《安全性操作》PPT课件.ppt

《《安全性操作》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《安全性操作》PPT课件.ppt（52页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SQL Server权限管理策略权限管理策略用用户权户权限管理限管理 SQL Server权限管理SQL Server权限管理策略权限管理策略 n安全帐户认证安全帐户认证 n访问许可确认访问许可确认 安全帐户认证安全帐户认证 安全帐户认证安全帐户认证是用来确认登录是用来确认登录SQL Server的用户的的用户的登录帐号和密码的正确性，由此来验证其是否具有登录帐号和密码的正确性，由此来验证其是否具有连接连接SQL Server的权限。的权限。SQL Server 2000提供了两种确认用户的认证模式：提供了两种确认用户的认证模式：（一）（一）Windows NT认证模式。认证模式。（二）混合认

2、证模式。（二）混合认证模式。（一）（一）Windows NT认证模式认证模式nSQL Server数数据据库库系系统统通通常常运运行行在在Windows NT操操作系统作系统(具备管理登录、验证用户合法性的能力具备管理登录、验证用户合法性的能力)。n在在这这种种模模式式下下，用用户户只只需需要要通通过过Windows NT的的认认证证，就就可可以以连连接接到到SQL Server，而而SQL Server本本身不需要管理一套登录数据。身不需要管理一套登录数据。（二）混合认证模式（二）混合认证模式n混合认证模式允许用户使用混合认证模式允许用户使用Windows NT安全性或安全性或SQL Ser

3、ver安全性连接到安全性连接到SQL Server，这就意味着，这就意味着用户可以使用他的帐号登录到用户可以使用他的帐号登录到Windows NT，或者使，或者使用他的登录名登录到用他的登录名登录到SQL Server系统。系统。NT的用户既的用户既可以使用可以使用NT认证，也可以使用认证，也可以使用SQL Server认证。认证。利用企业管理器进行认证模式的设置利用企业管理器进行认证模式的设置 其主要过程如下：其主要过程如下：1.打打开开企企业业管管理理器器，用用右右键键单单击击要要设设置置认认证证模模式式的的服服务务器器，从从快快捷捷菜菜单单中中选选择择“属属性性（properties）”

4、选项，则出现选项，则出现SQL Server属性对话框。属性对话框。2.在在SQL Server属性对话框中选择安全性选项。属性对话框中选择安全性选项。利用企业管理器进行认证模式的设置利用企业管理器进行认证模式的设置 3.在在安安全全性性选选项项栏栏中中，身身份份验验证证中中可可以以选选择择要要设设置置的的认认证证模模式式，同同时时审审核核级级别别中中还还可可以以选选择择跟跟踪踪记记录录用用户户登登录录时时的的哪哪种种信信息息，例例如如登登录录成成功功或或登登录录失败的信息等。失败的信息等。4.在在启启动动服服务务帐帐户户中中设设置置当当启启动动并并运运行行SQL Server时默认的登录者中

5、哪一位用户。时默认的登录者中哪一位用户。访问许可确认访问许可确认 n但但是是通通过过认认证证阶阶段段并并不不代代表表用用户户能能够够访访问问SQL Server中中的的数数据据，同同时时他他还还必必须须通通过过许许可可确确认认。用用户户只只有有在在具具有有访访问问数数据据库库的的权权限限之之后后，才才能能够够对对服服务务器器上上的的数数据据库库进进行行权权限限许许可可下下的的各各种种操操作作，这这种种用用户户访访问问数数据据库库权权限限的的设设置置是是通通过过用用户户帐帐号号来实现的。来实现的。6.2 用户权限管理用户权限管理n6.2.1 服务器登录帐号和用户帐号管理服务器登录帐号和用户帐号管

