管理数据库中的权限，如设置数据库表的插入、删除、修改和查询等存取权限入、删除、修改和查询等存取权限.(4) db_ddladmin:数据库数据库DDL管理员管理员,可增加、修改或删除数据库中的对象可增加、修改或删除数据库中的对象.(5) d

17、b_backupoperator:数据库备份操作员数据库备份操作员,具有执行数据库备份的权限具有执行数据库备份的权限.(6) db_datareader:数据库数据读取者。数据库数据读取者。(7) db_datawriter:数据库数据写入者，具有对表进行插入、删除和修改的权限。数据库数据写入者，具有对表进行插入、删除和修改的权限。(8) db_denydatareader:数据库拒绝数据读取者，不能读取数据库中任何表的数据库拒绝数据读取者，不能读取数据库中任何表的内容。内容。(9) db_denydatawriter:数据库拒绝数据写入者，不能对任何表进行插入数据库拒绝数据写入者，不能对任何

18、表进行插入、删除和修改操作。、删除和修改操作。(10) public:是一个特殊的数据库角色，每个数据库用户都是是一个特殊的数据库角色，每个数据库用户都是public 角色的成角色的成员，因此，不能将用户、组或角色指派为员，因此，不能将用户、组或角色指派为public角色的成员，也不能删除角色的成员，也不能删除public角色的成员。角色的成员。 8.3.2 固定数据库角色固定数据库角色2. 数据库用户的操作权限数据库用户的操作权限(1) 在当前数据库中创建数据库对象及进行数据库备份的权限在当前数据库中创建数据库对象及进行数据库备份的权限,主要有主要有:创建表、视图、存储过程、规则、缺省值对象

19、、函数的权限及备份数据库、日志创建表、视图、存储过程、规则、缺省值对象、函数的权限及备份数据库、日志文件的权限。文件的权限。(2) 用户对数据库表的操作权限及执行存储过程的权限，主要有用户对数据库表的操作权限及执行存储过程的权限，主要有:SELECT:对表或视图执行对表或视图执行 SELECT 语句的权限；语句的权限；INSERT:对表或视图执行对表或视图执行 INSERT 语句的权限；语句的权限；8.3.2 固定数据库角色固定数据库角色UPDATE:对表或视图执行对表或视图执行 UPDATE 语句的权限；语句的权限；DELETE:对表或视图只对表或视图只 DELETE 语句的权限；语句的权限

20、；REFERENCES:用户对表的主键和唯一索引字段生成外码引用的权限用户对表的主键和唯一索引字段生成外码引用的权限EXECUTE:执行存储过程的权限。执行存储过程的权限。(3) 用户对数据库中指定表字段的操作权限，主要有用户对数据库中指定表字段的操作权限，主要有:SELECT:对表字段进行查询操作的权限；对表字段进行查询操作的权限；UPDATE:对表字段进行更新操作的权限。对表字段进行更新操作的权限。8.3.2 固定数据库角色固定数据库角色8.3.3 用户自定义数据库角色用户自定义数据库角色1. 通过企业管理器创建数据库角色通过企业管理器创建数据库角色 (1) 创建数据库角色创建数据库角色:

21、以系统管理员以系统管理员身份登录身份登录SQL Server，并进入企业管理器，并进入企业管理器，选中目录树，选中目录树XSBOOK数据库结点的数据库结点的“角色角色”图标右击，出现一快捷菜单，选图标右击，出现一快捷菜单，选择择“新建数据库角色新建数据库角色”，进入如图的界，进入如图的界面，输入角色名，选择确定按钮。面，输入角色名，选择确定按钮。新建数据库角色的属性界面新建数据库角色的属性界面 8.3.3 用户自定义数据库角色用户自定义数据库角色(2) 创建数据库用户并加入数据库创建数据库用户并加入数据库角色。即在某一数据库中为角色。即在某一数据库中为SQL Server服务器的登录账号或服务

22、器的登录账号或Windows NT的登录账号创建一数的登录账号创建一数据库用户账号，将数据库用户加入据库用户账号，将数据库用户加入该数据库中的某一角色，即该数据库中的某一角色，即:使数据使数据库用户成为某一角色的成员。库用户成为某一角色的成员。 新建数据库用户的属性界面新建数据库用户的属性界面 8.3.3 用户自定义数据库角色用户自定义数据库角色 (3) 给数据库角色赋予创建数据库对给数据库角色赋予创建数据库对象的权限象的权限:在企业管理器目录树中，选择在企业管理器目录树中，选择XSBOOK数据库结点右击，出现一快捷数据库结点右击，出现一快捷菜单，选择菜单项菜单，选择菜单项“属性属性”，进入如

