第11章數(shù)據(jù)庫(kù)的安全管理

第十一章數(shù)據(jù)庫(kù)的安全性管理第十一章數(shù)據(jù)庫(kù)的安全性管理數(shù)據(jù)庫(kù)的安全機(jī)制1角色管理2權(quán)限管理3SQLServer2008服務(wù)器登錄名4數(shù)據(jù)庫(kù)用戶511.1數(shù)據(jù)庫(kù)的安全機(jī)制數(shù)據(jù)庫(kù)的安全很重要，事實(shí)上它比數(shù)據(jù)庫(kù)的設(shè)計(jì)、創(chuàng)建和執(zhí)行都要重要！高鐵售票網(wǎng)站癱瘓、信息泄露！數(shù)據(jù)庫(kù)的安全性包括兩個(gè)方面的含義：要保證具有數(shù)據(jù)訪問(wèn)權(quán)限的用戶能夠登錄到數(shù)據(jù)庫(kù)服務(wù)器上，并且能夠訪問(wèn)數(shù)據(jù)以及對(duì)數(shù)據(jù)庫(kù)對(duì)象實(shí)施各種權(quán)限范圍內(nèi)的操作；要防止所有的非授權(quán)用戶的非法操作。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008數(shù)據(jù)庫(kù)的安全機(jī)制SQLServer2008的安全性管理是建立在安全身份驗(yàn)證和訪問(wèn)權(quán)限機(jī)制上。

SQLServer內(nèi)部的三層安全級(jí)別：1.SQLServer級(jí)的安全性第一層是SQLServer服務(wù)器級(jí)別的安全性，即對(duì)登記帳號(hào)的管理。2.數(shù)據(jù)庫(kù)級(jí)別的安全性第二層安全性是數(shù)據(jù)庫(kù)級(jí)別的安全性，即對(duì)數(shù)據(jù)庫(kù)用戶的管理。3.數(shù)據(jù)庫(kù)對(duì)象級(jí)別的安全性第三層安全性是數(shù)據(jù)庫(kù)對(duì)象級(jí)別的安全性，即對(duì)用戶的權(quán)限管理。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008數(shù)據(jù)庫(kù)的安全機(jī)制用戶對(duì)SQLServer數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行訪問(wèn)及操作，必須經(jīng)過(guò)三次認(rèn)證：第一次認(rèn)證：驗(yàn)證用戶是否具有連接到該SQLServer數(shù)據(jù)庫(kù)服務(wù)器的資格。第二次認(rèn)證：當(dāng)用戶訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，必須驗(yàn)證用戶是否是該數(shù)據(jù)庫(kù)的合法用戶。第三次認(rèn)證：當(dāng)用戶訪問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)對(duì)象時(shí)，驗(yàn)證用戶是否具有引用和操作權(quán)限。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008SQLServer2008安全機(jī)制客戶機(jī)的安全機(jī)制網(wǎng)絡(luò)傳輸?shù)陌踩珯C(jī)制服務(wù)器的安全機(jī)制數(shù)據(jù)庫(kù)的安全機(jī)制數(shù)據(jù)對(duì)象的安全機(jī)制安全管理一個(gè)用戶要對(duì)某一個(gè)數(shù)據(jù)庫(kù)進(jìn)行操作，必須同時(shí)滿足兩個(gè)條件：能連接到SQLServer服務(wù)器（連接權(quán)）有執(zhí)行對(duì)數(shù)據(jù)庫(kù)操作的權(quán)限（訪問(wèn)權(quán)）安全管理房子(SQLServer)大門登錄授權(quán)606用戶安全對(duì)象安全對(duì)象范圍安全對(duì)象列表服務(wù)器端點(diǎn)、登錄用戶、數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)用戶、角色、應(yīng)用程序角色、程序集、消息類型、路由、服務(wù)、遠(yuǎn)程服務(wù)綁定、全文目錄、證書、非對(duì)稱密鑰、對(duì)稱密鑰、約定、架構(gòu)架構(gòu)類型、XML架構(gòu)集合、對(duì)象

