第四章安全性管理例析.ppt

第四章 安全性管理 刘根萍 本章内容 数据库的基本概念 认知目标： 了解安全模式 、身份验证、权限验证、登录帐户 、服务器角色 、数据库角色等概念 能力目标: 掌握登录帐户、数据库用户、数据库角色的创建(重点) 掌握数据库中权限设置管理的方法 (难点) 一、安全机制 主体 安全对象 主体和安全对象的结构示意图 数据库对象、架构和用户关系示意图 一、安全机制 一、安全机制 每个网络用户在访问SQL Server数据库之前，都必须经过两级安全验证： 身份验证：验证用户是否拥有服务器级的“连接权”，即是否允许访问SQL Server服务器。 权限验证：验证用户是否拥有数据库级的“访问权”，即是否可以在数据库上执行操作。 二、服务器级的安全管理 Windows身份验证 使用Windows操作系统本身提供的安全机制验证用户的身份。只要用户能够通过Windows的用户帐户验证，就可连接到SQL Server，又称为“信任连接”模式。 SQL Server验证 使用SQL Server验证时，必须提供连接到SQL Server上登录帐号和口令(该帐号和口令由系统管理员事先创建并存储在SQL Server中)。 使用该模式：一是为了和7.0版以前的SQL Server相兼容；二是如果SQL Server安装在Windows 98下，必须使用该模式。 动手操作1：设置身份验证模式 任务1：将本地服务器的身份验证模式设置为 “混合模式” 右击“本地服务器”→“属性” →“安全性” → …… 任务2：用“windows”身份验证连接到本地服务器上。 右击“本地服务器”→“编辑SQL Server注册属性” →…… 展开“本地服务器”即连接(因“windows”身份是信任连接) 任务3：用“SQL Server”身份验证连接到本地服务器上。 修改登录帐号“sa”的密码。 展开“本地服务器”中的“安全性”→单击“登录” →右击“sa” →“属性” →修改密码→…… 设置“使用SQL Server 身份验证”。 右击“本地服务器”→“编辑SQL Server注册属性” →勾选“使用SQL Server 身份验证” →输入“登录名”和“密码” →… 说明：sa是一个超级登录帐号，具有操作服务器的一切权限。 含义：登录者用来连接SQL server的帐号。 两种类型： windows身份验证时的登录帐号(即用户帐号)。 形式为“域(或计算机)名\用户(或组)” 系统内建的本地组,采用“BUILTIN \ Administrators”形式 SQL server身份验证时，由系统管理员创建的登录帐号和密码。 sa是一个内置的SQL Server超级登录帐号，该账户拥有最高的管理权限，具有操作服务器的一切权限。 任务1： ①将windows中的某个组或用户设置为登录帐号； ②创建个“SQL Server”登录帐号，登录名为st1和st2。 方法：双击“服务器” →安全性→右击“登录” → “新建登录” ①创建“windows”登录帐号。 单击“名称”旁的“浏览”按钮→ 选择要加入的组或用户… ②创建“SQL Server”登录帐号。 在“名称”框中输入“st1” →选择“SQL Server身份验证” →输入密码… 任务2：使用st1登录帐号连接到SQL Server服务器，请 问能否查看xsgl库中的数据?为什么？ 说明：普通登录帐号必须赋予了服务器角色后,才会具有服务器范围内的操作权限。 任务3：查看各登录帐号的服务器角色。 右击“登录帐号” →“属性” →…… 含义： 系统定义的具有不同权限的组，其组成员是登录帐号。 服务器角色不能增加或删除，只能对其中的成员进行修改。 常用的服务器角色 服务器角色 服务器角色 任务1：了解各服务器角色中的成员及权限。 双击“服务器” →“安全性” →“服务器角色” →…… 任务2：将登录帐号st1赋予“database creators”的服务器角色，使其具有可创建和更改数据库的权限。 在“服务器角色”窗口中，右击“database creators”角色→“属性” →单击“添加” →选择成员→…… 请思考：使用st1登录帐号连接到SQL Server服务器，请问能否查看xsgl库中的表对象?为什么？ 说明：尽管普通登录帐号已赋予了服务器角色(sysadmin除外 )，但仍没有使用其它数据库对象(表/视图/存储过程等)的权限。因为SQL Server是以数据库用户名来访问数据库的。 任务3：将登录帐号st2赋予“sysadmin”的服务器角色，使其具 有对系统的所有操作权。 说明：若将登录帐号