10、第9章安全管理ppt课件

1、第9章 平安管理平安认证方式登录管理数据库用户管理角色权限管理三个概念：登录、用户、角色登录帐号：用来和SQL SERVER衔接有了登录号才干衔接上SQL SERVER，才有运用SQL SERVER的入门资历，但登录帐号没有运用数据库对象的权益数据库用户：简称用户，作为数据库对象，SQL SERVER用它来设定数据库存取的答应权。所以为了要存取SQL SERVER内的某一数据库的数据库对象，每一登录帐号必需对应一个用户名。角色：也称为平安性角色，对数据具有一样的访问权限。包括系统内建角色和自建角色二类角色，其中，系统内建角色又分为效力器角色和数据库角色，数据库角色也是一个数据库对象登录、用户的

2、关系1、登录帐号是用来衔接SQL SERVER的，但登录帐号没有运用数据库对象的权益，SQL SERVER是以用户名来设定数据库存取的答应权。所以，为了要存取SQL SERVER内某一数据库内的数据库对象，每一登录帐号必需在该数据库对应一个用户名2、用户是数据库对象，定义和修正时必需选择对应的数据库，而登录不是数据库对象，它的定义和修正在SQL SERVER效力器下的平安性里进展。3、用户的定义必需指定对应的登录名，一个登录名可以对应多个用户，但一个登录名在一个数据库内只能有一个用户。4、用户名与数据库相关。sales 数据库中的 xyz 用户帐户不同于 inventory 数据库中的 xyz

3、 用户帐户，即使这两个帐户有一样的用户名。用户名由 db_owner 固定数据库角色成员定义。用户、角色的关系1、角色在权限管理方面是一个强有力的工具，是具有一样权限的用户的集合，角色分为系统内建角色和自建角色，同时系统内建角色分为效力器角色和数据库角色，自建角色都是数据库角色。2、效力器角色和登录名相对应；而数据库角色是和用户对应的，数据库角色和用户都是数据库对象，定义和删除的时候必需选择所属的数据库3、一个数据库角色中可以有多个用户，一个用户也可以属于多个数据库角色 SQL SERVER 2000任务时，用户需求经过两个平安性阶段：身份验证、授权权限验证 9.1.1 身份验证 又叫认证，是

4、运用SQL SERVER 2000的第一道控制关卡，用户必需运用登录帐号和密码来登录SQL SERVER ，当登录胜利后才拥有运用SQL SERVER 的入门资历。 但是，即使他经过了第一道认证关卡并不表示他对SQL SERVER内的数据有存取的权限。 9.1 平安认证方式SQL SERVER 2000可以经过两种方式来进展身份验证：Windows身份验证、 SQL SERVER身份验证。 Windows身份验证：由Windows系统确认用户的登录帐号和密码， Windows系统的登录帐号可以直接访问SQL SERVER系统，不用提供SQL SERVER的登录帐号和密码。 SQL SERVER

5、身份验证：由Windows系统确认用户的登录帐号和口令。相应的，SQL SERVER 2000可以在两种平安方式身份验证下任务：Windows身份验证方式：用Windows用户帐号进展衔接混合方式：用Windows身份验证或SQL SERVER身份验证与SQL SERVER实例衔接。9.1.1 身份验证9.1.2 授权 又叫权限验证，数据库中的一切对象的存取权限还必需经过授权即存取答应的设定来决议该登录者能否拥有某一对象的存取权限。9.2 登录管理 登录帐号是基于效力器运用的用户名。为了访问SQL Server系统，用户必需提供正确的登录帐号。这些登录帐号既可以是Windows登录帐号，也可以

6、是SQL Server登录帐号。 登录帐号的信息是系统级信息，存储在master数据库中的syslogins系统表中。添加登录帐号可以有两种方法：运用企业管理器 1、选择要建立登录的SQL SERVER效力器 2、展开平安性，选择登录运用系统存储过程 1、SQL SERVER登录(sp_AddLogin，sp_DropLogin)sp_addlogin 登陆名， 密码，默许数据库 2、Windows NT用户或组登录(机器名用户或任务组名)(sp_GrantLogin、 sp_DenyLogin、 sp_RevokeLogin)格式：sp_GrantLogin 机器名用户名9.2.1 创建登录

7、9.2.2 查看、修正登录查看、修正登录帐号：运用企业管理器 1、选择要查看或修正的登录的SQL SERVER效力器 2、展开平安性，选择登录 3、在详细信息窗格中，右击要查看的登录，然后单击属性。9.2.3 删除登录运用企业管理器 1、选择要删除登录的SQL SERVER效力器 2、展开平安性，选择登录 3、在详细信息窗格中，右击要查看的登录，单击删除。运用系统存储过程 1、SQL SERVER登录(sp_dropLogin)sp_droplogin 登陆名， 密码，默许数据库 2、Windows NT用户或组登录(机器名用户或任务组名)(sp_DenyLogin、 sp_RevokeLog

