安全性管理(一).docVIP

第 3章 管理安全性（安全体系结构、login用户） 思考：多用户的数据库系统可能会面临什么样的使用环境，为了适应复杂的应用环境，，你将如何设计一个后台数据库系统的安全体系？（DBA） SQL SERVER 2008的数据安全层次 第一层：网络设置 第二层：登录服务器 第三层：登录后进行特定数据库访问或服务器管理 第四层：对数据库中特定表或列进行访问 第一层：网络设置 第二层：登录服务器 问题：如何确保合法用户登录到系统中？ 一、服务器端的身份验证模式： 是服务器的一个属性，用于设置如何验证用户的登录方式 windows 身份验证 当用户使用windows账户（即开机的登录账户）连接SQL SERVER，SQL SERVER通过回叫windows，以获得信息，用户的网络安全特性在网络登录时建立，并通过Windows域控制器进行验证。当网络用户尝试连接时，SQL Server 使用基于Windows 的功能确定经过验证的网络用户名。SQL? Server于是验证此人是否是如其所说的那个人，然后只基于网络用户名允许或拒绝登录访问，而不要求单独的登录名和密码。 由户和组只由?Windows维护，因此当用户进行连接时，SQL Server 将读取有关该用户在组中的成员资格信息。如果对已连接用户的可访问权限进行更改，则当用户下次连接到SQL Server实例或登录到 Windows 时（取决于更改的类型），这些更改会生效。当用户用指定的登录名称和密码从非信任连接进行连接时，SQL Server通过检查是否已设置SQL Server登录帐户，以及指定的密码是否与以前记录的密码匹配，自己进行身份验证。如果 ? SQL ? Server ? 未设置登录帐户，则身份验证将失败，而且用户收到错误信息。 提供 SQLServer身份验证是为了向后兼容性，因为为SQL Server7.0版或更早的版本编写的应用程序可能要求使用SQL Server登录和密码。WManagement studio的图形化界面和T-SQL两种方式管理loginname 方式一见具体操作 通过T-SQL语句管理登录名 1）loginname 的创建 将windows组或windows用户映射到登录名 create login [PC-200911101452\tests] from windows with default_database=AdventureWorks create login [builtin\guests] from windows 注意：基于windows组用户创建登录名时，采用[builtin\windows组用户名]的形式 创建SQL Server自己的登录名 create login Peter with password=123456 , default_database=AdventureWorks,CHECK_EXPiration= on 2）loginname 的修改 修改登录名 Alter login peter disable --禁用该登录用户 Alter login peter enable --启用该登录用户 3）loginname的删除 删除登录名 drop login [机器名\windows用户或组用户名] drop login peter --sql server 登录名 相关课堂练习： 1. 创建sql server登录用户 （1）创建sql server登录名peter （2）以peter身份登录sql server服务器(注意身份验证模式应为混合模式) 2. 基于windows用户创建sql servr登录用户: (1)到计算机用户管理（控制面板—管理工具—计算机管理）中创建一新计算机用户ROSE (2)在sql server中创建基于windows用户ROSE的登录用户 (3)注销当前操作系统登录用户，以ROSE身份登录windows （4）以[机器名\ROSE]的身份登录sql server 注意：服务器身份验证模式会影响验证方式 相关帮助：权限层次结构 主体 安全对象 CREATE LOGIN (Transact-SQL) ALTER LOGIN (Transact-SQL) DROP LOGIN (Transact-SQL)