10、第9章安全管理ppt課件

1、第9章 平安管理平安認證方式登錄管理數(shù)據(jù)庫用戶管理角色權(quán)限管理三個概念：登錄、用戶、角色登錄帳號：用來和SQL SERVER銜接有了登錄號才干銜接上SQL SERVER，才有運用SQL SERVER的入門資歷，但登錄帳號沒有運用數(shù)據(jù)庫對象的權(quán)益數(shù)據(jù)庫用戶：簡稱用戶，作為數(shù)據(jù)庫對象，SQL SERVER用它來設(shè)定數(shù)據(jù)庫存取的答應(yīng)權(quán)。所以為了要存取SQL SERVER內(nèi)的某一數(shù)據(jù)庫的數(shù)據(jù)庫對象，每一登錄帳號必需對應(yīng)一個用戶名。角色：也稱為平安性角色，對數(shù)據(jù)具有一樣的訪問權(quán)限。包括系統(tǒng)內(nèi)建角色和自建角色二類角色，其中，系統(tǒng)內(nèi)建角色又分為效力器角色和數(shù)據(jù)庫角色，數(shù)據(jù)庫角色也是一個數(shù)據(jù)庫對象登錄、用戶的

2、關(guān)系1、登錄帳號是用來銜接SQL SERVER的，但登錄帳號沒有運用數(shù)據(jù)庫對象的權(quán)益，SQL SERVER是以用戶名來設(shè)定數(shù)據(jù)庫存取的答應(yīng)權(quán)。所以，為了要存取SQL SERVER內(nèi)某一數(shù)據(jù)庫內(nèi)的數(shù)據(jù)庫對象，每一登錄帳號必需在該數(shù)據(jù)庫對應(yīng)一個用戶名2、用戶是數(shù)據(jù)庫對象，定義和修正時必需選擇對應(yīng)的數(shù)據(jù)庫，而登錄不是數(shù)據(jù)庫對象，它的定義和修正在SQL SERVER效力器下的平安性里進展。3、用戶的定義必需指定對應(yīng)的登錄名，一個登錄名可以對應(yīng)多個用戶，但一個登錄名在一個數(shù)據(jù)庫內(nèi)只能有一個用戶。4、用戶名與數(shù)據(jù)庫相關(guān)。sales 數(shù)據(jù)庫中的 xyz 用戶帳戶不同于 inventory 數(shù)據(jù)庫中的 xyz

3、 用戶帳戶，即使這兩個帳戶有一樣的用戶名。用戶名由 db_owner 固定數(shù)據(jù)庫角色成員定義。用戶、角色的關(guān)系1、角色在權(quán)限管理方面是一個強有力的工具，是具有一樣權(quán)限的用戶的集合，角色分為系統(tǒng)內(nèi)建角色和自建角色，同時系統(tǒng)內(nèi)建角色分為效力器角色和數(shù)據(jù)庫角色，自建角色都是數(shù)據(jù)庫角色。2、效力器角色和登錄名相對應(yīng)；而數(shù)據(jù)庫角色是和用戶對應(yīng)的，數(shù)據(jù)庫角色和用戶都是數(shù)據(jù)庫對象，定義和刪除的時候必需選擇所屬的數(shù)據(jù)庫3、一個數(shù)據(jù)庫角色中可以有多個用戶，一個用戶也可以屬于多個數(shù)據(jù)庫角色 SQL SERVER 2000任務(wù)時，用戶需求經(jīng)過兩個平安性階段：身份驗證、授權(quán)權(quán)限驗證 9.1.1 身份驗證 又叫認證，是

4、運用SQL SERVER 2000的第一道控制關(guān)卡，用戶必需運用登錄帳號和密碼來登錄SQL SERVER ，當?shù)卿泟倮蟛艙碛羞\用SQL SERVER 的入門資歷。 但是，即使他經(jīng)過了第一道認證關(guān)卡并不表示他對SQL SERVER內(nèi)的數(shù)據(jù)有存取的權(quán)限。 9.1 平安認證方式SQL SERVER 2000可以經(jīng)過兩種方式來進展身份驗證：Windows身份驗證、 SQL SERVER身份驗證。 Windows身份驗證：由Windows系統(tǒng)確認用戶的登錄帳號和密碼， Windows系統(tǒng)的登錄帳號可以直接訪問SQL SERVER系統(tǒng)，不用提供SQL SERVER的登錄帳號和密碼。 SQL SERVER