對(duì)象聚合、約束、函數(shù)、過(guò)程、隊(duì)列、統(tǒng)計(jì)信息、同義詞、表、視圖安全對(duì)象是SQLServer2008數(shù)據(jù)庫(kù)引擎授權(quán)系統(tǒng)控制對(duì)其進(jìn)行訪問(wèn)的資源。通過(guò)創(chuàng)建可以為自己設(shè)置安全性的名為“范圍”的嵌套層次結(jié)構(gòu)，可以將某些安全對(duì)象包含在其他安全對(duì)象中。安全對(duì)象范圍包括服務(wù)器、數(shù)據(jù)庫(kù)、架構(gòu)和對(duì)象?；靖拍钣脩?、數(shù)據(jù)庫(kù)用戶、賬戶、賬號(hào)、登錄名和密碼。用戶是指能夠在SQLServer2008安全機(jī)制下，訪問(wèn)數(shù)據(jù)庫(kù)對(duì)象中的數(shù)據(jù)的操作員或客戶。用戶若要訪問(wèn)數(shù)據(jù)庫(kù)對(duì)象，必須獲得管理員分配的賬號(hào)和密碼。從SQLServer2008管理系統(tǒng)的角度來(lái)看，用戶就是一組匹配的賬戶和密碼。賬戶和賬號(hào)是一個(gè)概念的不同說(shuō)法，在服務(wù)器中的賬戶又叫登錄名（Login），因此訪問(wèn)服務(wù)器也稱為登錄服務(wù)器。服務(wù)器的登錄名可以映射到數(shù)據(jù)庫(kù)中成為數(shù)據(jù)庫(kù)用戶。一個(gè)登錄名可以映射多個(gè)數(shù)據(jù)庫(kù)用戶，而一個(gè)用戶只能映射一個(gè)登錄名?；靖拍罱巧?roles)。角色是SQLServer2008中管理權(quán)限相近的安全賬戶的集合，相當(dāng)于Windows域中的組。權(quán)限。權(quán)限是SQLServer2008安全性的最后一個(gè)級(jí)別，實(shí)際上是安全機(jī)制的設(shè)計(jì)者分配給某一個(gè)用戶（或角色）訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，對(duì)數(shù)據(jù)對(duì)象的可以進(jìn)行的操作集合。11.2角色管理服務(wù)器角色數(shù)據(jù)庫(kù)角色應(yīng)用程序角色SQLServer200811.2角色管理11.2.1服務(wù)器角色SQLServer2008提供了9種固定的服務(wù)器角色，用戶不能自己創(chuàng)建服務(wù)器角色。可以在對(duì)象資源管理器中，通過(guò)依次展開(kāi)“安全性”→“服務(wù)器角色”節(jié)點(diǎn)，看到這9種服務(wù)器角色，如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008角色管理服務(wù)器角色1.固定服務(wù)器角色的權(quán)限說(shuō)明：sysadmin：可以在服務(wù)器上執(zhí)行任何操作。Serveradmin：可以更改服務(wù)器范圍的配置選項(xiàng)和關(guān)閉服務(wù)器。securityadmin：可以管理登錄名及其屬性。processadmin：可以終止在SQLServer實(shí)例中運(yùn)行的進(jìn)程。setupadmin：可以添加和刪除鏈接服務(wù)器。bulkadmin：可以運(yùn)行BulkInsert語(yǔ)句。diskadmin：可以管理磁盤文件。dbcreator：可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫(kù)。public：擁有查看數(shù)據(jù)庫(kù)權(quán)限，但不能對(duì)其做修改。前面8個(gè)服務(wù)器角色的權(quán)限是系統(tǒng)預(yù)先設(shè)定好的，不能更改，只有public角色的權(quán)限可以根據(jù)需要修改。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008角色管理2.查看和設(shè)置服務(wù)器public角色的權(quán)限：⑴在對(duì)象資源管理器中，依次展開(kāi)“安全性”→“服務(wù)器角色”節(jié)點(diǎn)，選擇“public”，右擊，選擇“屬性”。