數(shù)據(jù)庫的安全管理培訓教材(共58頁).ppt

1、第第12章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 本章內(nèi)容本章內(nèi)容12.1 事務事務12.2 SQL Server 的平安機制的平安機制12.3 SQL Server 的權限管理的權限管理12.1 事務事務第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 12.1.1 事務特性事務特性12.1.2 事務管理事務管理12.1 事務事務第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 事務是作為單個邏輯工作單元執(zhí)行的一系列事務是作為單個邏輯工作單元執(zhí)行的一系列操作。事務處理可以確保只有在事務性單元內(nèi)的操作。事務處理可以確保只有在事務性單元內(nèi)的所有操作都成功完成的情況下，才會永久更新面所有操作都成

2、功完成的情況下，才會永久更新面向數(shù)據(jù)的資源。通過將一組相關操作組合為一個向數(shù)據(jù)的資源。通過將一組相關操作組合為一個或者全部成功或者全部失敗的單元，可以簡化錯或者全部成功或者全部失敗的單元，可以簡化錯誤恢復并使應用程序更加可靠。誤恢復并使應用程序更加可靠。12.1.1 事務特性事務特性第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 每一個事務都具有原子性、一致性、隔離性和持久每一個事務都具有原子性、一致性、隔離性和持久性，也稱為事務的性，也稱為事務的ACID屬性。屬性。(1)原子性原子性(2)一致性一致性(3)隔離性隔離性(4)持久性持久性12.1.1 事務管理事務管理第第1111章章 數(shù)據(jù)

3、庫的平安管理數(shù)據(jù)庫的平安管理 應用程序主要通過指定事務啟動和結束的時應用程序主要通過指定事務啟動和結束的時間來控制事務?？梢允褂瞄g來控制事務?？梢允褂肨ransact-SQL語句或數(shù)語句或數(shù)據(jù)庫應用程序編程接口據(jù)庫應用程序編程接口(API)函數(shù)來指定這些時間。函數(shù)來指定這些時間。系統(tǒng)還必須能夠正確處理那些在事務完成之前便系統(tǒng)還必須能夠正確處理那些在事務完成之前便終止事務的錯誤終止事務的錯誤1. 事務類型事務類型第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 在在SQL Server中有三種事務類型，分別是隱式事務、中有三種事務類型，分別是隱式事務、顯式事務、自動提交事務，缺省為自動提交。顯

4、式事務、自動提交事務，缺省為自動提交。(1)自動提交事務自動提交事務自動提交事務是指對于用戶發(fā)出的每條自動提交事務是指對于用戶發(fā)出的每條Transact-SQL語句，語句，SQL Server都會自動開始都會自動開始一個一個SQL Server事務，并且在執(zhí)行后自動進行提事務，并且在執(zhí)行后自動進行提交操作來完成這個事務，也可以說在這種事務模交操作來完成這個事務，也可以說在這種事務模式下，一個式下，一個Transact-SQL語句就是一個事務。語句就是一個事務。第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 (2)顯式事務顯式事務顯式事務是指在自動提交模式下以顯式事務是指在自動提交模式下以B

5、EGIN TRANSACTION開始一個開始一個SQL Server事務，以事務，以COMMIT或或ROLLBACK結束一個結束一個SQL Server事事務，以務，以Commit結束事務是把結束事務是把SQL Server事務中的事務中的修改永久化，即使這時發(fā)生斷電這樣的故障。修改永久化，即使這時發(fā)生斷電這樣的故障。(3)隱式事務隱式事務隱式事務是指在當前會話中用隱式事務是指在當前會話中用SET IMPLICIT_TRANSACTIONS ON命令設置的事命令設置的事務類型，這時任何務類型，這時任何DML語句語句(DELETE、UPDATE、INSERT)都會開始一個事務，而事務都會開始一個

6、事務，而事務的結束也是用的結束也是用COMMIT或或ROLLBACK。2. 啟動和技術事務啟動和技術事務第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 使用使用API函數(shù)和函數(shù)和Transact-SQL語句，可以在語句，可以在SQL Server Database Engine實例中將事務作為顯式、自動提實例中將事務作為顯式、自動提交或隱式事務啟動和結束。交或隱式事務啟動和結束。(1)顯式事務顯式事務顯式事務就是可以顯式地在其中定義事務的開始和結束顯式事務就是可以顯式地在其中定義事務的開始和結束的事務。的事務。BEGIN TRANSACTION:標記顯式連接事務的起始點。標記顯式連接事務的

