數(shù)據(jù)庫安全及訪問控制

SQLServer第16章數(shù)據(jù)庫安全及訪問控制16.1SQLServer安全認(rèn)證模式與設(shè)置

16.2SQLServer登錄賬戶的管理

16.3數(shù)據(jù)庫訪問權(quán)限的建立與刪除

16.4角色管理

16.5數(shù)據(jù)庫權(quán)限管理

第16章數(shù)據(jù)庫安全及訪問控制

16.1SQLServer安全認(rèn)證模式與設(shè)置16.1.1用戶安全認(rèn)證模式

16.1.2設(shè)置安全認(rèn)證模式

16.1SQLServer安全認(rèn)證模式與設(shè)置SQLServer作為DBMS，采用了三個層次的安全控制策略：1、用戶首先登錄到數(shù)據(jù)庫服務(wù)器上(是服務(wù)器合法用戶)2.然后使服務(wù)器用戶（login）成為某個數(shù)據(jù)庫的合法用戶，從而能夠訪問數(shù)據(jù)庫。3.讓數(shù)據(jù)庫用戶在數(shù)據(jù)庫中具有一定的權(quán)限(數(shù)據(jù)操作權(quán)、創(chuàng)建對象權(quán)等)16.1.1用戶安全認(rèn)證模式安全帳戶認(rèn)證是用來確認(rèn)登錄SQLServer的用戶的登錄帳號和密碼的正確性，由此來驗證其是否具有連接SQLServer的權(quán)限。SQLServer提供了兩種確認(rèn)用戶的認(rèn)證模式：（一）WindowsNT認(rèn)證模式。（二）混合認(rèn)證模式。（一）WindowsNT認(rèn)證模式SQLServer數(shù)據(jù)庫系統(tǒng)通常運行在WindowsNT服務(wù)器平臺上，而NT作為網(wǎng)絡(luò)操作系統(tǒng)，本身就具備管理登錄、驗證用戶合法性的能力，因此WindowsNT認(rèn)證模式正是利用了這一用戶安全性和帳號管理的機制，允許SQLServer也可以使用NT的用戶名和口令。在這種模式下，用戶只需要通過WindowsNT的認(rèn)證，就可以連接到SQLServer，而SQLServer本身也就不需要管理一套登錄數(shù)據(jù)。需要注意的是：登錄前必須將WindowsNT賬號加入到SQLServer中，才能采用WindowsNT賬號登錄到SQLServer上。

（二）混合認(rèn)證模式混合認(rèn)證模式允許用戶使用WindowsNT安全性或SQLServer安全性連接到SQLServer。在這種方式下，對于可信連接用戶的連接請求，系統(tǒng)將采用WindwosNT/2003認(rèn)證模式，而對于非可信連接用戶則采用SQLServer認(rèn)證模式。采用SQLServer模式認(rèn)證時，系統(tǒng)檢查是否已經(jīng)建立了該用戶的登錄標(biāo)識以及二者的口令是否相同。通過認(rèn)證后，用戶應(yīng)用程序才可連接到SQLServer服務(wù)器，否則系統(tǒng)將拒絕用戶的連接請求?？蛻暨B接請求認(rèn)證模式Windows認(rèn)證模式混合認(rèn)證模式SQLServer登錄標(biāo)識登錄標(biāo)識和口令正確？有效的NT/2003用戶帳戶？SQLServer拒絕用戶連接SQLServer接受用戶連接NNNYYYSQLServer對登錄標(biāo)識的認(rèn)證過程可用下圖表示：無論采用以上哪種認(rèn)證模式，在用戶連接到SQLServer后，他們的操作完全相同。比較起來，兩種認(rèn)證模式各有優(yōu)劣：（1）Windows認(rèn)證更為安全。（2）SQLServer認(rèn)證管理較為簡單，它允許應(yīng)用程序的所有用戶使用同一登錄標(biāo)識。為了便于用戶帳戶的集中管理，在WindowsNT/2003平臺下，最好選用Windows認(rèn)證模式。16.1.2設(shè)置安全認(rèn)證模式

其主要過程如下：1.打開SSMS，用右鍵單擊要設(shè)置認(rèn)證模式的服務(wù)器，從快捷菜單中選擇“屬性（properties）”選項，則出現(xiàn)SQLServer屬性對話框。2.在SQLServer屬性對話框中選擇安全性選項。3.在安全性選項欄中，身份驗證中可以選擇要設(shè)置的認(rèn)證模式，同時審核級別中還可以選擇跟蹤記錄用戶登錄時的哪種信息，例如登錄成功或登錄失敗的信息等。4.在啟動服務(wù)帳戶中設(shè)置當(dāng)啟動并運行SQLServer時默認(rèn)的登錄者中哪一位用戶。16.2SQLServer登錄賬戶的管理

16.2.1WindowsNT登錄帳戶建立與刪除

16.2.2SQLServer登錄賬戶建立與刪除

系統(tǒng)內(nèi)置已有的登錄帳號:SQLServer有三個默認(rèn)（內(nèi)置）的用戶登錄帳號：即sa、builtin\administrators和guest。Sa：SQLServer驗證模式的系統(tǒng)管理員帳號；builtin\administrators：是一個windows組帳號，表示所有windows系統(tǒng)管理員（Administrator）組中的用戶都可以登錄到SQLServer;Guest:是來賓帳號。

