安全管理课件

第9章平安管理三个概念：登录、用户、角色登录帐号：用来和SQLSERVER连接有了登录号才能连接上SQLSERVER，才有使用SQLSERVER的入门资格，但登录帐号没有使用数据库对象的权力数据库用户：简称用户，作为数据库对象，SQLSERVER用它来设定数据库存取的许可权。所以为了要存取SQLSERVER内的某一数据库的数据库对象，每一登录帐号必须对应一个用户名。角色：也称为平安性角色，对数据具有相同的访问权限。包括系统内建角色和自建角色二类角色，其中，系统内建角色又分为效劳器角色和数据库角色，数据库角色也是一个数据库对象登录、用户的关系1、登录帐号是用来连接SQLSERVER的，但登录帐号没有使用数据库对象的权力，SQLSERVER是以用户名来设定数据库存取的许可权。所以，为了要存取SQLSERVER内某一数据库内的数据库对象，每一登录帐号必须在该数据库对应一个用户名2、用户是数据库对象，定义和修改时必须选择对应的数据库，而登录不是数据库对象，它的定义和修改在SQLSERVER效劳器下的平安性里进行。3、用户的定义必须指定对应的登录名，一个登录名可以对应多个用户，但一个登录名在一个数据库内只能有一个用户。4、用户名与数据库相关。sales数据库中的xyz用户帐户不同于inventory数据库中的xyz用户帐户，即使这两个帐户有相同的用户名。用户名由db_owner固定数据库角色成员定义。SQLSERVER2000可以通过两种方式来进行身份验证：Windows身份验证、SQLSERVER身份验证。Windows身份验证：由Windows系统确认用户的登录帐号和密码，Windows系统的登录帐号可以直接访问SQLSERVER系统，不必提供SQLSERVER的登录帐号和密码。SQLSERVER身份验证：由Windows系统确认用户的登录帐号和口令。相应的，SQLSERVER2000可以在两种平安模式〔身份验证〕下工作：Windows身份验证模式：用Windows用户帐号进行连接混合模式：用Windows身份验证或SQLSERVER身份验证与SQLSERVER实例连接。9.1.1身份验证9.1.2授权又叫权限验证，数据库中的所有对象的存取权限还必须通过授权〔即存取许可〕的设定来决定该登录者是否拥有某一对象的存取权限。登录管理登录帐号是基于效劳器使用的用户名。为了访问SQLServer系统，用户必须提供正确的登录帐号。这些登录帐号既可以是Windows登录帐号，也可以是SQLServer登录帐号。登录帐号的信息是系统级信息，存储在master数据库中的syslogins系统表中。增加登录帐号可以有两种方法：使用企业管理器1、选择要建立登录的SQLSERVER效劳器2、展开平安性，选择登录使用系统存储过程1、SQLSERVER登录(sp_AddLogin，sp_DropLogin)sp_addlogin‘登陆名’，‘密码’，‘默认数据库’2、WindowsNT用户或组登录(机器名\用户或工作组名)(sp_GrantLogin、sp_DenyLogin、sp_RevokeLogin)格式：sp_GrantLogin‘机器名\用户名’9.2.1创立登录9.2.2查看、修改登录查看、修改登录帐号：使用企业管理器1、选择要查看或修改的登录的SQLSERVER效劳器2、展开平安性，选择登录3、在详细信息窗格中，右击要查看的登录，然后单击属性。9.2.3删除登录使用企业管理器1、选择要删除登录的SQLSERVER效劳器2、展开平安性，选择登录3、在详细信息窗格中，右击要查看的登录，单击删除。使用系统存储过程1、SQLSERVER登录(sp_dropLogin)sp_droplogin‘登陆名’，‘密码’，‘默认数据库’2、WindowsNT用户或组登录(机器名\用户或工作组名)(sp_DenyLogin、sp_RevokeLogin)格式：sp_revokeLogin‘机器名\用户名’数据库用户管理用户帐号是基于数据库使用的名称，与登录帐号相对应，登录帐号属数据库实例范畴的概念，用户帐号属于特定数据库范畴。一个登录帐号可以使用一个特定的用户帐号或一个默认的用户帐号。用户帐户是由SQLServer管理的，所有的用户帐户都存放在系统表sysusers中。