sql server电子教案第9章server2005的安全性

1、第9章 SQL Server的权限管理与代理服务本章内容：9.1 SQL Server 2005的安全机制 ；9.2 数据库用户的管理；9.3 权限的管理；9.4 角色的管理；9.5 实训要求；9.1 SQL Server 2005的安全机制 SQL Server 2005 的安全性管理是基于安全对象（Securble）和主体（Principal）的。安全对象是受系统保护或控制的资源，如表、视图、存储过程等。主体是可以获得访问安全对象的对象，例如，用户、较色。SQL Server 登录认证简介 WINDOWS 认证模式 NT 作为网络操作系统本身就具备管理登录验证用户合法性的能力，所以WIND

2、OWS 认证模式正是利用这一用户安全性和账号管理的机制允许SQLServer 也可以使用NT 的用户名和口令。在该模式下，用户只要通过WINDOWS 的认证就可连接到SQL Server ，而SQL Server 本身也没有必要管理一套登录数据。 2. 混合认证模式 在混合认证模式下WINDOWS 认证和SQL Server 认证这两种认证模式都是可用的，NT 的用户既可以使用NT 认证，也可以使用SQL Server 认证 9.2 数据库的用户管理 9.2.1 数据库用户简介 数据库用户用来指出哪一个人可以访问哪一个数据库。在一个数据库中用户ID惟一标识一个用户，用户对数据的访问权限以及对数

3、据库对象的所有关系都是通过用户账号来控制的。用户账号总是基于数据库的，即两个不同数据库中可以有两个相同的用户账号。 9.2.2 管理数据库用户 1利用SSMS数据库用户 创建新数据库用户利用SSMS创建一个新数据库用户要执行以下步骤：1）启动SSMS，单击登录服务器旁边的“+”标志；2）打开数据库文件夹，打开要创建用户的数据库；打开创建用户的表；3）选择“安全性”节点，右击“用户”图标，在弹出菜单中选择“新建数据库用户”弹出“新建用户”对话框，如图9-8 所示。4）在“登录名”选择框内选择已经创建的登录账号，在“用户名”选择框内输入数据库用户名称；5） 单击确定按钮。2利用系统过程管理数据库用

4、户 （1） 创建新数据库用户 其语法格式为： sp_grantdbaccess 登录账号名称， 用户账号名称 （2） 删除数据库用户 语法格式为： sp_revokedbaccess 用户账号名称 （3） 查看数据库用户信息语法格式为： sp_helpuser 用户账号名称 9.3 权限管理 9.3.1 权限管理简介 1对象权限 对 象操 作表SELECT INSERT UPDATE DELETE REFERENCE视图SELECT UPDATE INSERT DELETE存储过程EXECUTE列SELECT UPDATE2语句权限 语句权限主要指用户是否具有权限来执行某一语句，这些语句通常是

5、一些具有管理性的操作，如创建数据库、表、存储过程等。l GRANT 用来把权限授予某一用户，以允许该用户执行针对该对象的操作（如UPDATE、SELECT、DELETE、EXECUTE）或允许其运行某些语句（如CREATE TABLE、CRETAE DATABASE）；l REVOKE 取消用户对某一对象或语句的权限，这些权限是经过GRANT 语句授予的不允许该用户执行针对数据库对象的某些操作（如UPDATE、SELECT、DELETE、EXECUTE）或不允许其运行某些语句（如CREATE TABLE、CREATE DATABASE DENY 用来禁止用户对某一对象或语句的权限，明确禁止其对

6、某一用户对象执行某些操作（如UPDATE、SELECT、DELETE、EXECUTE）或运行某些语句（如CREATE TABLE、CREATE DATABASE）。 管理语句权限命令的语法规则如下： GRANT 语句名称 ,n TO 用户账户名称 ,n DENY 语句名称 ,n TO 用户账户名称 ,n REVOKE 语句名称 ,n TO 用户账户名称 ,n 管理对象权限的语法命令如下 ： GRANT 权限名称 ,n ON 表名|视图名|存储过程名 TO 用户账户名称 DENY 权限名称 ,n ON 表名|视图名|存储过程名 TO 用户账户名称 REVOKE 权限名称 ,n ON 表名|视图名