16.2.1WindowsNT登錄帳戶建立與刪除1、建立其他新的WindowsNT/2003賬戶

操作步驟如下：①以Administrators登錄到Windows2003；②選擇“開始”→“設(shè)置”→“控制面板”→“管理工具”→“計算機管理”；③在計算機管理窗口，選擇“本地用戶和組”，單擊右鍵，在快捷菜單上單擊“新用戶”，進入如下圖界面；④在“新用戶”對話框中輸入新用戶名和密碼（這里用戶名是meng，密碼是1111）；⑤單擊【確定】按鈕，一個新的WindowsNT/2003賬戶建立成功。

2.將WindowsNT/2003賬戶加入到SQLServer中

方法一：使用系統(tǒng)存儲過程在SQLServer中，授予WindowsNT/2003用戶或用戶組連接SQLServer服務(wù)器的權(quán)限。其語法格式為：sp_grantlogin[@loginame=]’login’

其中，’login’是WindowsNT/2003用戶或用戶組名稱，其格式為“域\用戶名稱”。對于本地用戶或組，則域名即為本地計算機名，其格式為“計算機名\用戶名稱”。

方法二：使用ＳＳＭＳ

例：奪將新著建的Wi熟nd博ow料s銷NT賬戶me執(zhí)ng用系警統(tǒng)存矛儲過較程添廟加到SQ利L針Se亮rv膜er系統(tǒng)繩中。EX梯ECsp依_g副ra未nt拜lo畜gi相n'Z擾UF盈E-晝MX祝H\me姥ng'--濟Z鵲UF攤E-恩MX麥H是計雄算機熱名，me吃ng是Wi做nd陣ow帽s養(yǎng)20項03用戶例：乎將Wi金nd納ow獲s譜NT賬戶de涉ng用Ｓ乓ＳＭ砌Ｓ方添法添茅加到SQ肌L由Se糖rv鼠er系統(tǒng)仰中。3.用新易建Wi說nd授ow緣瑞s鐘20聽03用戶漲登錄SQ衣L歪Se盛rv鏡er如果睬想用事新建Wi航nd績ow牙s因20敘03用戶遣登錄SQ旺L忙Se昨rv忍er，首先丈將登市錄的朽默認(rèn)的數(shù)據(jù)考庫選盡擇成諸用戶廊自己捧建立細(xì)的數(shù)鏈據(jù)庫嫩（如善果默匆認(rèn)數(shù)童據(jù)庫趟是ma籃st扒er，新建公用戶渴登錄哈權(quán)限摔限制弱不起復(fù)作用春）。在建勇立訪錦問該盈數(shù)據(jù)佳庫權(quán)池限的闖基礎(chǔ)落上，換然后隊可以變在Wi駛nd證ow追s窩20躬03中選亞擇“亡開始簽”→抹“關(guān)瓜機”泉，注齊銷原給來的撕賬戶櫻，用率新的冷賬戶裕（比值如me所ng）登錄Wi魯nd辰ow誘s秋20押03。登素錄成潑功后砍，啟橋動SS除MS就可錘以新拿的用僑戶自雙動進汗入SQ神L慌Se古rv您er。4.廢除Wi聰nd糟ow熊s嗎NT用戶煙和SQ毒L諒Se處rv拌er的連霉接系統(tǒng)要存儲棗過程sp倘_g稅ra撒nt鍛lo圖gi票n所添擺加的腐登錄若標(biāo)識封均存匆儲在SQ桂L頁Se義rv譽er的sy風(fēng)sl懷og軟in蕉s系統(tǒng)藏表中揪。以鳳系統(tǒng)紀(jì)管理味員身餐份調(diào)占用系水統(tǒng)存乒儲過頑程sp球_r牲ev元ok謠el辮og哈in或從ss鵲ms中能踏夠?qū)⒔偎鼈兇葟膕y舟sl詳og仗in系統(tǒng)碑表中網(wǎng)刪除討，這綢時在攏登錄狼窗口蚊中被等刪除扶的登伴錄標(biāo)留識也匯將不從再存志在（遺需要綠刷新鈴界面賽）。方法拔一：反使用攀系統(tǒng)篇存儲鼻過程語法門格式姓：sp煩_r夢ev沸ok糟el抖og贊in{[lo纏gi惑na宏me=]稍’l事og吩in擊’}參數(shù)對說明瘋：lo萌gi衛(wèi)n是待齊刪除嚷的SQ御L面Se赴rv政er服務(wù)宰器登而錄標(biāo)還識。方法禮二：鋒使用ss瓶ms16購.2輸.2刻SQ棍L塔Se止rv彩er登錄耀賬戶糟建立績與刪腹除在Wi悶nd呼ow父s冊NT砌/2例00胖3環(huán)境駐下，邀如果亦要使遲用SQ非L峽Se滅rv染er登錄估標(biāo)識容登錄SQ講L寫Se辦rv鎮(zhèn)er，首先跡應(yīng)將SQ播L以Se簽rv來er的認(rèn)勁證模樸式設(shè)箭置為頌混合育模式夸。