7《第七章SQL SERVER数据库安全性》.pptVIP

SQL Server 2005安装配置管理与开发设计 主讲教师：钱 哨 7.1 SQL Server 2000安全构架 安全级别 用户使用SQL Server要经过两个安全性阶段： 身份验证：验证该用户连接到SQL sever上的具体某个实例的能力，连接成功则可以访问该实例。 授权（权限验证）：某个具体的用户管理SQL sever服务器的能力。 身份验证模式 Authentication Processing 身份验证模式 Windows 认证模式的优点 更先进的安全策略 一组只需建一个用户 更快捷的访问 混合认证模式的优点 非windows用户及Internet客户可以连接到数据库 身份验证模式（续） 权限验证 创建安全帐户 安全规则 用户授权 添加SQL Server登录 登录访问数据库 安全规则 当 SQL Server 登录、用户、角色或密码为以下情况时，请在 Transact-SQL 语句中使用分隔符： 在含有空白字符或以字符$、@开头的要用双引号或方括号括起来 SQL Server 登录、用户或角色不能包含反斜线，或者已经存在于当前数据库中或者为NULL等 用户授权 我们可以利用系统存储过程sp_grantlogin实现用户授权，语法如下： sp_grantlogin [@loginame =] login 用户授权（续） 添加 SQL Server 登录 需要添加SQL Server登录的情况： 为与包含从其它数据库供应商导入的数据的应用程序兼容 为没有 Windows NT 4.0 或 Windows 2000 帐户的一般用户而设计的应用程序 连接到在 Windows 98 上运行的 SQL Server 实例 将 SQL Server 配置为在混合模式下运行 Windows 身份验证在 Windows 98 上不可用 添加 SQL Server 登录（续） 我们可以利用系统存储过程sp_addlogin创建登录，语法如下： sp_addlogin [ @loginame = ] login????[ , [ @passwd = ] password ]????[ , [ @defdb = ] database ]????[ , [ @deflanguage = ] language ]????[ , [ @sid = ] sid ]????[ , [ @encryptopt = ] encryption_option ] 授权登录访问数据库 我们可以利用系统存储过程sp_grantdbaccess来授权SQL Server 登录访问，语法如下： sp_grantdbaccess [@loginame =] login????[,[@name_in_db =] name_in_db [OUTPUT]] 授权登录访问数据库（续） 数据库所有者 (dbo) dbo 是具有在数据库中执行所有活动的暗示性权限的用户 sysadmin 的任何成员都映射到dbo用户 任何其他不是sysadmin角色底成员创建底对象都不属于dbo 数据库对象所有者 SQL Server查找对象底顺序为： 1。当前用户所拥有 2。为dbo所拥有 如果找不到对象，返回错误信息 guest 用户 当满足下列所有条件时，登录采用 guest 用户的标识： 登录有访问 Microsoft? SQL Server? 实例的权限，但没有通过自己的用户帐户访问数据库的权限 数据库中含有 guest 用户帐户 可以在除 master 和 tempdb 外（在这两个数据库中它必须始终存在）的所有数据库中添加或删除 guest 用户。默认情况下，新建的数据库中没有 guest 用户帐户 7.2 SQL Server安全管理 查看登录 修改登录 删除登录及用户 拒绝用户登录 查看和修改角色成员资格 查看登录 我们可以利用sp_helplogins系统存储过程来查看登录信息，语法如下： sp_helplogins [ [ @LoginNamePattern = ] login ] 删除登录和用户 删除用户和组时将自动删除为该用户定义的权限 当某个用户当前拥有数据库对象时不能被删除 删除用户不会自动删除登录，因此不会防止用户联接到SQL Server 实例 删除登录和用户（续） 下面四个存储过程分别删除用户和组、SQL Server登录、Windows用户或组访问和链接服务器登录： sp_dropuser [ @name_in_db = ] user sp_droplogin [ @loginame = ] login sp_revokelogin [ @loginame = ] login sp_droplinkedsrv