第11章 銷售管理數據庫安全性管理

第十一章銷售管理數據庫安全性管理

SQLServer2005數據庫應用技術清華大學出版社技能目標掌握SQLServer2005的安全機制;利用登錄名、用戶名、角色確保服務器、銷售管理數據庫和數據對象的安全性。

SQLServer2005數據庫應用技術清華大學出版社11.1SQLServer2005的安全機制數據庫安全：是指保護數據庫中的數據不被破壞、偷竊和非法使用。1.在SQLServer2005中，數據的安全保護由4個層次構成.

SQLServer2005數據庫應用技術清華大學出版社2.從登錄的角度來看

在SQLServer系統(tǒng)中，安全性采用的是兩級權限管理機制：第一級是服務器級的“連接權”；第二級是數據庫級的“訪問權”。

SQLServer的安全性機制可以劃分為4個等級：（1）客戶機操作系統(tǒng)的安全性；（2）SQLServer的登錄安全性；（3）數據庫的使用安全性；（4）數據庫對象的使用安全性。

SQLServer2005數據庫應用技術清華大學出版社例.授權遠程訪問

為了遠程訪問SQLServer實例，需要一個網絡協(xié)議以建立到SQLServer服務器的連接。為了避免系統(tǒng)資源的浪費，只需要激活自己需要的網絡連接協(xié)議。

SQLServer2005數據庫應用技術清華大學出版社(1)從“開始”菜單中選擇“所有程序”|“MicrosoftSQLServer2005”|“配置工具”|“SQLServer外圍應用配置器”

授權遠程訪問方法

SQLServer2005數據庫應用技術清華大學出版社

(2)在窗口底部的“配置外圍應用到Localhost”區(qū)域，單擊“服務和連接的外圍應用配置器”

授權遠程訪問方法

SQLServer2005數據庫應用技術清華大學出版社(3)隨后在彈出窗口的左半部分，顯示了可以進行配置的組件列表。在這個列表中，展開“DatabaseEngine”圖標并單擊“遠程連接”。授權遠程訪問方法

SQLServer2005數據庫應用技術清華大學出版社(4)在右側面板中選擇“本地連接和遠程連接”，然后選擇一個協(xié)議選項?；诎踩托阅艿目紤]，推薦使用TCP/IP協(xié)議授權遠程訪問方法

SQLServer2005數據庫應用技術清華大學出版社11.2服務器安全的管理SQLServer2005服務器的安全建立在對服務器登錄名和密碼的控制基礎之上，用戶在登錄服務器時所采用的登錄名和密碼，決定了用戶在成功登錄服務器后所擁有的訪問權限。

SQLServer2005數據庫應用技術清華大學出版社登錄模式Windows身份驗證模式混合驗證模式

SQLServer2005數據庫應用技術清華大學出版社身份驗證方式設置（1）方法一：（1）啟動SQLServerManagementStudio。（2）在左上角“已注冊服務器”組件中，打開其屬性窗口，在該窗口中可以查看和改變身份驗證方式。（3）用戶可以通過選擇身份驗證下拉列表框選擇服務器的身份驗證登錄方式。

SQLServer2005數據庫應用技術清華大學出版社方法二(1)從“開始”菜單中選擇“所有程序”|“MicrosoftSQLServer2005”|“SQLServerManagementStudio”

(2)在“連接到服務器”對話框中，單擊“連接”按鈕

(3)在“對象資源管理器”中，右鍵單擊SQLServer實例名并在彈出菜單中選擇“屬性”

身份驗證方式設置(2)

SQLServer2005數據庫應用技術清華大學出版社(4)在“選擇頁”面板中，選擇“安全性”圖標

(5)在“服務器身份驗證”區(qū)域，選擇自己想要的身份驗證模式,在更改身份驗證模式后，需要重新啟動SQLServer實例以使其生效。

身份驗證方式設置(3)

SQLServer2005數據庫應用技術清華大學出版社11.2登錄帳戶管理11.2.1標準的SQL帳戶管理1.帳戶的建立用戶建立標準登錄帳戶的方式有三種：使用SSMS管理登錄帳戶使用Transact-SQL管理登錄帳戶使用系統(tǒng)存儲過程；

SQLServer2005數據庫應用技術清華大學出版社使用SSMS管理登錄帳戶右擊，選擇“新建”

