第8章 SQL Server权限管理.ppt

1、1,第8章 SQL Server权限管理,8.1 数据库的安全性 8.2 数据库的安全性管理,上一章,返回目录,2,数据库的安全性由数据库角色来控制。当用户成功地连接到服务器之后，会在此服务器上的数据库角色中查找相应用户的用户名。如果在数据库角色中找到了用户名，则该用户可以查看该数据库的名称和其中的数据集的列表（包括虚拟的和链接的数据表）。但是，该用户只能访问那些已经指派了数据库角色的数据表。如果在数据库角色中没有找到用户名，则该用户不能查看或访问服务器上的任何对象。 当然，在授予用户对数据库中数据表的访问权限之前，必须授予他们对数据库的访问权限，以保护数据不受内部和外部侵害。,8.1 数据库

2、的安全性,3,8.2 数据库的安全性管理,用户具体访问数据时，要经过以下三个阶段的处理过程： （1）用户必须登录到SQL Server的实例，进行身份鉴别，被确认合法后才能登录到SQL Server实例。 （2）用户在每个要访问的数据库里必须要有一个账号，SQL Server实例将SQL Server登录映射到数据库用户账号上，在这个数据库的账号上定义数据库的管理和数据对象访问的安全策略。 （3）检查用户是否具有访问数据对象、执行动作的权限，经过语句许可权限的验证，才能实现对数据的操作。,4,5,8.2.1 SQL Server身份验证模式,身份验证用来识别用户的登录账号和验证用户与SQL S

3、erver相连接的能力。如果验证成功，用户就能连接到SQL Server上。 SQL Server使用两种身份验证模式：Windows身份验证模式和混合模式验证方式。 1Windows身份验证 Windows身份验证的特点是与Windows NT4.0和Windows2000安全系统的集成。,6,8.2.1 SQL Server身份验证模式,结合了Windows NT4.0和Windows2000安全系统提供更多的功能，如：安全验证和密码加密、审核、密码过期、最短密码长度，以及在多次登录请求无效后锁定用户等。当一个用户请求一个信任连接时，该用户只有是Windows NT4.0或Windows2

4、000已经确认用户是合法的时候，才会允许用户登录SQL Server。,7,2混合模式身份验证 混合模式则包含了Windows身份验证和SQL Server身份验证两个子模式。用户可以使用Windows身份验证或者SQL Server身份验证与SQL Server实例连接。在使用Windows身份验证时，通过Windows NT4.0或Windows 2000用户账户使用信任连接登录SQL Server。,8,在SQL Server身份验证时，用户必须提供登录名和口令，SQL Server通过检查是否已注册了该SQL Server登录账号，以及指定的密码是否与以前记录的密码匹配，自己进行身份验

5、证。如果SQL Server未设置登录账号，则身份验证将失败(见图8-1)。,9,图8-1 SQL Server的身份验证,10,8.2.2 创建登录账号和用户账号管理,1创建登录账号 不管使用哪种验证模式，用户都必须先具有有效的登录账号。 在SQL Server中有三个默认的用户登录账号：即sa、administratorbuiltin和guest。 sa是系统管理员，它是一个特殊的用户，在SQL Server系统和所有数据库中拥有所有的权限。,11,administratorbuiltin是SQL Server为每一个Windows NT系统管理员提供了一个默认的用户账号。这个账号在SQL

6、 Server系统和所有数据库也拥有所有的权限。 Guest账号为默认访问系统用户账号。通常可以使用企业管理器和使用向导创建登录账号。,12,（1）使用企业管理器创建登录账号的具体步骤： 打开企业管理器，展开服务器组，然后展开“安全性”文件夹。 用鼠标右键单击登录图标，从弹出的快捷菜单中选择“新建登录”选项，则出现“新建登录”对话框，如图8-2所示。 在“名称”文本框中输入登录名，在身份验证选项栏中选择相应的验证模式，如果选择“SQL Server身份验证”后还必须输入密码。,13,图8-2 新建登录对话框,14,在“服务器角色”选项卡中（见图8-3），可以在服务器角色列表框中选择相应的服务器

7、角色成员。 在“数据库访问”选项卡中（见图8-4），在列表框中列出了该账号可以访问的数据库，如果单击数据库左边的复选框，表示该用户可以访问相应的数据库。最后单击【确定】按钮，完成登录账号的创建。,15,图8-3 服务器角色对话框,16,图8-4 数据库访问对话框,17,（2）使用SQL Server的“创建登录向导”工具创建登录账号的具体步骤： 打开企业管理器，选择工具菜单中的“向导”选项，从弹出的“选择向导”对话框中选择“数据库”子项中的“创建登录向导”选项，将出现“欢迎使用创建登录向导” 对话框，如图8-5所示。,18,在“欢迎使用创建登录向导”对话框中，单击【下一步】按钮，将出现“选择身

8、份验证模式”对话框，如图8-6所示。在此可以选择Windows身份验证或SQL Server身份验证模式。,19,图8-5 欢迎使用创建登录向导对话框,20,图8-6 选择身份验证模式,21,确定验证模式后单击【下一步】按钮，此时，如果使用的是SQL Server验证模式，则会出现“使用SQL Server进行身份验证”对话框（见图8-7），在这个对话框中输入该账号的名称和密码。 在“使用SQL Server进行身份验证”对话框中，单击【下一步】按钮，则会出现选择“授权访问安全角色”对话框，如图8-8所示，从中可以选择该账号访问数据库的安全性角色。,22,图8-7 使用SQL Server进行

9、身份验证对话框,23,图8-8 授权安全访问角色对话框,24,在“授权安全访问角色”对话框中，单击【下一步】按钮，将出现“授权访问数据库”对话框，在此对话框中可以选择授权该账户访问的数据库（见图8-9）。 在“授权访问数据库”对话框中选择要访问的数据库后，单击【下一步】按钮，则会出现“正在完成创建登录向导”对话框（见图8-10），单击【完成】按钮，完成登录账号的创建。,25,图8-9 授权访问数据库对话框,26,图8-10 正在完成创建登录向导对话框,27,2用户账号管理 在数据库中，一个用户或工作组取得合法的登录账号，只表明该账号通过了Windows验证或者SQL Server验证，不能表明

10、它可以对数据库的对象进行某些操作，只有当它同时拥有了用户账号后，才可以访问数据库。 使用企业管理器可以授予SQL Server登录访问数据库的许可权限。创建数据库新帐号的具体步骤：,28,（1）打开企业管理器，展开要登录的服务器和要创建用户的数据库，用鼠标右键单击用户图标，从弹出的快捷菜单中选择“新建数据库用户”选项，则会出现“新建用户”对话框（见图8-11）。 （2）在“登录名”下拉列表框中选择已经创建好的登录账号，在“用户名”选择框内输入数据库用户的名称，然后选择相应的数据库角色，单击【确定】按钮，即可完成数据库用户的创建。,29,图8-11 新建用户对话框,30,8.2.3 权限管理,1权限的分类 SQL Server 2000中权限可以分为对象权限、语句权限和暗示性权限（见第3章）。 2管理对象权限 管理对象权限有两种方法：一种是使用企业管理器，另一种是使用Transact-SQL语言。 企业管理器中提供了一个查看和管理对象权限的简单的图形界面。如果想查看或更改一个数据库对象的对象权限，可以按下列操作步骤进行操作（此处以表为例）：,31,（1）打开企业管理器，展开指定的数据库。 （2）选中要查看或修改权限的数据表，单击鼠标右键，从弹出的快捷菜单选中“属性”选项，进入“表属性”对话框，然后