第8章SQLServer权限管理.pptVIP

第8章 SQL Server权限管理 8.1 数据库的安全性 8.2 数据库的安全性管理 数据库的安全性由数据库角色来控制。当用户成功地连接到服务器之后，会在此服务器上的数据库角色中查找相应用户的用户名。如果在数据库角色中找到了用户名，则该用户可以查看该数据库的名称和其中的数据集的列表（包括虚拟的和链接的数据表）。但是，该用户只能访问那些已经指派了数据库角色的数据表。如果在数据库角色中没有找到用户名，则该用户不能查看或访问服务器上的任何对象。 当然，在授予用户对数据库中数据表的访问权限之前，必须授予他们对数据库的访问权限，以保护数据不受内部和外部侵害。 8.2 数据库的安全性管理 用户具体访问数据时，要经过以下三个阶段的处理过程： （1）用户必须登录到SQL Server的实例，进行身份鉴别，被确认合法后才能登录到SQL Server实例。 （2）用户在每个要访问的数据库里必须要有一个账号，SQL Server实例将SQL Server登录映射到数据库用户账号上，在这个数据库的账号上定义数据库的管理和数据对象访问的安全策略。 （3）检查用户是否具有访问数据对象、执行动作的权限，经过语句许可权限的验证，才能实现对数据的操作。 8.2.1 SQL Server身份验证模式 身份验证用来识别用户的登录账号和验证用户与SQL Server相连接的能力。如果验证成功，用户就能连接到SQL Server上。 SQL Server使用两种身份验证模式：Windows身份验证模式和混合模式验证方式。 1．Windows身份验证 Windows身份验证的特点是与Windows NT4.0和Windows2000安全系统的集成。 8.2.1 SQL Server身份验证模式 结合了Windows NT4.0和Windows2000安全系统提供更多的功能，如：安全验证和密码加密、审核、密码过期、最短密码长度，以及在多次登录请求无效后锁定用户等。当一个用户请求一个信任连接时，该用户只有是Windows NT4.0或Windows2000已经确认用户是合法的时候，才会允许用户登录SQL Server。 2．混合模式身份验证 混合模式则包含了Windows身份验证和SQL Server身份验证两个子模式。用户可以使用Windows身份验证或者SQL Server身份验证与SQL Server实例连接。在使用Windows身份验证时，通过Windows NT4.0或Windows 2000用户账户使用信任连接登录SQL Server。 在SQL Server身份验证时，用户必须提供登录名和口令，SQL Server通过检查是否已注册了该SQL Server登录账号，以及指定的密码是否与以前记录的密码匹配，自己进行身份验证。如果SQL Server未设置登录账号，则身份验证将失败(见图8-1)。 8.2.2 创建登录账号和用户账号管理 1．创建登录账号 不管使用哪种验证模式，用户都必须先具有有效的登录账号。 在SQL Server中有三个默认的用户登录账号：即sa、administrator\builtin和guest。 sa是系统管理员，它是一个特殊的用户，在SQL Server系统和所有数据库中拥有所有的权限。 administrator\builtin是SQL Server为每一个Windows NT系统管理员提供了一个默认的用户账号。这个账号在SQL Server系统和所有数据库也拥有所有的权限。 Guest账号为默认访问系统用户账号。通常可以使用企业管理器和使用向导创建登录账号。 （1）使用企业管理器创建登录账号的具体步骤： ①打开企业管理器，展开服务器组，然后展开“安全性”文件夹。 ②用鼠标右键单击登录图标，从弹出的快捷菜单中选择“新建登录”选项，则出现“新建登录”对话框，如图8-2所示。 ③在“名称”文本框中输入登录名，在身份验证选项栏中选择相应的验证模式，如果选择“SQL Server身份验证”后还必须输入密码。 ④在“服务器角色”选项卡中（见图8-3），可以在服务器角色列表框中选择相应的服务器角色成员。 ⑤在“数据库访问”选项卡中（见图8-4），在列表框中列出了该账号可以访问的数据库，如果单击数据库左边的复选框，表示该用户可以访问相应的数据库。最后单击【确定】按钮，完成登录账号的创建。 （2）使用SQL Server的“创建登录向导”工具创建登录账号的具体步骤： ①打开企业管理器，选择工具菜单中的“向导”选项，从弹出的“选择向导”对话框中选择“数据库”子项中的“创建登录向导”选项，将出现“欢迎使用创建登录向导” 对话框，如图8-5所示。 ②在“欢迎使用创建登录向导”对