7、起始點。COMMIT TRANSACTION或或COMMIT WORK:如果沒有如果沒有遇到錯誤，可使用該語句成功地結束事務遇到錯誤，可使用該語句成功地結束事務ROLLBACK TRANSACTION或或ROLLBACK WORK:用用來去除遇到錯誤的事務。來去除遇到錯誤的事務。(2)自動提交模式自動提交模式第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 自動提交模式是自動提交模式是SQL Server Database Engine的默認事務管理模式。每個的默認事務管理模式。每個Transact-SQL語句在語句在完成時，都被提交或回滾。如果一個語句成功地完成時，都被提交或回滾。如果一個

8、語句成功地完成，那么提交該語句；如果遇到錯誤，那么回完成，那么提交該語句；如果遇到錯誤，那么回滾該語句。只要沒有顯式事務或隱式事務覆蓋自滾該語句。只要沒有顯式事務或隱式事務覆蓋自動提交模式，與數(shù)據(jù)庫引擎實例的連接就以此默動提交模式，與數(shù)據(jù)庫引擎實例的連接就以此默認模式操作。認模式操作。(3)隱式事務隱式事務第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 當連接以隱式事務模式進行操作時，當連接以隱式事務模式進行操作時，SQL Server Database Engine實例將在提交或回滾當前實例將在提交或回滾當前事務后自動啟動新事務。無需描述事務的開始，事務后自動啟動新事務。無需描述事務的開

9、始，只需提交或回滾每個事務。隱式事務模式生成連只需提交或回滾每個事務。隱式事務模式生成連續(xù)的事務鏈。續(xù)的事務鏈。3. 事務處理過程中的錯誤事務處理過程中的錯誤第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 如果某個錯誤使事務無法成功完成，如果某個錯誤使事務無法成功完成，SQL Server會自動回滾該事務，并釋放該事務占用的會自動回滾該事務，并釋放該事務占用的所有資源。如果客戶端與數(shù)據(jù)庫引擎實例的網(wǎng)絡所有資源。如果客戶端與數(shù)據(jù)庫引擎實例的網(wǎng)絡連接中斷了，那么當網(wǎng)絡向實例通知該中斷后，連接中斷了，那么當網(wǎng)絡向實例通知該中斷后，該連接的所有未完成事務均會被回滾。如果客戶該連接的所有未完成事務均

10、會被回滾。如果客戶端應用程序失敗或客戶機崩潰或重新啟動，也會端應用程序失敗或客戶機崩潰或重新啟動，也會中斷連接，而且當網(wǎng)絡向數(shù)據(jù)庫引擎實例通知該中斷連接，而且當網(wǎng)絡向數(shù)據(jù)庫引擎實例通知該中斷后，該實例會回滾所有未完成的連接。如果中斷后，該實例會回滾所有未完成的連接。如果客戶端從該應用程序注銷，所有未完成的事務也客戶端從該應用程序注銷，所有未完成的事務也會被回滾。會被回滾。12.2 SQL Server 的平安機制的平安機制第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 12.2.1 平安機制級別平安機制級別12.2.2 主體主體12.2.3 SQL Server中的身份驗證中的身份驗證12

11、.2.4 數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶12.2.5 角色角色12.2.1 平安機制級別平安機制級別第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 SQL Server 2005的平安機制分為四級，其中的平安機制分為四級，其中第一層和第二層屬于驗證過程，第三層和第四層第一層和第二層屬于驗證過程，第三層和第四層屬于授權過程屬于授權過程12.2.2 主體主體第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 主體是指可以請求主體是指可以請求SQL Server資源的個體、資源的個體、組和過程。與組和過程。與SQL Server授權模型的其他組件一授權模型的其他組件一樣，主體也可以按層次結構排列。樣，主體

12、也可以按層次結構排列。各級別的主體包含的內(nèi)容如下。各級別的主體包含的內(nèi)容如下。12.2.3 SQL Server中的身份驗證中的身份驗證11.1 SQL Server 11.1 SQL Server 的平安機制的平安機制nSQL Server的平安性管理是建立在身份驗證和訪的平安性管理是建立在身份驗證和訪問許可兩者機制上的。問許可兩者機制上的。n身份驗證是確定登錄身份驗證是確定登錄SQL Server的用戶的登錄賬的用戶的登錄賬號和密碼是否正確，以此來驗證其是否具有連接號和密碼是否正確，以此來驗證其是否具有連接SQL Server的權限。的權限。n通過認證的用戶必須獲取訪問數(shù)據(jù)庫的權限，才通過

