第8章管理SQLServer2005安全技巧.ppt

* 第8章 管理SQL Server 2005安全 作为数据库管理员，如何更好地管理数据库系统的安全，保护数据不受内部和外部侵害是一项非常重要的工作。SQL Server 2005为维护数据库系统的安全性提供了完善的管理机制和简单而丰富的操作手段，可以通过创建用户登录、配置登录权限和分配角色完成目标。使用分配的权限和角色既能确定用户所拥有的操作，也能确定他们可以访问的数据类型。 * 本章知识要点： 了解SQL Server 2005的安全机制 掌握SQL Server 2005身份验证模式及配置方法 了解内置登录名和数据库用户 掌握创建登录名和数据库用户的方式 了解角色在SQL Server 2005中的概念 熟悉常见的角色类型 掌握角色的使用 了解使用架构和权限管理安全的方式 * 8.1 SQL Server 2005安全 SQL Server 2005除继承了SQL Server 2000可靠性、可用性、可编程性、易用性等方面的特点外，还在安全性方面做了很大改进。通过本节读者不仅可以对SQL Server 2005的安全机制有一定了解，还可以掌握SQL Server 2005提供的身份验证模式。 8.1.1 SQL Server 2005安全简介 SQL Server 2005中广泛使用安全主体和安全对象管理安全。一个请求服务器、数据库或架构资源的实体称为安全主体。每一个安全主体都有惟一的安全标识符（Security Identifier，SID）。安全主体在3个级别上管理：Windows、SQL Server和数据库。安全主体的级别决定了安全主体的影响范围。 * 8.1.2 SQL Server 2005安全机制 SQL Server 2005的安全性机制可以分为4个等级，包括：操作系统的安全性、SQL Server 2005的登录安全性、数据库的使用安全性及数据库对象的使用安全性。其中的每个等级就好像一道门，如果门没有上锁，或者用户拥有开门的钥匙，则用户可以通过这道门达到下一个安全等级。如果通过了所有的门，则用户就可以实现对数据的访问了。 * 8.1.3 SQL Server 2005验证模式 如果在服务器级别配置上述这些安全模式，它们会应用到服务器上的所有数据库。但是，还需要注意每一个数据库服务器实例有独立的安全体系结构。这意味着不同的数据库服务器实例可能有不同的安全模式。 * 8.2 登录名 用户是配置SQL Server服务器安全中的最小单位，通过使用不同用户的登录名可以配置为不同的访问级别。本节详细介绍SQL Server 2005服务器内置的系统登录名，还将介绍如何配置登录名。 * 8.2.1 系统登录名 像有两种验证模式一样，服务器登录也有两种情况。可以使用域账户创建域登录，域账户可以是域或本地用户账户、本地组账户或通用的和全局的域组账户。还可以通过指定惟一的登录ID和密码来创建SQL Server 2005登录，默认的登录包括本地管理员组、本地管理员、sa、Network Service和SYSTEM。 * 8.2.2 创建登录名 在上节中列出了安装SQL Server 2005完成后一些内置的登录名，由于他们都具有特殊的含义和作用，因此通常不应该将他们分配给普通用户使用，而是创建一些适用于用户权限的登录名。 * 8.3 数据库用户 数据库用户是数据库级的主体，是登录名在数据库中的映射，是在数据库中执行操作和活动的行动者。在SQL Server 2005系统中，数据库用户不能直接拥有表、视图等数据库对象，而是通过架构拥有这些对象。 * * 8.3.1 数据库用户 使用数据库用户账户可限制访问数据库的范围，默认的数据库用户有：dbo用户、guest用户和sys用户等。 * 8.3.2 创建数据库用户 创建数据库用户可分为两个过程，首先创建数据库用户使用的SQL Server 2005登录名，如果使用内置的登录名则可省略这一步。然后，再为数据库创建用户，指定到创建的登录名。 8.4 管理角色 在向SQL Server 2005中添加登录名并设置用户后，就可以将它们映射到用户需要访问的每个数据库中的用户账户或者角色中。角色是SQL Server 2005用来集中管理数据库或服务器的权限。数据库管理员将操作数据库的权限赋予角色。然后，数据库管理员再将角色赋给数据库用户或登录账户，从而使数据库用户或登录账户拥有了相应的权限。 * 8.4.1 服务器角色 服务器角色应用于服务器级别，并且需要