讲义SQLServer2005安全管理机制.docVIP

SQL Server 2005的安全管理机制 SQL Server 2005的安全性是指保护数据库中的各种数据，以防止因非法使用而造成数据的泄密和破坏。SQL Server 2005的安全管理机制包括验证（authentication）和授权（authorization）两种类型。验证是指检验用户的身份标识；授权是指允许用户做些什么。验证过程在用户登录操作系统和SQL Server 2005的时候出现，授权过程在用户试图访问数据或执行命令的时候出现。SQL Server 2005的安全机制分为四级，其中第一层和第二层属于验证过程，第三层和第四层属于授权过程，如图 724所示。 图 724 SQL Server的四级安全机制 第一层次的安全权限是，用户必须登录到操作系统，第二层次的安全权限控制用户能否到登录SQL Server，SQL Server第三层次的安全权限允许用户与一个特定的数据库相连接，第四层次的安全权限允许用户拥有对指定数据库中一个对象的访问权限。 登录 登录是账户标识符，2005账户都称为登录。其作用是用来控制对SQL Server 20的访问权限。SQL Server 200只有在首先验证了指定的登录有效后，才完成连接。2005登录成功并不意味着用户已经可以访问SQL Server 2005上的数据库。 SQL Server 2005的SQL Server 2005中有两个默认的登录账户：BUILTIN\Administrators和sa。BUILTIN\Administrators提供了对所有Windows 2005管理员的登录权限，并且具有在所有数据库中的所有权限。系统管理员(sa)是一个特殊的登录账户，只有在SQL Server 2005使用混合验证模式时有效，它也具有在所有数据库中的所有权限。 用户 在数据库内，对象的全部权限和所有权由用户账户控制。SQL Server后，默认数据库中包含两个用户：dbo和guest，即系统内置的数据库用户 dbo代表数据库的拥有者（database owner）。每个数据库都有dbo用户，创建数据库的用户是该数据库的dbo，系统管理员也自动被映射成dbo。 guest用户帐号在安装完SQL Server系统后被自动被加入到master、pubs、tempdb、和northwind数据库中，且不能被删除。用户自己创建的数据库默认情况下不会自动加入guest帐号，但可以手工创建。guest用户也可以像其他用户一样设置权限。当一个数据库具有guest用户帐号时，允许没有用户帐号的登录者访问该数据库。所以guest帐号的设立方便了用户的使用，但如使用不当也可能成为系统安全隐患。 角色 在SQL Server 中，角色是管理权限的有力工具。将一些用户添加到具体某种权限的角色中，权限在用户成为角色成员时自动生效。 “角色”概念的引入方便了权限的管理，也使权限的分配更加灵活。 角色分为服务器角色和数据库角色两种。 服务器角色具有一组固定的权限，并且适用于整个服务器范围。它们专门用于管理 SQL Server，且不能更改分配给它们的权限。可以在数据库中不存在用户帐户的情况下向固定服务器角色分配登录。 数据库角色与本地组有点类似，它也有一系列预定义的权限，你可以直接给用户指派权限，但在大多数情况下，只要把用户放在正确的角色中就会给予它们所需要的权限。一个用户可以是多个角色中的成员，其权限等于多个角色权限的“和”，任何一个角色中的拒绝访问权限会覆盖这个用户所有的其他权限。 登录、用户、角色三者联系 登录、用户、角色是SQL Server 2005安全机制的基础。 服务器角色和登录名相对应。 数据库角色是和用户对应的，数据库角色和用户都是数据库对象，定义和删除的时候必须选择所属的数据库。 一个数据库角色中可以有多个用户，一个用户也可以属于多个数据库角色。 SQL Server 2005的权限管理 用户的权限71用户权限分类表 使用语句 作用 对象权限INSERT、UPDATE 、SELECT、DELETE的权限。 例如： DENY INSERT, UPDATE, DELETE ON authors TO Mary, John, Tom BACKUP DATABASE：备份数据库 ? BACEUP LOG：备份事务日志 ? CREATE DATABASE：创建数据库 ? CREATE DEFAULT：创建默认 ? CREATE INDEX：创建索引 ? CREATE PROCEDURE：创建存储过程 ? CREATE RULE：创建规则 ? CREATE TABLE创建表 ? CREATE VIEW创建视图 例如：DENY CREATE