第9章 SQL Server的權限管理與代理服務

1、第第9章章 SQL Server的權限管理與代理服務的權限管理與代理服務本章內容：本章內容：SQL Server 2000的安全機制的安全機制 ；創(chuàng)建和管理登錄賬戶；創(chuàng)建和管理登錄賬戶；數(shù)據(jù)庫用戶的管理；數(shù)據(jù)庫用戶的管理；權限的概念及管理；權限的概念及管理；角色的管理；角色的管理；SQL Server的的代理服務與作業(yè)；代理服務與作業(yè)；9.1 SQL Server 2000的安全機制的安全機制 SQL Server 2000 的安全性管理是建立在認證（authentication）和訪問許可（permission）兩者機制上的。 在SQL Server 的安全模型中包括以下幾部分：SQL Se

2、rver 登錄數(shù)據(jù)庫用戶權限角色 9.1.1 SQL Server 登錄認證簡介登錄認證簡介 1.WINDOWS 認證模式 2. NT 作為網絡操作系統(tǒng)本身就具備管理登錄驗證用戶合法性的能力，所以WINDOWS 認證模式正是利用這一用戶安全性和賬號管理的機制允許SQLServer 也可以使用NT 的用戶名和口令。在該模式下，用戶只要通過WINDOWS 的認證就可連接到SQL Server ，而SQL Server 本身也沒有必要管理一套登錄數(shù)據(jù)。 3.2. 混合認證模式 4. 在混合認證模式下WINDOWS 認證和SQL Server 認證這兩種認證模式都是可用的，NT 的用戶既可以使用NT

3、認證，也可以使用SQL Server 認證 9.1.2 SQL Server認證模式設置認證模式設置 9.2 管理管理SQL Server 登錄登錄 9.2.1 用企業(yè)管理器管理用企業(yè)管理器管理SQL Server 登錄登錄 9.2.2 使用使用TSQL管理管理SQL Server登錄登錄 1 sp_addlogin創(chuàng)建新的使用SQL Server 認證模式的登錄賬號，其語法格式為： sp_addlogin 登錄名稱登錄名稱，登錄密碼登錄密碼，默認默認數(shù)據(jù)庫數(shù)據(jù)庫，默認語言默認語言 2sp_droploginSQL Server 中刪除該登錄賬號，禁止其訪問SQL Server 其語法格式為：

4、 sp_droplogin 登錄名稱登錄名稱 3. sp_grantlogin設定一WINDOWS NT 用戶或用戶組為SQL Server 登錄者，其語法格式為: sp_grantlogin 登錄名稱登錄名稱 4. sp_denylogin拒絕某一NT 用戶或用戶組連接到SQL Server ,其命令格式為： sp_grantlogin 登錄名稱登錄名稱 5. sp_revokelogin用來刪除NT 用戶或用戶組在SQL Server 上的登錄信息，其語法格式為： sp_revokelogin 登錄名稱登錄名稱 6. sp_helploginssp_helplogins 用來顯示SQL S

5、erver 所有登錄者的信息，包括每一個數(shù)據(jù)庫里與該登錄者相對應的用戶名稱。其語法格式為： sp_helplogins 登錄名稱登錄名稱 9.3 數(shù)據(jù)庫的用戶數(shù)據(jù)庫的用戶 9.3.1 數(shù)據(jù)庫用戶簡介數(shù)據(jù)庫用戶簡介 數(shù)據(jù)庫用戶用來指出哪一個人可以訪問哪一個數(shù)據(jù)庫。在一個數(shù)據(jù)庫中用戶ID惟一標識一個用戶，用戶對數(shù)據(jù)的訪問權限以及對數(shù)據(jù)庫對象的所有關系都是通過用戶賬號來控制的。用戶賬號總是基于數(shù)據(jù)庫的，即兩個不同數(shù)據(jù)庫中可以有兩個相同的用戶賬號。 9.3.2 管理數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶 1利用企業(yè)管理器管理數(shù)據(jù)庫用戶 2利用系統(tǒng)過程管理數(shù)據(jù)庫用戶 （1） 創(chuàng)建新數(shù)據(jù)庫用戶 其語法格式為： sp_s

