數(shù)據(jù)庫安全管理培訓(xùn)教材

1、數(shù)據(jù)庫安全管理培訓(xùn)教材本章內(nèi)容本章內(nèi)容12.1 事務(wù)事務(wù)12.2 SQL Server 的安全機(jī)制的安全機(jī)制12.3 SQL Server 的權(quán)限管理的權(quán)限管理12.1 事務(wù)事務(wù)第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 12.1.1 事務(wù)特性事務(wù)特性12.1.2 事務(wù)管理事務(wù)管理12.1 事務(wù)事務(wù)第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 事務(wù)是作為單個(gè)邏輯工作單元執(zhí)行的一系列操作。事務(wù)是作為單個(gè)邏輯工作單元執(zhí)行的一系列操作。事務(wù)處理可以確保只有在事務(wù)性單元內(nèi)的所有操作都成事務(wù)處理可以確保只有在事務(wù)性單元內(nèi)的所有操作都成功完成的情況下，才會(huì)永久更新面向數(shù)據(jù)的資源。通過功完成的

2、情況下，才會(huì)永久更新面向數(shù)據(jù)的資源。通過將一組相關(guān)操作組合為一個(gè)或者全部成功或者全部失敗將一組相關(guān)操作組合為一個(gè)或者全部成功或者全部失敗的單元，可以簡化錯(cuò)誤恢復(fù)并使應(yīng)用程序更加可靠。的單元，可以簡化錯(cuò)誤恢復(fù)并使應(yīng)用程序更加可靠。12.1.1 事務(wù)特性事務(wù)特性第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 每一個(gè)事務(wù)都具有原子性、一致性、隔離性和持久性，每一個(gè)事務(wù)都具有原子性、一致性、隔離性和持久性，也稱為事務(wù)的也稱為事務(wù)的ACID屬性。屬性。(1)原子性原子性(2)一致性一致性(3)隔離性隔離性(4)持久性持久性12.1.1 事務(wù)管理事務(wù)管理第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管

3、理 應(yīng)用程序主要通過指定事務(wù)啟動(dòng)和結(jié)束的時(shí)間來控應(yīng)用程序主要通過指定事務(wù)啟動(dòng)和結(jié)束的時(shí)間來控制事務(wù)?？梢允褂弥剖聞?wù)?？梢允褂肨ransact-SQL語句或數(shù)據(jù)庫應(yīng)用程語句或數(shù)據(jù)庫應(yīng)用程序編程接口序編程接口(API)函數(shù)來指定這些時(shí)間。系統(tǒng)還必須函數(shù)來指定這些時(shí)間。系統(tǒng)還必須能夠正確處理那些在事務(wù)完成之前便終止事務(wù)的錯(cuò)能夠正確處理那些在事務(wù)完成之前便終止事務(wù)的錯(cuò)誤誤1. 事務(wù)類型事務(wù)類型第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 在在SQL Server中有三種事務(wù)類型，分別是隱式事務(wù)、顯式中有三種事務(wù)類型，分別是隱式事務(wù)、顯式事務(wù)、自動(dòng)提交事務(wù)，缺省為自動(dòng)提交。事務(wù)、自動(dòng)提交事務(wù)，缺省

4、為自動(dòng)提交。(1)自動(dòng)提交事務(wù)自動(dòng)提交事務(wù)自動(dòng)提交事務(wù)是指對于用戶發(fā)出的每條自動(dòng)提交事務(wù)是指對于用戶發(fā)出的每條Transact-SQL語句，語句，SQL Server都會(huì)自動(dòng)開始一個(gè)都會(huì)自動(dòng)開始一個(gè)SQL Server事務(wù)，并且在執(zhí)行后自動(dòng)進(jìn)行提交操作來完事務(wù)，并且在執(zhí)行后自動(dòng)進(jìn)行提交操作來完成這個(gè)事務(wù)，也可以說在這種事務(wù)模式下，一個(gè)成這個(gè)事務(wù)，也可以說在這種事務(wù)模式下，一個(gè)Transact-SQL語句就是一個(gè)事務(wù)。語句就是一個(gè)事務(wù)。第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 (2)顯式事務(wù)顯式事務(wù)顯式事務(wù)是指在自動(dòng)提交模式下以顯式事務(wù)是指在自動(dòng)提交模式下以BEGIN TRANSACT

5、ION開始一個(gè)開始一個(gè)SQL Server事務(wù)，以事務(wù)，以COMMIT或或ROLLBACK結(jié)束一個(gè)結(jié)束一個(gè)SQL Server事務(wù)，事務(wù)，以以Commit結(jié)束事務(wù)是把結(jié)束事務(wù)是把SQL Server事務(wù)中的修改永事務(wù)中的修改永久化，即使這時(shí)發(fā)生斷電這樣的故障。久化，即使這時(shí)發(fā)生斷電這樣的故障。(3)隱式事務(wù)隱式事務(wù)隱式事務(wù)是指在當(dāng)前會(huì)話中用隱式事務(wù)是指在當(dāng)前會(huì)話中用SET IMPLICIT_TRANSACTIONS ON命令設(shè)置的事務(wù)類命令設(shè)置的事務(wù)類型，這時(shí)任何型，這時(shí)任何DML語句語句(DELETE、UPDATE、INSERT)都會(huì)開始一個(gè)事務(wù)，而事務(wù)的結(jié)束也是用都會(huì)開始一個(gè)事務(wù)，而事務(wù)的