⑵在“服務(wù)器角色屬性”對(duì)話框的“權(quán)限”頁(yè)中，可以查看當(dāng)前public角色的權(quán)限并可根據(jù)需要進(jìn)行修改，如下圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008角色管理11.2.2數(shù)據(jù)庫(kù)角色如果我們要查看stusystem的數(shù)據(jù)庫(kù)角色，可以在對(duì)象資源管理器中，通過(guò)依次展開(kāi)“數(shù)據(jù)庫(kù)”→“stusystem”→“安全性”→“角色”→“數(shù)據(jù)庫(kù)角色”節(jié)點(diǎn)，看到這10種數(shù)據(jù)庫(kù)角色，如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008角色管理1.固定數(shù)據(jù)庫(kù)角色的權(quán)限說(shuō)明：db_accessadmin：可以管理登錄名對(duì)該數(shù)據(jù)庫(kù)的訪問(wèn)。db_backupoperator：可以備份數(shù)據(jù)庫(kù)。db_datareader：可以從所有用戶定義表中讀取所有數(shù)據(jù)。db_datawriter：可以對(duì)所有用戶定義表進(jìn)行添加、刪除或更改數(shù)據(jù)。db_ddladmin：可以在該數(shù)據(jù)庫(kù)中執(zhí)行任何DDL命令。db_denydatareader：不能從用戶表中讀取數(shù)據(jù)。db_denydatawriter：不能對(duì)用戶表執(zhí)行添加、修改或刪除數(shù)據(jù)。db_owner：可以執(zhí)行數(shù)據(jù)庫(kù)的所有活動(dòng)，在該數(shù)據(jù)庫(kù)中擁有全部權(quán)限。db_securityadmin：可以修改角色成員身份和管理權(quán)限。public：可以看到任何由擁有公共或完整權(quán)限的用戶所創(chuàng)建的數(shù)據(jù)庫(kù)對(duì)象。每個(gè)數(shù)據(jù)庫(kù)用戶都屬于public數(shù)據(jù)庫(kù)角色。只有public角色的權(quán)限可以根據(jù)需要修改。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008角色管理2.查看或設(shè)置數(shù)據(jù)庫(kù)public角色的權(quán)限：⑴在對(duì)象資源管理器中，依次展開(kāi)“數(shù)據(jù)庫(kù)”→“stusystem”→“安全性”→“角色”→“數(shù)據(jù)庫(kù)角色”節(jié)點(diǎn)，選擇“public”，右擊選擇“屬性”命令，打開(kāi)“數(shù)據(jù)庫(kù)角色屬性”對(duì)話框。⑵在“數(shù)據(jù)庫(kù)角色屬性”對(duì)話框。在“安全對(duì)象”頁(yè)中，可以查看當(dāng)前public角色的權(quán)限并可根據(jù)需要進(jìn)行修改，如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008角色管理3.新建數(shù)據(jù)庫(kù)角色：例如：要在數(shù)據(jù)庫(kù)stusystem中新建一個(gè)數(shù)據(jù)庫(kù)角色。具體步驟如下：⑴在對(duì)象資源管理器中，依次展開(kāi)“數(shù)據(jù)庫(kù)”→“stusystem”→“安全性”→“角色”節(jié)點(diǎn)，選擇“數(shù)據(jù)庫(kù)角色”，右擊，選擇“新建數(shù)據(jù)庫(kù)角色”命令，打開(kāi)“數(shù)據(jù)庫(kù)角色-新建”對(duì)話框，如下圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008角色管理⑵在“數(shù)據(jù)庫(kù)角色-新建”對(duì)話框中，默認(rèn)選擇“常規(guī)”選擇頁(yè)。在此頁(yè)可以定義新數(shù)據(jù)庫(kù)角色。⑶一般來(lái)說(shuō)完成“常規(guī)”頁(yè)的設(shè)置，數(shù)據(jù)庫(kù)角色即可建立。⑷單擊“確定”按鈕，即可創(chuàng)建新的數(shù)據(jù)庫(kù)角色。SQLServer2008第十一章數(shù)據(jù)庫(kù)的安全性管理角色管理11.2.3應(yīng)用程序角色數(shù)據(jù)庫(kù)可為多個(gè)應(yīng)用程序而存在。