23、图，进入如图所示的界面，选择所示的界面，选择“权限权限”选项卡，选选项卡，选中允许数据库角色或数据库用户执行的中允许数据库角色或数据库用户执行的权限。权限。设置创建数据库对象权限的窗口设置创建数据库对象权限的窗口 8.3.3 用户自定义数据库角色用户自定义数据库角色 (4) 给数据库角色赋予表操作给数据库角色赋予表操作权限权限:在企业管理器的目录树中，选在企业管理器的目录树中，选择择XSBOOK数据库结点下角色图标的数据库结点下角色图标的项目项目“ROLE”双击，出现如图所示双击，出现如图所示的界面。的界面。 数据库角色的属性窗口数据库角色的属性窗口 8.3.3 用户自定义数据库角色用户自定义

24、数据库角色数据库表操作权限设置窗口数据库表操作权限设置窗口 表的列操作权限设置窗口表的列操作权限设置窗口 8.3.3 用户自定义数据库角色用户自定义数据库角色2. 通过通过SQL命令创建数据库角色命令创建数据库角色1) 定义数据库角色定义数据库角色.语法格式如下语法格式如下:sp_addrole rolename = role , ownername = owner 说明说明:(1) 角色名可以包括字母、符号及数字。但是不能含有反斜线角色名可以包括字母、符号及数字。但是不能含有反斜线 ()。(2) 不能在用户定义的事务内使用不能在用户定义的事务内使用 sp_addrole。(3) 只有只有 s

25、ysadmin 固定服务器角色及固定服务器角色及 db_securityadmin 和和 db_owner 固定固定数据库角色的成员才能执行数据库角色的成员才能执行 sp_addrole。8.3.3 用户自定义数据库角色用户自定义数据库角色 2) 将一个登录账号添加为某个数据库的用户将一个登录账号添加为某个数据库的用户 利用系统存储过程利用系统存储过程sp_grantdbaccess可将一个登录账号添加为某个数可将一个登录账号添加为某个数据库的用户。语法格式如下据库的用户。语法格式如下: sp_grantdbaccess loginame = login ,name_in_db = name_

26、in_db(1) 数据库用户名可含有字母、符号和数字。但不能包含反斜线，不能为数据库用户名可含有字母、符号和数字。但不能包含反斜线，不能为 NULL，也不能为空字符串，也不能为空字符串 ()。 (2) sp_grantdbaccess 仅可以在当前数据库中添加用户（账户），若要从仅可以在当前数据库中添加用户（账户），若要从数据库中删除账户，使用数据库中删除账户，使用 sp_revokedbaccess。8.3.3 用户自定义数据库角色用户自定义数据库角色(3) 如果当前数据库中没有如果当前数据库中没有 guest账户，而且账户，而且 login 为为 guest，则可将，则可将 guest添加

27、为当前数据库的账户。添加为当前数据库的账户。(4) sa 登录账号不能添加到数据库中。登录账号不能添加到数据库中。 (5) 不能从用户定义的事务中执行不能从用户定义的事务中执行 sp_grantdbaccess。(6) 只有只有 sysadmin 固定服务器角色、固定服务器角色、db_accessadmin 和和 db_owner 固定数据库角色的成员才能执行固定数据库角色的成员才能执行 sp_grantdbaccess；(7) 存储过程存储过程sp_adduser的功能与的功能与sp_grantdbaccess的功能相同。的功能相同。8.3.3 用户自定义数据库角色用户自定义数据库角色 3)

28、 给数据库角色添加成员给数据库角色添加成员 利用系统存储过程利用系统存储过程sp_addrolemember可将当前数据库的用户或角色添可将当前数据库的用户或角色添加到当前数据库的某个角色中，使其成为该角色的成员。加到当前数据库的某个角色中，使其成为该角色的成员。 语法格式如下语法格式如下: sp_addrolemember rolename = role , membername = security_account 说明说明:(1) 当使用当使用 sp_addrolemember 将用户账号添加到角色时，新成员将继承将用户账号添加到角色时，新成员将继承所有应用到角色的权限。所有应用到角色的

29、权限。8.3.3 用户自定义数据库角色用户自定义数据库角色(2) 不能将固定数据库或固定服务器角色，或者不能将固定数据库或固定服务器角色，或者 dbo 添加到其他角添加到其他角 色。例如，不能将色。例如，不能将 db_owner 固定数据库角色添加成为用户定义固定数据库角色添加成为用户定义 的角色的角色 YourRole 的成员。的成员。(3) 在用户定义的事务中不能使用在用户定义的事务中不能使用 sp_addrolemember。(4) 只有只有 sysadmin 固定服务器角色和固定服务器角色和 db_owner 固定数据库角色中固定数据库角色中 的成员可以执行的成员可以执行 sp_addrolemember，将用户账号添加到固定，将用户账号添加到固定 数据库角色。数据库角色。(5) db_securityadmin 固定数据库角色的成员可以将用户添加到任固定数据库角色的