6、結(jié)束也是用COMMIT或或ROLLBACK。2. 啟動(dòng)和技術(shù)事務(wù)啟動(dòng)和技術(shù)事務(wù)第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 使用使用API函數(shù)和函數(shù)和Transact-SQL語句，可以在語句，可以在SQL Server Database Engine實(shí)例中將事務(wù)作為顯式、自動(dòng)提交或隱式實(shí)例中將事務(wù)作為顯式、自動(dòng)提交或隱式事務(wù)啟動(dòng)和結(jié)束。事務(wù)啟動(dòng)和結(jié)束。(1)顯式事務(wù)顯式事務(wù)顯式事務(wù)就是可以顯式地在其中定義事務(wù)的開始和結(jié)束的事務(wù)。顯式事務(wù)就是可以顯式地在其中定義事務(wù)的開始和結(jié)束的事務(wù)。nBEGIN TRANSACTION:標(biāo)記顯式連接事務(wù)的起始點(diǎn)。標(biāo)記顯式連接事務(wù)的起始點(diǎn)。nCOMMIT

7、TRANSACTION或或COMMIT WORK:如果沒有遇如果沒有遇到錯(cuò)誤，可使用該語句成功地結(jié)束事務(wù)到錯(cuò)誤，可使用該語句成功地結(jié)束事務(wù)nROLLBACK TRANSACTION或或ROLLBACK WORK:用來用來清除遇到錯(cuò)誤的事務(wù)。清除遇到錯(cuò)誤的事務(wù)。(2)自動(dòng)提交模式自動(dòng)提交模式第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 自動(dòng)提交模式是自動(dòng)提交模式是SQL Server Database Engine的的默認(rèn)事務(wù)管理模式。每個(gè)默認(rèn)事務(wù)管理模式。每個(gè)Transact-SQL語句在完成時(shí)，語句在完成時(shí)，都被提交或回滾。如果一個(gè)語句成功地完成，則提交都被提交或回滾。如果一個(gè)語句成功

8、地完成，則提交該語句；如果遇到錯(cuò)誤，則回滾該語句。只要沒有顯該語句；如果遇到錯(cuò)誤，則回滾該語句。只要沒有顯式事務(wù)或隱式事務(wù)覆蓋自動(dòng)提交模式，與數(shù)據(jù)庫引擎式事務(wù)或隱式事務(wù)覆蓋自動(dòng)提交模式，與數(shù)據(jù)庫引擎實(shí)例的連接就以此默認(rèn)模式操作。實(shí)例的連接就以此默認(rèn)模式操作。(3)隱式事務(wù)隱式事務(wù)第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 當(dāng)連接以隱式事務(wù)模式進(jìn)行操作時(shí)，當(dāng)連接以隱式事務(wù)模式進(jìn)行操作時(shí)，SQL Server Database Engine實(shí)例將在提交或回滾當(dāng)前事務(wù)后自動(dòng)實(shí)例將在提交或回滾當(dāng)前事務(wù)后自動(dòng)啟動(dòng)新事務(wù)。無需描述事務(wù)的開始，只需提交或回滾每個(gè)啟動(dòng)新事務(wù)。無需描述事務(wù)的開始，只需提

9、交或回滾每個(gè)事務(wù)。隱式事務(wù)模式生成連續(xù)的事務(wù)鏈。事務(wù)。隱式事務(wù)模式生成連續(xù)的事務(wù)鏈。3. 事務(wù)處理過程中的錯(cuò)誤事務(wù)處理過程中的錯(cuò)誤第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 如果某個(gè)錯(cuò)誤使事務(wù)無法成功完成，如果某個(gè)錯(cuò)誤使事務(wù)無法成功完成，SQL Server會(huì)自動(dòng)回滾該事務(wù)，并釋放該事務(wù)占用的所有資會(huì)自動(dòng)回滾該事務(wù)，并釋放該事務(wù)占用的所有資源。如果客戶端與數(shù)據(jù)庫引擎實(shí)例的網(wǎng)絡(luò)連接中斷了，那源。如果客戶端與數(shù)據(jù)庫引擎實(shí)例的網(wǎng)絡(luò)連接中斷了，那么當(dāng)網(wǎng)絡(luò)向?qū)嵗ㄖ撝袛嗪?，該連接的所有未完成事務(wù)么當(dāng)網(wǎng)絡(luò)向?qū)嵗ㄖ撝袛嗪螅撨B接的所有未完成事務(wù)均會(huì)被回滾。如果客戶端應(yīng)用程序失敗或客戶機(jī)崩潰或重

