2022年数据库安全管理角色管理

第17讲数据库的安全管理数据库技术

--SQLServer信息工程学院《数据库技术》课程组教学任务发布任务背景描述：在“Exam”数据库中，所有相关的数据均存放在7个不同的数据表中，表间的数据彼此关联，用户根据自己的数据需求在数据库中可以进行各种各样的操作。数据库的大门是向任何用户敞开的吗？用户进入到这个数据海洋能为所欲为吗？工作任务之：身份验证模式（数据库服务器登录的安全性）用户管理角色管理√（数据库使用的安全性）权限管理17.3角色管理角色是一种权限机制。SQLServer管理员可以将某些用户设置为某一角色，这样只对角色进行权限设置便可实现对多个用户权限的设置，便于管理。在SQLServer中主要有两种角色类型服务器级角色数据库级角色17.3角色管理-服务器角色管理从最低级别的角色（bulkadmin）到最高级别的角色（sysadmin）的顺序分析各角色权限：Bulkadmin：这个服务器角色的成员可以运行BULK

INSERT语句。这条语句允许从文本文件中将数据导入到SQL

Server

2008数据库中，为需要执行大容量插入到数据库的域账户而设计。

Dbcreator：这个服务器角色的成员可以创建、更改、删除和还原任何数据库。这不仅是适合助理DBA的角色，也可能是适合开发人员的角色。Diskadmin：这个服务器角色用于管理磁盘文件，比如镜像数据库和添加备份设备。它适合助理DBA。17.3角色管理-服务器角色管理Processadmin：SQL

Server

2008能够多任务化，也就是说可以通过执行多个进程做多个事件。例如，SQL

Server

2008可以生成一个进程用于向高速缓存写数据，同时生成另一个进程用于从高速缓存中读取数据。这个角色的成员可以结束（在SQLServer2008中称为删除）进程。Securityadmin：这个服务器角色的成员将管理登录名及其属性。他们可以授权、拒绝和撤销服务器级权限。也可以授权、拒绝和撤销数据库级权限。另外，它们可以重置SQLServer2008登录名的密码。Serveradmin：这个服务器角色的成员可以更改服务器范围的配置选项和关闭服务器。例如SQLServer2008可以使用多大内存或监视通过网络发送多少信息，或者关闭服务器，这个角色可以减轻管理员的一些管理负担。17.3角色管理-服务器角色管理2.与服务器级角色相关的操作与命令浏览固定服务器角色的权限

execsp_srvrolepermission'sysadmin'注：sysadmin就是一种服务器角色将登录名添加到某个固定服务器角色中

execsp_addsrvrolemember'login',''role'从固定服务器角色中删除登录名

execsp_dropsrvrolemember'login','role'注意：不能添加、修改或删除固定服务器角色。只有固定服务器角色的成员才能执行上述两个系统过程来从角色中添加或删除登录账户。17.3角色管理-数据库角色管理3.数据库级角色为便于管理数据库中的权限，SQLServer提供了若干角色，这些角色是指对数据库具有相同访问权限的用户和组的集合。数据库级角色的权限作用域为数据库范围。SQLServer中有两种类型的数据库级角色：数据库中预定义的“固定数据库角色”用户可以创建的“灵活数据库角色”17.3角色管理-数据库角色管理固定数据库角色固定数据库角色是指这些角色所具有的权限已被SQLServer定义，并且SQLServer管理员不能对其所具有的权限进行任何修改。固定数据库角色与相应的权限如下表所示：17.3角色管理-数据库角色管理微软提供了9个内置的角色，以便于在数据库级别授予用户特殊的权限集合：db_owner:该角色的用户可以在数据库中执行任何操作。

db_accessadmin:该角色的成员可以从数据库中增加或者删除用户。

db_backupopperator:该角色的成员允许备份数据库。

db_datareader:该角色的成员允许从任何表读取任何数据。

db_datawriter:该角色的成员允许往任何表写入数据。

db_ddladmin：该角色的成员允许在数据库中增加、修改或者删除任何对象（即可以执行任何DDL语句）。17.3角色管理-数据库角色管理微软提供了9个内置的角色，以便于在数据库级别授予用户特殊的权限集合：db_denydatareader:该角色的成员被拒绝查看数据库中的任何数据，但是他们仍然可以通过存储过程来查看。

db_denydatawriter:

像db_denydatareader角色，该角色的成员被拒绝修改数据库中的任何数据，但是他们仍然可以通过存储过程来修改。

db_securityadmin:该角色的成员可以更改数据库中的权限和角色。

public：在SQL

Server

2008中每个数据库用户都属于public数据库角色。当尚未对某个用户授予或者拒绝对安全对象的特定权限时，这该用户将据称授予该安全对象的public角色的权限，这个数据库角色不能被删除。身份验证模式（数据库服务器登录的安全性）db_datareader:该角色的成员允许从任何表读取任何数据。与服务器级角色相关的操作与命令3角色管理-数据库角色管理3角色管理-服务器角色管理3角色管理-数据库角色管理3角色管理-数据库角色管理用户自定义的数据库角色SQLServer2008共有9种预定义的服务器角色：在SQLServer中主要有两种角色类型3角色管理-数据库角色管理微软提供了9个内置的角色，以便于在数据库级别授予用户特殊的权限集合：他们可以授权、拒绝和撤销服务器级权限。从最低级别的角色（bulkadmin）到最高级别的角色（sysadmin）的顺序分析各角色权限：db_backupop