6、理 n6.2.2 许可（权限）管理许可（权限）管理 n6.2.3 角色管理角色管理 服务器登录帐号和用户帐号管理服务器登录帐号和用户帐号管理 1.SQL Server服务器登录管理服务器登录管理SQL Server有有三三个个默默认认的的用用户户登登录录帐帐号号：即即sa、administratorsbuiltin和和guest。2.用户帐号管理用户帐号管理 1.利用企业管理器创建、管理利用企业管理器创建、管理SQL Server登录帐号登录帐号其具体执行步骤如下：其具体执行步骤如下：（）打开企业管理器，单击需要登录的服务器左边的（）打开企业管理器，单击需要登录的服务器左边的“+”号，然后展开

7、安全性文件夹。号，然后展开安全性文件夹。（）用用右右键键单单击击登登录录（login）图图标标，从从快快捷捷菜菜单单中中选选择择新新建建登登录录（new login）选选项项，则则出出现现SQL Server登录属性登录属性新建登录对话框，如图新建登录对话框，如图2所示。所示。1.利用企业管理器创建、管理利用企业管理器创建、管理SQL Server登录帐号登录帐号（3）在名称编辑框中输入登录名，在身份验证）在名称编辑框中输入登录名，在身份验证选项栏中选择新建的用户帐号是选项栏中选择新建的用户帐号是Windows NT认证模式，还是认证模式，还是SQL Server认证模式。认证模式。（）选择服

8、务器角色页框，如图（）选择服务器角色页框，如图3所示。在服所示。在服务器角色列表框中，列出了系统的固定服务器务器角色列表框中，列出了系统的固定服务器角色。角色。（）选择数据库访问页框，如图（）选择数据库访问页框，如图4所示。上面的列所示。上面的列表框列出了该帐号可以访问的数据库，单击数据表框列出了该帐号可以访问的数据库，单击数据库左边的复选框，表示该用户可以访问相应的数库左边的复选框，表示该用户可以访问相应的数据库以及该帐号在数据库中的用户名。据库以及该帐号在数据库中的用户名。（）设置完成后，单击（）设置完成后，单击“确定确定”按钮即可完成登按钮即可完成登录帐号的创建。录帐号的创建。图图2 新

9、建登录帐号对话框新建登录帐号对话框图图3 服务器角色对话框服务器角色对话框 图图4 数据库访问对话框数据库访问对话框使用使用SQL Server的创建登录向导工具创建登录帐号。的创建登录向导工具创建登录帐号。其具体操作过程如下：其具体操作过程如下：图图5-图图11 图图5 欢迎使用创建登录向导对话框欢迎使用创建登录向导对话框图图6 选择身份验证模式对话框选择身份验证模式对话框图图7 选择对用户帐号的安全性设置对话框选择对用户帐号的安全性设置对话框图图8 输入登录信息对话框输入登录信息对话框 图图9 选择安全性角色对话框选择安全性角色对话框图图10 选择允许登录帐号访问的数据库对话框选择允许登录

10、帐号访问的数据库对话框 图图11 完成创建登录向导对话框完成创建登录向导对话框2.用户帐号管理用户帐号管理 n在数据库中，一个用户或工作组取得合法的登录帐号，在数据库中，一个用户或工作组取得合法的登录帐号，只表明该帐号通过了只表明该帐号通过了Windows NT认证或者认证或者SQL Server认证，但不能表明其可以对数据库数据和数据认证，但不能表明其可以对数据库数据和数据库对象进行某种或者某些操作，只有当他同时拥有了库对象进行某种或者某些操作，只有当他同时拥有了用户帐号后，才能够访问数据库。用户帐号后，才能够访问数据库。n利用企业管理器可以授予利用企业管理器可以授予SQL Server登录

11、访问数据库登录访问数据库的许可权限。使用它可创建一个新数据库用户帐号的许可权限。使用它可创建一个新数据库用户帐号。许可（权限）管理许可（权限）管理 许可用来指定授权用户可以使用的数据库对象和这些授许可用来指定授权用户可以使用的数据库对象和这些授权用户可以对这些数据库对象执行的操作。用户在登权用户可以对这些数据库对象执行的操作。用户在登录到录到SQL Server之后，其用户帐号所归属的之后，其用户帐号所归属的NT组或组或角色所被赋予的许可（权限）决定了该用户能够对哪角色所被赋予的许可（权限）决定了该用户能够对哪些数据库对象执行哪种操作以及能够访问、修改哪些些数据库对象执行哪种操作以及能够访问、