13、認證的用戶必須獲取訪問數(shù)據(jù)庫的權限，才能對數(shù)據(jù)庫進行權限許可下的操作。能對數(shù)據(jù)庫進行權限許可下的操作。1. SQL Server身份驗證模式類型身份驗證模式類型 11.1.1 11.1.1 身份驗證身份驗證(1)Windows身份驗證模式身份驗證模式該模式使用該模式使用Windows操作系統(tǒng)的平安機制驗操作系統(tǒng)的平安機制驗證用戶身份，只要用戶能夠通過證用戶身份，只要用戶能夠通過Windows用戶賬號驗證，即可連接到用戶賬號驗證，即可連接到SQL Server而而不再進行身份驗證。不再進行身份驗證。這種模式只適用于能夠提供有效身份驗證的這種模式只適用于能夠提供有效身份驗證的Windows操作系統(tǒng)

14、。操作系統(tǒng)。 (2)混合身份驗證模式混合身份驗證模式11.1.1 11.1.1 身份驗證身份驗證n在該模式下，在該模式下，Windows身份驗證和身份驗證和SQL server驗證兩種模式都可用。對于可信任連驗證兩種模式都可用。對于可信任連接用戶接用戶(由由Windows驗證驗證)，系統(tǒng)直接采用，系統(tǒng)直接采用Windows的身份驗證機制，否那么的身份驗證機制，否那么SQL Server將通過賬號的存在性和密碼的匹配性將通過賬號的存在性和密碼的匹配性自行進行驗證，即采用自行進行驗證，即采用SQL Server身份驗身份驗證模式。證模式。 2 身份驗證模式的設置身份驗證模式的設置 11.1.1 1

15、1.1.1 身份驗證身份驗證n在該模式下，在該模式下，Windows身份驗證和身份驗證和SQL server驗證兩種模式都可用。對于可信任連驗證兩種模式都可用。對于可信任連接用戶接用戶(由由Windows驗證驗證)，系統(tǒng)直接采用，系統(tǒng)直接采用Windows的身份驗證機制，否那么的身份驗證機制，否那么SQL Server將通過賬號的存在性和密碼的匹配性將通過賬號的存在性和密碼的匹配性自行進行驗證，即采用自行進行驗證，即采用SQL Server身份驗身份驗證模式。證模式。 身份驗證內(nèi)容身份驗證內(nèi)容11.1.1 11.1.1 身份驗證身份驗證n包括確認用戶的賬號是否有效、能否訪問包括確認用戶的賬號是

16、否有效、能否訪問系統(tǒng)、能訪問系統(tǒng)的哪些數(shù)據(jù)庫。系統(tǒng)、能訪問系統(tǒng)的哪些數(shù)據(jù)庫。11.1.2 身份驗證模式的設置身份驗證模式的設置 11.1 SQL Server 11.1 SQL Server 的平安機制的平安機制1.方法一：翻開方法一：翻開SQL Server管管理平臺，在理平臺，在“已注冊的效勞已注冊的效勞器子窗口中設置驗證模式。器子窗口中設置驗證模式。n2方法二方法二n在在SQL Server管理平臺的對管理平臺的對象資源管理器象資源管理器中，右鍵單擊中，右鍵單擊效勞器，在彈效勞器，在彈出的快捷菜單出的快捷菜單中選擇中選擇“屬性，屬性，翻開如下圖的翻開如下圖的“效勞器屬性效勞器屬性窗口。窗

17、口。11.1.2 11.1.2 身份驗證模式的設置身份驗證模式的設置11.2 11.2 登錄賬號管理登錄賬號管理3. 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶n創(chuàng)立登錄賬戶的方法有兩種：創(chuàng)立登錄賬戶的方法有兩種：n一種是從一種是從Windows用戶或組中創(chuàng)立登錄賬用戶或組中創(chuàng)立登錄賬戶戶n一種是創(chuàng)立新的一種是創(chuàng)立新的SQL Server登錄賬戶。登錄賬戶。11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶1. 通過通過Windows身份驗證創(chuàng)立登錄身份驗證創(chuàng)立登錄 (1)創(chuàng)立創(chuàng)立Windows用戶用戶以管理員身份登錄到以管理員身份登錄到Windows 2003，選擇，選擇“開始開始程序程序管理工管理工具具計

