数据库课件第12章SQLServer安全管理幻灯片.ppt

12.3.3 管理权限 权限的种类 对象权限 语句权限 隐含权限 对象权限 对象权限是指用户对数据库中的表、视图、存储过程等对象的操作权限，相当于数据库操作语言的语句权限。 对象权限的具体包括以下三个方面： 对于表和视图是否允许执行SELECT，INSERT，UPDATE以及DELETE语句。 对于表和视图的字段，是否可以执行SELECT和UPDATE语句。 对于存储过程，是否可以执行EXECUTE语句。 语句权限 指执行数据定义语言(DDL) 语句的权限。即是否允许执行下列语句： CREATE TABLE CREATE DEFAULT CREATE PROCEDURE CREATE RULE CREATE VIEW BACKUP DATABASE BACKUP LOG 隐含权限 隐含权限是指由SQL Server预定义的服务器角色、数据库所有者（dbo）和数据库对象所有者所拥有的权限。 隐含权限相当于内置权限，并不需要明确地授予这些权限。例如，服务器角色sysadmin的成员可以在整个服务器范围内从事任何操作，数据库所有者（dbo）可以对本数据库进行任何操作。 权限的管理 权限管理的内容包括以下三个方面： 授予权限。即允许某个用户或角色对—个对象执行某种操作或某种语句。 拒绝访问。即拒绝某个用户或角色访问某个对象。即使该用户或角色被授予这种权限，或者由于继承而获得这种权限，仍然不允许执行相应的操作。 取消权限。即不允许某个用户或角色对一个对象执行某种操作或某种语句。不允许与拒绝是不同的，不允许执行某操作时，可以通过加入角色来获得允许权；而拒绝执行某操作时，就无法再通过角色来获得允许权了。 用户和角色的权限规则 用户权限继承角色的权限 数据库角色中可以包含许多用户，用户对数据库对象的存取权限也继承自该角色。 用户分属不同角色 如果一个用户分属于不同的数据库角色，如用户User1既属于角色Rolel，又属于角色 Role2，则用户Userl的权限基本上是以Rolel和Role2的并集为准。但是只要有一个拒绝，则用户User1的权限就是拒绝的。 12.4 安全管理案例 第12章 SQL Server 安全管理 12.1 SQL Server的安全机制 12.2 管理服务器的安全性 12.3 管理权限 12.4 案例中的安全 12.1 SQL Server的安全机制 为了实现安全性，每个网络用户在访问SQL Server数据库之前，都必须经过身份验证和权限验证两个阶段的检验。SQL Server 2000提供了两种确认用户的认证模式： Windows NT 认证模式 混合认证模式 Windows NT 认证模式 在Windows验证模式下，SQL Server检测当前使用的Windows用户帐号，并在Syslogins表中查找该帐号，以确定该帐号是否有权登录。 在这种方式下，用户不必提供密码或者登录名让SQL Server验证。这种模式使数据库管理员的工作集中在管理数据库方面，而不是管理用户帐户。使用该验证模式时，必须满足以下两个条件中的一个： 客户端的用户必须有合法的服务器上的Windows帐户，服务器能够在自己的域中或者信任域中验证该用户。 服务器启用了Guest帐户。 混合验证模式 混合验证模式允许以SQL Server验证模式或Windows验证模式来进行验证。混合验证模式具有以下优点： 创建了Windows NT/2000之上的另外一个安全层次。 支持更大范围的用户，如非Windows NT客户、Novell网用户等。 一个应用程序可以使用单个的SQL Server登录帐号和口令。 设置验证模式 在第一次安装SQL Server，或者使用SQL Server连接其他服务器的时候，需要指定验证模式。对于已经指定验证模式的SQL Server服务器，在SQL Server中还可以进行修改。操作步骤如下： 打开企业管理器，展开服务器组文件夹，在其中的某个服务器上单击右键，在弹出的快捷菜单上选择编辑SQL Server注册属性菜单命令，这时打开 已注册的SQL Server属性对话框。 在对话框中设置验证模式后，单击确定按钮即可。 12.1.2 权限验证 用户必须使用特定的登录账户才能连接到SQL Server。当验证了用户的身份并允许其登录到SQL Server以后，在用户访问的每个数据库中都要求设置单独的用户账户。 每个数据库中的用户账号都用于为该数据库的对象设置安全权限；用户获得对数据库的访问权限以后，SQL Server就可以接受并执行命令。 用户在数据库中所进行的所有活动都是通过Transact-SQL语句传到SQL Server中的。 12.2 管理服务器的安