設(shè)箏置成柄混合乓認(rèn)證痛模式參后，槳可以呢使用題系統(tǒng)論存儲傲過程父或ss陜ms創(chuàng)建SQ婚L蠢Se悠rv鑄er登錄司標(biāo)識矮。1.創(chuàng)建SQ紙L灑Se烏rv通er登錄言標(biāo)識方法欣一：的使用鉆系統(tǒng)賽存儲豈過程語法主格式灘：sp申_a浮dd靈lo勺gi揪n[@lo危gi些na適me=]勿’l唉og吩in朗’[,書[@pa夠ss偽wd=]鉤’p勻as脊sw盛or咸d’[,盈[@de職fd贊b=]者’d樓at仍ab框as孝e’[,乒@de燒fl是an訴gu溜ag第e=]踐’l房誠an競gu森ag護e’[,倡[@si偽d=]圖’si前d’[,鳳[@en希cr秧yp蹤蝶to跳pt=]船’e窮nc犧r(nóng)y摟pt書io餐n_欣op舉ti永on圾’]叼]]狂]]參數(shù)煮說明盟：⑴Lo研g(shù)i肌n為注洗冊標(biāo)執(zhí)識或SQ畢L盡Se層rv賣er用戶嶼名，烈長度肚為1到12糊8個字磚符，獻(xiàn)其中年可以血包括嬸字母分、符餐號和蜘數(shù)字勝，但塞不能明是空旬字符橡串，繞不能批包含棗‘\’，不睛能與喂現(xiàn)有采登錄竟標(biāo)識攝同名冒；⑵Pa宴ss嗎wd為口咸令，展默認(rèn)國口令鐘是NU耐LL（即不稀需要鉆口令告），謀用戶智可以軋在任劫何時菜候使贏用；⑶Da斧ta撇ba會se指定拉用戶沖在注餓冊時膀連接腸到的嫂默認(rèn)公數(shù)據(jù)垃庫，掙如果傘沒有藥指定營默認(rèn)傭數(shù)據(jù)蠟庫，抓則默短認(rèn)數(shù)賓據(jù)庫四是ma賊st呼er；⑷si窮d是新胡建登贊錄標(biāo)腸識的泊安全賠標(biāo)識室號，燙一般觸由系震統(tǒng)自俯動建盾立。⑸en涼cr腹yp漢ti忘on唐_o役pt美io蓋n說明捕登錄春標(biāo)識漢口令砌是否抬需要釘加密絡(luò)存儲晌到系順統(tǒng)表處中，灰其數(shù)綠據(jù)類咐型為va躺rc棄ha岡r(布20查),它有渣以下外三種垂取值鮮：①NU兩LL：默認(rèn)忌設(shè)置夾，口恨令加橡密存娘儲；②sk彩ip示_e保nc襲ry央pt曬io內(nèi)n：要求德不要范加密票口令究。③sk訪ip浸_e化nc火ry倘pt燦io皇n_反ol扒d：所提玻供的聚口令濁被SQ紹L究Se材rv提er前期禁版本存加密律，這截種取幼值主釣要用甜于早詠期版曾本數(shù)扶據(jù)庫鉆的升肉級。⑹la蜘ng愁ua禍ge說明贏用戶記注冊蹤蝶到SQ巴L烈Se薪rv汁er時使鉗用的險默認(rèn)芽語言血代碼銜。例：儲創(chuàng)建SQ謹(jǐn)L柱Se偏rv木er登錄艘賬戶wa殖ng。EX煌ECsp謝_a表dd狹lo設(shè)gi陰n@lo杠gi項na方me=出'wa諷ng',息@pa煩ss致wd='駝12淚34鉛'--新建幣登錄厘標(biāo)識wa竊ngEX并ECsp重_a喉dd忍lo期gi翅n@lo驢gi胳na慌me=圓'w鎖an縫g1急',鳥@pa濱ss道wd='槐12德34菌'介,@de介fd祖b=st殲u方法廈二：清使用ss酸msse督le夜ct午*外f攤ro得msy砍s.嘴sy鋸sl糠og提in若s2．用鏈新建SQ川L君se嶼rv晚er登錄扭用戶呆登錄SQ適L新Se蠢rv擔(dān)er首先境設(shè)置其安全鍵認(rèn)證軟模式僅成混翠合?？涫?，湖再將脖登錄絞的默刻認(rèn)數(shù)礎(chǔ)據(jù)庫敘選擇屯成用匪戶自筋己建造立的鏈數(shù)據(jù)釘庫，距在建冒立該悶用戶憲訪問爸該數(shù)扭據(jù)庫壇權(quán)限惠的基型礎(chǔ)上近，啟歷動ss濤ms，先昂斷開際原來褲的連糟接，農(nóng)再重晉新連臥接，屯然后爆選擇SQ殺L摔se備rv談er身份藍(lán)認(rèn)證愛，輸項入新巡壽的用仰戶名印和密渡碼即掘可用小新用示戶身私份訪州問SQ眨L阿Se錄rv靈er。3、刪院除SQ派L婚se溫rv簡er登錄獎標(biāo)識如果材管理渠員要絕禁止筒某個哥用戶密連接SQ祥L彩se壞rv都er服務(wù)妹器，凡則可概調(diào)用喊系統(tǒng)潤存儲報過程sp饞_d教ro喚pl輪og啄in或使朝用ss嗽ms將其婚登錄丑標(biāo)識葛從系防統(tǒng)中犧刪除幣。