第二章 SQL Server的安全管理.ppt

《数据库原理与应用》 应用课程 本章主要内容 认证模式和认证进程 管理登录账号 管理数据库用户账号 管理角色 管理许可 2.3 管理数据库用户帐号 1、许可的概念 在SQL Server2000中，每个对象都是归用户所有的。对象的所有者由用户帐户来标识。当创建对象时，可以访问该对象的惟一用户账户就是所有者的用户帐户。对于任何想访问该对象的其他用户，所有者须给该用户授予访问权限。 将一个登录账户映射为数据库中的用户账户，并将该用户账户添加到某种数据库角色中，其实都是为了对数据的访问权限进行设置，以便让各个用户能够进行适合于其工作职能的操作。 许可用来授权用户可以使用数据库中的数据和执行数据库操作。每个数据库都有自己的独立的许可系统，许可的管理包括授权许可、收回许可和否定许可。 2.5 许 可(权限) 管 理 2、许可的类型 语句许可：涉及创建数据库和创建数据库对象的要求的许可类型。只有sysadmin,db_owner,db_securityadmin角色的成员才能被授予语句许可。语句许可包括： CREATE DATABASE CREATE TABLE CREATE VIEW CREATE INDEX CREATE RULE CREATE DEFAULT CREATE DATABASE BACKUP LOG 对象许可：表示对数据库特定对象的许可，即涉及使用数据库和执行存储过程等的许可。特定对象包括表、视图、列、存储过程、用户定义的函数。 SELECT （表、视图、列） UPDATE（表、视图、列） DELETE（表、视图） INSERT（表、视图） REFERENCES（列） EXECUTE （存储过程、用户定义的函数） 预定义许可：指用户和角色不经授权就拥有的许可。 数据库对象的所有者，对所拥有的对象具有全部活动的 许可。 角色包括固定服务器角色和固定数据库角色，固定角色具有明确的许可。当某用户增加到一固定角色时，就自动继承 了该固定角色的许可。 3、许可的三种状态 授予：可以执行操作 否定：不能执行操作，不能通过角色继承 回收：不能执行操作，可以通过角色继承 许可信息存储在系统表sysprotects中。 4、管理许可 （1）许可的授予 用户可两种方式拥有许可: 直接授予许可；作为角色的成员继承许可。 通过企业管理器授予许可 右击 myname,myname1是数据库northwind的用户 使用查询分析器授予许可 演示：添加数据库northwind的用户myname use northwind go grant select on products to myname go grant insert,delete on customers to myname go grant create table to myname go 在查询分析器里执行SQL语句 在数据库角色属性窗口查看执行结果 （2）许可的否定 删除以前授予给该用户的许可，同时禁止从角色继承许可。 例： use northwind go deny select on products to myname go 第二章 SQL Server的安全管理 SQL Server2000系统中存储了用户大量的重要数据，为了使之得到保障，就要确保只有授权的用户才能使用数据库中的数据和执行相应的操作，这就是数据库的安全性管理。 安全性管理包括两方面内容： 1、 用户能否登录系统及如何登录系统； 2、用户能否使用数据库中的对象和执行相应操作。 引 言 1、认证进程 用户访问数据库系统时，系统对该用户帐号和口令的确认过程，包括帐号是否有效、能否访问系统、能访问系统的哪些数据等。 2、SQL Server有两种认证进程 Windows认证进程：由Windows确认用户的登录帐号或组帐号，这些Windows系统的登录帐号或组帐号可直接访问SQL Server系统。 SQL Server认证进程：由SQL Server系统确认用户的登录帐号和口令。 3、认证模式 系统选择何种认证进程确认用户的方式。 2.1 认证模式和认证进程 4、SQL Server有两种认证模式 Windows认证模式：此模式只能使用Windows认证进程。 混合认证模式：此模式既可使用Windows认证进程，又可使用S