SQLServer2005數據庫應用技術清華大學出版社創(chuàng)建登錄名【例】在銷售管理數據庫所在的服務器上，創(chuàng)建SQLServer身份驗證的登錄名。操作步驟如下。（1）在【對象資源管理器】窗口中，展開【安全性】|【登錄名】節(jié)點，右擊【登錄名】節(jié)點，在彈出的快捷菜單中，選擇【新建登錄名】選項。（2）打開【登錄名-新建】窗口，在左側窗格中，單擊【常規(guī)】選項，打開【常規(guī)】選項頁。（3）在【登錄名】文本框中輸入“SQL_User”。在下面選擇登錄方式，這里選中【SQLServer身份驗證】單選按鈕，在【密碼】文本框中，輸入“123456”，在【確認密碼】的文本框中，輸入“123456”。（4）取消【強制實施密碼策略】的選中狀態(tài)。（5）在【選擇項】|【狀態(tài)】選項的右側窗格中，在【設置】-【是否允許接到數據庫引擎】為【授予】；將【登錄】設置為【啟用】。單擊【確定】按鈕，完成登錄名的創(chuàng)建。

SQLServer2005數據庫應用技術清華大學出版社11.2.2與Windows集成的帳戶管理1.帳戶的建立所謂與Windows集成的登錄帳戶，實際上是將Windows的用戶和工作組映射為SQLServer的登錄帳戶。建立與Windows集成的登錄帳戶方式有三種：使用SSMS管理登錄帳戶使用Transact-SQL管理登錄帳戶使用系統(tǒng)存儲過程；注意:在創(chuàng)建Windows登錄賬戶之前,必須先建一個Windows操作系統(tǒng)用戶.

SQLServer2005數據庫應用技術清華大學出版社使用Transact-SQL或系統(tǒng)存儲過程管理登錄帳戶1.CREATELOGINlogin_name{with<option_list>|FROM<sources>}2.使用系統(tǒng)提供的存儲過程sp_addlogin建立標準登錄帳戶

sp_addlogin‘login’[,’password’][,’database’]3.使用系統(tǒng)存儲過程sp_grantlogin來使Windows的用戶或工作組映射成為SQLServer的登錄帳戶：

Sp_grantlogin‘login’

SQLServer2005數據庫應用技術清華大學出版社例1：創(chuàng)建一個SQLServer登錄賬戶createlogintestwithpassword='123456',default_database=master例2：創(chuàng)建一個Windows登錄賬戶createlogin[F72\lily]fromwindows使用Transact-SQL管理登錄帳戶

SQLServer2005數據庫應用技術清華大學出版社例1：使用系統(tǒng)提供的存儲過程sp_addlogin建立SQLServer標準登錄帳戶

sp_addloginsales,'abcdef',master例2：系統(tǒng)存儲過程sp_grantlogin來使Windows的用戶或工作組映射成為SQLServer的登錄帳戶：

Sp_grantlogin[F72\lucy]或

Sp_grantlogin'F72\lucy'使用系統(tǒng)存儲過程管理登錄帳戶

SQLServer2005數據庫應用技術清華大學出版社DROPLOGIN如：DROPLOGINtestALTERLOGIN如：ALTERLOGINtestWITHPASSWORD='<123www456>'如:如：ALTERLOGINtestWITHNAME=finish2.修改和刪除帳戶

SQLServer2005數據庫應用技術清華大學出版社2.修改和刪除帳戶1）使用系統(tǒng)存儲過程sp_defaultdb修改登錄帳戶的默認數據庫

Sp_defaultdb‘login’[,’database’]2）使用系統(tǒng)存儲過程sp_dafaultlanguage修改登錄帳戶的默認語言

Sp_defaultlanguage‘login’[,’language’]3）使用系統(tǒng)存儲過程sp_password修改登錄帳戶的密碼

Sp_password‘old_password’,’new_password’,’login’4）使用系統(tǒng)存儲過程sp_droplogin刪除SQLServer標準登錄帳戶

Sp_droplogin‘login’

SQLServer2005數據庫應用技術清華大學出版社注意：

（1）在SQLServer中刪除帳戶信息時，有如下限制：已經映射到數據庫用戶的帳戶不允許刪除；系統(tǒng)帳戶sa不能被刪除，正在使用的帳戶不能被刪除；擁有數據庫的帳戶不能被刪除。（2）在進行修改和刪除操作時進行的有關帳戶、密碼、角色、權限的操作，都只有被賦予sysadmin或securityadmin固定服務器角色的用戶才可以使用。