18、算機管理選計算機管理選項項 。 11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶展開展開“本地用戶和組文件本地用戶和組文件夾，選擇夾，選擇“用戶圖標，單用戶圖標，單擊鼠標右鍵，在快捷菜單擊鼠標右鍵，在快捷菜單中選擇中選擇“新用戶項，翻開新用戶項，翻開“新用戶對話框，輸入用新用戶對話框，輸入用戶名、密碼，單擊戶名、密碼，單擊“創(chuàng)立創(chuàng)立按鈕，然后單擊按鈕，然后單擊“關閉按關閉按鈕完成創(chuàng)立。鈕完成創(chuàng)立。11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶(2)使用企業(yè)管理器將使用企業(yè)管理器將Windows 2003賬號參加賬號參加到到SQL Server中，創(chuàng)立中，創(chuàng)立SQL Server登錄登

19、錄啟動啟動SQL Server管理平臺，在對象資源管管理平臺，在對象資源管理器中分別展開理器中分別展開“效勞器效勞器“平安性平安性“登錄名。登錄名。 右擊右擊“登錄名，在彈出的快捷菜單上選擇登錄名，在彈出的快捷菜單上選擇“新建登錄名，進行新建登錄名，進行“登錄名登錄名-新建對話新建對話框框 。11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶在在“登錄名登錄名-新建對新建對話框選擇話框選擇Windows驗驗證模式，登錄名通過證模式，登錄名通過單擊單擊“搜索按鈕自動搜索按鈕自動產(chǎn)生，單擊產(chǎn)生，單擊“搜索按搜索按鈕后出現(xiàn)鈕后出現(xiàn)“選擇用戶或選擇用戶或組對話框，在對象組對話框，在對象名稱框中直接輸

20、入名名稱框中直接輸入名稱或單擊稱或單擊“高級按鈕高級按鈕后查找用戶或組名稱后查找用戶或組名稱來完成輸入。來完成輸入。 11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶單擊單擊“確定按鈕，一確定按鈕，一個個Windows組或用戶組或用戶即可增加到即可增加到SQL Server登錄帳戶中去。登錄帳戶中去。 11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶對于已經(jīng)創(chuàng)立的對于已經(jīng)創(chuàng)立的Windows用戶或組，可以使用戶或組，可以使用系統(tǒng)存儲過程用系統(tǒng)存儲過程sp_grantlogin授予其登錄授予其登錄SQL Server的權限。的權限。n其語法格式如下：其語法格式如下：nsp_grantlo

21、gin loginame= login n其中，其中，loginame= login 為要添加為要添加的的Windows用戶或組的名稱，名稱格式為用戶或組的名稱，名稱格式為“域名域名計算機名計算機名用戶名。用戶名。11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶n如果使用混合驗證模式或不通過如果使用混合驗證模式或不通過Windows用戶或用戶組連接用戶或用戶組連接SQL Server，那么需要，那么需要在在SQL Server下創(chuàng)立用戶登錄權限，使用下創(chuàng)立用戶登錄權限，使用戶得以連接使用戶得以連接使用SQL Server身份驗證的身份驗證的SQL Server實例。實例。2. 創(chuàng)立創(chuàng)立SQ

22、L Server登錄登錄11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶 在在SQL Server管理平臺中創(chuàng)立管理平臺中創(chuàng)立SQL Server登錄帳戶的具體步驟類似于登錄帳戶的具體步驟類似于“將將Windows 2003帳帳號映射到號映射到SQL Server中的操作方法。中的操作方法。 只是要選擇只是要選擇SQL Server驗證模式，并輸入登驗證模式，并輸入登錄帳戶名稱、密碼及確認密碼。其他選項卡的設錄帳戶名稱、密碼及確認密碼。其他選項卡的設置操作類似，最后單擊置操作類似，最后單擊“確定按鈕，即增加了一確定按鈕，即增加了一個新的登錄帳戶。個新的登錄帳戶。 1使用SQL Server

23、管理平臺創(chuàng)立登錄帳戶 11.2.1 11.2.1 創(chuàng)立登錄賬戶創(chuàng)立登錄賬戶(2)使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_addlongin創(chuàng)立登錄創(chuàng)立登錄sp_addlogin語法格式如下：語法格式如下：sp_addlogin loginame= login, passwd= password , defdb= database, deflanguage= language , sid=sid, encryptopt= encryption_option 11.2 11.2 登錄賬號管理登錄賬號管理 4. 刪除登錄賬戶刪除登錄賬戶 當某一登錄帳戶不再使用時，應該將其刪除，以保證數(shù)據(jù)庫的平安性和保