方法粉一：扭使用角系統(tǒng)塞存儲蒙過程語法雞格式紗：sp逗_d革ro皮pl溫og食in[@lo族gi俊na槐me=歡]炸‘蒙lo桶gi變n’參數(shù)劉說明葉：lo柳gi扁n為存惕儲在sy取sl至og唱in系統(tǒng)銹表中流的SQ庭L竄se蔽rv槽er登錄賠標(biāo)識擋。刪保除標(biāo)盤識也日就是耍刪除件該用金戶在sy飲sl鐘og報in表中流的對盞應(yīng)記編錄。方法史二：卵使用ss瞞ms刪除鴿步驟淺類似億上述Wi她nd京ow會s賬戶者刪除迷。16洽.3數(shù)據(jù)捎庫訪詢問權(quán)敬限的凱建立伸與刪竿除在數(shù)翁據(jù)庫較中，起一個蛇用戶權(quán)或工局作組份取得多合法越的登暫錄帳叨號，逼只表蝕明該定帳號送通過殊了Wi裁nd醒ow的s應(yīng)NT認(rèn)證貢或者SQ馬L餃Se失rv職er認(rèn)證甲，但川不能雜表明四其可篩以對鳴數(shù)據(jù)刻庫數(shù)拾據(jù)和掛數(shù)據(jù)呢庫對閣象進世行某銜種或朽者某年些操拉作，郊只有描當(dāng)他逢同時償擁有扮了數(shù)復(fù)據(jù)庫作訪問簽權(quán)限探后，鍛才能睬夠訪優(yōu)問數(shù)呢?fù)?jù)庫縣。16撕.3晃.1建立抵用戶扔訪問訴數(shù)據(jù)咬庫的纏權(quán)限16濱.3鏟.2刪除屑用戶部訪問篇數(shù)據(jù)范庫的逐權(quán)限16胞.3嚷.1建立賢用戶菜訪問諷數(shù)據(jù)策庫的趴權(quán)限方法捷一：勒使用撓系統(tǒng)捷存儲吸過程語法掠格式莖：sp辨_g鐘ra畜nt甜db嘉ac久ce介ss[@lo姿gi屑na巧me=]溪’l熱og變in讀’[,歐[@車na附me論_i果n_樹db頸=]軟’n蚊am鄙e_探in片_d萍b’將登源錄賬袍號用辭戶或誦組添幼加到逢當(dāng)前拔數(shù)據(jù)擊庫，抄使該宣用戶懸能夠圣具有神在當(dāng)煌前數(shù)陶據(jù)庫蒙中執(zhí)坊行活舅動的慎權(quán)限兇。參數(shù)預(yù)說明次：⑴‘lo悅gi進n’是登字錄標(biāo)哈識名趟稱或Wi風(fēng)nd地ow補s勤NT奴/2韻00沿3用戶格或用索戶組可名稱阻。⑵‘na挽me綱_i勿n_筍db覽’是在儲數(shù)據(jù)叨庫中晶為lo逮gi吹n參數(shù)緒指定利登錄套標(biāo)識套所創(chuàng)匆建的磚用戶絨名稱候，它怠可以釋與登公錄名華稱不喜同，商也可移以相饞同。笑省略挨該參嬸數(shù)時桶，所賓創(chuàng)建共的數(shù)釘據(jù)庫缸用戶孔名稱碗與lo漢gi活n相同潑。例：今將上毯述建骨立的Wi懇nd功ow傭s用戶截“ZU死FE售-M梅XH船\me熄ng”添加矮到“為教學(xué)煎管理座”數(shù)討據(jù)庫轉(zhuǎn)，并霞取名MA塞NA并GE拼R。US好E教學(xué)輝管理GOEX炭ECsp珠_g鄙ra肯nt轉(zhuǎn)db駱ac晉ce浩ss‘Z樂UF解E-炒MX概H\me犯ng’,臂’葉MA快NA添GE應(yīng)R’GO注意柴：⑴sa不能燃添加貴到數(shù)票據(jù)庫算中；⑵只忍有sy碎sa闊dm出in固定終服務(wù)扭器角緊色、db慢_a建cc蟻es衡sa賓dm勒in和db尺_(dá)o觀wn嶄er固定誦數(shù)據(jù)傻庫角黃色成松員才躁能執(zhí)貪行sp唉_g糧ra高nt壓db膠ac恒ce凱ss；⑶不能就從用獄戶定巴義的百事務(wù)奏中執(zhí)榴行sp豆_g太ra政nt逝db污ac采ce革ss。方法蜓二：等使用ss匙ms16裕.3隙.2刪除血用戶戰(zhàn)訪問苗數(shù)據(jù)腥庫的善權(quán)限方法圾一：靈使用姑系統(tǒng)單存儲苦過程語法董格式較：sp巾_r換ev滑ok夸ed竟ba撲cc工es臟s[@慈na義me幫_i余n_抽db退=]緣瑞’n土am貨e_撫in第_d乞b’參數(shù)斤說明訊：‘na液me茶_i遮n_恩db多’是在國數(shù)據(jù)績庫中慰指定似登錄板標(biāo)識讓所創(chuàng)腹建的涉用戶傷名稱磨。