9.3.1创立用户帐号创立数据库用户帐号，可以有两种方法：使用企业管理器1、选择要建立用户的SQLSERVER效劳器2、展开数据库，选择用户使用系统存储过程sp_AddUser‘登录名’，‘用户名’注：在管理用户的时候必须选择对应的数据库 〔use要建立用户的数据库名〕9.3.2删除用户帐号删除数据库用户帐号，可以有两种方法：使用企业管理器1、选择要建立用户的SQLSERVER效劳器2、展开数据库，选择用户使用系统存储过程sp_DropUser‘用户名’注：在管理用户的时候必须选择对应的数据库 〔use要建立用户的数据库名〕9.4角色角色在权限管理方面是一个强有力的工具，如果用户具有相同的权限，那么我们可以：1、先创立一个角色2、对这个角色赋予权限3、将这些用户添加到该角色中〔使它们成为角色中的成员〕角色分为系统内建角色和自建角色，同时系统内建角色分为效劳器角色和数据库角色〔自建角色都是数据库角色〕。1、效劳器角色和登录名相对应2、数据库角色是和用户对应的3、数据库角色和用户都是数据库对象，定义和删除的时候必须选择所属的数据库一、固定效劳器角色二、向固定效劳器角色添加登录向固定效劳器角色添加登录成员使用企业管理器1、选择要建立用户的SQLSERVER效劳器2、展开平安性，选择效劳器角色，添加登录三、固定数据库角色四、向固定数据库角色添加用户向固定数据库角色添加用户使用企业管理器1、选择要建立用户的SQLSERVER效劳器2、展开数据库，选择角色所在的数据库3、单击角色，添加用户使用系统存储过程1、定义、删除角色：sp_AddRole、sp_DropRole2、修改角色成员：sp_droprolemember‘角色名’sp_AddRoleMember‘角色名’，‘用户名’注：在管理数据库角色的时候必须选择对应的数据库 当用户连接到SQLServer后，他们可以执行的活动由授予以下帐户的权限确定：1、用户的平安帐户。2、用户的平安帐户所属的WindowsNT或2000组或角色层次结构。用户假设要进行任何涉及更改数据库定义或访问数据的活动，那么必须有相应的权限。管理权限包括授予或废除执行以下活动的用户权限：1、处理数据和执行过程〔对象权限〕。2、创立数据库或数据库中的工程〔语句权限〕。3、利用授予预定义角色的权限〔暗示性权限〕。9.5权限管理处理数据或执行过程时需要称为对象权限的权限类别：1、SELECT、INSERT、UPDATE和DELETE语句权限，它们可以应用到整个表或视图中。2、SELECT和UPDATE语句权限，它们可以有选择性地应用到表或视图中的单个列上。3、SELECT权限，它们可以应用到用户定义函数。4、INSERT和DELETE语句权限，它们会影响整行，因此只可以应用到表或视图中，而不能应用到单个列上。5、EXECUTE语句权限，它们可以影响存储过程和函数。注：对象权限的设置：SQLSERVER效劳器\数据库\某一特定数据库对象\所有任务\管理权限一、对象权限对象权限的设置使用企业管理器：SQLSERVER效劳器\数据库\某一特定数据库对象\所有任务\管理权限使用T-SQL语句：GRANT对象权限 ON数据库对象 TO用户或角色一、对象权限创立数据库或数据库中的项〔如表或存储过程〕所涉及的活动要求另一类称为语句权限的权限。例如，如果用户必须能够在数据库中创立表，那么应该向该用户授予CREATETABLE语句权限。语句权限〔如CREATEDATABASE〕适用于语句自身，而不适用于数据库中定义的特定对象。语句权限有：1、BACKUPDATABASE、BACKUPLOG2、CREATEDATABASE3、CREATEDEFAULT、CREATERULE、CREATEFUNCTION4、CREATETABLE、CREATEVIEW、CREATEPROCEDURE二、语句权限语句权限的设置使用企业管理器：SQLSERVER效劳器\数据库\某一特定数据库\属性\〞权限“选项卡使用T-SQL语句：GRANT语句权限TO用户或角色或WINOWSNT用户或WINOWSNT工作组二、语句权限暗示性权限控制那些只能由预定义系统角色的成员或数据库对象所有者执行的活动。例如，sysadmin固定效劳器角色成员自动继承在SQLServer安装中进行操作或查看的全部权限。数