数据库应用技术—SQL Server篇第11章.pptVIP

第 11 章 SQL Server的安全管理 11.1 SQL Server的安全模型 11.2 服务器的安全性 11.3 数据库的安全性 11.4 数据库用户角色 11.5 权 限 管 理 通过本章的学习，读者应该掌握以下内容： ? SQL Server 2000的安全特性以及安全模型 ? 使用SQL Server的安全管理工具构造灵活、安全的管理机制 11.1 SQL Server的安全模型 SQL Server 2000的安全模型分为3层结构，分别为服务器安全管理、数据库安全管理和数据库对象的访问权限管理。 11.1.1 SQL Server访问控制 （1）第1关，用户必须登录到SQL Server的服务器实例。 （2）第2关，在要访问的数据库中，用户的登录名要有对应的用户账号。 （3）第3关，数据库用户账号要具有访问相应数据对象的权限。 11.1.2 SQL Server身份验证模式 SQL Server有两种安全验证机制：Windows验证机制和SQL Server 验证机制。由这两种验证机制产生了两种SQL Server身份验证模式：仅Windows身份验证模式和混合验证模式。 11.2 服务器的安全性 11.2.1 创建或修改登录账户 1．在企业管理器下创建使用Windows身份验证的登录账户 2．在企业管理器下创建使用SQL Server身份验证的登录账户 3．使用SQL语句创建两种登录账户 在查询分析器下，可以使用系统存储过程sp_addlogin 创建使用SQL Server身份验证登录账户。sp_addlogin的基本语法格式如下。 EXECUTE sp_addlogin 登录名, 登录密码, 默认数据库, 默认语言 使用系统存储过程sp_grantlogin将一个Windows 2000系统客户映射为一个使用Windows身份验证的SQL Server登录账户。sp_grantlogin的基本语法格式如下。 EXECUTE sp_grantlogin 登录名 11.2.2 禁止或删除登录账户 如果要暂时禁止一个使用SQL Server身份验证的登录账户，管理员只需要修改该账户的登录密码就可以了。如果要暂时禁止一个使用Windows身份验证的登录账户，则要使用企业管理器或执行SQL语句来实现。要删除任何一种登录账户，都需要执行相应的命令。 11.2.3 服务器角色 固定的服务器角色是在服务器安全模式中定义的管理员组，它们的管理工作与数据库无关。SQL Server 2000在安装后给定了几个固定服务器角色。具有固定的权限。 11.3 数据库的安全性 一般情况下，用户登录到SQL Server后，还不具备访问数据库的条件，用户要访问数据库，管理员还必须为他的登录名在要访问的数据库中映射一个数据库用户账号或称用户名。数据库的安全性主要是靠管理数据库用户账号来控制的。 11.3.1 添加数据库用户 1．在数据用户管理界面下添加数据库用户 2．使用sp_grantdbaccess添加数据库用户 使用系统存储过程sp_grantdbaccess可以为一个登录账户在当前数据库中映射一个或多个数据库用户，使它具有默认的数据库角色public。执行这个存储过程的语法格式如下。 EXECUTE sp_grantdbaccess 登录名, 用户名 11.3.3 删除数据库用户 从当前数据库中删除一个数据库用户，就删除了一个登录账户在当前数据库中的映射。 1．使用企业管理器删除数据库用户 2．使用sp_revokedbaccess删除数据库用户 11.4 数据库用户角色 数据库用户角色在SQL Server中联系着两集合，一个是权限的集合，另一个是数据库用户的集合。 数据库角色分为固定数据库角色和用户定义角色，固定数据库角色预定义了数据库的安全管理权限和对数据对象的访问权限，用户定义角色由管理员创建并且定义对数据对象的访问权限。 11.4.1 固定的数据库角色 每个数据库都有一系列固定数据库角色。用户不能增加、修改和删除固定数据库角色。 11.4.2 自定义的数据库角色 当固定的数据库角色不能满足用户的需要时，可以通过企业管理器或执行SQL语句来添加数据库角色。用户自定义数据库角色有两种：标准角色和应用程序角色。 1．使用企业管理器创建数据库角色 2．使用企业管理器删除数据库角色 3．使用sp_addrole创建数据库角色 4．使用sp_droprole删除数据库角色 11.4.3 增删数据库角色的成员 建立角色的目的就是要将具有相同权限的数据库用户组织到一起，同时也是将一组权限用一个角色来表示，