例16壤-1扣1刪除wi昆nd勸ow沾s賬戶稅“ZU紫FE荒-M攔XH錄\me碰ng”名為捧“MA壓NA柄GE頑R”訪問刷“教菜學(xué)管劍理”村數(shù)據(jù)節(jié)庫的專訪問痛權(quán)限買。US改E教學(xué)倚管理GOEX您ECsp趨_r彎ev摟ok潮ed擦ba始cc鐘es懷s'M鼻AN乒AG厲ER需'GO方法獨二：搞使用ss忠ms。16英.4角色熄管理角色謀是一鞋個強削大的腫工具蔑，可容以將機用戶蠻集中復(fù)到一額個單未元中埋，然黨后對蔥該單泉元應(yīng)穿用權(quán)宅限。鴿可以抹建立司一個武角色蹲來代搏表單顛位中谷一類玩工作籃人員救所執(zhí)逃行的期工作岔，然泉后給粘這個相角色梢授予槐適當(dāng)本的權(quán)徹限。笛當(dāng)工船作人智員開黨始工皆作時榜，只宿須將方他們械添加返為該漲角色慢成員烏，當(dāng)腿他們蛙離開乒工作給時，頸將他匆們從保該角扛色中啊刪除掠。而組不必抵在每袋個人雪接受絞或離糞開工劣作時另，反脊復(fù)授顯予、蠅拒絕億和廢套除其尾權(quán)限犁。權(quán)逆限在旗用戶投成為抄角色傾成員嶄時自仆動生珠效。管理陣員和薦數(shù)據(jù)你庫擁鉗有者恒在設(shè)趨置訪選問權(quán)膜限時遭，應(yīng)專首先就建立襲角色也，并隱將訪泉問權(quán)輸限集炮中授別予角待色，慌之后悲將需競要擁男有這企一權(quán)爪限的其用戶戒加入倡到角倍色中鵲，這帖些用孔戶即踩繼承柳角色尼的訪晉問權(quán)傻限?？啃枰撼废褂脩舴碌脑L小問權(quán)缸限時駛，將乘用戶晝從角新色中傷刪除察即可促。16漂.4閘.1固定直服務(wù)挺器角化色權(quán)限角色名稱固定角色類型執(zhí)行BULKINSERT語句bulkadmin只能管理SQLServer系統(tǒng)的磁盤文件Diskadmin只能在服務(wù)器上創(chuàng)建和修改數(shù)據(jù)庫Dbcreator只能管理數(shù)據(jù)庫實例下運行的進程Processadmin只能管理服務(wù)器登錄標(biāo)識Securityadmin添加和刪除連接服務(wù)器，執(zhí)行某些系統(tǒng)存儲過程Setupadmin只能執(zhí)行服務(wù)器配置工作Serveradmin能夠在SQLServer服務(wù)器上執(zhí)行所有操作，其權(quán)限覆蓋其他各種固定服務(wù)器角色所具有的權(quán)限Sysadmin固定服務(wù)器角色1、查趕看固輝定服乓務(wù)器鞭角色2、添緞加固娛定服賣務(wù)器懲角色貧成員3、刪蔽除固異定服索務(wù)器寺角色多成員4、用T-蜜SQ閉L進行圖固定張服務(wù)飼器角龜色成犯員管料理在SQ榨L展Se春rv支er中使處用以腫下兩廳個存屯儲過嘉程來離添加雕或刪逢除固草定服航務(wù)器輪角色駁成員駐：sp兇_a失dd笨sr主vr尸ol石em斥em丙be紀(jì)r[@lo縫gi磚na捆me=]淋’lo戴gi蛋n’賄[,認(rèn)[@億ro立le襪na六me=]訊’r顧ol龍e’躁]sp勸_d胞ro穩(wěn)ps隸rv妨ro甘le瞧me罵mb禾er[@lo幣gi姑na牛me=]姜’lo梨gi頓n’改[,煉[@頓ro乞le冷na錢me=]王’r劈燕ol譽e’他]其中委，lo腔gi默n為登毒錄標(biāo)寇識名特稱，挽可以倘為SQ謙L碼Se零rv遞er登錄甲標(biāo)識雄或Wi穗nd希ow蕩s害NT用戶啞帳戶處。ro相l(xiāng)e為固哪定服設(shè)務(wù)器漠角色假名稱妹。例如凍：sp薪_a拴dd漏sr伐vr溪ol嘩em鳥em病be底r‘ZU龜FE坊-M宏XH\me葵ng夸’,蛋’s鳥ys彎ad駁mi拆n’gosp鍵_d橫ro輸ps圍rv葡ro黃le犬me漫mb繪er‘ZU型FE殃-M聲XH\me臺ng暑’,同’s版ys給ad簡mi振n’go16肺.4玩.2固定域數(shù)據(jù)叔庫角民色禁止數(shù)據(jù)庫中的檢索操作Db_denydatareader

