SQLserver200系统安全管理.ppt

1．通过“对象资源管理器”创建数据库角色 （1）创建数据库角色。以Windows系统管理员身份连接SQL Server，在“对象资源管理器”中展开“数据库”→选择要创建角色的数据库XSBOOK→“安全性”→“角色”，右击鼠标，在弹出的快捷菜单中选择“新建”菜单项→在弹出的子菜单中选择“新建数据库角色”菜单项，如图8.10所示。进入“数据库角色-新建”窗口。 图8.10 新建数据库角色 （2）将数据库用户加入数据库角色。当数据库用户成为某一数据库角色的成员之后，该数据库用户就获得该数据库角色所拥有的对数据库操作的权限。 将用户加入自定义数据库角色的方法与8.3.2小节中将用户加入固定数据库角色的方法类似，这里不再重复。如图8.11所示的是将XSBOOK数据库的用户david加入角色ROLE。 图8.11 添加到数据库角色 2．通过SQL命令创建数据库角色 （1）定义数据库角色。创建用户自定义数据库角色可以使用CREATE ROLE语句。 语法格式： CREATE ROLE role_name [ AUTHORIZATION owner_name ] 【例8.11】 如下示例在当前数据库中创建名为ROLE2的新角色，并指定dbo为该角色的所有者。 USE XSBOOK GO CREATE ROLE ROLE2 AUTHORIZATION dbo （2）给数据库角色添加成员。向用户定义数据库角色添加成员也使用存储过程sp_ addrolemember，用法与之前介绍的基本相同。 【例8.12】 使用Windows身份验证模式的登录名（如0BD7E57C949A420\liu）创建XSBOOK数据库的用户（如0BD7E57C949A420\liu），并将该数据库用户添加到数据库角色ROLE中。 USE XSBOOK GO CREATE USER [0BD7E57C949A420\liu] FROM LOGIN [0BD7E57C949A420\liu] GO EXEC sp_addrolemember ROLE, 0BD7E57C949A420\liu 【例8.13】 将SQL Server登录名创建的XSBOOK的数据库用户wang（假设已经创建）添加到数据库角色ROLE中。 EXEC sp_addrolemember ROLE,wang 【例8.14】 将数据库角色ROLE2添加到ROLE中。 EXEC sp_addrolemember ROLE,ROLE2 3．通过SQL命令删除数据库角色 要删除数据库角色可以使用DROP ROLE语句。语法格式： DROP ROLE role_name 说明： （1）无法从数据库删除拥有安全对象的角色。若要删除拥有安全对象的数据库角色，必须首先转移这些安全对象的所有权，或从数据库删除它们。 （2）无法从数据库删除拥有成员的角色。若要删除拥有成员的数据库角色，必须首先删除角色的所有成员。 （3）不能使用DROP ROLE删除固定数据库角色。 【例8.15】 删除数据库角色ROLE2。 在删除ROLE2之前首先需要将ROLE2中的成员删除，可以使用界面方式，也可以使用命令方式。若使用界面方式，只需在ROLE2的属性页中操作即可。命令方式在删除固定数据库成员时已经介绍，请参见前面内容。确认ROLE2可以删除后，使用以下命令删除ROLE2： DROP ROLE ROLE2 8.4.1 授予权限 权限的授予可以使用命令方式或界面方式完成。 1．使用命令方式授予权限。 利用GRANT语句可以给数据库用户或数据库角色授予数据库级别或对象级别的权限。语法格式： GRANT { ALL [ PRIVILEGES ] } | permission [ ( column [ ,...n ] ) ] [ ,...n ] [ ON securable ] TO principal [ ,...n ] [ WITH GRANT OPTION ] [ AS principal ] 说明： 【例8.16】 给XSBOOK数据库上的用户david和wang授予创建表的权限。 以系统管理员身份登录SQL Server，新建一个查询，输入以下语句： USE XSBOOK GO GRANT CREATE TABLE TO david, wang GO 【例8.17】 首先在当前数据库XSBOOK中给 public 角色授予对XS表的SELECT 权限。然后，将特定的权限授予用户 liu、zhang 和 dong，使这些用户对 XS 表有所有操作权限。 GRANT SELECT ON XS TO public GO GRANT INSERT, UPDATE, DELETE