10、均會(huì)被回滾。如果客戶端應(yīng)用程序失敗或客戶機(jī)崩潰或重新啟動(dòng)，也會(huì)中斷連接，而且當(dāng)網(wǎng)絡(luò)向數(shù)據(jù)庫引擎實(shí)例通新啟動(dòng)，也會(huì)中斷連接，而且當(dāng)網(wǎng)絡(luò)向數(shù)據(jù)庫引擎實(shí)例通知該中斷后，該實(shí)例會(huì)回滾所有未完成的連接。如果客戶知該中斷后，該實(shí)例會(huì)回滾所有未完成的連接。如果客戶端從該應(yīng)用程序注銷，所有未完成的事務(wù)也會(huì)被回滾。端從該應(yīng)用程序注銷，所有未完成的事務(wù)也會(huì)被回滾。12.2 SQL Server 的安全機(jī)制的安全機(jī)制第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 12.2.1 安全機(jī)制級別安全機(jī)制級別12.2.2 主體主體12.2.3 SQL Server中的身份驗(yàn)證中的身份驗(yàn)證12.2.4 數(shù)據(jù)庫用戶數(shù)據(jù)庫用

11、戶12.2.5 角色角色12.2.1 安全機(jī)制級別安全機(jī)制級別第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 SQL Server 2005的安全機(jī)制分為四級，其中第一的安全機(jī)制分為四級，其中第一層和第二層屬于驗(yàn)證過程，第三層和第四層屬于授權(quán)層和第二層屬于驗(yàn)證過程，第三層和第四層屬于授權(quán)過程過程12.2.2 主體主體第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 主體主體”是指可以請求是指可以請求SQL Server資源的個(gè)體、資源的個(gè)體、組和過程。與組和過程。與SQL Server授權(quán)模型的其他組件一樣，授權(quán)模型的其他組件一樣，主體也可以按層次結(jié)構(gòu)排列。主體也可以按層次結(jié)構(gòu)排列。各級

12、別的主體包含的內(nèi)容如下。各級別的主體包含的內(nèi)容如下。12.2.3 SQL Server中的身份驗(yàn)證中的身份驗(yàn)證11.1 SQL Server 11.1 SQL Server 的安全機(jī)制的安全機(jī)制nSQL Server的安全性管理是建立在的安全性管理是建立在身份驗(yàn)證身份驗(yàn)證和和訪問許訪問許可可兩者機(jī)制上的。兩者機(jī)制上的。n身份驗(yàn)證是確定登錄身份驗(yàn)證是確定登錄SQL Server的用戶的登錄賬號的用戶的登錄賬號和密碼是否正確，以此來驗(yàn)證其是否具有連接和密碼是否正確，以此來驗(yàn)證其是否具有連接SQL Server的權(quán)限。的權(quán)限。n通過認(rèn)證的用戶必須獲取訪問數(shù)據(jù)庫的權(quán)限，才能通過認(rèn)證的用戶必須獲取訪問數(shù)

13、據(jù)庫的權(quán)限，才能對數(shù)據(jù)庫進(jìn)行權(quán)限許可下的操作。對數(shù)據(jù)庫進(jìn)行權(quán)限許可下的操作。1. SQL Server身份驗(yàn)證模式類型身份驗(yàn)證模式類型 11.1.1 11.1.1 身份驗(yàn)證身份驗(yàn)證(1)Windows身份驗(yàn)證模式身份驗(yàn)證模式n該模式使用該模式使用Windows操作系統(tǒng)的安全機(jī)制操作系統(tǒng)的安全機(jī)制驗(yàn)證用戶身份，只要用戶能夠通過驗(yàn)證用戶身份，只要用戶能夠通過Windows用戶賬號驗(yàn)證，即可連接到用戶賬號驗(yàn)證，即可連接到SQL Server而不再進(jìn)行身份驗(yàn)證。而不再進(jìn)行身份驗(yàn)證。n這種模式只適用于能夠提供有效身份驗(yàn)證這種模式只適用于能夠提供有效身份驗(yàn)證的的Windows操作系統(tǒng)。操作系統(tǒng)。 (2)混

14、合身份驗(yàn)證模式混合身份驗(yàn)證模式11.1.1 11.1.1 身份驗(yàn)證身份驗(yàn)證n在該模式下，在該模式下，Windows身份驗(yàn)證和身份驗(yàn)證和SQL server驗(yàn)證兩種模式都可用。對于可信任連驗(yàn)證兩種模式都可用。對于可信任連接用戶接用戶(由由Windows驗(yàn)證驗(yàn)證)，系統(tǒng)直接采用，系統(tǒng)直接采用Windows的身份驗(yàn)證機(jī)制，否則的身份驗(yàn)證機(jī)制，否則SQL Server將通過賬號的存在性和密碼的匹配性將通過賬號的存在性和密碼的匹配性自行進(jìn)行驗(yàn)證，即采用自行進(jìn)行驗(yàn)證，即采用SQL Server身份驗(yàn)身份驗(yàn)證模式。證模式。 2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置 11.1.1 11.1.1 身份驗(yàn)證身份驗(yàn)

