ch11_数据库的安全管理.pptVIP

使用Transact-SQL命令管理许可 使用GRANT、REVOKE和DENY三种命令来管理权限 删除用户 如：删除Windows NT用户“LWHNOTE\User” 如：删除SQL Server用户lwh 三、数据库用户管理 数据库用户用来指出哪一个人可以访问哪一个数据库 用户对数据的访问权限以及对数据库对象的所有关系都是通过用户账号来控制的 用户账号总是基于数据库的，即两个不同数据库中可以有两个相同的用户账号 数据库用户账号与登录账号的区别？ 一个合法的登录账号只表明该账号通过了NT 认证或SQL Server 认证，但不能表明其可以对数据库数据和数据对象进行某种或某些操作 只有当他同时拥有了用户账号后，才能够访问数据库 所以一个登录账号总是与一个或多个数据库用户账号（这些账号必须分别存在相异的数据库中）相对应，这样才可以访问数据库 例如，登录账号sa 自动与每一个数据库用户dbo 相关联 使用企业管理器管理数据库用户 通过建立一个登录用户增加一个数据库用户（见前面所述） 增加一个数据库用户 如：给数据库dbs增加一个dbuser用户 删除一个数据库用户 如：删除数据库dbs中的数据库用户dbuser 使用查询分析器管理数据库用户 增加一个数据库用户 如：给数据库dbs增加一个dbuser用户 删除一个数据库用户 如：删除数据库dbs中的数据库用户dbuser 四、角色管理 角色的作用是什么？ 利用角色，SQL Server 管理者可以将某些用户设置为某一角色，这样只对角色进行权限设置便可实现对所有用户权限的设置，大大减少了管理员的工作量 SQL Server中有两种角色 服务器角色 数据库角色 注意 SQL Server 2000 服务器和数据库都有自己的固有角色 固有角色是指 SQL Server 2000 预先定义好的系统角色，用户不能修改这些角色的任何属性，也不能创建新的服务器固有角色和数据库固有角色 服务器角色管理 服务器角色允许登陆到 SQL Server 服务器，并具有操作服务器的权限 SQL Server 2000服务器有8种固有服务器角色 用户不能删除、也不能创建新的服务器固有角色 数据库角色管理 数据库角色是在数据库的安全级别上创建，一个数据库角色只在其所在的数据库中有效，对其他数据库无效 固有的数据库角色 用户不能删除固有的数据库角色 SQL Server 2000共有10种固有数据库角色 用户自定义的数据库角色 五、权限管理 许可（权限）用来指定授权用户可以使用的数据库对象和这些授权用户可以对这些数据库对象执行的操作 用户在登录到SQL Server之后，其用户账号所归属的NT组或角色所被赋予的许可（权限）决定了该用户能够对哪些数据库对象执行哪种操作以及能够访问、修改哪些数据 在SQL Server中包括三种类型的许可：即对象许可、语句许可和隐含许可 对象权限 表示对特定的数据库对象，即表、视图、字段和存储过程的操作许可 它决定了能对表、视图、存储过程等执行哪些操作（如UPDATE、DELETE、INSERT、EXECUTE） 如果用户想要对某一对象进行操作，其必须具有相应的操作的权限 例如，当用户要成功修改表中数据时，则前提条件是他已经被授予表的UPDATE 权限 语句许可 指用户是否具有权限来执行某一语句，这些语句通常是一些具有管理性的操作，如创建数据库、表、存储过程等 还包括备份数据库和事务日志的权限 语 句 作 用 CREATE DATABASE 创建数据库 CREATE TABLE 在数据库中创建表 CREATE VIEW 在数据库中创建视图 CREATE DEFAULT 在数据库中创建默认对象 CREATE PROCEDURE 在数据库中创建存储过程 CREATE RULE 在数据库中创建规则 CREATE FUNCTION 在数据库中创建函数 BACKUP DATABASE 备份数据库 BACKUP LOG 备份日志 隐含许可 系统自行预定义而不需要授权就有的权限，包括固定服务器角色、固定数据库角色和数据库对象所有者所拥有的权限 例如：数据库拥有者db_owner被授予了对其所创建的数据库的一切权限 使用企业管理器管理许可 在SQL Server中通过两种途径可实现对语句许可和对象许可的管理，从而实现对用户权限的设定 这两种途径分别为面向单一用户和面向数据库对象两种许可设置 面向单一用户的许可设置 为某一用户设置其对当前数据库所有对象的访问权限 如：设置数据库dbs的dbo用户的权限 面向数据库对象的许可设置 为某一数据库对象设置当前数据库所有用户对其的访问权限 如：设置数据库dbs中数据表Course的权限 数据库技术与应用