5、身份驗證：由Windows系統(tǒng)確認用戶的登錄帳號和口令。相應(yīng)的，SQL SERVER 2000可以在兩種平安方式身份驗證下任務(wù)：Windows身份驗證方式：用Windows用戶帳號進展銜接混合方式：用Windows身份驗證或SQL SERVER身份驗證與SQL SERVER實例銜接。9.1.1 身份驗證9.1.2 授權(quán) 又叫權(quán)限驗證，數(shù)據(jù)庫中的一切對象的存取權(quán)限還必需經(jīng)過授權(quán)即存取答應(yīng)的設(shè)定來決議該登錄者能否擁有某一對象的存取權(quán)限。9.2 登錄管理 登錄帳號是基于效力器運用的用戶名。為了訪問SQL Server系統(tǒng)，用戶必需提供正確的登錄帳號。這些登錄帳號既可以是Windows登錄帳號，也可以

6、是SQL Server登錄帳號。 登錄帳號的信息是系統(tǒng)級信息，存儲在master數(shù)據(jù)庫中的syslogins系統(tǒng)表中。添加登錄帳號可以有兩種方法：運用企業(yè)管理器 1、選擇要建立登錄的SQL SERVER效力器 2、展開平安性，選擇登錄運用系統(tǒng)存儲過程 1、SQL SERVER登錄(sp_AddLogin，sp_DropLogin)sp_addlogin 登陸名， 密碼，默許數(shù)據(jù)庫 2、Windows NT用戶或組登錄(機器名用戶或任務(wù)組名)(sp_GrantLogin、 sp_DenyLogin、 sp_RevokeLogin)格式：sp_GrantLogin 機器名用戶名9.2.1 創(chuàng)建登錄

7、9.2.2 查看、修正登錄查看、修正登錄帳號：運用企業(yè)管理器 1、選擇要查看或修正的登錄的SQL SERVER效力器 2、展開平安性，選擇登錄 3、在詳細信息窗格中，右擊要查看的登錄，然后單擊屬性。9.2.3 刪除登錄運用企業(yè)管理器 1、選擇要刪除登錄的SQL SERVER效力器 2、展開平安性，選擇登錄 3、在詳細信息窗格中，右擊要查看的登錄，單擊刪除。運用系統(tǒng)存儲過程 1、SQL SERVER登錄(sp_dropLogin)sp_droplogin 登陸名， 密碼，默許數(shù)據(jù)庫 2、Windows NT用戶或組登錄(機器名用戶或任務(wù)組名)(sp_DenyLogin、 sp_RevokeLog

8、in)格式：sp_revokeLogin 機器名用戶名9.3 數(shù)據(jù)庫用戶管理 用戶帳號是基于數(shù)據(jù)庫運用的稱號，與登錄帳號相對應(yīng)，登錄帳號屬數(shù)據(jù)庫實例范疇的概念，用戶帳號屬于特定數(shù)據(jù)庫范疇。一個登錄帳號可以運用一個特定的用戶帳號或一個默許的用戶帳號。 用戶帳戶是由SQL Server管理的，一切的用戶帳戶都存放在系統(tǒng)表sysusers中。9.3.1 創(chuàng)建用戶帳號創(chuàng)建數(shù)據(jù)庫用戶帳號，可以有兩種方法：運用企業(yè)管理器 1、選擇要建立用戶的SQL SERVER效力器 2、展開數(shù)據(jù)庫，選擇用戶運用系統(tǒng)存儲過程 sp_AddUser 登錄名，用戶名注：在管理用戶的時候必需選擇對應(yīng)的數(shù)據(jù)庫use 要建立用戶的

9、數(shù)據(jù)庫名 9.3.2 刪除用戶帳號刪除數(shù)據(jù)庫用戶帳號，可以有兩種方法：運用企業(yè)管理器 1、選擇要建立用戶的SQL SERVER效力器 2、展開數(shù)據(jù)庫，選擇用戶運用系統(tǒng)存儲過程 sp_DropUser 用戶名注：在管理用戶的時候必需選擇對應(yīng)的數(shù)據(jù)庫use 要建立用戶的數(shù)據(jù)庫名 9.4 角色 角色在權(quán)限管理方面是一個強有力的工具，假設(shè)用戶具有一樣的權(quán)限，那么我們可以：1、先創(chuàng)建一個角色2、對這個角色賦予權(quán)限3、將這些用戶添加到該角色中使它們成為角色中的成員 角色分為系統(tǒng)內(nèi)建角色和自建角色，同時系統(tǒng)內(nèi)建角色分為效力器角色和數(shù)據(jù)庫角色自建角色都是數(shù)據(jù)庫角色。1、效力器角色和登錄名相對應(yīng)2、數(shù)據(jù)庫角色是