24、密性。刪除登錄帳戶可以通過管理平臺和Transact-SQL語句來進行。 1使用SQL Server管理平臺刪除登錄 其操作步驟如下：1啟動SQL Server管理平臺，在對象資源管理器中分別展開“效勞器“平安性“登錄名。2在“登錄名詳細列表中鼠標右鍵單擊要刪除的用戶，在彈出的快捷菜單中選擇“刪除命令，確定刪除。 11.2 11.2 登錄賬號管理登錄賬號管理 n刪除登錄賬號有兩種形式：刪除Windows用戶或組登錄和刪除SQL Server登錄。(1)刪除刪除Windows用戶或組登錄用戶或組登錄sp_revokelogin的語法格式為：sp_revokelogin liginame=logi

25、n其中，liginame=login為Windows用戶或組的名稱。2. 使用使用Transact-SQL語句刪除登錄賬號語句刪除登錄賬號11.2 11.2 登錄賬號管理登錄賬號管理 n使用使用sp_droplogin可以刪除可以刪除SQL Server登錄。其登錄。其語法格式如下：語法格式如下：sp_droplogin loginame= loginn例例11-8 使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_droplogin刪除刪除SQL Server登錄賬號登錄賬號ZG001。EXEC sp_droplogin ZG001(2)刪除刪除SQL Server登錄登錄12.2.4 數(shù)據(jù)庫用戶的管理

26、數(shù)據(jù)庫用戶的管理 第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 1使用使用SQL Server管理平臺創(chuàng)立數(shù)據(jù)庫用管理平臺創(chuàng)立數(shù)據(jù)庫用戶戶 其操作步驟如下：其操作步驟如下：1翻開翻開SQL Server管理平臺，在其管理平臺，在其“對象對象資源管理器面板中依次展開資源管理器面板中依次展開“效勞器效勞器“數(shù)據(jù)庫數(shù)據(jù)庫“平安性節(jié)點。右擊選擇平安性節(jié)點。右擊選擇其下的其下的“用戶對象，在翻開的菜單中選擇用戶對象，在翻開的菜單中選擇“新建用戶命令，翻開的新建用戶命令，翻開的“數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶-新新建窗口。建窗口。 11.3 11.3 數(shù)據(jù)庫用戶的管理數(shù)據(jù)庫用戶的管理n2在翻開的“數(shù)據(jù)庫用戶-

27、新建窗口中，單擊“登錄名右邊的“命令可搜索登錄用戶或直接在文本框中輸入用戶的登錄名，在用戶名欄中輸入用戶名稱，用戶名可以與登錄名不一樣。n3在“此用戶擁有的架構和“數(shù)據(jù)庫角色成員身份區(qū)域選擇此用戶擁有的架構和參加的角色，選中角色名前的復選框即可。n4單擊“新建用戶窗口的“確定按鈕，數(shù)據(jù)庫用戶建立完成。 2. 使用系統(tǒng)存儲過程創(chuàng)立數(shù)據(jù)庫用戶使用系統(tǒng)存儲過程創(chuàng)立數(shù)據(jù)庫用戶nSQL Server使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_grantdbaccess為數(shù)據(jù)庫添加用戶，其語為數(shù)據(jù)庫添加用戶，其語法格式如下：法格式如下：sp_grantdbaccess loginame= login , nam

28、e_in_db= name_in_db OUTPUT11.3 11.3 數(shù)據(jù)庫用戶的管理數(shù)據(jù)庫用戶的管理12.2.5 角色角色 第第1111章章 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 1 效勞器角色效勞器角色2 數(shù)據(jù)庫角色數(shù)據(jù)庫角色應用程序角色應用程序角色角色是指為管理相同權限的用戶而設置的角色是指為管理相同權限的用戶而設置的用戶組，也就是說，同一角色下的用戶權用戶組，也就是說，同一角色下的用戶權限都是相同的。將一些用戶添加到具體某限都是相同的。將一些用戶添加到具體某種權限的角色中，權限在用戶成為角色成種權限的角色中，權限在用戶成為角色成員時自動生效。員時自動生效。 11.4 11.4 角色管理角