12、修改哪些数据。在每个数据库中用户的许可独立于用户帐号和数据。在每个数据库中用户的许可独立于用户帐号和用户在数据库中的角色，每个数据库都有自己独立的用户在数据库中的角色，每个数据库都有自己独立的许可系统，在许可系统，在SQL Server中包括三种类型的许可：中包括三种类型的许可：即对象许可、语句许可和预定义许可。即对象许可、语句许可和预定义许可。三种许可类型三种许可类型1、对象许可、对象许可 表示对特定的数据库对象，即表、视图、字段和存表示对特定的数据库对象，即表、视图、字段和存储过程的操作许可，它决定了能对表、视图等数据储过程的操作许可，它决定了能对表、视图等数据库对象执行哪些操作。库对象执

13、行哪些操作。2、语句许可、语句许可 表示对数据库的操作许可，也就是说，创建数据库表示对数据库的操作许可，也就是说，创建数据库或者创建数据库中的其它内容所需要的许可类型称或者创建数据库中的其它内容所需要的许可类型称为语句许可。为语句许可。三种许可类型三种许可类型3、预定义许可、预定义许可 是指系统安装以后有些用户和角色不必授权就是指系统安装以后有些用户和角色不必授权就有的许可。有的许可。可用于语句许可的可用于语句许可的Transaction_SQL 语句及其含义如下：语句及其含义如下：Create database：创建数据库创建数据库Create table：创建表创建表Create view

14、：创建视图创建视图Create rule：创建规则创建规则Create default：创建缺省创建缺省Create procedure：创建存储过程创建存储过程Create index：创建索引创建索引Backup database：备份数据库备份数据库Backup log：备份事务日志备份事务日志许可的管理许可的管理 1.使用使用SQL Server 企业管理器管理许可企业管理器管理许可 SQL Server 可通过两种途径：即面向单一用户可通过两种途径：即面向单一用户和面向数据库对象的许可设置，来实现对语句和面向数据库对象的许可设置，来实现对语句许可和对象许可的管理，从而实现对用户许可许

15、可和对象许可的管理，从而实现对用户许可的设定。的设定。Transaction_SQL 语句使用语句使用grant、revoke和和deny三种命令来实现管理权限。三种命令来实现管理权限。2.使用使用Transaction_SQL 语句语句 Grant语句其语法形式如下：语句其语法形式如下：（）对语句的许可（）对语句的许可Grant all|statement,n to security_account,n Grant语句其语法形式如下：（）对对象的许可（）对对象的许可grant all priviledges|permission,n （column,n）on table|view|on ta

16、ble|view（column,n）|on stored_procedure|extended_procedure to security_account,nas group|roleDeny语句其语法形式如下：（）否定语句的许可（）否定语句的许可deny all|statement,n to security_account,nDeny语句其语法形式如下：语句其语法形式如下：（）否定对象的许可（）否定对象的许可deny all priviledges|permission,n（column,n）on table|view|on table|view（column,n）|on stored_p

17、rocedure|extended_procedureto security_account,nRevoke语句其语法形式如下：语句其语法形式如下：（）收回语句的许可（）收回语句的许可revoke all|statement,n from security_account,nRevoke语句其语法形式如下：语句其语法形式如下：（）收回对象的许可（）收回对象的许可revoke grant option for all priviledges|permission,n （column,n）on table|view|on stored_procedure|extended_procedurefro

18、m security_account,nas group|role角色管理角色管理 n利用角色，利用角色，SQL Server管理者可以将某些用户设管理者可以将某些用户设置为某一角色，这样只对角色进行权限设置便可置为某一角色，这样只对角色进行权限设置便可以实现对所有用户权限的设置，大大减少了管理以实现对所有用户权限的设置，大大减少了管理员的工作量。员的工作量。nSQL Server提供了用户通常管理工作的预定义服提供了用户通常管理工作的预定义服务器角色和数据库角色。务器角色和数据库角色。1、服务器角色、服务器角色 n服务器角色是指根据服务器角色是指根据SQL Server的管理任务，以的管理任

