数据库的安全管理教材.ppt

* * * * * * * * * * * 3、数据库用户管理 删除数据库用户 例12：删除数据库DBS中数据库用户sql 4、角色管理 利用角色，SQL Server 管理者可以将某些用户设置为某一角色，这样只对角色进行权限设置便可实现对所有用户权限的设置，大大减少了管理员的工作量； “角色”类似于 Microsoft Windows 操作系统中的“组” SQL Server中有两种角色 固有服务器角色 数据库角色 固有数据库角色 应用程序角色 4、角色管理---固有服务器角色 服务器级角色也称为“固定服务器角色”，因为用户不能删除，也不能创建新的服务器级角色； 服务器级角色的权限作用域为服务器范围。 可以向服务器级角色中添加 SQL Server 登录名、Windows 帐户和 Windows 组。固定服务器角色的每个成员都可以向其所属角色添加其他登录名。 4、角色管理---固有服务器角色 4、角色管理---固有服务器角色 sysadmin ：可以在服务器上执行任何活动； Serveradmin：可以更改服务器范围的配置选项和关闭服务器 securityadmin ：可以管理登录名及其属性； processadmin ：可以终止在SQL Server 实例中运行的进程 setupadmin ：可以添加和删除链接服务器； bulkadmin ：可以运行 BULK INSERT 语句； diskadmin ：用于管理磁盘文件； dbcreator ：可以创建、更改、删除和还原任何数据库； 每个 SQL Server 登录名都属于 public 服务器角色； 4、角色管理---固有数据库角色 固定数据库角色是在数据库级别定义的，并且存在于每个数据库中； 一个数据库角色只在其所在的数据库中有效，对其他数据库无效； 可以向数据库级角色中添加任何数据库帐户和其他 SQL Server 角色； 用户不能删除固有的数据库角色； 4、角色管理---固定数据库角色 4、角色管理---固定数据库角色 db_owner ：可以执行数据库的所有配置和维护活动，还可以删除数据库； db_securityadmin：可以修改角色成员身份和管理权限； db_accessadmin：可以为 Windows 登录名、Windows 组和 SQL Server 登录名添加或删除数据库访问权限； db_backupoperator：可以备份数据库； db_ddladmin：可以在数据库中运行任何数据定义语言 (DDL) 命令 db_datawriter：可以在所有用户表中添加、删除或更改数据； db_datareader：可以从所有用户表中读取所有数据； db_denydatawriter：不能添加、修改或删除数据库内用户表中的任何数据； db_denydatareader：不能读取数据库内用户表中的任何数据； 每个数据库用户都属于 public 数据库角色； 4、角色管理---应用程序角色 应用程序角色是一种比较特殊的由用户定义的数据库角色 如果想让某些用户只能通过特定的应用程序间接地存取数据库中的数据，而不是直接地存取数据库数据时，就应该考虑使用应用程序角色； 应用程序角色默认情况下不包含任何成员， 且是非活动的 必须为应用程序角色设计一个密码以激活它； 5、权限管理 许可（权限）用来指定授权用户可以使用的数据库对象和这些授权用户可以对这些数据库对象执行的操作； 在SQL Server中包括三种类型的许可：对象许可、语句许可和隐含许可； 5、权限管理---对象许可 表示对特定的数据库对象，即表、视图、字段和存储过程的操作许可； 它决定了能对表、视图、存储过程等执行哪些操作（如UPDATE、DELETE、INSERT、EXECUTE）； 如果用户想要对某一对象进行操作，其必须具有相应的操作的权限； 例如，当用户要成功修改表中数据时，则前提条件是已被授予表的UPDATE 权限； 5、权限管理---对象许可 例13：为数据库DBS中的用户sql授予对Student表的select、insert权限，拒绝update、delete权限 5、权限管理---语句许可 指定用户是否具有权限来执行某一语句，这些语句通常是一些具有管理性的操作，如创建数据库、表、存储过程等； 还包括备份数据库和事务日志的权限； 5、权限管理---语句许可 例14：为数据库DBS中的用户sql授予备份数据库的权限，拒绝创建表的权限 5、权限管理---隐含许可 系统自行预定义而不需要授权就有的权限，包括固定服务器角色、固定数据库角色和数据库对象所有者所拥有的权限； 例如：服务器角色sysadmin的成员可以在整个服务器范围内从事任何操作，数据库拥有者db_owner被授予了对