第20章sqlserve2008的安全机制和技术.pptVIP

登录名 3．创建登录名 在Studio中创建一个基于Windows用户登录名的操作很简单。 （1）[对象资源管理器]-[安全性]-[登录名]上右键选择“新建登录名”。 * 登录名 （2）在“新建登录名”窗口中输入相应的信息。 * 登录名 （3）也可以用SQL语句来完成相同的工作： CREATE LOGIN [PYW\LIN] FROM WINDOWS WITH DEFAULT_DATABASE=[database_demo],DEFAULT_LANGUAGE=[简体中文] * 登录名 4．给登录名赋予角色 创建登录名后，最好给登录名赋予角色。打开登录名的属性： * 登录名 通过SQL语句对登录名进行角色设置时，需要分为增加角色和删除角色。系统存储过程sp_addsrvrolemember用于增加角色： EXEC sys.sp_addsrvrolemember @loginname=N’PYW\LIN’,@rolename=N’sysadmin’ sp_dropsrvrolemember用于删除角色： EXEC sys.sp_dropsrvrolemember @loginname=N’PYW\LIN’,@rolename=N’sysadmin’ * 用户 在SQL Server 2008中，用户和登录名是两个较易于发生混淆的概念。其实，理清了用户与登录名在SQL Server访问数据库的顺序，就能区别这两个概念了。如果客户端具有一个登录名，那么只能使用该登录名登录到SQL Server服务器。此时，SQL Server将通过系统视图sys.sql_logins或sys.server_principals查找相应登录名及其对应数据库等信息。如下SQL语句将查询当前SQL Server实例中登录名的信息。 * 用户 USE master GO SELECT name,type_desc,is_disabled,default_database_name,default_language_name FROM sys.server_principals * 用户 在使用登录名登录到SQL Server后，SQL Server将通过系统视图sys.database_principals查找访问特定数据库的用户。如果特定的数据库没有指定相应的用户，那么SQL Server视图将以guest用户的身份访问数据库。如下SQL语句将查询当前数据库中的用户信息： USE database_demo GO SELECT name,type_desc,default_schema_name FROM sys.database_principals * 用户 总之，在不同的数据库中，都可以基于一个登录名来创建一个用户。也就是说，一个登录名可以被多个数据库的用户名使用。但是在同一个数据库中，一个用户只能对应一个登录名。 * 权限 在SQL Server中，对于数据库的操作是基于权限进行的。也就是说，如果没有权限，那么相应的操作将失败。所谓权限，是指数据库用户对数据库对象操作的能力或限制。SQL Server中的权限一般表现在用户的权限上。 * 安全对象 所谓安全对象，是指影响到SQL Server安全性的数据库对象。在SQL Server 2008中，安全对象是能够被SQL Server所控制的最小单位。通过对安全对象的控制，SQL Server限制了数据库对象对资源的访问和占用，也就限制了用户对SQL Server资源的使用。在SQL Server 2008中，按照范围来分安全对象的范围，可分为服务器、数据库、架构。 * 安全对象 服务器范围内的安全对象：端点、登录帐户、数据库； 数据库范围内的安全对象：用户、角色、应用系统角色、程序集、非对称密钥、对称密钥和架构等； 架构范围内的安全对象：类型、XML架构集合、对象。其中对象包括：聚合、约束、函数、过程、队列、统计信息、同义词、表和视图等。显然，架构内的安全对象是最常用、最重要的。 * 权限 在SQL Server 2008中，会碰到有很多的权限。为了使用户便于记忆和理解，这里先介绍权限的命名规则和一些常用的约定。 CONTROL：被授予CONTROL权限的用户对安全对象具有所有的权限。因为SQL Server安全权限是分层和继承的，所以具有CONTROL权限的用户对该安全对象内其他所有安全对象都具有CONTROL权限。 ALTER：授予ALTER权限的用户对安全对象具有更改的权限。 * 权限 TAKE OWNERSHIP：被授予TAKE OWNERSHIP的用户将获得安全对象的所有权。 CREATE：被授予CREATE权限的用户具有创建安全对象的权限。 * 操作权限 上面介绍了安