19、务，以及这些任务相对的重要性等级来把具有及这些任务相对的重要性等级来把具有SQL Server管理职能的用户划分为不同的用户组，每管理职能的用户划分为不同的用户组，每一组所具有的管理一组所具有的管理SQL Server的权限都是的权限都是SQL Server内置的，即不能对其进行添加、修改和删内置的，即不能对其进行添加、修改和删除，只能向其中加入用户或者其他角色。除，只能向其中加入用户或者其他角色。七种常用的固定服务器角色七种常用的固定服务器角色 系统管理员系统管理员：拥有拥有SQL Server所有的权限许可。所有的权限许可。服务器管理员服务器管理员：管理管理SQL Server服务器端的设

20、置。服务器端的设置。磁盘管理员磁盘管理员：管理磁盘文件。管理磁盘文件。进程管理员进程管理员：管理管理SQL Server系统进程。系统进程。安全管理员安全管理员：管理和审核管理和审核SQL Server系统登录。系统登录。安安装装管管理理员员：增增加加、删删除除连连接接服服务务器器，建建立立数数据据库库复复制制以及管理扩展存储过程。以及管理扩展存储过程。数据库创建者数据库创建者：创建数据库，并对数据库进行修改。创建数据库，并对数据库进行修改。2、数据库角色、数据库角色 n数据库角色是为某一用户或某一组用户授予不同数据库角色是为某一用户或某一组用户授予不同级别的管理或访问数据库以及数据库对象的权

21、限，级别的管理或访问数据库以及数据库对象的权限，这些权限是数据库专有的，并且还可以使一个用这些权限是数据库专有的，并且还可以使一个用户具有属于同一数据库的多个角色。户具有属于同一数据库的多个角色。nSQL Server提供了两种类型的数据库角色：即固提供了两种类型的数据库角色：即固定的数据库角色和用户自定义的数据库角色。定的数据库角色和用户自定义的数据库角色。（）固定的数据库角色（）固定的数据库角色public：维护全部默认许可。维护全部默认许可。db_owner：数数据据库库的的所所有有者者，可可以以对对所所拥拥有有的的数数据据库库执执行任何操作。行任何操作。db_accessadmin：可

22、可以以增增加加或或者者删删除除数数据据库库用用户户、工工作组和角色。作组和角色。db_addladmin：可可以以增增加加、删删除除和和修修改改数数据据库库中中的的任任何对象。何对象。db_securityadmin：执行语句许可和对象许可。执行语句许可和对象许可。db_backupoperator：可以备份和恢复数据库。可以备份和恢复数据库。db_datareader：能能且且仅仅能能对对数数据据库库中中的的任任何何表表执执行行select操作，从而读取所有表的信息。操作，从而读取所有表的信息。db_datawriter：能能够够增增加加、修修改改和和删删除除表表中中的的数数据据，但但不不能

23、进行能进行select操作。操作。db_denydatareader：不能读取数据库中任何表中的数据。不能读取数据库中任何表中的数据。db_denydatawriter：不不能能对对数数据据库库中中的的任任何何表表执执行行增增加加、修改和删除数据操作。修改和删除数据操作。（）用户自定义角色（）用户自定义角色 n创创建建用用户户定定义义的的数数据据库库角角色色就就是是创创建建一一组组用用户户，这这些些用用户户具具有有相相同同的的一一组组许许可可。如如果果一一组组用用户户需需要要执执行行在在SQL Server中中指指定定的的一一组组操操作作并并且且不不存存在在对对应应的的Windows NT组组