不同的應(yīng)用程序?qū)ν粩?shù)據(jù)庫(kù)有不同的可訪問(wèn)范圍，因此有了應(yīng)用程序角色的概念。例如，對(duì)一個(gè)計(jì)費(fèi)系統(tǒng)數(shù)據(jù)庫(kù)，同時(shí)被客戶關(guān)系管理系統(tǒng)和網(wǎng)上營(yíng)業(yè)廳系統(tǒng)訪問(wèn)，這些系統(tǒng)都擁有自己關(guān)注的數(shù)據(jù)信息，也存在彼此之間不可訪問(wèn)的信息。這就是兩個(gè)不同的應(yīng)用程序角色。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008角色管理創(chuàng)建應(yīng)用程序角色：【例12-1】在stusystem中創(chuàng)建一個(gè)應(yīng)用程序角色“student_role”。具體步驟如下：⑴在對(duì)象資源管理器中，依次展開(kāi)“數(shù)據(jù)庫(kù)”→“stusystem”→“安全性”→“角色”節(jié)點(diǎn)，選擇“應(yīng)用程序角色”，右擊選擇“新建應(yīng)用程序角色”命令，打開(kāi)對(duì)話框。⑵在“應(yīng)用程序角色-新建”對(duì)話框的“常規(guī)”頁(yè)中添加角色名稱“student_role”，并輸入密碼等信息。⑶單擊“確定”按鈕，即可創(chuàng)建新的應(yīng)用程序角色。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer200811.3權(quán)限管理數(shù)據(jù)庫(kù)權(quán)限用于控制對(duì)數(shù)據(jù)庫(kù)對(duì)象的訪問(wèn)和語(yǔ)句執(zhí)行。數(shù)據(jù)庫(kù)權(quán)限可分為數(shù)據(jù)庫(kù)對(duì)象權(quán)限和數(shù)據(jù)庫(kù)語(yǔ)句權(quán)限，主要包括授予、撤銷和拒絕管理。授予權(quán)限（GRANT）：允許用戶或角色具有某種操作權(quán)限；撤銷權(quán)限（REVOKE）：撤銷以前授予或拒絕了的權(quán)限；拒絕權(quán)限（DENY）：拒絕給安全帳戶授予權(quán)限，并且可以防止安全帳戶通過(guò)其組或角色成員身份繼承權(quán)限。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008權(quán)限管理11.3.1權(quán)限類型根據(jù)操作的對(duì)象不同，權(quán)限的類型也不相同第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008對(duì)象權(quán)限類型權(quán)限列舉數(shù)據(jù)庫(kù)創(chuàng)建操作，修改操作，備份操作CREATEDATABASE、CREATETABLE、CREATEVIEW、CREATEFUNCTION、CREATEPROCEDURE、CREAATETRIGGER，ALTERDATABASE、ALTERTABLE、ALTERVIEW、ALTERFUNCTION、ALTERPROCEDURE、ALTERTRIGGER，BACKUPDATABASE、BACKUPLOG，CONNECT，CONTROL等。表和視圖插入數(shù)據(jù)，更新數(shù)據(jù)，刪除數(shù)據(jù)，查詢，引用INSERT，UPDATE，DELETE，SELECT,REFERENCES等。存儲(chǔ)過(guò)程執(zhí)行，控制查看,定義EXECUTE，CONTROL等。標(biāo)量函數(shù)執(zhí)行,引用,控制EXECUTE，REFERENCES，CONTROL等。表值函數(shù)插入數(shù)據(jù)，更新數(shù)據(jù)，刪除數(shù)據(jù)，查詢，引用INSERT，UPDATE，DELETE，SELECT，REFERENCES等。權(quán)限管理11.3.2設(shè)置權(quán)限利用SSMS設(shè)置權(quán)限：以對(duì)stusystem數(shù)據(jù)庫(kù)用戶Banana_Anna的設(shè)置權(quán)限為例，操作步驟如下：⑴在對(duì)象資源管理器中，依次展開(kāi)“數(shù)據(jù)庫(kù)”→“stusystem”→“安全性”→“用戶”節(jié)點(diǎn)，選擇“Banana_Anna”，右擊選擇“屬性”命令，打開(kāi)“數(shù)據(jù)庫(kù)用戶”對(duì)話框，選擇“安全對(duì)象”選擇頁(yè)。