7、|存储过程名 FROM 用户账户名称 9.3.2 利用SSMS管理权限 （1）启动SSMS,在对象资源管理器中选择数据库diannaoxs，单击鼠标右键，在弹出的快捷菜单中选择“属性”选项。（2）切换到如图9-10所示的表属性的“权限”选项卡。在这里可以给数据库用户授予或者删除特定对象的权限，不同的数据对象棋权限可能会有所不同。9.4 角色管理 9.4.1 角色管理简介 在SQL Server 中主要有两种角色类型：服务器角色与数据库角色。 1服务器角色 服务器角色是指根据SQL Server 的管理任务，以及这些任务相对的重要性等级，来把具有SQL Server 管理职能的用户划分成不同的用

8、户组，每一组所具有管理SQL Server的权限已被预定义服务器角色，适用在服务器范围内并且其权限不能被修改。 2数据库角色 SQL Server 提供了两种数据库角色：类型预定义的数据库角色；用户自定义的数据库角色。 1）预定义数据库角色 预定义数据库角色是指这些角色所有具有的管理、访问数据库权限已被SQL Server定义，并且SQL Server 管理者不能对其所具有的权限进行任何修改。 2）用户自定义的数据库角色 9.4.2 角色的管理 管理服务器角色 使用SSMS查看服务器角色成员的执行步骤如下： 1）启动SSMS登录,在“对象资源管理器”下，选择“安全性”下的“服务器角色”右击服务

9、器角色，在弹出菜单中选择“属性”，然后弹出“服务器角色属性”对话框. （2）出现如图9-12所示的服务器角色属性的“常规”选项卡。在这里可以将服务器角色授予给某登录名，或者删除某个登录名具有的服务器角色。使用存储过程管理服务器角色 sp_addsrvrolemember 是将某一登录加入到服务器角色内，使其成为该角色的成员。其语法格式为： sp_addsrvrolemember 登录者名称，服务器角色sp_dropsrvrrolemember 用来将某一登录者从某一服务器角色中删除，当该成员从服务器角色中被删除后，便不再具有该服务器角色所设置的权限。其语法格式为： sp_dropsrvrole

10、member 登录者名称，服务器角色 管理数据库架构 架构是数据对象管理的逻辑单位。下面介绍如何在数据库中创建新的架构。1）启动SSMS，在“对象资源管理器”下选择数据库下的“安全性”下的“架构”选项，单击鼠标右键，在出现的快捷菜单中选择“新建架构”选项。2）出现新建架构“常规”选项卡。3）切换到新建架构的“权限”选项卡。在这里可以设置数据库用户或数据库角色对架构有什么样的权限。完成后单击“确定”按钮。 管理数据库角色（1）创建数据库角色1）启动SSMS登录,在“对象资源管理器”下，选择“数据库”下的“数据库角色”右击服务器角色，在弹出菜单中选择“新建数据库角色” 。2）右击图标，在弹出菜单中

11、选择“新建数据库角色”，弹出“数据库角色”对话框。 3）单击“新建数据库角色” ，在“角色名称”框中输入该数据库角色的名称；4）在“拥有的架构”选项栏中选择数据库拥有的架构：在角色成员中可以添加数据库用户或数据库角色。5）按确定按钮。当新增加的数据库角色创建成功。 使用存储过程管理数据库角色 sp_addrole 系统存储过程是用来创建新数据库角色。语法格式为： sp_addrole 要创建的数据库角色名称，数据库角色的所有者sp_droprole 用来删除数据库中某一自定义的数据库角色，其语法格式为： sp_droprole 要删除的数据库角色名称sp_helprole 用来显示当前数据库所

12、有的数据库角色的全部信息，其语法格式为： sp_helprole 预定义的数据库角色 sp_addrolemember 用来向数据库某一角色中添加数据库用户，这些角色可是用户自定义的标准角色，也可以是预定义的数据库角色，但不能是应用角色。其语法格式为： sp_addrolemember 数据库角色，数据库用户角色或NT 用户或用户组 【实训项目9-4】在数据库diannaoxs 中建立新的数据库角色newRole sp_addrole newRole若要建立应用角色应使用系统过程sp_addapprole ，其语法格式与sp_addrole 相同。sp_droprole 用来删除数据库中某一自定义的数据库角色，其语法格式为： sp_droprole 要删除的数据库角色名称【实训项目9-5】将数据库diannaoxs 的数据库角色newRole删除。 sp_droprole new