SQLServer安全管理总结.pptVIP

命令格式： GRANT | DENY | REVOKE {ALL|permission[…n]} {[列 | ON 表] |ON 存储过程名} |ON 扩展存储过程名} |ON 用户定义函数名} TO 帐户|角色|用户|组 命令说明： (1)GRANT、DENY、REVOKE分别表示允许、禁止或废除对象权限。 (2)ALL表示允许、禁止或废除所有适用的权限。只有sysadmin、db_owner成员及数据库拥有者有权使用ALL。 (3)permission表示允许、禁止或废除的对象权限。例如SELECT、INSERT等。 如将上例中的test用户禁止获得查询，插入，删除，修改的操作。 可使用如下SQL语句来实现： USE 学生库 GO DENY SELECT, INSERT,UPDATE,DELETE ON 学生成绩 TO test GO 这样就禁止了test用户的的所有权限。 注意：如果使用DENY命令拒绝某用户获得某项权限，即使该用户后来又加入了具有该项权限的某工作组或角色，则该用户将依然无法使用该项权限。例如test用户被拒绝（禁止）了SELECT, INSERT,UPDATE,DELETE权限，那么即使将来test用户成为角色techer_math的成员，而该角色具有所有的对象权限，那么test用户也无法使用这些权限。 2.使用T-SQL语句进行语句权限的管理 [实例8.18] 给数据库用户sqluser_02和赋予在数据库学生库中创建表和创建视图的权限。 命令格式： GRANT|DENYIREVOKE{ALL|statement[,...n]} TO [登录账户、数据库用户或角色] 命令说明： (1)GRANT、DENY、REVOKE分别表示允许、拒绝和废除语句权限的操作。 (2)ALL表示针对所有语句权限的设置，只有sysadmin成员有权使用ALL。 (3)statement表示被允许、拒绝或废除语句权限的语句，包括9个语句： CREATE DATABASE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE、CREATEVIEW、BACKUP DATABASE、BACKUP、LOG。 行语句权限管理时应该注意如下几点： (1)当在一个数据库中向Windows登录账户进行语句权限的赋权时，如果数据库中尚未为该账户设置数据库用户，则系统自动在数据库中为其建立一个与登录账户同名的数据库用户。如果数据库中已经为该账户建立了数据库用户，则授权时必须使用数据库用户名。 (2)当在一个数据库中向SQL登录账户进行语句权限的赋权时，必须使用该数据库中与登录账户对应的数据库用户名。 (3)进行CREATE DATABASE的授权必须在master数据库中进行。因此在master中必须有对应的用户、角色名称。 如对于上例，若废除sqluser_02用户的创建表和视图的权限，可用如下SQL语句实现： USE 学生库 GO RREVOKE CREATE TABLE，CREATE VIEW FROM sqluser_02 GO 这样就从用户sqluser_02中废除了创建表和视图的权限。 注意：执行了上面的语句后，用户sqluser_02就被废除了创建表和视图的权限。但是如果用户sqluser_02属于某个具有创建表和创建视图的角色（如techer_math）的成员时,则该用户仍具有创建表和视图的权限，因为它继承了角色techer_math的权限，这是和拒绝（禁止）权限不同的地方。 8.6本章总结 本章详细介绍了SQL Server 2000的安全管理体系，一共有四道关卡，每一道关卡都有其自己的要求。 (1)一个数据库用户必须有权登录操作系统，即该用户在Windows操作系统中具有登录账户。在这个前提条件下，才有可能进入SQLServer2000系统。 (2)一旦登录了操作系统，登录者还必须得到数据库系统的通行证——数据库服务器的登录账户，才具有数据库服务器的连接权或登录权。SQLServer2000只有在验证了指定的登录账户有效后，才完成连接。这种对登录账户的验证称为身份验证。对用户而言，登录SQL Server2000需要使用以下两类身份验证之一。 Windows身份验证：此种验证方式仅用于Windows2000Server／NT操作系统。在这种方式下，用户只要通过Windows 2000 Server／NT操作系统的登录验证，就可以连接到SQL Server2000数据库实例。 SQL Server