固定數(shù)據(jù)庫角色權(quán)限角色名稱固定角色類型禁止修改數(shù)據(jù)庫中的所有數(shù)據(jù)Db_denydatawriter能夠執(zhí)行數(shù)據(jù)庫備份操作的權(quán)限D(zhuǎn)b_backupoperator能夠管理數(shù)據(jù)庫角色及其成員，管理數(shù)據(jù)庫中的語句權(quán)限和對象權(quán)限，從而控制用戶對數(shù)據(jù)庫的訪問Db_securityadmin能夠在一個數(shù)據(jù)庫中創(chuàng)建、修改或刪除數(shù)據(jù)庫對象Db_ddladmin能夠?qū)σ粋€數(shù)據(jù)庫的所有表執(zhí)行數(shù)據(jù)更新操作Db_datawriter能夠在一個數(shù)據(jù)庫的所有表中檢索數(shù)據(jù)Db_datareader只能管理數(shù)據(jù)庫用戶帳戶，向數(shù)據(jù)庫添加或刪除WindowNT/2000用戶（組）和SQLServer登錄標(biāo)識Db_accessadmin數(shù)據(jù)庫最高權(quán)限角色，能夠執(zhí)行所有其他數(shù)據(jù)庫角色可以執(zhí)行的操作和數(shù)據(jù)庫的維護、配置工作Db_owner1、查貪看固精定數(shù)何據(jù)庫堡角色2、添廣加固停定數(shù)驕據(jù)庫梁角色鳴成員3、刪址除固市定數(shù)壺?fù)?jù)庫拐角色封成員4、用T-濱SQ查L進行紙數(shù)據(jù)興庫角源色成稀員管亂理在SQ注L淚Se來rv懇er中使沫用以壩下兩圖個存聽儲過悅程來地添加霉或刪袍除固欲定數(shù)冷據(jù)庫即角色族成員料和用祖戶自影定義釀數(shù)據(jù)拘庫角悅色：sp涌_a嗽dd露ro峰le罵me飯mb干er[@ro吼le格na陵me=]骨’r僻ol克e’，[@me旨mb位er果na韻me=]普’s些ec麗ur窄it繭y_歡ac身co迷un夏t’sp漠_d辣ro謹(jǐn)pr濟ol歪em堅em紛be已r[@ro漸le訂na慢me=]尋’r系ol誼e’，[@me孤mb挽er屑na森me=]首’s護ec除ur火it棍y_逼ac兼co學(xué)un剩t’其中謝，ro畢le為固高定服秧務(wù)器材角色累名稱警或當(dāng)揭前數(shù)挎據(jù)庫凝中自咸定義差角色附名稱。se秘cu概ri更ty輩_a心cc窩ou養(yǎng)nt為待皮添加久或刪拒除的SQ憶L余Se但rv偵er登錄倉標(biāo)識蠟、其明他角車色或Wi逐nd妙ow速s者NT喂/2遣00皂3用戶額帳戶購。當(dāng)卻添加上時，疏如果懸當(dāng)前償數(shù)據(jù)柜庫中項沒有泰建立Wi消nd槐ow嶼s儲NT栗/2徒00濫3用戶揪帳戶擴安全湊帳戶頭，數(shù)棟據(jù)庫同用戶串帳戶層被自圈動建廚立。療刪除尋時，se覆cu剪ri遮ty櫻_a搏cc誼ou咸nt必須跳為當(dāng)祖前數(shù)煮據(jù)庫狠的一友個有贈效用卵戶帳惰戶。sp灰_a宅dd損ro端le飾me萬mb闊er'Db層_o顯wn聚er免',萌‘w留an守g'5．應(yīng)袍用程座序角酷色建們立與綁刪除前面農(nóng)介紹右的標(biāo)艙準(zhǔn)角瞧色對誰訪問攝控制裹實現(xiàn)括在數(shù)焦據(jù)庫懇一級御，它尖決定巡壽用戶塘能夠免訪問濟的數(shù)薄據(jù)庫搶及其偏對象宿。下漆面介扁紹另鼻一種吉訪問匠控制觸方法——應(yīng)用濟程序獅角色。它組不同沈于標(biāo)攤準(zhǔn)角壯色，柳它不爹是根掠據(jù)用宗戶，啦而是區(qū)根據(jù)廊用戶熱所運列行的青應(yīng)用交程序撲決定灰當(dāng)前盛連接叮能否盟訪問駕數(shù)據(jù)基庫對遷象。使用粗應(yīng)用而程序旱角色氧的直怨接原抗因有制以下償兩個劑方面兆：第一抬、限姻制訪菊問數(shù)鏟據(jù)庫耀所使釋用的嶼應(yīng)用煩程序?qū)?，提炸高系蛙統(tǒng)安他全性侍。例惜如，蓮在一庭個財鞋務(wù)系紹統(tǒng)中挖，用隔戶添替加到繪數(shù)據(jù)瓶庫中辮的數(shù)靠據(jù)不濕希望防任何欲非法頁用戶雖通過熟其他乞任何暫途徑膛進行古訪問秩，而局只允煮許通懂過財鍛務(wù)系滲統(tǒng)自煉身檢擔(dān)驗后厭的合伯法用招戶訪糊問，敞這時蠻使用逗應(yīng)用產(chǎn)程序召角色斑就能領(lǐng)達(dá)到螺這一塔目的疊。第二徑、提低高SQ縮慧L住Se鉛rv阿er服務(wù)紛器的健運行滔性能狠。因甲為應(yīng)喂用程爪序角刮色只幕允許榜指定殖的應(yīng)夾用程毫序運暈行，情這能裙避免蹦用戶五在SQ問L叨Se奇rv集er服務(wù)喉器上蒸運行縫其他備程序疫，從剛而提青高數(shù)聽據(jù)庫棗系統(tǒng)昌的運垂行性翼能。（1）建立植應(yīng)用通程序酬角色SQ拴L范Se統(tǒng)rv害er中，鴨只有譜固定狂服務(wù)萍器角距色sy底sa文dm滅in成員尖、固設(shè)定數(shù)皆據(jù)庫寨角色db達(dá)_o靈wn財er和db傅_s粥ec鳳ur絹it泰ya棚dm君in成員愈才能蛛運行罵以下娃存儲男過程福創(chuàng)建格或刪肆除應(yīng)食用程戀序角蓮色：sp便_a獻(xiàn)dd毒ap紐奉pr億ol構(gòu)e[@ro帝le妄na微me=]運’r兄ol押e’研,[皺@p習(xí)as熔sw檢or而d=章]‘餅pa宜ss扶wo葛rd炭’sp冶_d拿ro接pa槍pp俯ro巾le[@ro雕le當(dāng)na坡me=]參’r燒ol估e’例如么、在教調(diào)學(xué)管烘理數(shù)客據(jù)庫久中建柳立應(yīng)母用程嗓序角丙色‘每查詢騾’，按其口哀令為12氧3。US籠E教學(xué)犧管理GOEX乖ECsp往_a孟dd位ap執(zhí)pr瞞ol沃e'查詢',晴'1州23棗'GO（2）激鬧活和壁使用皮應(yīng)用英程序沸角色建立窗應(yīng)用房誠角色塞后，SQ蹦L跡Se欠rv梢er數(shù)據(jù)皮庫應(yīng)扎用程碼序可貍以調(diào)革用系匙統(tǒng)存僅儲過云程sp豈_s演et毀ap探pr貞ol殘e激活丘角色伏。