15、證n在該模式下，在該模式下，Windows身份驗(yàn)證和身份驗(yàn)證和SQL server驗(yàn)證兩種模式都可用。對于可信任連驗(yàn)證兩種模式都可用。對于可信任連接用戶接用戶(由由Windows驗(yàn)證驗(yàn)證)，系統(tǒng)直接采用，系統(tǒng)直接采用Windows的身份驗(yàn)證機(jī)制，否則的身份驗(yàn)證機(jī)制，否則SQL Server將通過賬號的存在性和密碼的匹配性將通過賬號的存在性和密碼的匹配性自行進(jìn)行驗(yàn)證，即采用自行進(jìn)行驗(yàn)證，即采用SQL Server身份驗(yàn)身份驗(yàn)證模式。證模式。 身份驗(yàn)證內(nèi)容身份驗(yàn)證內(nèi)容11.1.1 11.1.1 身份驗(yàn)證身份驗(yàn)證n包括確認(rèn)用戶的賬號是否有效、能否訪問包括確認(rèn)用戶的賬號是否有效、能否訪問系統(tǒng)、能訪問系

16、統(tǒng)的哪些數(shù)據(jù)庫。系統(tǒng)、能訪問系統(tǒng)的哪些數(shù)據(jù)庫。11.1.2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置 11.1 SQL Server 11.1 SQL Server 的安全機(jī)制的安全機(jī)制1.方法一：打開方法一：打開SQL Server管理平管理平臺(tái)，在臺(tái)，在“已注冊的服務(wù)器已注冊的服務(wù)器”子窗子窗口中設(shè)置驗(yàn)證模式?？谥性O(shè)置驗(yàn)證模式。n2方法二方法二n在在SQL Server管管理平臺(tái)的對象資理平臺(tái)的對象資源管理器中，右源管理器中，右鍵單擊服務(wù)器，鍵單擊服務(wù)器，在彈出的快捷菜在彈出的快捷菜單中選擇單中選擇“屬屬性性”，打開如圖，打開如圖所示的所示的“服務(wù)器服務(wù)器屬性屬性”窗口。窗口。11.1.2 1

17、1.1.2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置11.2 11.2 登錄賬號管理登錄賬號管理3. 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶n創(chuàng)建登錄賬戶的方法有兩種：創(chuàng)建登錄賬戶的方法有兩種：一種是從一種是從Windows用戶或組中創(chuàng)建登錄賬戶用戶或組中創(chuàng)建登錄賬戶一種是創(chuàng)建新的一種是創(chuàng)建新的SQL Server登錄賬戶。登錄賬戶。11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶1. 通過通過Windows身份驗(yàn)證創(chuàng)建登錄身份驗(yàn)證創(chuàng)建登錄 (1)創(chuàng)建創(chuàng)建Windows用戶用戶以管理員身份登錄到以管理員身份登錄到Windows 2003，選擇，選擇“開始開始程序程序管理工具管理工具計(jì)算機(jī)管理計(jì)算機(jī)管理”選項(xiàng)

18、選項(xiàng) 。 11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶展開展開“本地用戶和組本地用戶和組”文件夾，文件夾，選擇選擇“用戶用戶”圖標(biāo)，單擊鼠圖標(biāo)，單擊鼠標(biāo)右鍵，在快捷菜單中選擇標(biāo)右鍵，在快捷菜單中選擇“新用戶新用戶”項(xiàng)，打開項(xiàng)，打開“新用新用戶戶”對話框，輸入用戶名、對話框，輸入用戶名、密碼，單擊密碼，單擊“創(chuàng)建創(chuàng)建”按鈕，按鈕，然后單擊然后單擊“關(guān)閉關(guān)閉”按鈕完成按鈕完成創(chuàng)建。創(chuàng)建。11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶(2)使用企業(yè)管理器將使用企業(yè)管理器將Windows 2003賬號加入到賬號加入到SQL Server中，創(chuàng)建中，創(chuàng)建SQL Server登錄登錄啟動(dòng)啟動(dòng)

19、SQL Server管理平臺(tái)，在對象資源管管理平臺(tái)，在對象資源管理器中分別展開理器中分別展開“服務(wù)器服務(wù)器”“安全安全性性”“登錄名登錄名”。 右擊右擊“登錄名登錄名”，在彈出的快捷菜單上選，在彈出的快捷菜單上選擇擇“新建登錄名新建登錄名”，進(jìn)行，進(jìn)行“登錄名登錄名-新建新建”對話框?qū)υ捒?。11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶在在“登錄名登錄名-新建新建”對話對話框框選擇選擇Windows驗(yàn)證模式，驗(yàn)證模式，登錄名通過單擊登錄名通過單擊“搜索搜索”按按鈕自動(dòng)產(chǎn)生，單擊鈕自動(dòng)產(chǎn)生，單擊“搜索搜索”按鈕后出現(xiàn)按鈕后出現(xiàn)“選擇用戶或組選擇用戶或組”對話框，在對象名稱框中直對話框，在

20、對象名稱框中直接輸入名稱或單擊接輸入名稱或單擊“高級高級”按鈕后查找用戶或組名稱來按鈕后查找用戶或組名稱來完成輸入。完成輸入。 11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶單擊單擊“確定確定”按鈕，按鈕，一個(gè)一個(gè)Windows組或組或用戶即可增加到用戶即可增加到SQL Server登錄帳登錄帳戶中去。戶中去。 11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶對于已經(jīng)創(chuàng)建的對于已經(jīng)創(chuàng)建的Windows用戶或組，可以使用系用戶或組，可以使用系統(tǒng)存儲(chǔ)過程統(tǒng)存儲(chǔ)過程sp_grantlogin授予其登錄授予其登錄SQL Server的權(quán)限。的權(quán)限。n其語法格式如下：其語法格式如下：sp_gr