8、in)格式：sp_revokeLogin 机器名用户名9.3 数据库用户管理 用户帐号是基于数据库运用的称号，与登录帐号相对应，登录帐号属数据库实例范畴的概念，用户帐号属于特定数据库范畴。一个登录帐号可以运用一个特定的用户帐号或一个默许的用户帐号。 用户帐户是由SQL Server管理的，一切的用户帐户都存放在系统表sysusers中。9.3.1 创建用户帐号创建数据库用户帐号，可以有两种方法：运用企业管理器 1、选择要建立用户的SQL SERVER效力器 2、展开数据库，选择用户运用系统存储过程 sp_AddUser 登录名，用户名注：在管理用户的时候必需选择对应的数据库use 要建立用户的

9、数据库名 9.3.2 删除用户帐号删除数据库用户帐号，可以有两种方法：运用企业管理器 1、选择要建立用户的SQL SERVER效力器 2、展开数据库，选择用户运用系统存储过程 sp_DropUser 用户名注：在管理用户的时候必需选择对应的数据库use 要建立用户的数据库名 9.4 角色 角色在权限管理方面是一个强有力的工具，假设用户具有一样的权限，那么我们可以：1、先创建一个角色2、对这个角色赋予权限3、将这些用户添加到该角色中使它们成为角色中的成员 角色分为系统内建角色和自建角色，同时系统内建角色分为效力器角色和数据库角色自建角色都是数据库角色。1、效力器角色和登录名相对应2、数据库角色是

10、和用户对应的3、数据库角色和用户都是数据库对象，定义和删除的时候必需选择所属的数据库一、固定效力器角色二、向固定效力器角色添加登录向固定效力器角色添加登录成员运用企业管理器 1、选择要建立用户的SQL SERVER效力器 2、展开平安性，选择效力器角色，添加登录三、固定数据库角色四、向固定数据库角色添加用户向固定数据库角色添加用户运用企业管理器 1、选择要建立用户的SQL SERVER效力器 2、展开数据库，选择角色所在的数据库 3、单击角色，添加用户运用系统存储过程 1、定义、删除角色：sp_AddRole 、sp_DropRole 2、修正角色成员：sp_droprolemember 角色

11、名 sp_AddRoleMember 角色名，用户名注：在管理数据库角色的时候必需选择对应的数据库 当用户衔接到 SQL Server后，他们可以执行的活动由授予以下帐户的权限确定： 1、用户的平安帐户。2、用户的平安帐户所属的 Windows NT或 2000 组或角色层次构造。 用户假设要进展任何涉及更改数据库定义或访问数据的活动，那么必需有相应的权限。 管理权限包括授予或废除执行以下活动的用户权限： 1、处置数据和执行过程对象权限。2、创建数据库或数据库中的工程语句权限。3、利用授予预定义角色的权限暗示性权限。 9.5 权限管理处置数据或执行过程时需求称为对象权限的权限类别： 1、SEL

12、ECT、INSERT、UPDATE 和 DELETE 语句权限，它们可以运用到整个表或视图中。2、SELECT 和 UPDATE 语句权限，它们可以有选择性地运用到表或视图中的单个列上。3、SELECT 权限，它们可以运用到用户定义函数。4、INSERT 和 DELETE 语句权限，它们会影响整行，因此只可以运用到表或视图中，而不能运用到单个列上。5、EXECUTE 语句权限，它们可以影响存储过程和函数。 注：对象权限的设置：SQL SERVER效力器数据库某一特定数据库对象一切义务管理权限一、对象权限对象权限的设置运用企业管理器：SQL SERVER效力器数据库某一特定数据库对象一切义务管理

13、权限运用T-SQL语句： GRANT 对象权限 ON 数据库对象 TO 用户或角色一、对象权限 创建数据库或数据库中的项如表或存储过程所涉及的活动要求另一类称为语句权限的权限。例如，假设用户必需可以在数据库中创建表，那么应该向该用户授予 CREATE TABLE 语句权限。语句权限如 CREATE DATABASE适用于语句本身，而不适用于数据库中定义的特定对象。语句权限有： 1、BACKUP DATABASE、BACKUP LOG2、CREATE DATABASE3、CREATE DEFAULT、 CREATE RULE、CREATE FUNCTION4、CREATE TABLE、CREATE VIEW、CREATE PROCEDURE二、语句权限语句权限的设置运用企业管理器：SQL SERVER效力器数据库某一特定数据库属性权限“选项卡运用T-SQL语句： GRANT 语句权限 TO 用户或角色或WINOWS NT用户或WINOWS NT任务组二、语句权限 暗示性权限控制那些只能由预定义系统角色的成员或数据库对象一切者执行的活动。例如，sysadmin 固定效力器角色成员自动承继在 SQL Serve