《sql server數(shù)據(jù)庫應(yīng)用與實(shí)踐教程》課件第11章-SQL SERVER安全管理

第十一章

SQLSERVER安全管理2目標(biāo)安全管理概述登錄帳戶數(shù)據(jù)庫用戶角色權(quán)限管理311.1安全管理概述SQLServer的安全管理模型中包括SQLServer登錄、數(shù)據(jù)庫用戶、權(quán)限和角色4個主要方面。SQLServer登錄：要想連接到SQLServer服務(wù)器實(shí)例，必須擁有相應(yīng)的登錄賬戶和密碼。SQLServer的身份認(rèn)證系統(tǒng)驗(yàn)證用戶是否擁有有效的登錄賬戶和密碼，從而決定是否允許該用戶連接到指定的SQLServer服務(wù)器實(shí)例。4安全管理概述SQLServer的安全管理模型中包括SQLServer登錄、數(shù)據(jù)庫用戶、權(quán)限和角色4個主要方面。數(shù)據(jù)庫用戶：通過身份認(rèn)證后，用戶可以連接到SQLServer服務(wù)器實(shí)例。但是，這并不意味著該用戶可以訪問到指定服務(wù)器上的所有數(shù)據(jù)庫。在每個SQLServer數(shù)據(jù)庫中，都存在一組SQLServer用戶賬戶。登錄賬戶要訪問指定數(shù)據(jù)庫，就要將自身映射到數(shù)據(jù)庫的一個用戶賬戶上，從而獲得訪問數(shù)據(jù)庫的權(quán)限。5安全管理概述SQLServer的安全管理模型中包括SQLServer登錄、數(shù)據(jù)庫用戶、權(quán)限和角色4個主要方面。權(quán)限：權(quán)限規(guī)定了用戶在指定數(shù)據(jù)庫中所能進(jìn)行的操作。角色：類似于Windows的用戶組，角色可以對用戶進(jìn)行分組管理。可以對角色賦予數(shù)據(jù)庫訪問權(quán)限，此權(quán)限將應(yīng)用于角色中的每一個用戶。6創(chuàng)建登錄帳戶使用sp_addlogin存儲過程可以創(chuàng)建新的登錄賬戶。語法：sp_addlogin‘登錄名稱’,‘登錄密碼’,‘?dāng)?shù)據(jù)庫名’

示例：使用sp_addlogin創(chuàng)建SQLServer登錄賬戶Wang，密碼為123456，默認(rèn)數(shù)據(jù)庫為SchoolInfo。解決方案：sp_addlogin‘Wang’,‘111111’,‘SchoolInfo’

7修改登錄帳戶密碼使用sp_password存儲過程可以修改登錄賬戶的密碼。語法：sp_password'舊密碼','新密碼','登錄賬戶名'示例：使用sp_password修改SQLServer登錄賬戶Wang，密碼為123456。解決方案：sp_password‘111111’,‘123456’,‘Wang’

8刪除登錄帳戶使用sp_droplogin存儲過程可以刪除登錄賬戶。語法：sp_droplogin'登錄賬戶名'示例：使用sp_droplogin刪除SQLServer登錄賬戶Wang。解決方案：sp_droplogin‘Wang’

911.2創(chuàng)建數(shù)據(jù)庫用戶通過SQLServer的身份驗(yàn)證并不代表用戶就能夠訪問SQLServer中的數(shù)據(jù)，要訪問某個具體的數(shù)據(jù)庫，還必須使登錄賬戶成為某數(shù)據(jù)庫的用戶。使用sp_grantdbaccess存儲過程創(chuàng)建數(shù)據(jù)庫用戶。語法：

sp_grantdbaccess‘登錄名’示例：使用sp_grantdbaccess為SchoolInfo數(shù)據(jù)庫創(chuàng)建數(shù)據(jù)庫用戶Wang。解決方案：sp_grantdbaccess‘Wang’

10刪除數(shù)據(jù)庫用戶使用sp_grantdbaccess存儲過程創(chuàng)建數(shù)據(jù)庫用戶。語法：

sp_revokedbaccess‘?dāng)?shù)據(jù)庫用戶名’示例：使用sp_revokedbaccess為SchoolInfo數(shù)據(jù)庫刪除數(shù)據(jù)庫用戶Wang。解決方案：sp_revokedbaccess‘Wang‘

1111.3創(chuàng)建角色利用角色，SQLServer管理者可以將某些用戶設(shè)置為某一角色，對一個角色授予、拒絕或廢除的權(quán)限也適用于該角色的任何成員，這樣只需對角色進(jìn)行權(quán)限設(shè)置便可以實(shí)現(xiàn)對所有用戶權(quán)限的設(shè)置，大大減少了管理員的工作量。sp_addrole存儲過程的功能是創(chuàng)建SQLServer角色，語法：sp_addrole'數(shù)據(jù)庫角色名'示例：使用sp_addrole創(chuàng)建數(shù)據(jù)庫角色NewRole。解決方案：sp_addrole‘NewRole‘

