附加第7章 SQL Server 2005安全与权限.ppt

第7章 SQL Server 2005安全与权限 数据库安全是关系数据库中非常重要的一个方面，也是每个数据库管理员都必须认真考虑的问题。SQL Server 2005为维护数据库系统的安全性提供了完善的管理机制和简单而丰富的操作方法。 SQL Server 2005的安全性机制 SQL Server 2005的登录和用户 SQL Server 2005的权限管理 SQL Server 2005的角色管理 SQL Server 2005其他安全性管理 7.1 SQL Server 2005的安全性机制 SQL Server 2005采用分层机制来进行权限管理，即在每一层都有相应的安全性机制。 SQL Server 2005的安全性管理分为操作系统、SQL Server和数据库3个等级，详细的权限层次和安全机制如图7-1所示。 7.1.1 操作系统级的安全性 在用户使用客户端计算机通过网络实现对SQL Server 2005服务器的访问时，首先要获得计算机操作系统的使用权限。 一般来说，在能够实现网络互联的前提下，用户没有必要向运行SQL Server 2005服务器的主机进行登录，除非SQL Server 2005服务器就运行在本地计算机上。SQL Server 2005可以直接访问网络端口，所以可以实现对Windows NT安全体系以外的服务器及其数据库的访问。 操作系统安全性是操作系统管理员或网络管理员的任务。 7.1.2 SQL Server级的安全性 SQL Server服务器级的安全性是建立在控制服务器登录账户和密码的基础上的。SQL Server 2005采用了标准SQL Server登录和集成Windows NT登录两种方式。 无论使用哪种登录方式，用户在登录时提供的登录账户和密码，决定了用户能否获得SQL Server 2005的访问权，以及在获得访问权后，用户在访问SQL Server 2005进程时可以拥有的权利。 7.1.3 数据库级的安全性 在用户通过SQL Server服务器的安全性检查后，将直接面对不同的数据库入口。这是用户将接受的第三次安全性检验。 在建立用户的登录账户信息时，SQL Server 2005会提示用户选择默认的数据库。以后用户每次连接上SQL Server 2005服务器后，都会自动连接到默认的数据库上。对任何用户来说，master数据库总是打开的。 在默认的情况下，只有数据库的拥有者才可以访问该数据库的对象，数据库的拥有者可以分配访问权限给别的用户。 7.2 SQL Server 2005的登录和用户 用于连接到SQL Server 2005服务器的账户都称为SQL Server的登录。用户是为特定数据库定义的。要创建用户，必须已经定义了该用户的登录，用户ID同登录类似，但是它的名称不需要与登录相同。 用户可以防止数据被未授权的用户故意或无意地修改。SQL Server 2005为每一个用户分配了唯一的用户名和密码，可以为不同账号的用户授予不同的安全级别。 7.2.1 登录的身份模式及其设置 如果要登录到一个SQL Server 2005服务器的实例，那么在这个实例中必须有一个登录名与之相对应，这个登录名可以是如下两种类型。 Windows身份验证。 SQL Server身份验证。 7.2.2 使用SQL Server Management Studio创建登录 登录属于SQL Server 2005服务器级的安全策略，要连接到数据库，首先要存在一个合法的登录。 7.2.3 使用SQL Server Management Studio创建用户 用户是SQL Server 2005数据库级的安全策略，在为数据库创建新的用户前，必须存在一个有效的登录。 7.2.4 使用Transact-SQL语句创建登录和用户 除了使用SQL Server Management Studio工具来创建登录和用户外，还可以使用Transact-SQL语句来创建登录和用户。 1．使用Transact-SQL语句来创建登录 2．使用Transact-SQL语句来创建用户 3．使用Transact-SQL语句来创建登录和用户实例 7.3 SQL Server 2005的权限管理 权限用于控制对数据库对象的访问，以及指定用户对数据库可以执行的操作。 用户可以设置服务器和数据库的权限。 服务器权限允许数据库管理员执行管理任务， 数据库权限用于控制对数据库对象的访问和语句执行。 7.3.1 服务器权限 服务器权限允许数据库管理员执行管理任务。这些权限定义在固定服务器角色（fixed server roles）中。这些固定服务器角色可以分配给登录，但是不能修改。一般只把服务器权限授予数据