如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008權(quán)限管理⑵在“數(shù)據(jù)庫(kù)用戶”的“安全對(duì)象”頁(yè)中，單擊“搜索”，調(diào)出“添加對(duì)象”對(duì)話框。選擇“特定對(duì)象”單選按鈕，然后單擊“確定”，調(diào)出“選擇對(duì)象”對(duì)話框。在“選擇對(duì)象”對(duì)話框中，單擊“對(duì)象類型”按鈕，調(diào)出“選擇對(duì)象類型”對(duì)話框。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008權(quán)限管理在“選擇對(duì)象”對(duì)話框中，單擊“瀏覽”按鈕，調(diào)出“查找對(duì)象”對(duì)話框，根據(jù)需要選擇匹配的對(duì)象，如下圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008權(quán)限管理⑶返回到“數(shù)據(jù)庫(kù)用戶”的“安全對(duì)象”頁(yè)中，在“安全對(duì)象”列表中，選中要分配權(quán)限的對(duì)象，在下面的“權(quán)限”列表中設(shè)置相應(yīng)權(quán)限。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008權(quán)限管理利用命令設(shè)置權(quán)限：利用DCL語(yǔ)句來(lái)進(jìn)行權(quán)限管理操作。主要有：GRANT語(yǔ)句：使用GRANT語(yǔ)句可以將安全對(duì)象的權(quán)限賦予安全主體。REVOKE語(yǔ)句：利用REVOKE可以撤銷以前授予或拒絕了的權(quán)限。DENY語(yǔ)句：使用DENY語(yǔ)句可以拒絕授予主體權(quán)限，并且可以防止主體通過(guò)其組或角色成員身份繼承權(quán)限。SQLServer2008第十一章數(shù)據(jù)庫(kù)的安全性管理11.4服務(wù)器登錄名用戶連接到SQLServer上的唯一方法是通過(guò)登錄名。對(duì)登錄方式的管理和設(shè)計(jì)包括：身份驗(yàn)證模式設(shè)置。服務(wù)器角色分配。登錄帳號(hào)管理等。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008服務(wù)器登錄名11.4.1身份驗(yàn)證模式Windows身份驗(yàn)證模式：SQLServer僅使用Windows的登錄帳戶名和密碼來(lái)確認(rèn)客戶端用戶。每個(gè)用戶并不都需要在SQLServer內(nèi)部必須存在一個(gè)特定的登錄名。Windows身份驗(yàn)證是默認(rèn)身份驗(yàn)證模式，并且比SQLServer身份驗(yàn)證更為安全。SQLServer2008第十一章數(shù)據(jù)庫(kù)的安全性管理服務(wù)器登錄名11.4.1身份驗(yàn)證模式混合身份驗(yàn)證模式在混合身份驗(yàn)證模式下，既可以使用Windows身份驗(yàn)證，也可以使用SQLServer身份驗(yàn)證。用戶要登錄服務(wù)器時(shí)，必須要輸入登錄名和密碼。SQLServer的登錄名和密碼由數(shù)據(jù)庫(kù)管理員在SQLServer內(nèi)部創(chuàng)建，并存儲(chǔ)在系統(tǒng)syslogins視圖中。SQLServer2008第十一章數(shù)據(jù)庫(kù)的安全性管理身份驗(yàn)證模式SQLServerWindows身份驗(yàn)證用戶身份驗(yàn)證模式SQLServerWindows身份驗(yàn)證用戶身份驗(yàn)證模式用戶Windows身份驗(yàn)證SQLServer身份驗(yàn)證模式服務(wù)器登錄名3.查看和設(shè)置身份驗(yàn)證模式在使用過(guò)程中，用戶可以根據(jù)需要，利用SSMS來(lái)重新設(shè)置服務(wù)器的身份驗(yàn)證模式。具體的過(guò)程如下：⑴在SSMS的“對(duì)象資源管理器”中，選擇要修改的服務(wù)器名，右擊選擇“屬性”。