SQL Server身份认证.ppt

8.1SQLServer2000的身份认证模式的身份认证模式1.WindowsNT认证模式认证模式用户登录用户登录WindowsNT时进行身份认证，登录时进行身份认证，登录SQLServer时不再进时不再进行身份验证。行身份验证。对于对于WindowsNT认证模式登录的几点重要说明：认证模式登录的几点重要说明：(1)必须将必须将NT网络账号加入到网络账号加入到SQLServer中，才能采用中，才能采用NT网络账网络账号登录号登录SQLServer。(2)如果使用如果使用NT网络账号登录到另一个网络的网络账号登录到另一个网络的SQLServer，必须在，必须在NT网络中设置彼此的托管权限。网络中设置彼此的托管权限。2.SQLServer认证模式认证模式在在SQLServer认证模式下，认证模式下，SQLServer服务器要对登录的用户进服务器要对登录的用户进行身份验证行身份验证对于对于Windows9x系列的操作系统只能使用系列的操作系统只能使用SQLServer认证模式，认证模式，而当而当SQLServer在在WindowsNT或或Windows2000上运行时，系统管上运行时，系统管理员设定登录认证模式的类型可为理员设定登录认证模式的类型可为WindowsNT认证模式和混合模式。认证模式和混合模式。8.2.1WindowsNT认证模式登录账号的建立与删除认证模式登录账号的建立与删除1.WindowsNT认证模式登录账号的建立认证模式登录账号的建立1)通过企业管理器建立通过企业管理器建立WindowsNT认证模式的登录账号认证模式的登录账号8.2.1WindowsNT认证模式登录账号的建立与删除认证模式登录账号的建立与删除在企业管理器中选择在企业管理器中选择“登录登录”图标右击图标右击SQLServer信任连接设置窗口信任连接设置窗口8.2.1WindowsNT认证模式登录账号的建立与删除认证模式登录账号的建立与删除2)通过调用系统存储过程建立通过调用系统存储过程建立WindowsNT认证模式的登录账号认证模式的登录账号创建WindowsNT、Windows2000的用户或组后，使用系统存储过程sp_grantlogin也可将一个WindowsNT或Windows2000的用户或组的登录账号添加到SQLServer中，以便通过Windows身份验证连接到SQLServer。语法格式：sp_grantloginloginame=login参数含义：loginame=：原样输入的常量字符串注意：(1)不能在用户定义的事务内执行sp_grantlogin；(2)仅sysadmin或securityadmin固定服务器角色的成员可以执行sp_grantlogin。8.2.1WindowsNT认证模式登录账号的建立与删除认证模式登录账号的建立与删除2.WindowsNT认证模式登录账号的删除认证模式登录账号的删除步骤如下：(1)以系统管理员身份进入企业管理器，并展开目录树；(2)在目录树的“登录”节点下，选中待删除的“账号”节点，2)通过调用系统存储过程删除通过调用系统存储过程删除WindowsNT认证模式的登录账号认证模式的登录账号通过执行系统存储过程sp_revokelogin可删除WindowsNT用户或组登录SQLServer的账号。1)通过企业管理器删除通过企业管理器删除WindowsNT认证模式的登录账号认证模式的登录账号8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除(1)在企业管理器中，在企业管理器中，选择要登录的选择要登录的SQLServer服务器图标右击，服务器图标右击，出现一快捷菜单，选择出现一快捷菜单，选择菜单项菜单项“属性属性”，出现，出现如图的如图的SQLServer服服务器属性配置窗口。务器属性配置窗口。(2)选择选择“安全性安全性”选项卡，如图所示，选选项卡，如图所示，选择身份验证方式为择身份验证方式为“SQLServer与与Windows”，选择，选择“确确定定”按钮。按钮。SQLServer服务器属性配置窗口服务器属性配置窗口SQLServer身份认证方式配置窗口身份认证方式配置窗口8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除1.通过企业管理器创建通过企业管理器创建SQLServer登录账号登录账号(1)在企业管理器中选择“登录”图标右击，出现快捷菜单，选择“新建登录”菜单项，进入如下图的界；(2)输入账号名、密码，选择“SQLServer身份验证”方式，点击“确定”按钮。SQLServer登录账号新建窗口登录账号新建窗口8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除2.利用系统存储过程创建利用系统存储过程创建SQLServer登录账号登录账号语法格式语法格式：sp_addloginloginame=login,passwd=password,defdb=database,deflanguage=language,sid=sid,encryptopt=encryption_option8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除3.SQLServer登录账号的删除登录账号的删除利用sp_droplogin系统存储过程可删除SQLServer登录账号。语法格式：sp_droploginloginame=login参数含义：login：将被删除的登录账号名。返回值：0（成功）或1（失败）。说明：(1)若要删除一个数据库现有用户的登录账号，必须首先使用sp_dropuser删除该用户。(2)不能删除系统管理员(sa)的登录账号。(3)不能在用户定义的事务内执行sp_droplogin。(4)只有sysadmin和securityadmin固定服务器角色的成员才能执行sp_droplogin。8.3.3用户自定义数据库角色用户自定义数据库角色(2)创建数据库用户并加入数据库角色。即在某一数据库中为SQLServer服务器的登录账号或WindowsNT的登录账号创建一数据库用户账号，将数据库用户加入该数据库中的某一角色，即：使数据库用户成为某一角色的成员。