29、色管理1 效勞器角色效勞器角色效勞器角色具有一組固定的權限，作用域在效勞器角色具有一組固定的權限，作用域在效勞器范圍內(nèi)，是獨立于數(shù)據(jù)庫的管理特權分組，效勞器范圍內(nèi)，是獨立于數(shù)據(jù)庫的管理特權分組，主要實現(xiàn)主要實現(xiàn)SA、數(shù)據(jù)庫創(chuàng)立者及平安性管理員職能，、數(shù)據(jù)庫創(chuàng)立者及平安性管理員職能，且不能更改分配給它們的權限。且不能更改分配給它們的權限。 固定效勞器角色的作用域為效勞器范圍。固固定效勞器角色的作用域為效勞器范圍。固定效勞器角色的每個成員都可以向其所屬角色添定效勞器角色的每個成員都可以向其所屬角色添加其他登錄名。表加其他登錄名。表12.2列出了固定效勞器角色的列出了固定效勞器角色的名稱及權限。名稱

30、及權限。11.4.1 SQL Server11.4.1 SQL Server角色的類型角色的類型2. 數(shù)據(jù)庫角色數(shù)據(jù)庫角色n數(shù)據(jù)庫角色在數(shù)據(jù)庫級別上定義，提供數(shù)據(jù)庫層管理特權數(shù)據(jù)庫角色在數(shù)據(jù)庫級別上定義，提供數(shù)據(jù)庫層管理特權的分組，主要實現(xiàn)數(shù)據(jù)庫的訪問、備份與恢復及平安性等的分組，主要實現(xiàn)數(shù)據(jù)庫的訪問、備份與恢復及平安性等職能職能n數(shù)據(jù)庫角色分為固定數(shù)據(jù)庫角色和用戶定義的數(shù)據(jù)庫角色。數(shù)據(jù)庫角色分為固定數(shù)據(jù)庫角色和用戶定義的數(shù)據(jù)庫角色。固定數(shù)據(jù)庫角色不允許改變。用戶定義的數(shù)據(jù)庫角色只適固定數(shù)據(jù)庫角色不允許改變。用戶定義的數(shù)據(jù)庫角色只適用于數(shù)據(jù)庫級別，通過用戶定義的角色可以輕松地管理數(shù)用于數(shù)據(jù)庫級

31、別，通過用戶定義的角色可以輕松地管理數(shù)據(jù)庫中的權限。據(jù)庫中的權限。3 應用程序角色應用程序角色應用程序角色是一個數(shù)據(jù)庫主體，它使應應用程序角色是一個數(shù)據(jù)庫主體，它使應用程序能夠用其自身的、類似用戶的特權來用程序能夠用其自身的、類似用戶的特權來運行。管理平臺和系統(tǒng)存儲過程實現(xiàn)。運行。管理平臺和系統(tǒng)存儲過程實現(xiàn)。登錄、用戶、角色是登錄、用戶、角色是SQL Server 2005平安平安機制的根底。三者聯(lián)系如下：機制的根底。三者聯(lián)系如下：效勞器角色和登錄名相對應。效勞器角色和登錄名相對應。數(shù)據(jù)庫角色和用戶對應的，數(shù)據(jù)庫角色和用戶數(shù)據(jù)庫角色和用戶對應的，數(shù)據(jù)庫角色和用戶都是數(shù)據(jù)庫對象，定義和刪除時必須

32、選擇所都是數(shù)據(jù)庫對象，定義和刪除時必須選擇所屬的數(shù)據(jù)庫。屬的數(shù)據(jù)庫。一個數(shù)據(jù)庫角色中可以有多個用戶，一個用戶一個數(shù)據(jù)庫角色中可以有多個用戶，一個用戶也可以屬于多個數(shù)據(jù)庫角色也可以屬于多個數(shù)據(jù)庫角色11.4 11.4 角色管理角色管理11.4.4 11.4.4 用戶定義數(shù)據(jù)庫角色用戶定義數(shù)據(jù)庫角色1在在SQL Server管理平臺中添管理平臺中添加或刪除數(shù)據(jù)庫角色成員加或刪除數(shù)據(jù)庫角色成員 n方法一：在上面提到過的某數(shù)據(jù)庫角色的方法一：在上面提到過的某數(shù)據(jù)庫角色的“數(shù)據(jù)庫角色數(shù)據(jù)庫角色屬性對話框中，在屬性對話框中，在“常規(guī)選項卡上，右下角成員操常規(guī)選項卡上，右下角成員操作區(qū)，單擊作區(qū)，單擊“添加