12刪除角色sp_droprole存儲過程的功能是創(chuàng)建SQLServer角色，語法：sp_droprole'數(shù)據(jù)庫角色名'示例：使用sp_droprole創(chuàng)建數(shù)據(jù)庫角色NewRole。解決方案：sp_droprole‘NewRole‘

13為角色添加成員sp_addrolemember存儲過程的功能是向角色中添加用戶，語法如下：

sp_addrolemember'數(shù)據(jù)庫角色名','數(shù)據(jù)庫用戶名'示例：使用sp_addrolemember為數(shù)據(jù)庫角色NewRole添加成員Wang。解決方案：sp_addrolemember‘NewRole‘,’Wang’

14為角色刪除成員sp_droprolemember存儲過程的功能是向角色中添加用戶，語法如下：

sp_droprolemember'數(shù)據(jù)庫角色名','數(shù)據(jù)庫用戶名'示例：使用sp_addrolemember為數(shù)據(jù)庫角色NewRole刪除成員Wang。解決方案：sp_droprolemember‘NewRole‘,’Wang’

1511.4權(quán)限管理權(quán)限決定了用戶在數(shù)據(jù)庫中可以進(jìn)行的操作。可以對數(shù)據(jù)庫用戶或角色設(shè)置權(quán)限。

權(quán)限的種類：(1)對象權(quán)限(2)語句權(quán)限16權(quán)限管理-對象權(quán)限SELECTINSERTUPDATEDELETE17權(quán)限管理-語句權(quán)限語句權(quán)限表示一個用戶對數(shù)據(jù)庫的操作權(quán)限，如能否執(zhí)行創(chuàng)建和刪除對象的語句，能否執(zhí)行備份和恢復(fù)數(shù)據(jù)庫的語句等。語句權(quán)限如下：BACKUPDATABASE。BACKUPLOG。CREATEDATABASE。CREATEPROCEDURE。CREATETABLE。CREATEVIEW。DROPDATABASE。…18設(shè)置權(quán)限設(shè)置權(quán)限包括：授予權(quán)限：授予用戶、組或角色的語句權(quán)限和對象權(quán)限，使數(shù)據(jù)庫用戶在當(dāng)前數(shù)據(jù)庫中具有執(zhí)行活動或處理數(shù)據(jù)的權(quán)限。拒絕權(quán)限：包括刪除以前授予用戶、組或角色的權(quán)限，停用從其他角色繼承的權(quán)限，確保用戶、組或角色將來不繼承更高級別的組或角色的權(quán)限。廢除權(quán)限：廢除以前授予或拒絕的權(quán)限。廢除類似于拒絕，因?yàn)槎叨际窃谕患墑e上刪除已授予的權(quán)限。但是，廢除權(quán)限是刪除已授予的權(quán)限，并不妨礙用戶、組或角色從更高級別繼承已授予的權(quán)限。19授予權(quán)限基本語法如下：

GRANT{ALL|權(quán)限[,...n]}{ON{表|視圖|存儲過程}TO{安全賬戶|角色}

[,...n][WITHGRANTOPTION]20授予權(quán)限示例1:使用GRANT語句為Wang授予查詢表SC的權(quán)限。解決方案：

GRANTSELECTONSCTOWang示例2:使用GRANT語句為NewRole角色授予更新表SC的權(quán)限。解決方案：

GRANTSELECT,UPDATEONSCTONewRole注:當(dāng)授予UPDATE或DELETE權(quán)限時，需要與SELECT配合，否則權(quán)限無效，而INSERT不受SELECT影響。21授予權(quán)限示例3:使用GRANT語句為Wang授予更新表SC的Score字段權(quán)限。解決方案：

GRANTSELECT,UPDATE(Score)ONSCTOWang示例4:使用GRANT語句為NewRole角色授予查詢、更新表SC的權(quán)限,并允許該角色將此權(quán)限再授予其他用戶或角色。解決方案：

GRANTSELECT,UPDATEONSCTONewRoleWITHGRANTOPTION22廢除權(quán)限基本語法如下：

REVOKE{ALL|權(quán)限[,...n]}{ON{表|視圖|存儲過程}FROM安全賬戶[,...n]示例:使用REVOKE語句廢除NewRole角色授予查詢、更新表SC的權(quán)限。解決方案：

REVOKESELECT,UPDATEONSCFROMNewRole23廢除權(quán)限基本語法如下：

REVOKE{ALL|權(quán)限[,...n]}{ON{表|視圖|存儲過程}FROM安全賬戶[,...n]示例:使用REVOKE語句廢除NewRole角色授予查詢、更新表SC的權(quán)限,如果其授予此權(quán)限給其他用戶或角色，也將廢除其他用戶或角色擁有的此權(quán)限。解決方案：

REVOKESELECT,UPDATEONSCFROMNewRoleCASCADE24廢除權(quán)限注：假設(shè)A和B同時授予C對表的SELECT權(quán)限，此時A廢除了C的SELECT權(quán)限，但B并沒有廢除，因此，C仍然對表有SELECT權(quán)限。25拒絕權(quán)限基本語法如下：DENY{ALL|權(quán)限