21、antlogin loginame= login 其中，其中，loginame= login 為要添加的為要添加的Windows用戶或組的名稱，名稱格式為用戶或組的名稱，名稱格式為“域名域名計(jì)算機(jī)名計(jì)算機(jī)名用戶名用戶名”。11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶n如果使用混合驗(yàn)證模式或不通過如果使用混合驗(yàn)證模式或不通過Windows用戶或用戶組連接用戶或用戶組連接SQL Server，則需要在，則需要在SQL Server下創(chuàng)建用戶登錄權(quán)限，使用戶下創(chuàng)建用戶登錄權(quán)限，使用戶得以連接使用得以連接使用SQL Server身份驗(yàn)證的身份驗(yàn)證的SQL Server實(shí)例。實(shí)例。2. 創(chuàng)建創(chuàng)建

22、SQL Server登錄登錄11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶 在在SQL Server管理平臺(tái)中創(chuàng)建管理平臺(tái)中創(chuàng)建SQL Server登錄帳登錄帳戶的具體步驟類似于戶的具體步驟類似于“將將Windows 2003帳號映射到帳號映射到SQL Server中中”的操作方法。的操作方法。 只是要選擇只是要選擇SQL Server驗(yàn)證模式，并輸入登錄帳驗(yàn)證模式，并輸入登錄帳戶名稱、密碼及確認(rèn)密碼。其他選項(xiàng)卡的設(shè)置操作類戶名稱、密碼及確認(rèn)密碼。其他選項(xiàng)卡的設(shè)置操作類似，最后單擊似，最后單擊“確定確定”按鈕，即增加了一個(gè)新的登錄按鈕，即增加了一個(gè)新的登錄帳戶。帳戶。 （1）使用SQL

23、Server管理平臺(tái)創(chuàng)建登錄帳戶 11.2.1 11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶(2)使用系統(tǒng)存儲(chǔ)過程使用系統(tǒng)存儲(chǔ)過程sp_addlongin創(chuàng)建登錄創(chuàng)建登錄sp_addlogin語法格式如下：語法格式如下：sp_addlogin loginame= login, passwd= password , defdb= database, deflanguage= language , sid=sid, encryptopt= encryption_option 11.2 11.2 登錄賬號管理登錄賬號管理 4. 刪除登錄賬戶刪除登錄賬戶 當(dāng)某一登錄帳戶不再使用時(shí)，應(yīng)該將其刪除，以保證數(shù)據(jù)庫

24、的安全性和保密性。刪除登錄帳戶可以通過管理平臺(tái)和Transact-SQL語句來進(jìn)行。 1使用使用SQL Server管理平臺(tái)刪除登錄管理平臺(tái)刪除登錄 其操作步驟如下：（1）啟動(dòng)SQL Server管理平臺(tái)，在對象資源管理器中分別展開“服務(wù)器”“安全性”“登錄名”。（2）在“登錄名”詳細(xì)列表中鼠標(biāo)右鍵單擊要?jiǎng)h除的用戶，在彈出的快捷菜單中選擇“刪除”命令，確定刪除。 11.2 11.2 登錄賬號管理登錄賬號管理 n刪除登錄賬號有兩種形式：刪除Windows用戶或組登錄和刪除SQL Server登錄。(1)刪除刪除Windows用戶或組登錄用戶或組登錄sp_revokelogin的語法格式為：sp_

25、revokelogin liginame=login其中，liginame=login為Windows用戶或組的名稱。2. 使用使用Transact-SQL語句刪除登錄賬號語句刪除登錄賬號11.2 11.2 登錄賬號管理登錄賬號管理 n使用使用sp_droplogin可以刪除可以刪除SQL Server登錄。其語法登錄。其語法格式如下：格式如下：sp_droplogin loginame= loginn例例11-8 使用系統(tǒng)存儲(chǔ)過程使用系統(tǒng)存儲(chǔ)過程sp_droplogin刪除刪除SQL Server登錄賬號登錄賬號ZG001。EXEC sp_droplogin ZG001(2)刪除刪除SQL

26、Server登錄登錄12.2.4 數(shù)據(jù)庫用戶的管理數(shù)據(jù)庫用戶的管理 第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 1使用使用SQL Server管理平臺(tái)創(chuàng)建數(shù)據(jù)庫用管理平臺(tái)創(chuàng)建數(shù)據(jù)庫用戶戶 n其操作步驟如下：其操作步驟如下：（1）打開SQL Server管理平臺(tái)，在其“對象資源管理器”面板中依次展開“服務(wù)器”“數(shù)據(jù)庫”“安全性”節(jié)點(diǎn)。右擊選擇其下的“用戶”對象，在打開的菜單中選擇“新建用戶”命令，打開的“數(shù)據(jù)庫用戶-新建”窗口。 11.3 11.3 數(shù)據(jù)庫用戶的管理數(shù)據(jù)庫用戶的管理n（2）在打開的“數(shù)據(jù)庫用戶-新建”窗口中，單擊“登錄名”右邊的“”命令可搜索登錄用戶或直接在文本框中輸入用