6、p_grantdbaccessgrantdbaccess 登錄賬號名稱登錄賬號名稱， 用戶賬號用戶賬號名稱名稱 （2） 刪除數(shù)據(jù)庫用戶 語法格式為： sp_sp_revokedbaccessrevokedbaccess 用戶賬號名稱用戶賬號名稱 （3） 查看數(shù)據(jù)庫用戶信息語法格式為： sp_sp_helpuserhelpuser 用戶賬號名稱用戶賬號名稱 9.4 權限管理權限管理 9.4.1 權限管理簡介權限管理簡介 1對象權限 對 象操 作表SELECT INSERT UPDATE DELETE REFERENCE視圖SELECT UPDATE INSERT DELETE存儲過程EXECUT

7、E列SELECT UPDATE2語句權限 語句權限主要指用戶是否具有權限來執(zhí)行某一語句，這些語句通常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫、表、存儲過程等。l GRANT 用來把權限授予某一用戶，以允許該用戶執(zhí)行針對該對象的操作（如UPDATE、SELECT、DELETE、EXECUTE）或允許其運行某些語句（如CREATE TABLE、CRETAE DATABASE）；l REVOKE 取消用戶對某一對象或語句的權限，這些權限是經過GRANT 語句授予的不允許該用戶執(zhí)行針對數(shù)據(jù)庫對象的某些操作（如UPDATE、SELECT、DELETE、EXECUTE）或不允許其運行某些語句（如CREATE

8、TABLE、CREATE DATABASE DENY 用來禁止用戶對某一對象或語句的權限，明確禁止其對某一用戶對象執(zhí)行某些操作（如UPDATE、SELECT、DELETE、EXECUTE）或運行某些語句（如CREATE TABLE、CREATE DATABASE）。 管理語句權限命令的語法規(guī)則如下： GRANT GRANT 語句名稱語句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬戶名稱 , ,nn DENY DENY 語句名稱語句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬戶名稱 , ,nn REVOKE REVOKE 語句名稱語句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬

9、戶名稱 , ,nn 管理對象權限的語法命令如下 ： GRANT GRANT 權限名稱權限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲過程名存儲過程名 TO TO 用戶賬戶名稱用戶賬戶名稱 DENY DENY 權限名稱權限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲過程名存儲過程名 TO TO 用戶賬戶名稱用戶賬戶名稱 REVOKE REVOKE 權限名稱權限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲過程存儲過程名名 FROM FROM 用戶賬戶名稱用戶賬戶名稱 9.4.2 利用企業(yè)管理器管理權限利用企業(yè)管理器管理權限 1

10、面向單一用戶的權限設置 2面向數(shù)據(jù)庫對象的權限設置 9.5角色管理角色管理 9.5.1 角色管理簡介角色管理簡介 在SQL Server 中主要有兩種角色類型：服務器角色與數(shù)據(jù)庫角色。 1服務器角色 服務器角色是指根據(jù)SQL Server 的管理任務，以及這些任務相對的重要性等級，來把具有SQL Server 管理職能的用戶劃分成不同的用戶組，每一組所具有管理SQL Server的權限已被預定義服務器角色，適用在服務器范圍內并且其權限不能被修改。 2數(shù)據(jù)庫角色 SQL Server 提供了兩種數(shù)據(jù)庫角色：類型預定義的數(shù)據(jù)庫角色；用戶自定義的數(shù)據(jù)庫角色。 1）預定義數(shù)據(jù)庫角色 預定義數(shù)據(jù)庫角色是

11、指這些角色所有具有的管理、訪問數(shù)據(jù)庫權限已被SQL Server定義，并且SQL Server 管理者不能對其所具有的權限進行任何修改。 2）用戶自定義的數(shù)據(jù)庫角色 9.5.2 角色的管理角色的管理 1管理服務器角色 使用企業(yè)管理器查看服務器角色 使用存儲過程管理服務器角色 sp_sp_addsrvrolememberaddsrvrolemember 是將某一登錄加入到服務器角色內，使其成為該角色的成員。其語法格式為： sp_sp_addsrvrolememberaddsrvrolemember 登錄者名稱登錄者名稱 ， 服務器角色服務器角色 sp_sp_dropsrvrrolememberd