33、或添加或“刪除按鈕實現(xiàn)操作。刪除按鈕實現(xiàn)操作。n方法二：通過方法二：通過“對象資源管理器對象資源管理器“數(shù)據(jù)庫效勞器數(shù)據(jù)庫效勞器“數(shù)據(jù)庫數(shù)據(jù)庫“某具體數(shù)據(jù)庫某具體數(shù)據(jù)庫“平安性平安性“用用戶戶“某具體用戶上單擊鼠標右鍵，在彈出的快捷某具體用戶上單擊鼠標右鍵，在彈出的快捷菜單項選擇擇菜單項選擇擇“屬性，出現(xiàn)屬性，出現(xiàn)“數(shù)據(jù)庫用戶對話框，數(shù)據(jù)庫用戶對話框，在右下角成員操作區(qū)，通過多項選擇按鈕直接實現(xiàn)為該在右下角成員操作區(qū)，通過多項選擇按鈕直接實現(xiàn)為該用戶從某個或某些數(shù)據(jù)庫角色中添加或刪除。用戶從某個或某些數(shù)據(jù)庫角色中添加或刪除。 12.3 SQL Server的權限管理的權限管理 第第1111章章

34、 數(shù)據(jù)庫的平安管理數(shù)據(jù)庫的平安管理 12.3.1 權限種類權限種類12.3.2 設置權限設置權限 11.5.1 權限類型權限類型11.5 11.5 權限管理權限管理n權限是指用戶對數(shù)據(jù)庫中對象的使用及操作的權權限是指用戶對數(shù)據(jù)庫中對象的使用及操作的權利，當用戶連接到利，當用戶連接到SQL Server實例后，該用戶要實例后，該用戶要進行的任何涉及修改數(shù)據(jù)庫或訪問數(shù)據(jù)的活動都進行的任何涉及修改數(shù)據(jù)庫或訪問數(shù)據(jù)的活動都必須具有相應的權限，也就是用戶可以執(zhí)行的操必須具有相應的權限，也就是用戶可以執(zhí)行的操作均由其被授予的權限決定。作均由其被授予的權限決定。nSQL Server中的權限包括中的權限包括

35、3種類型：對象權限、語種類型：對象權限、語言權限和隱含權限。言權限和隱含權限。1. 對象權限對象權限 11.5.1 11.5.1 權限的種類權限的種類n對象權限用于用戶對數(shù)據(jù)庫對象執(zhí)行操作對象權限用于用戶對數(shù)據(jù)庫對象執(zhí)行操作的權力，即處理數(shù)據(jù)或執(zhí)行存儲過程的權力，即處理數(shù)據(jù)或執(zhí)行存儲過程(INSERT、UPDATE、DELETE、EXECUTE等等)所需要的權限，這些數(shù)據(jù)庫所需要的權限，這些數(shù)據(jù)庫對象包括表、視圖、存儲過程。對象包括表、視圖、存儲過程。表表11-3 對象及作用的操作對象及作用的操作 11.5.1 11.5.1 權限的種類權限的種類對 象操 作表SELECT、INSERT、UPD

36、ATE、DELETE、REFERANCES視圖SELECT、INSERT、UPDATE、DELETE存儲過程EXECUTE列SELECT、UPDATE2. 語句權限語句權限n語句權限主要指用戶是否具有權限來執(zhí)行語句權限主要指用戶是否具有權限來執(zhí)行某一語句，這些語句通常是一些具有管理某一語句，這些語句通常是一些具有管理性的操作，如創(chuàng)立數(shù)據(jù)庫、表、存儲過程性的操作，如創(chuàng)立數(shù)據(jù)庫、表、存儲過程等。這種語句雖然也包含有操作等。這種語句雖然也包含有操作(如如CREATE)的對象，但這些對象在執(zhí)行該語的對象，但這些對象在執(zhí)行該語句之前并不存在于數(shù)據(jù)庫中，所以將其歸句之前并不存在于數(shù)據(jù)庫中，所以將其歸為語句

37、權限范疇。為語句權限范疇。 11.5.1 11.5.1 權限的種類權限的種類表11-4 語句權限及其作用 11.5.1 11.5.1 權限的種類權限的種類語 句作 用CREATE DATABASE創(chuàng)建數(shù)據(jù)庫CREATE TABLE在數(shù)據(jù)庫中創(chuàng)建表CREATE VIEW在數(shù)據(jù)庫中創(chuàng)建視圖CREATE DEFAULT在數(shù)據(jù)庫中創(chuàng)建默認對象CREATE PROCEDURE在數(shù)據(jù)庫中創(chuàng)建存儲過程CREATE RULE在數(shù)據(jù)庫中創(chuàng)建規(guī)則CREATE FUNCTION在數(shù)據(jù)庫中創(chuàng)建函數(shù)BACKUP DATABASE備份數(shù)據(jù)庫BACKUP LOG備份日志3. 隱含權限隱含權限n隱含權限是指系統(tǒng)自行預定義而不