SQLServer2005數據庫應用技術清華大學出版社11.3數據庫用戶的管理在數據庫中，用戶帳號與登錄帳號是兩個不同的概念，一個合法的登錄帳號只表明該帳號通過了Windows認證或SQLServer認證，但不能表明其可以對數據庫數據和數據對象進行某種或某些操作。必須要先將創(chuàng)建的登錄賬戶映射為數據庫的用戶，才能訪問數據庫。默認用戶1、dbodbo是特殊的數據庫用戶，它是數據庫所有者（databaseowner），dbo是具有隱式權限的用戶，可在數據庫中執(zhí)行所有的操作。2、guestguest也是一個特殊用戶，它與dbo一樣，創(chuàng)建數據庫之后會自動生成。自定義用戶

SQLServer2005數據庫應用技術清華大學出版社添加數據庫用戶（1）【例】將在創(chuàng)建的登錄名SQL_user映射到銷售管理數據庫的用戶。操作步驟如下。（1）啟動【SQLServerManagementStudio】，以sa賬戶或超級用戶身份連上數據庫實例。（2）在【對象資源管理器】中，展開【數據庫】|【CompanySales】|【安全性】|【用戶】節(jié)點。右擊【用戶】，在彈出的快捷菜單中，選擇【新建用戶】。（3）出現(xiàn)的【數據庫用戶—新建】窗體，在【用戶名】文本框中輸入用戶名“first_user”，再單擊【登錄名】右側按鈕。

SQLServer2005數據庫應用技術清華大學出版社添加數據庫用戶（2）（4）出現(xiàn)的【選擇登錄名】窗體。單擊【瀏覽】按鈕，出現(xiàn)的【查找對象】窗體，瀏覽已有的登錄名，選擇【[SQL_User]登錄名】。（5）單擊【確定】按鈕，返回到的【選擇登錄名】窗體。（6）單擊【確定】按鈕，返回到的【新建數據庫-用戶】窗體。（7）單擊【確定】按鈕，完成登錄名“SQL_User”到銷售管理數據庫Companysales用戶名的映射設置。

SQLServer2005數據庫應用技術清華大學出版社使用Tractans-SQL管理用戶1.創(chuàng)建數據庫用戶CREATEUSERuser_name{[FOR|FROM]LOGINlogin_name[WITHDEFAULT_SCHEMA=schema_name]}2.修改數據庫用戶ALTERUSERuser_nameWITHNAME=new_user_name|DEFAULT_SCHEMA=schema_name3.刪除數據庫用戶DROPUSERuser_name

SQLServer2005數據庫應用技術清華大學出版社例：創(chuàng)建數據庫用戶CreateusertestCreateusercherryforlogin[F72\lily]create

user

maywithout

login例：更改數據庫用戶的名稱ALTERUSERtestWITHNAME=finish例：刪除用戶testDROPUSERtest使用Tractans-SQL管理用戶

SQLServer2005數據庫應用技術清華大學出版社11.4SQLServer2005權限權限管理指將安全對象的權限授予主體，取消或禁止主體對安全對象的權限。主體“主體”是可以請求SQLServer資源的個體、組和過程安全對象安全對象是授權系統(tǒng)控制對其進行訪問的資源。架構架構是形成單個命名空間的數據庫實體的集合，完全限定的對象名稱現(xiàn)在包含四部分：server.database.schema.object。

SQLServer2005數據庫應用技術清華大學出版社主體主體內容Windows級別的主體Windows域登錄名、Windows本地登錄名SQLServer級別的主體SQLServer登錄名數據庫級別的主體數據庫用戶、數據庫角色、應用程序角色

SQLServer2005數據庫應用技術清華大學出版社安全對象安全對象內容服務器端點、登錄帳戶、數據庫數據庫用戶、角色、應用程序角色、程序集、消息類型、路由、服務、遠程服務綁定、全文目錄、證書、非對稱密鑰、對稱密鑰、約定、架構架構類型、XML架構集合、對象對象聚合、約束、函數、過程、隊列、統(tǒng)計信息、同義詞、表、視圖

SQLServer2005數據庫應用技術清華大學出版社權限的管理權限管理指將安全對象的權限授予主體、取消或禁止主體對安全對象的權限。SQLServer通過驗證主體是否已獲得適當的權限來控制主體對安全對象執(zhí)行的操作。

SQLServer2005數據庫應用技術清華大學出版社權限類別權限描述CONTROL授予類似所有權的能力授予被授予者。被授權者實際上對安全對象具有所定義的所有權限。TAKEOWNERSHIP允許被授權者獲取所授予的安全對象的所有權。VIEWDEFINITION允許定義視圖。如果用戶具有該權限，就利用表或函數定義視圖CREATE允許創(chuàng)建對象ALTER允許創(chuàng)建（CREATE）、更改（ALTER）或刪除（DELETE）受保護的對象及其下層所有的對象SELECT 允許“看”數據。如果用戶具有該權限，就可以在授權的表或視圖上運行SELECT語句INSERT允許插入新行。UPDATE允許修改表中現(xiàn)有的數據。但不允許添加或刪除表中的行。當用戶在某一列上獲得這個權限時，只能修改該列的數據DELETE允許刪除數據行。REFERENCE允許插入行，這里被插入的表具有外鍵約束，參照了用戶SELECT權限的另一張表EXECUTE允許執(zhí)行一個特定存儲過程