12、ropsrvrrolemember 用來將某一登錄者從某一服務器角色中刪除，當該成員從服務器角色中被刪除后，便不再具有該服務器角色所設置的權限。其語法格式為： sp_sp_dropsrvrolememberdropsrvrolemember 登錄者名稱登錄者名稱 ， 服務器角色服務器角色 2、管理數(shù)據(jù)庫角色 使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫角色 使用存儲過程管理數(shù)據(jù)庫角色使用存儲過程管理數(shù)據(jù)庫角色 sp_sp_addrole addrole 系統(tǒng)存儲過程是用來創(chuàng)建新數(shù)據(jù)庫角色。語法格式為：系統(tǒng)存儲過程是用來創(chuàng)建新數(shù)據(jù)庫角色。語法格式為： sp_sp_addroleaddrole 要創(chuàng)建的數(shù)據(jù)庫角色名稱

13、要創(chuàng)建的數(shù)據(jù)庫角色名稱 ， 數(shù)據(jù)庫角色的所有者數(shù)據(jù)庫角色的所有者 sp_sp_droprole droprole 用來刪除數(shù)據(jù)庫中某一自定義的數(shù)據(jù)庫角色，其語法用來刪除數(shù)據(jù)庫中某一自定義的數(shù)據(jù)庫角色，其語法格式為：格式為： sp_sp_droproledroprole 要刪除的數(shù)據(jù)庫角色名稱要刪除的數(shù)據(jù)庫角色名稱 sp_sp_helprole helprole 用來顯示當前數(shù)據(jù)庫所有的數(shù)據(jù)庫角色的全部信息，用來顯示當前數(shù)據(jù)庫所有的數(shù)據(jù)庫角色的全部信息，其語法格式為：其語法格式為： sp_sp_helprolehelprole 預定義的數(shù)據(jù)庫角色預定義的數(shù)據(jù)庫角色 sp_sp_addroleme

14、mber addrolemember 用來向數(shù)據(jù)庫某一角色中添加數(shù)據(jù)庫用戶，這些用來向數(shù)據(jù)庫某一角色中添加數(shù)據(jù)庫用戶，這些角色可是用戶自定義的標準角色，也可以是預定義的數(shù)據(jù)庫角色，角色可是用戶自定義的標準角色，也可以是預定義的數(shù)據(jù)庫角色，但不能是應用角色。其語法格式為：但不能是應用角色。其語法格式為： sp_sp_addrolememberaddrolemember 數(shù)據(jù)庫角色數(shù)據(jù)庫角色 ， 數(shù)據(jù)庫用戶角色或數(shù)據(jù)庫用戶角色或NT NT 用戶用戶或用戶組或用戶組 9.6 配置配置SQL Server代理服務代理服務 SQL Server 代理服務是一個任務規(guī)劃器和警報管理器，負責SQL Serv

15、er中的自動化工作。代理以Windows服務形式運行，負責執(zhí)行安排的任務。在實際應用環(huán)境下，通過它可以將那些周期性的活動定義成一個任務，而讓其在SQLServer 代理幫助下自動運行。系統(tǒng)管理員還可以利用SQL Server 代理通知一些警告信息來定位出現(xiàn)的問題，從而提高管理效率。SQL Server Agent 主要包括以下幾個組件：作業(yè)、警報和操作。 9.7 定義操作員 操作員是指接收由SQL Server 代理發(fā)送來的消息的對象。在SQL Server 中可以通過郵件尋呼或網絡傳送來把警報消息通知給操作員，從而讓其了解系統(tǒng)處于哪種狀態(tài)或發(fā)生了什么事件。 9.8 作業(yè)作業(yè) 作業(yè)是指被定義的多步執(zhí)行的任務，每一步都是可能執(zhí)行的T-SQL 語句代表一個任務作業(yè)。是典型的規(guī)劃任務和自動執(zhí)行任務，數(shù)據(jù)庫的備份和恢復，數(shù)據(jù)的復制，數(shù)據(jù)的導入/導出等都可以被定義成作業(yè)，然后在規(guī)劃的時間由SQL Server 代理來自動完成。 9.9 警報警報 在SQL Server 中通過警報管理器定義警報，當某些特定的事件發(fā)生時會自動報警。當警報被觸發(fā)時，通過電子郵件或尋呼通知操作員，從而讓操作員了解系統(tǒng)中發(fā)生了什么事件，比如，數(shù)據(jù)庫使用空間不夠了，或