如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008服務(wù)器登錄名⑵打開(kāi)“服務(wù)器屬性”窗口，在“安全性”頁(yè)上可以查看當(dāng)前選擇的是哪種身份驗(yàn)證模式，如左圖所示。如果要修改驗(yàn)證模式，在“服務(wù)器身份驗(yàn)證”下，選擇新的服務(wù)器身份驗(yàn)證模式，然后單擊“確定”按鈕。⑶重新啟動(dòng)SQLServer，使設(shè)置生效。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008服務(wù)器登錄名11.4.2賬號(hào)管理所有的登陸帳號(hào)都存儲(chǔ)在master數(shù)據(jù)庫(kù)的syslogins視圖中：select*frommaster.sys.syslogins創(chuàng)建登錄賬號(hào)具體步驟如下：⑴在SSMS的對(duì)象資源管理器中，展開(kāi)“安全性”節(jié)點(diǎn)，選擇“登錄名”，右擊選擇“新建登錄名”。打開(kāi)“登錄名-新建”對(duì)話框。如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008服務(wù)器登錄名賬號(hào)管理創(chuàng)建登錄賬號(hào)具體步驟如下：⑵進(jìn)入“登錄名-新建”對(duì)話框，默認(rèn)是選擇“常規(guī)”頁(yè)。在該頁(yè)中進(jìn)行新建登錄名設(shè)置。⑶在“登錄名-新建”對(duì)話框中選擇“服務(wù)器角色”頁(yè)，如左圖所示。在這里可以設(shè)置新建的登錄賬號(hào)作為哪些服務(wù)器角色中的成員。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008服務(wù)器登錄名賬號(hào)管理創(chuàng)建登錄賬號(hào)具體步驟如下：⑷在“登錄名-新建”對(duì)話框中選擇“用戶映射”頁(yè)，可以指定該登錄賬號(hào)能夠訪問(wèn)的數(shù)據(jù)庫(kù)，并定義登錄賬號(hào)與數(shù)據(jù)庫(kù)用戶的映射。如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008服務(wù)器登錄名賬號(hào)管理創(chuàng)建登錄賬號(hào)具體步驟如下：⑸在“登錄名-新建”對(duì)話框中選擇“安全對(duì)象”頁(yè)。可以為新建的登錄賬號(hào)指定授予或拒絕某些權(quán)限。如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008服務(wù)器登錄名賬號(hào)管理創(chuàng)建登錄賬號(hào)⑹在“登錄名-新建”對(duì)話框中選擇“狀態(tài)”頁(yè)，可以在“狀態(tài)”頁(yè)設(shè)置與登錄相關(guān)的選項(xiàng)。如左圖所示。⑺在完成上述設(shè)置之后，單擊“確定”按鈕即可創(chuàng)建登錄賬號(hào)。也可以使用CREATELOGIN語(yǔ)句來(lái)創(chuàng)建登錄賬號(hào)。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008服務(wù)器登錄名2.修改登錄賬號(hào)在對(duì)象資源管理器中，依次展開(kāi)“安全性”→“登錄名”節(jié)點(diǎn)，選擇需要修改的登錄名，右擊，選擇“屬性”命令，打開(kāi)“登錄屬性”對(duì)話框。在此對(duì)話框中，可以對(duì)登錄帳號(hào)進(jìn)行修改。修改登錄賬號(hào)的命令是ALTERLOGIN語(yǔ)句。SQLServer2008第十一章數(shù)據(jù)庫(kù)的安全性管理服務(wù)器登錄名3.刪除登錄賬號(hào)在“對(duì)象資源管理器”中，依次展開(kāi)“安全性”→“登錄名”節(jié)點(diǎn)，選擇需要?jiǎng)h除的登錄名，右擊，選擇“刪除”命令，在出現(xiàn)的“刪除登錄”對(duì)話框中單擊“確定”按鈕即可刪除該登錄賬號(hào)。刪除登錄賬號(hào)的命令是DROPLOGIN語(yǔ)句。