10、和用戶對應(yīng)的3、數(shù)據(jù)庫角色和用戶都是數(shù)據(jù)庫對象，定義和刪除的時候必需選擇所屬的數(shù)據(jù)庫一、固定效力器角色二、向固定效力器角色添加登錄向固定效力器角色添加登錄成員運用企業(yè)管理器 1、選擇要建立用戶的SQL SERVER效力器 2、展開平安性，選擇效力器角色，添加登錄三、固定數(shù)據(jù)庫角色四、向固定數(shù)據(jù)庫角色添加用戶向固定數(shù)據(jù)庫角色添加用戶運用企業(yè)管理器 1、選擇要建立用戶的SQL SERVER效力器 2、展開數(shù)據(jù)庫，選擇角色所在的數(shù)據(jù)庫 3、單擊角色，添加用戶運用系統(tǒng)存儲過程 1、定義、刪除角色：sp_AddRole 、sp_DropRole 2、修正角色成員：sp_droprolemember 角色

11、名 sp_AddRoleMember 角色名，用戶名注：在管理數(shù)據(jù)庫角色的時候必需選擇對應(yīng)的數(shù)據(jù)庫 當用戶銜接到 SQL Server后，他們可以執(zhí)行的活動由授予以下帳戶的權(quán)限確定： 1、用戶的平安帳戶。2、用戶的平安帳戶所屬的 Windows NT或 2000 組或角色層次構(gòu)造。 用戶假設(shè)要進展任何涉及更改數(shù)據(jù)庫定義或訪問數(shù)據(jù)的活動，那么必需有相應(yīng)的權(quán)限。 管理權(quán)限包括授予或廢除執(zhí)行以下活動的用戶權(quán)限： 1、處置數(shù)據(jù)和執(zhí)行過程對象權(quán)限。2、創(chuàng)建數(shù)據(jù)庫或數(shù)據(jù)庫中的工程語句權(quán)限。3、利用授予預(yù)定義角色的權(quán)限暗示性權(quán)限。 9.5 權(quán)限管理處置數(shù)據(jù)或執(zhí)行過程時需求稱為對象權(quán)限的權(quán)限類別： 1、SEL

12、ECT、INSERT、UPDATE 和 DELETE 語句權(quán)限，它們可以運用到整個表或視圖中。2、SELECT 和 UPDATE 語句權(quán)限，它們可以有選擇性地運用到表或視圖中的單個列上。3、SELECT 權(quán)限，它們可以運用到用戶定義函數(shù)。4、INSERT 和 DELETE 語句權(quán)限，它們會影響整行，因此只可以運用到表或視圖中，而不能運用到單個列上。5、EXECUTE 語句權(quán)限，它們可以影響存儲過程和函數(shù)。 注：對象權(quán)限的設(shè)置：SQL SERVER效力器數(shù)據(jù)庫某一特定數(shù)據(jù)庫對象一切義務(wù)管理權(quán)限一、對象權(quán)限對象權(quán)限的設(shè)置運用企業(yè)管理器：SQL SERVER效力器數(shù)據(jù)庫某一特定數(shù)據(jù)庫對象一切義務(wù)管理

13、權(quán)限運用T-SQL語句： GRANT 對象權(quán)限 ON 數(shù)據(jù)庫對象 TO 用戶或角色一、對象權(quán)限 創(chuàng)建數(shù)據(jù)庫或數(shù)據(jù)庫中的項如表或存儲過程所涉及的活動要求另一類稱為語句權(quán)限的權(quán)限。例如，假設(shè)用戶必需可以在數(shù)據(jù)庫中創(chuàng)建表，那么應(yīng)該向該用戶授予 CREATE TABLE 語句權(quán)限。語句權(quán)限如 CREATE DATABASE適用于語句本身，而不適用于數(shù)據(jù)庫中定義的特定對象。語句權(quán)限有： 1、BACKUP DATABASE、BACKUP LOG2、CREATE DATABASE3、CREATE DEFAULT、 CREATE RULE、CREATE FUNCTION4、CREATE TABLE、CREATE VIEW、CREATE PROCEDURE二、語句權(quán)限語句權(quán)限的設(shè)置運用企業(yè)管理器：SQL SERVER效力器數(shù)據(jù)庫某一特定數(shù)據(jù)庫屬性權(quán)限“選項卡運用T-SQL語句： GRANT 語句權(quán)限 TO 用戶或角色或WINOWS NT用戶或WINOWS NT任務(wù)組二、語句權(quán)限 暗示性權(quán)限控制那些只能由預(yù)定義系統(tǒng)角色的成員或數(shù)據(jù)庫對象一切者執(zhí)行的活動。例如，sysadmin 固定效力器角色成員自動承繼在 SQL Serve