SQL Server实用简明教程(第二版) 作者 ch04.pptVIP

第4章 管理安全性 教学目标 全面学习和掌握系统的安全性技术 掌握身份验证技术 掌握许可管理技术 教学重点 理解身份验证模式和身份验证方式之间的关系 掌握管理login帐户技术 掌握管理数据库user帐户技术 掌握管理角色技术 理解和掌握管理应用程序角色技术 掌握许可的授予、收回和否定技术 教学过程 身份验证模式和身份验证方式 管理login帐户 管理user帐户 管理角色 管理许可 规划SQL Server系统的安全性 4.1 身份验证模式和身份验证方式 基本概念 Windows身份验证模式 混合身份验证模式 基本概念 身份验证方式就是指当用户访问数据库系统时，系统对该用户的帐户和密码的确认过程。认证的内容包括确认用户的帐户是否有效、是否能访问系统、能访问系统中的哪些数据等。 身份验证模式就是指系统选择何种身份验证方式确认用户是否合法的方式。 Windows身份验证模式 Windows身份验证模式只允许使用Windows身份验证方式。 当使用Windows身份验证方式时，由Windows系统确认用户的login帐户或组帐户。 混合身份验证模式 混合身份验证模式既允许使用Windows身份验证方式，又允许使用SQL Server身份验证方式。 SQL Server系统会优先采用Windows身份验证方式确认用户 与Windows身份验证模式相比，混合身份验证模式提供了下列一些优点：允许非Windows客户、Internet客户等连接到SQL Server系统中；对用户的身份采用了双层身份验证方式。 4.2 管理login帐户 login帐户的概念 管理login帐户 login帐户的概念 login帐户是基于服务器使用的用户名。在SQL Server系统中，既可以基于Windows组或用户帐户创建login帐户，也可以创建SQL Server自己的login帐户。 login帐户的信息是系统级信息，存储在master数据库的sysxlogins系统表中。 管理login帐户 基于Windows组或用户帐户创建login帐户 创建新的SQL Server系统的login帐户 更改帐户密码和删除帐户 基于Windows组或用户帐户创建login帐户 可以使用sp_grantlogin系统存储过程或SQL Server Enterprise Manager工具允许Windows用户帐户或组帐户连接到SQL Server系统上。 注意事项 对于一个Windows组帐户来说，SQL Server系统只有一个login帐户与其对应，因此删除Windows组帐户的某个成员帐户并不影响SQL Server系统中的login帐户。 删除某个Windows组帐户或用户帐户，并不把他们从SQL Server系统中删除。如果希望删除Windows的某个组帐户或用户帐户，应该首先把它从Windows中删除，然后再把它从SQL Server系统中删除。 作为某个Windows组帐户成员的用户帐户，既可以作为组成员访问SQL Server系统，也可以通过单独授权的方式访问SQL Server系统。 创建新的SQL Server系统的login帐户 可以使用sp_addlogin系统存储过程或SQL Server Enterprise Manager工具或向导创建一个SQL Server的login帐户。 sp_addlogin [@loginame = ] login [, [@passwd = ] password ] [, [@defdb =] database ] [, [@deflanguage = ] language ] [, [@sid = ] sid ] [, [@encryptopt = ] encryption_option ] 更改帐户密码和删除帐户 通过使用sp_password系统存储过程，用户可以在任意时刻改变自己帐户的密码。 系统管理员通过使用sp_password系统存储过程，用NULL作为老密码，也可以改变任意用户帐户的密码。 如果希望删除SQL Server系统中某个login帐户，那么可以使用sp_droplogin系统存储过程。 4.3 管理user帐户 管理user帐户 默认的user帐户 管理user帐户 1 ser帐户是基于数据库使用的名称，是与login帐户相对应的。 当某个login帐户访问数据库时，必须使用一个特定的用户帐户或一个默认的用户帐户。 每一个数据库都有一个用来记录数据库user帐户信息的sysusers系统表。 管理user帐户 2 为了在数据库中新建user帐户，可以使用SQL Server Enterprise Manag