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer200811.5數(shù)據(jù)庫(kù)用戶數(shù)據(jù)庫(kù)用戶服務(wù)器登錄名只能連接到服務(wù)器本身；它不能使用SQLServer中的任何用戶數(shù)據(jù)庫(kù)。這好比服務(wù)器登錄名是進(jìn)入大樓的通行證，而數(shù)據(jù)庫(kù)用戶則是進(jìn)入房間的鑰匙。數(shù)據(jù)庫(kù)用戶是數(shù)據(jù)庫(kù)級(jí)別的安全主體，所有用戶都存儲(chǔ)在每個(gè)數(shù)據(jù)庫(kù)的Sysusers視圖中。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008數(shù)據(jù)庫(kù)用戶訪問(wèn)數(shù)據(jù)庫(kù)需要在那個(gè)數(shù)據(jù)庫(kù)上建立數(shù)據(jù)庫(kù)用戶從登錄中映射特殊用戶Dboguest用戶SQLServer數(shù)據(jù)庫(kù)管理數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)用戶數(shù)據(jù)庫(kù)用戶11.5.1創(chuàng)建數(shù)據(jù)庫(kù)用戶1.利用SSMS創(chuàng)建數(shù)據(jù)庫(kù)用戶以為stusystem數(shù)據(jù)庫(kù)創(chuàng)建用戶Anna為例，操作步驟如下：⑴在對(duì)象資源管理器中，依次展開(kāi)“數(shù)據(jù)庫(kù)”→“stusystem”→“安全性”節(jié)點(diǎn)，選擇“用戶”，右擊選擇“新建用戶”命令，打開(kāi)“數(shù)據(jù)庫(kù)用戶-新建”對(duì)話框，選擇“常規(guī)”選擇頁(yè)。如左圖所示。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008數(shù)據(jù)庫(kù)用戶⑵在“數(shù)據(jù)庫(kù)用戶-新建”對(duì)話框的“常規(guī)”選擇頁(yè)中，輸入用戶名“Anna”，選擇登錄名，這里選擇“Banana_Anna”,默認(rèn)架構(gòu)名稱，然后添加此用戶擁有的架構(gòu)和此用戶的數(shù)據(jù)庫(kù)角色。⑶如果需要，可以對(duì)“安全對(duì)象”和“擴(kuò)展屬性”中的選項(xiàng)進(jìn)行設(shè)置。⑷單擊“確定”按鈕，完成新的數(shù)據(jù)庫(kù)用戶的創(chuàng)建操作。SQLServer2008第十一章數(shù)據(jù)庫(kù)的安全性管理數(shù)據(jù)庫(kù)用戶2.利用命令創(chuàng)建數(shù)據(jù)庫(kù)用戶創(chuàng)建數(shù)據(jù)庫(kù)用戶的命令是CREATEUSER語(yǔ)句。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008數(shù)據(jù)庫(kù)用戶3.內(nèi)置數(shù)據(jù)庫(kù)用戶在SQLServer的數(shù)據(jù)庫(kù)級(jí)別上存在著兩個(gè)特殊的數(shù)據(jù)庫(kù)用戶：dbo：是數(shù)據(jù)庫(kù)的擁有者，是數(shù)據(jù)庫(kù)的管理員。guest：guest用戶可以使已經(jīng)登錄到SQLServer服務(wù)器上的用戶訪問(wèn)數(shù)據(jù)庫(kù)。所有的數(shù)據(jù)庫(kù)都有dbo和guest用戶。SQLServer2008第十一章數(shù)據(jù)庫(kù)的安全性管理Page54/28數(shù)據(jù)庫(kù)用戶11.5.2修改和刪除數(shù)據(jù)庫(kù)用戶1.使用SSMS修改和刪除數(shù)據(jù)庫(kù)用戶使用SSMS修改數(shù)據(jù)庫(kù)用戶：在“對(duì)象資源管理器”中，選擇要修改的數(shù)據(jù)庫(kù)用戶，右擊，選擇“屬性”命令，如左圖所示。在打開(kāi)的“數(shù)據(jù)庫(kù)用戶”窗口中，可以對(duì)該數(shù)據(jù)庫(kù)用戶的屬性進(jìn)行修改。第十一章數(shù)據(jù)庫(kù)的安全性管理SQLServer2008數(shù)據(jù)庫(kù)用戶修改和刪除數(shù)據(jù)庫(kù)用戶使用SSMS修改和刪除數(shù)據(jù)庫(kù)用戶使用SSMS刪除數(shù)據(jù)庫(kù)用戶：在“對(duì)