27、戶的登錄名，在用戶名欄中輸入用戶名稱，用戶名可以與登錄名不一樣。n（3）在“此用戶擁有的架構(gòu)”和“數(shù)據(jù)庫角色成員身份”區(qū)域選擇此用戶擁有的架構(gòu)和加入的角色，選中角色名前的復(fù)選框即可。n（4）單擊“新建用戶”窗口的“確定”按鈕，數(shù)據(jù)庫用戶建立完成。 2. 使用系統(tǒng)存儲(chǔ)過程創(chuàng)建數(shù)據(jù)庫用戶使用系統(tǒng)存儲(chǔ)過程創(chuàng)建數(shù)據(jù)庫用戶nSQL Server使用系統(tǒng)存儲(chǔ)過程使用系統(tǒng)存儲(chǔ)過程sp_grantdbaccess為數(shù)據(jù)庫添加用戶，其語為數(shù)據(jù)庫添加用戶，其語法格式如下：法格式如下：sp_grantdbaccess loginame= login , name_in_db= name_in_db OUTPUT11

28、.3 11.3 數(shù)據(jù)庫用戶的管理數(shù)據(jù)庫用戶的管理12.2.5 角色角色 第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 1 服務(wù)器角色服務(wù)器角色2 數(shù)據(jù)庫角色數(shù)據(jù)庫角色3應(yīng)用程序角色應(yīng)用程序角色角色是指為管理相同權(quán)限的用戶而設(shè)置角色是指為管理相同權(quán)限的用戶而設(shè)置的用戶組，也就是說，同一角色下的用戶權(quán)的用戶組，也就是說，同一角色下的用戶權(quán)限都是相同的。將一些用戶添加到具體某種限都是相同的。將一些用戶添加到具體某種權(quán)限的角色中，權(quán)限在用戶成為角色成員時(shí)權(quán)限的角色中，權(quán)限在用戶成為角色成員時(shí)自動(dòng)生效。自動(dòng)生效。 11.4 11.4 角色管理角色管理1 服務(wù)器角色服務(wù)器角色服務(wù)器角色具有一組固定的

29、權(quán)限，作用域在服務(wù)器范服務(wù)器角色具有一組固定的權(quán)限，作用域在服務(wù)器范圍內(nèi)，是獨(dú)立于數(shù)據(jù)庫的管理特權(quán)分組，主要實(shí)現(xiàn)圍內(nèi)，是獨(dú)立于數(shù)據(jù)庫的管理特權(quán)分組，主要實(shí)現(xiàn)SA、數(shù)據(jù)庫創(chuàng)建者及安全性管理員職能，且不能更改分配給數(shù)據(jù)庫創(chuàng)建者及安全性管理員職能，且不能更改分配給它們的權(quán)限。它們的權(quán)限。 固定服務(wù)器角色的作用域?yàn)榉?wù)器范圍。固定服固定服務(wù)器角色的作用域?yàn)榉?wù)器范圍。固定服務(wù)器角色的每個(gè)成員都可以向其所屬角色添加其他登務(wù)器角色的每個(gè)成員都可以向其所屬角色添加其他登錄名。表錄名。表12.2列出了固定服務(wù)器角色的名稱及權(quán)限。列出了固定服務(wù)器角色的名稱及權(quán)限。11.4.1 SQL Server11.4.1

30、SQL Server角色的類型角色的類型2. 數(shù)據(jù)庫角色數(shù)據(jù)庫角色n數(shù)據(jù)庫角色在數(shù)據(jù)庫級別上定義，提供數(shù)據(jù)庫層管理特權(quán)的分組，數(shù)據(jù)庫角色在數(shù)據(jù)庫級別上定義，提供數(shù)據(jù)庫層管理特權(quán)的分組，主要實(shí)現(xiàn)數(shù)據(jù)庫的訪問、備份與恢復(fù)及安全性等職能主要實(shí)現(xiàn)數(shù)據(jù)庫的訪問、備份與恢復(fù)及安全性等職能n數(shù)據(jù)庫角色分為固定數(shù)據(jù)庫角色和用戶定義的數(shù)據(jù)庫角色。固數(shù)據(jù)庫角色分為固定數(shù)據(jù)庫角色和用戶定義的數(shù)據(jù)庫角色。固定數(shù)據(jù)庫角色不允許改變。用戶定義的數(shù)據(jù)庫角色只適用于數(shù)定數(shù)據(jù)庫角色不允許改變。用戶定義的數(shù)據(jù)庫角色只適用于數(shù)據(jù)庫級別，通過用戶定義的角色可以輕松地管理數(shù)據(jù)庫中的權(quán)據(jù)庫級別，通過用戶定義的角色可以輕松地管理數(shù)據(jù)庫中的