38、需要授權就有隱含權限是指系統(tǒng)自行預定義而不需要授權就有的權限，包括固定效勞器角色、固定數(shù)據(jù)庫角色的權限，包括固定效勞器角色、固定數(shù)據(jù)庫角色和數(shù)據(jù)庫對象所有者所擁有的權限。和數(shù)據(jù)庫對象所有者所擁有的權限。n固定角色擁有確定的權限，例如固定效勞器角色固定角色擁有確定的權限，例如固定效勞器角色sysadmin擁有完成任何操作的全部權限，其成員擁有完成任何操作的全部權限，其成員自動繼承這個固定角色的全部權限。數(shù)據(jù)庫對象自動繼承這個固定角色的全部權限。數(shù)據(jù)庫對象所有者可以對所擁有的對象執(zhí)行一切活動，如查所有者可以對所擁有的對象執(zhí)行一切活動，如查看、添加或刪除數(shù)據(jù)等操作，也可以控制其他用看、添加或刪除數(shù)據(jù)

39、等操作，也可以控制其他用戶使用其所擁有的對象的權限。戶使用其所擁有的對象的權限。 11.5.1 11.5.1 權限的種類權限的種類12.3.2 設置權限設置權限1使用圖形工具設置用戶或使用圖形工具設置用戶或角色權限操作步驟如下：角色權限操作步驟如下：(1)授予或拒絕語句權限授予或拒絕語句權限1)連接到相應的連接到相應的Microsoft SQL Server Database Engine實例之后，在實例之后，在“對象對象資源管理器中，單擊效勞資源管理器中，單擊效勞器名稱，以展開效勞器樹。器名稱，以展開效勞器樹。2)展開展開“數(shù)據(jù)庫，右擊用戶數(shù)據(jù)庫，右擊用戶數(shù)據(jù)庫，如數(shù)據(jù)庫，如teaching

40、。3)在出現(xiàn)的快捷菜單中選擇在出現(xiàn)的快捷菜單中選擇“屬性，出現(xiàn)如圖屬性，出現(xiàn)如圖12.14所所示的示的“數(shù)據(jù)庫屬性數(shù)據(jù)庫屬性-teaching窗口。窗口。11.5 11.5 權限管理權限管理11.5.2 11.5.2 授予權限授予權限n(2)授予或拒絕對象權限授予或拒絕對象權限n1)連接到相應的連接到相應的Microsoft SQL Server Database Engine實例之后，在實例之后，在“對象對象資源管理器中，單擊效資源管理器中，單擊效勞器名稱以展開效勞器樹。勞器名稱以展開效勞器樹。n2)展開展開“數(shù)據(jù)庫，選擇用數(shù)據(jù)庫，選擇用戶數(shù)據(jù)庫，如戶數(shù)據(jù)庫，如teaching。展開用戶數(shù)據(jù)

41、庫及其下的展開用戶數(shù)據(jù)庫及其下的“表。表。n3)右擊要設置權限的表名，右擊要設置權限的表名，如如“s_c，出現(xiàn)如圖，出現(xiàn)如圖12.15所示的所示的“表屬性表屬性-s_c窗口。窗口。2.使用使用Transact-SQL命令設置用戶或角色權命令設置用戶或角色權限限(1)權限的授予權限的授予可以使用可以使用Transact-SQL命令命令GRANT將權限授予用將權限授予用戶，語法格式如下。戶，語法格式如下。GRANT ALL PRIVILEGES | permission ( column ,.,n ) ,.,n ON securable TO security_account ,.,n WITH GRANT OPTION 11.5.2 11.5.2 授予權限授予權限(2)權限的禁止權限的禁止禁止權限就是刪除以前授予用戶、組或角色禁止權限就是刪除以前授予用戶、組或角色的權限，禁止從其他角色繼承的權限，且確的權限，禁止從其他角色繼承的權限，且確保用戶、組或角色將來不繼承更高級別的組保用戶、組或角色將來不繼承更高級別的組或角色的權限。或角色的權