新建数据库用户的属性界面新建数据库用户的属性界面8.3.3用户自定义数据库角色用户自定义数据库角色(3)给数据库角色赋予创建数据库对象的权限：在企业管理器目录树中，选择XSBOOK数据库结点右击，出现一快捷菜单，选择菜单项“属性”，进入如图所示的界面，选择“权限”选项卡，选中允许数据库角色或数据库用户执行的权限。(4)给数据库角色赋予表操作权限：在企业管理器的目录树中，选择XSBOOK数据库结点下角色图标的项目“ROLE”双击，出现如图所示的界面。设置创建数据库对象权限的窗口设置创建数据库对象权限的窗口数据库角色的属性窗口数据库角色的属性窗口8.3.3用户自定义数据库角色用户自定义数据库角色数据库表操作权限设置窗口数据库表操作权限设置窗口表的列操作权限设置窗口表的列操作权限设置窗口8.3.3用户自定义数据库角色用户自定义数据库角色2.通过通过SQL命令创建数据库角色命令创建数据库角色1)定义数据库角色定义数据库角色语法格式：sp_addrolerolename=role,ownername=owner说明：(1)角色名可以包括字母、符号及数字。但是不能含有反斜线()。(2)不能在用户定义的事务内使用sp_addrole。(3)只有sysadmin固定服务器角色及db_securityadmin和db_owner固定数据库角色的成员才能执行sp_addrole。8.3.3用户自定义数据库角色用户自定义数据库角色2)将一个登录账号添加为某个数据库的用户将一个登录账号添加为某个数据库的用户利用系统存储过程sp_grantdbaccess可将一个登录账号添加为某个数据库的用户。语法格式：sp_grantdbaccessloginame=login,name_in_db=name_in_db说明：(1)数据库用户名可含有字母、符号和数字。但不能包含反斜线，不能为NULL，也不能为空字符串()。(2)sp_grantdbaccess仅可以在当前数据库中添加用户（账户），若要从数据库中删除账户，使用sp_revokedbaccess。(3)如果当前数据库中没有guest账户，而且login为guest，则可将guest添加为当前数据库的账户。(4)sa登录账号不能添加到数据库中。(5)不能从用户定义的事务中执行sp_grantdbaccess。(6)只有sysadmin固定服务器角色、db_accessadmin和db_owner固定数据库角色的成员才能执行sp_grantdbaccess；(7)存储过程sp_adduser的功能与sp_grantdbaccess的功能相同。8.3.3用户自定义数据库角色用户自定义数据库角色3)给数据库角色添加成员给数据库角色添加成员利用系统存储过程sp_addrolemember可将当前数据库的用户或角色添加到当前数据库的某个角色中，使其成为该角色的成员。语法格式：sp_addrolememberrolename=role,membername=security_account说明：(1)当使用sp_addrolemember将用户账号添加到角色时，新成员将继承所有应用到角色的权限。(2)不能将固定数据库或固定服务器角色，或者dbo添加到其他角色。例如，不能将db_owner固定数据库角色添加成为用户定义的角色YourRole的成员。(3)在用户定义的事务中不能使用sp_addrolemember。(4)只有sysadmin固定服务器角色和db_owner固定数据库角色中的成员可以执行sp_addrolemember，将用户账号添加到固定数据库角色。(5)db_securityadmin固定数据库角色的成员可以将用户添加到任何用户定义的角色。8.3.3用户自定义数据库角色用户自定义数据库角色4)数据库用户、角色操作权限的授予、拒绝和收回数据库用户、角色操作权限的授予、拒绝和收回(1)数据库用户、角色操作权限的授予利用GRANT语句可以给数据库用户或数据库角色赋予执行T-SQL语句的权限及对数据库对象进行操作的权限。语法格式：语法格式：GRANTALL|statement,.nTOsecurity_account,.n功能：授予执行功能：授予执行T-SQL语句的权限。语句的权限。GRANTALLPRIVILEGES|permission,.n(column,.n)ONtable|view|ONtable|view(column,.n)|ONstored_procedure|extended_procedure|ONuser_defined_functionTOsecurity_account,.nWITHGRANTOPTIONASgroup|role8.3.3用户自定义数据库角色用户自定义数据库角色3.数据库用户、角色的删除数据库用户、角色的删除1)删除数据库用户删除数据库用户在企业管理器中删除数据库用户很简单，直接在目录树的某一数据库结点下，选中须删除的用户项目，按“Del”键即可。语法格式：sp_revokedbaccessname_in_db=name说明：(1)在用户定义事务内部不能执行sp_revokedbaccess。(2)只有sysadmin固定服务器角色成员及db_accessadmin和db_owner固定数据库角色成员才能执行sp_revokedbaccess。8.3.3用户自定义数据库角色用户自定义数据库角色2)删除数据库角色删除数据库角色要删除用户自定义的数据库角色，首先应删除该角色的所有成员，下面介绍删除数据库角色成员及删除数据库角色的系统存储过程。语法格式：sp_droprolememberrolename=role,membername=security_account说明：(1)不能从用户定义的事务内执行sp_droprolemember。(2)只有sysadmin固定服务器角色、db_owner和db_securityadmin固定数据库角色的成员才能执行sp_droprolemember。8.4综合应用训练综合应用训练(1)以系统管理员身份登录到SQLServer的企业管理器或查询分析器；(2)给每个学生创建一个登录账号；(3)将每个学生的登录账号定义为XSBOOK的用户；(4)在数据库XSBOOK下创建一数据库角色role，并给该数据库角色授予执行CREATEDATABASE语句的权限；(5)将每个学生对应的用户账号定义为数据库角色role的成员。可考虑如下实现方案：