课件：八数据库系统的安全性管理.pptVIP

2005年9月 第*页 8.4.2权限的管理 权限的管理包含如下三个内容； 授予权限（GRANT）：允许用户或角色具有某种操作权。 收回权限（REVOKE）：不允许用户或角色具有某种操作权，或者收回曾经授予的权限。 拒绝访问（DENY）：拒绝某用户或角色具有某种操作权，既使用户或角色由于继承而获得这种操作权，也不允许执行相应的操作。 THANK YOU SUCCESS * * 可编辑 2005年9月 第*页 1．使用企业管理器管理对象权限 2005年9月 第*页 2．使用企业管理器管理语句权限 2005年9月 第*页 8.5 管理角色 具有相同权限的用户就称为角色。 角色分为： 系统预定义的固定角色 用户根据自己的需要定义的用户角色 系统角色又根据其作用范围的不同而被分为： 固定的服务器角色，是为整个服务器设置的 固定的数据库角色，是为具体的数据库设置的。 2005年9月 第*页 8.5.1 固定的服务器角色 固定服务器角色 描述 sysadmin 在 SQL Server 中进行任何活动。该角色的权限跨越所有其它固定服务器角色。 serveradmin 配置服务器范围的设置。 setupadmin 添加和删除链接服务器，并执行某些系统存储过程（如sp_serveroption）。 securityadmin 管理服务器登录。 processadmin 管理在 SQL Server 实例中运行的进程。 dbcreator 创建和改变数据库。 diskadmin 管理磁盘文件。 bulkadmin 执行 BULK INSERT 语句 2005年9月 第*页 1．查看固定的服务器角色 2005年9月 第*页 2．添加固定的服务器角色的成员 2005年9月 第*页 8.5.2 固定的数据库角色 固定数据库角色 描述 db_owner 进行所有数据库角色的活动，以及数据库中的其它维护和配置活动。该角色的权限跨越所有其它固定数据库角色。 db_accessadmin 在数据库中添加或删除 Windows NT 4.0 或 Windows 2000 组和用户以及 SQL Server 用户。 db_datareader 查看来自数据库中所有用户表的全部数据。 db_datawriter 添加、更改或删除来自数据库中所有用户表的数据。 db_ddladmin 添加、修改或除去数据库中的对象（运行所有 DDL）。 db_securityadmin 管理 SQL Server 2000 数据库角色的角色和成员，并管理数据库中的语句和对象权限。 db_backupoperator 有备份数据库的权限。 db_denydatareader 拒绝选择数据库数据的权限。 db_denydatawriter 拒绝更改数据库数据的权限。 2005年9月 第*页 8.5.3 用户自定义角色 为某些数据库用户设置相同的权限，但这些权限不等同于预定义的数据库角色所具有的权限。 用户自定义的数据库角色具有以下几个优点： SQL Server 数据库角色可以包含NT 用户组或用户； 在同一数据库中用户可以具有多个不同的自定义角色，这种角色的组合是自由的，而不仅仅是public 与其它一种角色的结合； 角色可以进行嵌套，从而在数据库实现不同级别的安全性。 2005年9月 第*页 用户定义的数据库角色有两种类型 标准角色 它通过对用户权限等级的认定而将用户划分为不同的用户组，使用户总是相对于一个或多个角色，从而实现管理的安全性。 应用程序角色 让某些用户只能通过特定的应用程序间接地存取数据库中的数据（比如通过Microsoft Excel） 而不是直接地存取数据库数据时，我们就应该考虑使用应用程序角色。 2005年9月 第*页 1．创建用户自定义的角色 2005年9月 第*页 2．为用户定义的角色授权 2005年9月 第*页 8.6 SQL Server安全性管理的途径 使用视图作为安全机制 使用存储过程作为安全机制 2005年9月 第*页 8.6.1 使用视图作为安全机制 1．使用行级、列级别安全性的视图 例8-1： 在该例中某一销售点只能查看它自己的销售信息。我们使用pubs 数据库中的sales 表。 首先创建视图： USE pubs CREATE VIEW vwSpecificsale AS SELECT ord_num, ord_date, qty, payterms, title_id FROM sales WHERE stor_id = ‘7067’ 当执行SELECT * FROM vwSpecificsale时只显示stor_id = ‘7067’的部分数据，把其他的数据屏蔽了，来保证其他数