SQLServer的安全性与完整性管理概述.pptVIP

第15章 SQL Server安全管理 对于网络环境下的多用户数据库而言，安全问题是至关重要的。 必须对不同的用户赋予不同的访问权限，才能保证数据库中的数据不被泄露或破坏。 本章要点 安全管理概述 服务器登录 角色 用户 权限 完整性与约束 15.1 安全管理概述 SQL Server的安全管理模型中包括身份验证、SQL Server登录、数据库用户、权限和角色5个主要方面，具体如下。 身份验证 Windows验证模式 混合验证模式 SQL Server登录 要想连接到SQL Server服务器实例，必须拥有相应的登录账户和密码。 1）身份验证模式 登录到SQL Server实例必须经过两个过程。 首先要从系统中获得此权限，即得到授权； 然后就是要通过系统的身份验证。 SQL Server提供两种身份验证模式 Windows 身份验证模式 混合模式：混合模式允许用户使用Windows NT安全性或SQL Server安全性连接到SQL Server 身份验证模式的修改 2）身份验证模式的选择 对于Windows NT的用户，既可以使用Windows身份验证模式，也可以使用SQL Server的身份验证模式。而对于Windows 9.x的用户只能使用SQL Server的身份验证模式。 应用程序开发人员和数据库用户也许更喜欢“SQL Server身份验证”模式，因为他们可以通过对登录账户和密码的管理实现权限控制。 15.2 管理服务器登录 登录指用户连接到指定SQL Server数据库实例（服务器）的过程。在此期间，系统要对该用户进行身份验证。 只有拥有正确的登录账户和密码，才能连接到指定的数据库实例。 1）新建登录账户 SQL Server有以下两个默认的登录账户： sa：即系统管理员（system administrator）账户，该账户在SQL Server系统和所有数据库中拥有所有的权限。 BUILTIN\Administrators：该账户为Windows NT系统管理员账户，具有与sa相同的权限。 可以使用以下两种方式新建登录帐户： 在图形界面下中创建登录账户 使用命令创建登录账户 使用命令创建登录账户 使用CREATE LOGIN新建登录账户 使用系统存储过程sp_grantlogin创建Windows身份验证模式登录账户； 使用系统存储过程sp_addlogin创建SQL Server身份验证模式的登录账户； CREATE LOGIN 语法格式 ： CREATE LOGIN login_name { WITH option_list1 | FROM sources } 例：添加名为test的sql server 登录名。 例：选择一个Windows用户mao，使用命令将其映射到SQL Server登录账户。 2）修改和删除登录账户 使用Management Studio修改、删除账户 使用命令修改和删除账户 ALTER LOGIN DROP LOGIN ALTER LOGIN ALTER LOGIN login_name { status_option | with set_option [ , … ] } status_option ::= ENABLE | DISABLE set_option ::= PASSWORD = password | hashed_password HASHED DROP LOGIN 语法格式： DROP LOGIN login_name 15.3 角色和用户管理 角色等价于Windows的工作组，将登录名或用户赋予一个角色，角色具有权限，登录名或用户作为角色成员，从而继承了所属角色的权限。 这样只需对角色进行权限设置便可以实现对所有用户权限的设置，大大减少了管理员的工作量。 15.3.1 角色管理简介 1．固定服务器角色 根据SQL Server的管理任务，以及这些任务的相对重要性等级，把具有SQL Server管理职能的用户划分为不同的用户组，每一组定义为一种固定服务器角色。 每一个固定服务器角色具有的管理权限都是SQL Server内置的，不能对其权限进行添加、修改和删除，可以在这些角色中添加用户以获得相关的管理权限。 SQL Server中的固定服务器角色 sysadmin：可以在SQL Server中执行任何活动 serveradmin：可以设置服务器范围的配置选项，关闭服务器 setupadmin：可以管理链接服务器和启动过程 securityadmin：可以管理登录和CREATE DATABASE权限，还可以读取错误日志和更改密码 processadmin：可以管理在SQL Server中运行的进程 dbcreato