任务7.2数据库用户管理.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 7.2.2 权限管理 任务7.2 数据库用户管理 项目1 数据库设计 （2）通过 T-SQL 语句分配权限。 GRANT 语句可以为对象分配权限，语法格式如下。 Grant {ALL[PRIVILEGES]} |permission[(column[,…n])] [,…n] [ON [class::]securable] TO principal[,…n] [With Grant Option][AS principal] 项目7 安全管理 7.2.2 权限管理 任务7.2 数据库用户管理 项目1 数据库设计 参数说明如下。 ? ALL：给该类型用户授予所有可用权限。不推荐使用此选项，保留此选项仅用于向后兼容。 ? Permission：指定权限的名称。 ? Column：指定将授予其权限的列的名称。需要使用括号“()” 。 ? Class：指定将授予其权限的安全对象的类。需要范围限定符“： ： ” 。 ? Securable：指定将授予其权限的安全对象。 ? TO principal：主体的名称。可为其授予安全对象权限的主体随安全对象而异。 ? Grant Option： 指示被授权者在获得指定权限的同时， 还可以将指定权限授予其他主体。 项目7 安全管理 7.2.2 权限管理 任务7.2 数据库用户管理 项目1 数据库设计 Deny 语句可以拒绝对象的某种权限，语法格式如下。 Deny ALL|permission [(column[,…n])][,…n] [ON [class::] securable ] TO principal[,…n] Revoke 语句可以撤销对象的某种权限，语法格式如下。 Revoke ALL|permission [(column[,…n])][,…n] [ON [class::] securable ] TO principal[,…n] 项目7 安全管理 任务7.2 数据库用户管理 【例 7-3】 在数据库 StudentSocietyDB 中， 创建登录名为 “user01” 的数据库用户 “dbuser01” 。 create user dbuser01 for login user01 【例 7-4】在 StudentSocietyDB 数据库中将用户 dbuser02 授予更改任意用户的权限。 Grant Alter any user to dbuser02 【例 7-5】在 StudentSocietyDB 数据库中将用户 dbuser02 授予查询、删除 tbDept 数据表中 数据的权限。 Grant select,delete on tbDept to dbuser02 项目7 安全管理 任务7.2 数据库用户管理 【例 7-6】 在 StudentSocietyDB 数据库中将用户 dbuser02 授予拒绝删除 tbDept 数据表中数据的权限。 Deny delete on tbDept to dbuser02 注意， 【例 7-5】为 dbuser02 授予了可以删除 tbDept 数据表中数据的权限，但【例 7-6】为 dbuser02 授予了拒绝删除 tbDept 数据表中数据的权限，两者是矛盾的，在 SQL Server 中，拒绝是优先的，所以 dbuser02 如果被同时授予这种有冲突的权限，那么否定是优先的，所以dbuser02 是被严格禁止对 tbDept 数据表进行数据删除的。 【例 7-7】 撤销 StudentSocietyDB 的数据库用户 dbuser02 查询 tbDept 数据表中数据的权限。 Revoke select on tbDept to dbuser02 项目7 安全管理 任务7.2 数据库用户管理 1．通过 SSMS 创建一个登录账号 gus01，并将其设为 StudentSocietyDB 数据库的用户。 2．通过 T-SQL 语句创建一个登录账号 gus02，并将其设为 StudentSocietyDB 数据库的用 户，授予其对会员表查询权限。 项目7 安全管理 任务7.3 数据库角色管理 项目7 安全管理 任务描述 角色是一个非常好的权限管理机制，可以利用角色将多个数据库用户集中到一个单元中，然后对该单元进行整体的权限管理，这样可以大大减轻数据库管理员的工作量。 项目7 安全管理 7.3.1 角色概述 任务7.3 数据库角色管理 项目1 数据库设计 1．服务器角色 服务器角色也称为“固定服务器角色” ，其权限作用范围是整个服务器。服务器角色具有固定的权限，且不能更改已经分配好的