第9章系统安全管理.pptVIP

* 权限决定了用户在数据库中可以进行的操作。 一个用户所拥有的权限取决于该用户账户的权限和该用户所在的角色。 SQL SERVER有三种类型的权限：对象权限、语句权限和暗示性权限。 对象权限：表示一个用户对特定的数据库对象，如表、视图、字段等的操作权限，如用户能否进行查询、删除、插入和修改一个表中的行，或能否执行一个存储过程。 9.4 数据库权限管理 * SELECT、INSERT、UPDATE和DELETE语句权限，它们可以应用到整个表或视图中。 SELECT和UPDATE语句权限，它们可以有选择性地应用到表或视图中的单个列上。 SELECT权限，它们可以应用到用户定义函数。 INSERT和DELETE语句权限，它们会影响整行，因此只可以应用到表或视图中，不能应用到列上。 EXECUTE语句权限，它们可以影响存储过程和函数。 对象权限 * 语句权限表示一个用户对数据库的操作权限，如能否执行创建和删除对象的语句，能否执行备份和恢复数据库的语句等。包括： BACKUP DATABASE。 BACKUP LOG。 CREATE DATABASE。 CREATE DEFAULT。 CREATE FUNCTION。 CREATE PROCEDURE。 CREATE RULE。 CREATE TABLE。 CREATE VIEW。 语句权限 * 暗示性权限指系统安装以后有些用户和角色不必授权就有的权限。例如，sysadmin固定服务器角色成员自动继承在SQL Server安装中进行操作或查看的全部权限。 数据库对象所有者拥有暗示性权限，可以对所拥有的对象执行一切活动。例如，拥有表的用户可以查看、添加或删除数据，更改表定义，或控制允许其他用户对表进行操作的权限。 暗示性权限 * 暗示性权限是数据库角色和用户默认拥有的权限，不需设置。对象权限和语句权限可以进行设置。 设置权限包括： 授予权限：授予用户、组或角色的语句权限和对象权限，使数据库用户在当前数据库中具有执行活动或处理数据的权限。 拒绝权限：包括删除以前授予用户、组或角色的权限，停用从其他角色继承的权限，确保用户、组或角色将来不继承更高级别的组或角色的权限。 废除权限：废除以前授予或拒绝的权限。废除类似于拒绝，因为二者都是在同一级别上删除已授予的权限。但是，废除权限是删除已授予的权限，并不妨碍用户、组或角色从更高级别继承已授予的权限。 设置权限 * 管理对象权限 右键单击数据库逻辑对象（包括表、视图、存储过程等），选择“所有任务|管理权限” 注意：打对号表示授予权限，打叉表示拒绝权限，取消选中表示废除权限。 使用企业管理器设置权限 对对象的总体权限设置 具体到列的权限设置 * 管理语句权限 右键单击数据库，选择“属性” 使用企业管理器设置权限 * 管理用户权限 右键单击用户账户，选择“所有任务|管理权限” 使用企业管理器设置权限 * 管理角色权限 右键单击角色，选择“属性” 使用企业管理器设置权限 单击进入角色权限设置界面 * 授予语句权限 GRANT {ALL | 语句 [, ...n]} TO 安全账户 [, ...n] 说明： 安全账户：当前数据库中的用户、角色或组，包括：SQL Server 角色；SQL Server用户；Windows NT组；Windows NT用户。 若权限被授予SQL Server角色或Windows NT组，权限可影响到当前数据库中该组或该角色成员的所有用户。 【例14】给用户xx授予创建表和创建视图的权限。 grant create table, create view to xx 使用Grant语句设置权限 * 授予对象权限 GRANT { ALL | 权限 [ ,...n ] } { [ ( 列名 [ ,...n ] ) ] ON { 表 | 视图 } | ON { 表 | 视图 } [ ( 列名 [ ,...n ] ) ] | ON 存储过程 | ON用户自定义函数 } TO 安全账户 [ ,...n ] [ WITH GRANT OPTION ] [ AS { 组 | 角色 } ] 使用Grant语句设置权限 * 参数说明： ALL：表示授予所有可用的权限。 权限：当前授予的对象权限。如在表、视图上可授予SELECT、INSERT、DELETE或UPDATE权限；在列上可授予SELECT和UPDATE权限。 安全账户：可以是SQL Server用户 、SQL Server角色、Windows NT用户、Windows NT组。 WITH GRANT OPTION：使被授予权限的用户或角色