31、權(quán)限。限。3 應(yīng)用程序角色應(yīng)用程序角色應(yīng)用程序角色是一個(gè)數(shù)據(jù)庫主體，它使應(yīng)應(yīng)用程序角色是一個(gè)數(shù)據(jù)庫主體，它使應(yīng)用程序能夠用其自身的、類似用戶的特權(quán)來運(yùn)用程序能夠用其自身的、類似用戶的特權(quán)來運(yùn)行。管理平臺(tái)和系統(tǒng)存儲(chǔ)過程實(shí)現(xiàn)。行。管理平臺(tái)和系統(tǒng)存儲(chǔ)過程實(shí)現(xiàn)。登錄、用戶、角色是登錄、用戶、角色是SQL Server 2005安全安全機(jī)制的基礎(chǔ)。三者聯(lián)系如下：機(jī)制的基礎(chǔ)。三者聯(lián)系如下：服務(wù)器角色和登錄名相對應(yīng)。服務(wù)器角色和登錄名相對應(yīng)。數(shù)據(jù)庫角色和用戶對應(yīng)的，數(shù)據(jù)庫角色和用戶都是數(shù)據(jù)庫對象，數(shù)據(jù)庫角色和用戶對應(yīng)的，數(shù)據(jù)庫角色和用戶都是數(shù)據(jù)庫對象，定義和刪除時(shí)必須選擇所屬的數(shù)據(jù)庫。定義和刪除時(shí)必須選擇所

32、屬的數(shù)據(jù)庫。一個(gè)數(shù)據(jù)庫角色中可以有多個(gè)用戶，一個(gè)用戶也可以屬于多一個(gè)數(shù)據(jù)庫角色中可以有多個(gè)用戶，一個(gè)用戶也可以屬于多個(gè)數(shù)據(jù)庫角色個(gè)數(shù)據(jù)庫角色11.4 11.4 角色管理角色管理11.4.4 11.4.4 用戶定義數(shù)據(jù)庫角色用戶定義數(shù)據(jù)庫角色（1）在）在SQL Server管理平臺(tái)中添管理平臺(tái)中添加或刪除數(shù)據(jù)庫角色成員加或刪除數(shù)據(jù)庫角色成員 n方法一：在上面提到過的某數(shù)據(jù)庫角色的方法一：在上面提到過的某數(shù)據(jù)庫角色的“數(shù)據(jù)庫角色屬數(shù)據(jù)庫角色屬性性”對話框中，在對話框中，在“常規(guī)常規(guī)”選項(xiàng)卡上，右下角成員操作區(qū)，選項(xiàng)卡上，右下角成員操作區(qū)，單擊單擊“添加添加”或或“刪除刪除”按鈕實(shí)現(xiàn)操作。按鈕實(shí)現(xiàn)操

33、作。n方法二：通過方法二：通過“對象資源管理器對象資源管理器”“數(shù)據(jù)庫服務(wù)數(shù)據(jù)庫服務(wù)器器”“數(shù)據(jù)庫數(shù)據(jù)庫”“某具體數(shù)據(jù)庫某具體數(shù)據(jù)庫”“安全性安全性”“用用戶戶”“某具體用戶某具體用戶”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單上單擊鼠標(biāo)右鍵，在彈出的快捷菜單選擇選擇“屬性屬性”，出現(xiàn)，出現(xiàn)“數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶”對話框，在右下角成員對話框，在右下角成員操作區(qū)，通過多選按鈕直接實(shí)現(xiàn)為該用戶從某個(gè)或某些數(shù)據(jù)操作區(qū)，通過多選按鈕直接實(shí)現(xiàn)為該用戶從某個(gè)或某些數(shù)據(jù)庫角色中添加或刪除。庫角色中添加或刪除。 12.3 SQL Server的權(quán)限管理的權(quán)限管理 第第1111章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 12

34、.3.1 權(quán)限種類權(quán)限種類12.3.2 設(shè)置權(quán)限設(shè)置權(quán)限 11.5.1 權(quán)限類型權(quán)限類型11.5 11.5 權(quán)限管理權(quán)限管理n權(quán)限是指用戶對數(shù)據(jù)庫中對象的使用及操作的權(quán)利，當(dāng)權(quán)限是指用戶對數(shù)據(jù)庫中對象的使用及操作的權(quán)利，當(dāng)用戶連接到用戶連接到SQL Server實(shí)例后，該用戶要進(jìn)行的任何涉實(shí)例后，該用戶要進(jìn)行的任何涉及修改數(shù)據(jù)庫或訪問數(shù)據(jù)的活動(dòng)都必須具有相應(yīng)的權(quán)限，及修改數(shù)據(jù)庫或訪問數(shù)據(jù)的活動(dòng)都必須具有相應(yīng)的權(quán)限，也就是用戶可以執(zhí)行的操作均由其被授予的權(quán)限決定。也就是用戶可以執(zhí)行的操作均由其被授予的權(quán)限決定。nSQL Server中的權(quán)限包括中的權(quán)限包括3種類型：對象權(quán)限、語言權(quán)種類型：對象權(quán)

35、限、語言權(quán)限和隱含權(quán)限。限和隱含權(quán)限。1. 對象權(quán)限對象權(quán)限 11.5.1 11.5.1 權(quán)限的種類權(quán)限的種類n對象權(quán)限用于用戶對數(shù)據(jù)庫對象執(zhí)行操作對象權(quán)限用于用戶對數(shù)據(jù)庫對象執(zhí)行操作的權(quán)力，即處理數(shù)據(jù)或執(zhí)行存儲(chǔ)過程的權(quán)力，即處理數(shù)據(jù)或執(zhí)行存儲(chǔ)過程(INSERT、UPDATE、DELETE、EXECUTE等等)所需要的權(quán)限，這些數(shù)據(jù)庫所需要的權(quán)限，這些數(shù)據(jù)庫對象包括表、視圖、存儲(chǔ)過程。對象包括表、視圖、存儲(chǔ)過程。表表11-3 對象及作用的操作對象及作用的操作 11.5.1 11.5.1 權(quán)限的種類權(quán)限的種類對 象操 作表SELECT、INSERT、UPDATE、DELETE、REFERANCE