24、，或或者者没没有有管管理理Windows NT用用户户帐帐号号的的许许可可，就就可可以以在在数数据据库库中中建建立立一一个个用用户户自定义的数据库角色。自定义的数据库角色。n用用户户自自定定义义的的数数据据库库角角色色有有两两种种类类型型：即即标标准准角角色色和应用程序角色。和应用程序角色。n标标准准角角色色通通过过对对用用户户权权限限等等级级的的认认定定而而将将用用户户划划分分为为不不用用的的用用户户组组，使使用用户户总总是是相相对对于于一一个个或或多多个个角角色色，从而实现管理的安全性。从而实现管理的安全性。标准角色和应用程序角色标准角色和应用程序角色n应应用用程程序序角角色色是是一一种种

25、比比较较特特殊殊的的角角色色。当当我我们们打打算算让让某某些些用用户户只只能能通通过过特特定定的的应应用用程程序序间间接接地地存存取取数数据据库库中中的的数数据据而而不不是是直直接接地地存存取取数数据据库库数数据据时时，就就应应该该考考虑虑使使用用应应用用程程序序角角色色。当当某某一一用用户户使使用用了了应应用用程程序序角角色色时时，他他便便放放弃弃了了已已被被赋赋予予的的所所有有数数据据库库专专有有权权限限，他所拥有的只是应用程序角色被设置的角色。他所拥有的只是应用程序角色被设置的角色。管理角色的方式管理角色的方式1.使用企业管理器管理角色使用企业管理器管理角色 2.使用存储过程管理角色使用

26、存储过程管理角色 1.使用企业管理器管理角色使用企业管理器管理角色（）管理服务器角色（）管理服务器角色 打打开开企企业业管管理理器器，展展开开指指定定的的服服务务器器，单单击击安安全全性性文文件件夹夹，然后单击服务器角色图标，选择需要的选项，根据提示操作。然后单击服务器角色图标，选择需要的选项，根据提示操作。（）管理数据库角色（）管理数据库角色 在在企企业业管管理理器器中中，展展开开指指定定的的服服务务器器以以及及指指定定的的数数据据库库，然然后后用用右右键键单单击击角角色色图图标标，从从快快捷捷菜菜单单中中选选择择新新建建数数据据库库角角色色选选项项，则则出出现现数数据据库库角角色色属属性性

27、新新建建角角色色对对话话框框，根据提示即可新建角色。根据提示即可新建角色。2.使用存储过程管理角色使用存储过程管理角色（）管理服务器角色（）管理服务器角色 在在SQL Server中，管理服务器角色的存储过程主中，管理服务器角色的存储过程主要有两个：要有两个：nsp_addsrvrolemembernsp_dropsrvrolemembern系系统统存存储储过过程程sp_addsrvrolemember可可以以将将某某一一登登录录帐帐号号加加入入到到服服务务器器角角色色中中，使使其其成成为为该该服服务务器器角角色的成员。色的成员。n其语法形式如下：其语法形式如下：sp_addsrvroleme

28、mber login，rolen系系统统存存储储过过程程sp_dropsrvrolemember可可以以将将某某一一登登录录者者从从某某一一服服务务器器角角色色中中删删除除，当当该该成成员员从从服服务务器器角角色色中被删除后，便不再具有该服务器角色所设置的权限。中被删除后，便不再具有该服务器角色所设置的权限。n其语法形式如下：其语法形式如下：sp_dropsrvrolemember loginame=login，rolename=rolensp_addrole：用来创建一个新的数据库角色：用来创建一个新的数据库角色nsp_addrole role，ownernsp_droprole：用于删除一

29、个数据库角色：用于删除一个数据库角色nsp_droprole rolensp_helprole：显示当前数据库所有的数据库角色的所：显示当前数据库所有的数据库角色的所有信息有信息nsp_helprole role（）管理数据库角色（）管理数据库角色nsp_addrolemember：向数据库某一角色中添加数据库用：向数据库某一角色中添加数据库用户户sp_addrolemember role，security_accountnsp_droprolemember：用来删除某一角色的用户：用来删除某一角色的用户nsp_droprolemember role，security_accountnsp_helprolemember：用于显示某一数据库角色的所有：用于显示某一数据库角色的所有成员成员nsp_helprolemember role（）管理数据库角色（）管理数据库角色