07第七章数据库安全及访问控制教学.ppt

7.1 SQL Server安全认证模式与设置 SQL Server作为DBMS，采用了三个层次的安全控制策略： 1. 用户首先登录到数据库服务器上(是服务器合法用户) 2. 然后使服务器用户（login）成为某个数据库的合法用户，从而能够访问数据库。 3. 让数据库用户在数据库中具有一定的权限(数据操作权、创建对象权等) 安全帐户认证是用来确认登录SQL Server的用户的登录帐号和密码的正确性，由此来验证其是否具有连接SQL Server的权限。 SQL Server 提供了两种确认用户的认证模式： （一）Windows NT认证模式。 （二）混合认证模式。 7.2 SQL Server服务器安全管理 7.2.1 管理Windows身份验证模式 7.2.2 管理SQL Server身份验证模式 7.2.3 管理固定服务器角色 系统内置已有的登录帐号: SQL Server有三个默认（内置）的用户登录帐号：即sa、 builtin\administrators和guest。 Sa：SQL Server验证模式的系统管理员帐号； builtin\administrators： 是一个windows组帐号，表示所有windows系统管理员（Administrator）组中的用户都可以登录到SQL Server; Guest:是来宾帐号。 7.2.1 管理Windows身份验证模式 1、建立其他新的Windows NT/2003账户 操作步骤如下： ①以Administrators登录到Windows 2003； ②选择“开始”→“设置” →“控制面板” →“管理工具” →“计算机管理”； ③在计算机管理窗口，选择“本地用户和组”，单击右键，在快捷菜单上单击“新用户”，进入如下图界面； ④在“新用户”对话框中输入新用户名和密码（这里用户名是meng，密码是1111）； ⑤单击【确定】按钮，一个新的Windows NT/2003账户建立成功。 2. 创建Windows登录账户创建Windows登录账户的基本语法格式如下所示：CREATE LOGIN LoginName FROM WINDOWS[WITH DEFAULT_DATABASE=DatabaseName]其中， ’loginName’是Windows NT/2003用户或用户组名称，其格式为“域\用户名称” 。对于本地用户或组，则域名即为本地计算机名，其格式为“计算机名\用户名称”。 例 创建Windows登录账户。 步骤1 创建一个Windows用户，名为Win1。 步骤2 创建基于Win1的Windows登录账户 CREATE LOGIN [win2k3\Win1] FROM WINDOWS WITH DEFAULT_DATABASE=stu 3. 修改Windows登录账户 例 将[win2k3\Win1]登录账户的默认数据库设置为BlueSkyDB，然后禁用该登录名。 ALTER LOGIN [win2k3\Win1] WITH DEFAULT_DATABASE=BlueSkyDB GO ALTER LOGIN [win2k3\Win1] DISABLE GO ALTER LOGIN [win2k3\Win1] ENABLE GO 4. 拒绝连接 拒绝账户连接到SQL Server的语法格式如下所示。 DENY CONNECT SQL TO LoginName 例 为Windows组WinG1创建登录账户，拒绝其中的user2连接到SQL Server服务器。 步骤1 创建Windows组WinG1，并在该组中添加两个用户user1和user2。首先在【计算机管理】工具中创建两个用户user1和user2。然后在【组】节点上单击鼠标右键，选择【新建组】命令，输入组名WinG1，单击【添加】按钮，在【选择用户】对话框中的【输入对象名称来选择】文本框中输入win2k3\user1，然后单击【确定】按钮，用户user1被加入组WinG1中。用同样的方法将user2加入WinG1组中。单击【创建】按钮创建组WinG1，最后关闭【新建组】对话框。 步骤2 输入并执行如下语句创建基于组WinG1的Windows登录账户。 CREATE LOGIN [win2k3\WinG1] FROM WINDOWS创建该登录账户后，WinG1组中的任何成员进入操作系统以后都可以连接并登录到SQL Server服务器。 步骤3 输入并执行如下语句创建基于WinG1组中用户user2的Windows登录账户。 CREATE LOGIN [win2k3\user2] FROM WINDOWS 步骤4 输入并执行如下语句拒绝WinG1组中的用户