SQLServer2005數據庫應用技術清華大學出版社主要安全對象權限安全對象權限數據庫BACKUPDATABASE、BACKUPLOG、CREATEDATABASE、CREATEDEFAULT、CREATEFUNCTION、CREATEPROCEDURE、CREATERULE、CREATETABLE和CREATEVIEW標量函數EXECUTE和REFERENCES表值函數、表、視圖DELETE、INSERT、REFERENCES、SELECT和UPDATE存儲過程DELETE、EXECUTE、INSERT、SELECT和UPDATE

SQLServer2005數據庫應用技術清華大學出版社架構每個用戶都有一個默認架構如果未定義默認架構，則數據庫用戶將把DBO作為其默認架構。完全限定的對象名稱現(xiàn)在包含四部分：server.database.schema.object。

SQLServer2005數據庫應用技術清華大學出版社使用ManagementStudio管理權限

SQLServer2005數據庫應用技術清華大學出版社使用Tractans-SQL管理權限GRANT用來把權限授予某一用戶，以允許該用戶執(zhí)行針對該對象的操作。REVOKE：取消用戶對某一對象或語句的權限，這些權限是經過GRANT語句授予的。DENY用來禁止用戶對某一對象或語句的權限，明確禁止其對某一用戶對象，執(zhí)行某些操作。

SQLServer2005數據庫應用技術清華大學出版社例子授予用戶test對數據庫的CREATETABLE權限。GRANTCREATETABLETOtest撤銷用戶test對客戶表的SELECT權限。REVOKESELECTONOBJECT::客戶FROMtest拒絕用戶test對數據庫中客戶表的SELECT權限。DENYSELECTONOBJECT::客戶TOtest

SQLServer2005數據庫應用技術清華大學出版社11.5SQLServer2005角色角色是引進的用來集中管理數據庫或服務器權限的概念。角色等價于Windows的工作組，將登錄名或用戶賦予一個角色，將權限給予角色，登錄名或用戶作為角色成員，繼承了所屬角色的權限。SQLServer2005中角色分為三類：服務器角色數據庫角色固有數據庫角色用戶自定義數據庫角色應用程序角色

SQLServer2005數據庫應用技術清華大學出版社服務器角色SQLServer在服務器級提供了固定服務器角色，用戶不能增加、修改和刪除服務器角色。1.固定服務器角色固定服務器角色是一些系統(tǒng)定義好操作權限的用戶組，其中的成員是登錄帳戶。服務器角色不能增加或刪除，只能對其中的成員進行修改。常用的固定服務器角色有：sysadmin、serveradmin、securityadmin、dbcreator、diskadmin、processadmin、setupadmin和bulkadmin

SQLServer2005數據庫應用技術清華大學出版社固定服務器角色的權限（1）sysadmin擁有最高的權限，可以執(zhí)行服務器范圍內的一切操作。（2）Securityadmin可以在服務器范圍內進行有關權限的一切管理操作。如管理登錄帳戶，管理數據庫對象權限，閱讀日志文件等。（3）serveradmin可以設置服務器范圍的配置選項，關閉服務器。（4）Dbcreator可以創(chuàng)建、更改、刪除和還原任何數據庫。（5）setupadmin可以管理連接服務器和執(zhí)行某些系統(tǒng)存儲過程。（6）processadmin可以管理在SQLServer中運行的進程。（7）diskadmin可以管理數據庫在磁盤的文件。（8）bulKadmin可以執(zhí)行大容量插入操作，指以用戶指定的個數將數據文件加載到數據表或視圖。

SQLServer2005數據庫應用技術清華大學出版社2.數據庫角色數據庫角色是用來管理數據庫用戶的權限。SQLServer在數據庫級提供了固定的數據庫級角色。用戶不能修改固定數據庫級角色的權限，也不能刪除固定數據庫級角色。但用戶可以自己創(chuàng)建新的數據庫角色，再分配權限給新建的角色。

SQLServer2005數據庫應用技術清華大學出版社

SQLServer2005數據庫應用技術清華大學出版社固定數據庫角色的權