36、S視圖SELECT、INSERT、UPDATE、DELETE存儲(chǔ)過程EXECUTE列SELECT、UPDATE2. 語句權(quán)限語句權(quán)限n語句權(quán)限主要指用戶是否具有權(quán)限來執(zhí)行語句權(quán)限主要指用戶是否具有權(quán)限來執(zhí)行某一語句，這些語句通常是一些具有管理某一語句，這些語句通常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫、表、存儲(chǔ)過程性的操作，如創(chuàng)建數(shù)據(jù)庫、表、存儲(chǔ)過程等。這種語句雖然也包含有操作等。這種語句雖然也包含有操作(如如CREATE)的對象，但這些對象在執(zhí)行該語的對象，但這些對象在執(zhí)行該語句之前并不存在于數(shù)據(jù)庫中，所以將其歸句之前并不存在于數(shù)據(jù)庫中，所以將其歸為語句權(quán)限范疇。為語句權(quán)限范疇。 11.5.1

37、 11.5.1 權(quán)限的種類權(quán)限的種類表11-4 語句權(quán)限及其作用 11.5.1 11.5.1 權(quán)限的種類權(quán)限的種類語 句作 用CREATE DATABASE創(chuàng)建數(shù)據(jù)庫CREATE TABLE在數(shù)據(jù)庫中創(chuàng)建表CREATE VIEW在數(shù)據(jù)庫中創(chuàng)建視圖CREATE DEFAULT在數(shù)據(jù)庫中創(chuàng)建默認(rèn)對象CREATE PROCEDURE在數(shù)據(jù)庫中創(chuàng)建存儲(chǔ)過程CREATE RULE在數(shù)據(jù)庫中創(chuàng)建規(guī)則CREATE FUNCTION在數(shù)據(jù)庫中創(chuàng)建函數(shù)BACKUP DATABASE備份數(shù)據(jù)庫BACKUP LOG備份日志3. 隱含權(quán)限隱含權(quán)限n隱含權(quán)限是指系統(tǒng)自行預(yù)定義而不需要授權(quán)就有的權(quán)隱含權(quán)限是指系統(tǒng)自行預(yù)定

38、義而不需要授權(quán)就有的權(quán)限，包括固定服務(wù)器角色、固定數(shù)據(jù)庫角色和數(shù)據(jù)庫限，包括固定服務(wù)器角色、固定數(shù)據(jù)庫角色和數(shù)據(jù)庫對象所有者所擁有的權(quán)限。對象所有者所擁有的權(quán)限。n固定角色擁有確定的權(quán)限，例如固定服務(wù)器角色固定角色擁有確定的權(quán)限，例如固定服務(wù)器角色sysadmin擁有完成任何操作的全部權(quán)限，其成員自動(dòng)擁有完成任何操作的全部權(quán)限，其成員自動(dòng)繼承這個(gè)固定角色的全部權(quán)限。數(shù)據(jù)庫對象所有者可以繼承這個(gè)固定角色的全部權(quán)限。數(shù)據(jù)庫對象所有者可以對所擁有的對象執(zhí)行一切活動(dòng)，如查看、添加或刪除數(shù)對所擁有的對象執(zhí)行一切活動(dòng)，如查看、添加或刪除數(shù)據(jù)等操作，也可以控制其他用戶使用其所擁有的對象的據(jù)等操作，也可以控制

39、其他用戶使用其所擁有的對象的權(quán)限。權(quán)限。 11.5.1 11.5.1 權(quán)限的種類權(quán)限的種類12.3.2 設(shè)置權(quán)限設(shè)置權(quán)限1使用圖形工具設(shè)置用戶或角使用圖形工具設(shè)置用戶或角色權(quán)限色權(quán)限操作步驟如下：操作步驟如下：(1)授予或拒絕語句權(quán)限授予或拒絕語句權(quán)限1)連接到相應(yīng)的連接到相應(yīng)的Microsoft SQL Server Database Engine實(shí)例實(shí)例之后，在之后，在“對象資源管理器對象資源管理器”中，單擊服務(wù)器名稱，以展開中，單擊服務(wù)器名稱，以展開服務(wù)器樹。服務(wù)器樹。2)展開展開“數(shù)據(jù)庫數(shù)據(jù)庫”，右擊用戶數(shù)，右擊用戶數(shù)據(jù)庫，如據(jù)庫，如teaching。3)在出現(xiàn)的快捷菜單中選擇在出現(xiàn)的快捷菜單中選擇“屬屬性性”，出現(xiàn)如圖，出現(xiàn)如圖12.14所示的所示的“數(shù)據(jù)庫屬性數(shù)據(jù)庫屬性-teaching”窗口。