其謙語法到格式傳為：sp屯_s醫(yī)et酬ap滾pr進ol飾e[@ro敘le澆na啊me=]釀’r篩ol召e’完,[產(chǎn)@p捎as周sw劫or稼d=蟲]際{E邪nc疑ry墳pt故N合‘潮pa花ss頃wo手rd堂’}備|’畝pa猛ss杯wo即rd示’[倍,[遣@e斤nc冤ry疫pt飾=]搶’e落nc咬ry炭pt匙_s繡ty津le庭’]其中半，En匠cr建yp益t蹤蝶N選項雹要求摸應(yīng)用弓程序利在向SQ廳L真Se亮rv懼er傳遞暴應(yīng)用貝程序刃角色朝口令蘭之前兆，將腫其加杠密。en構(gòu)cr混yp售t_索st笛yl勉e說明托加密炭方式螺，它甩有以弦下兩打種取睛值：no敗ne階:用明虹文方股式傳境遞，堵這時絮默認(rèn)阻方式幟；od凡bc:使用OD賤BC規(guī)范紗定義柄的En均cr賢yp乘t加密巾函數(shù)鉗對角喚色口緊令進銷行加垮密例如持，在一亂個客孩戶端滾應(yīng)用必程序究中可替以執(zhí)痛行以雪下語魂句激航活前格面創(chuàng)潤建的球應(yīng)用沃程序任角色假‘查刊詢’螞。US萍E教學(xué)惠管理GOEX煎ECsp朝_s猶et渠ap完pr排ol蛙e'查詢',編'1途23蒜',腫'o尤db粗c'GO應(yīng)用貝程序促角色栗與標(biāo)擠準(zhǔn)角插色相寧比，天二者專之間世存在撤以下叫差別絞：（1）應(yīng)用扣程序佳角色聽不包癢含任窩何成在員，責(zé)而標(biāo)副準(zhǔn)角盾色則暑擁有萌自己短的成死員。（2）默認(rèn)臨時，銹應(yīng)用牧程序律角色障是無孕效的立，只炎有當(dāng)伐數(shù)據(jù)顛庫應(yīng)島用程例序執(zhí)襪行系暢統(tǒng)存均儲過嘴程sp言_a鋤pp支ro脆l(xiāng)e，并為鍬應(yīng)用兩程序查角色恰提供賺正確帥的口排令后阿才激席活應(yīng)如用程徐序角閥色。刮而標(biāo)桑準(zhǔn)角革色一徐直保謀持有秘效。（3）應(yīng)用消程序糧角色餐激活灰后，主應(yīng)用絕程序都角色罰所擁蠅有的蔽訪問館權(quán)限飛才起館作用兼。這傾時，膊它屏魯蔽掉倉標(biāo)準(zhǔn)絡(luò)角色黑中的踢訪問拜權(quán)限哨。也羊就是楊說，升應(yīng)用可程序積角色譜激活營后，個無論藍(lán)連接舒用戶縣是否社擁有風(fēng)對數(shù)載據(jù)庫謹(jǐn)?shù)脑L統(tǒng)問權(quán)遲限，SQ濁L服Se銅rv驕er只根幟據(jù)應(yīng)突用程憶序角慌色的翼訪問歲權(quán)限燒判斷青應(yīng)用鐮程序技能否既操作振指定教的數(shù)稻據(jù)庫專。（4）在運及行應(yīng)贏用程丑序所捉建立縫的連揭接斷板開后扔，應(yīng)凈用程凡序角屠色即刪隨之彈失去蹈作用糟。16艘.5數(shù)據(jù)楊庫權(quán)樹限管黑理當(dāng)用戶胸成為餓數(shù)據(jù)亭庫中巧的合碧法用永戶之暖后，妨他除簽了具姓有一瞇些系現(xiàn)統(tǒng)表走的查碌詢權(quán)商之外份，并劑不對偽數(shù)據(jù)驚庫中尾的對裝象具房誠有任匯何操鞭作權(quán)潮，因令此，鏡下一關(guān)步就些需要龍為數(shù)繡據(jù)庫顧中的任用戶喊授予其數(shù)據(jù)威庫對遷象的撞操作霞權(quán)。16傷.5傾.1權(quán)限痰種類1、對析象權(quán)候限存儲過程EXECUTE表、視圖DELETE表、視圖、列UPDATE表、視圖INSERT表、視圖、列SELECT數(shù)據(jù)庫對象語句2、語騎句權(quán)際限語句介權(quán)限碼決定斃用戶鋼能否迎操作羅數(shù)據(jù)暴庫和悼數(shù)據(jù)灑對象愈，如油表、買視圖餓、存福儲過概程、木默認(rèn)串和規(guī)幼則等仰。語方句權(quán)勞限決兇定用美戶能謎否執(zhí)爛行以訴下語本句：.CR驅(qū)EA藝TE鋤D泡AT篩AB加AS狐E：創(chuàng)建伙數(shù)據(jù)淡庫。.互CR版EA熔TE刑D魂EF達(dá)AU艱LT：在數(shù)葵據(jù)庫提中建詢立默仗認(rèn)值泳。.繼CR獎EA付TE容P撐RO對CE段DU穗RE：在數(shù)相據(jù)庫族中創(chuàng)宏建存徹儲過冠程。.街CR述EA撲TE百F掃UN舅CT榴IO俗N：在數(shù)杯據(jù)庫草中創(chuàng)穩(wěn)建用紡戶自衫定義距函數(shù)絕。.榜CR圖EA悲TE浪R趴UL蝴E：在數(shù)萍據(jù)庫閥中創(chuàng)伍建規(guī)跌則。.鬼CR工EA數(shù)TE鋼T信AB盜LE：在數(shù)離據(jù)庫瘡中創(chuàng)雄建表茫。.臟CR委EA宅TE罩V載IE泡W：在數(shù)端據(jù)庫末中創(chuàng)德建視雖圖。.嫁BA誼CK勤UP暈D件AT錘AB筍AS友E：備份蘇數(shù)據(jù)用庫。.執(zhí)BA滑CK警UP族L梨OG：備份留數(shù)據(jù)勾庫日燈志。在SQ循L兩Se爐rv到er中，船每個冰數(shù)據(jù)術(shù)庫都澇有各貨自獨碧立的純權(quán)限漸保護謠，所升以對泳于不嚴(yán)同的寒?dāng)?shù)據(jù)鑼庫要椒分別彩向用垂戶授渠予語尋句權(quán)邪限。謹(jǐn)（CR遲EA忌TE剃D父AT踏AB逗AS艷E除外悼）。3、隱習(xí)含權(quán)撒限是指墳系統(tǒng)恩安裝潔以后祥有些鄙用戶侍和角黑色不布必授儉權(quán)就曲有的果許可岔。SQ鳳L崖Se細(xì)rv志er預(yù)定哨義的這固定貪服務(wù)建器角般色、肉固定蛋數(shù)據(jù)乞庫角庭色和吼數(shù)據(jù)序庫對持象所蘿有者胡均具洗有隱息含權(quán)食限。16威.5則.2權(quán)限老管理GRANT:

有權(quán)操作REVOKE:無權(quán)操作DENY:

不能操作1、使蠅用ss更ms管理鬧權(quán)限2、使萌用T-炕SQ仇L管理瞧權(quán)限T-舍SQ科L中的腰權(quán)限虹管理在語句閱有以原下三脹種：.GR縫AN論T：允許網(wǎng)權(quán)限哄。.DE頭NY：禁止窩權(quán)限者。.RE鋸VO瓶KE：取消纏允許上權(quán)限凍或禁踩止權(quán)餃限設(shè)纏置。由于SQ鴉L父Se拉rv的er預(yù)定飾義角飽色的定隱含暴權(quán)限躲是固賀定的響，所差以不度能使永用以犬上語殃句重撇新設(shè)窗置，壇權(quán)限電管理約語句宵只能縱設(shè)置男用戶壓、角拴色等趙權(quán)限早。（1）語維句權(quán)誘限管販理語句弟授權(quán)章的命姨令格烤式是因：GR叮AN曲T{卸AL勺L|和st枯at掙em降en殲t_盟li屈st斃}T亞O{鄙PU磚BL奮IC留|n利am戲e_覽li雁st頃}DE哪NY濕{癢AL獎L|羞st棗at甩em咬en斑t_膚li累st扛}T墳O{佛PU義BL鬧IC囑|n掠am堅e_臺li駁st馬}RE照VO赤KE面{過AL兵L|栗st珍at陜em著en伍t_革li賠st屆}F味RO憲M宗{P康UB宵LI薄C|屑na興me丙_l滔is柜t}·A臣LL即全葉部語恒句，只有都系統(tǒng)甩管理繪員可笨以使遞用此鳥選項奶，因莫為只對有系裳統(tǒng)管虜理員姐可以秒授予思或收虛回CR乞EA我TE仙D朗AT牙AB及AS詠E的權(quán)衰限；·s純ta腰te叼me倡nt營_l赤is攀t給出命授權(quán)幕的語含句列衡表，煮這些項語句編可以拆是CR服EA薦TE陡D室AT蕩AB廟AS漆E（如果扭執(zhí)行喘這個串語句胸的用唐戶是能系統(tǒng)號管理婦員）攀、CR鑄EA拍TE尿D纏EF論AU但LT、CR蒜EA拘TE界P覆RO邪CE膀DU類RE、CR談EA新TE喚F心UN作CT蟻IO勁N、CR薯EA結(jié)TE顆R倍UL狐E、CR強EA販TE林T蘿AB懲LE、CR藍(lán)EA槐TE宗V平IE跨W、BA惕CK糾UP咳D牙AT怨AB焰AS文E和DU您MP左T廣RA閃NS繭AC蟻TI星ON等；·PU蕉BL條IC說明蚊這些艷語句戚的執(zhí)喜行權(quán)動限將地授予年所有獎的用塘戶；·na坐me拳_l族is墨t是數(shù)遣據(jù)庫粒用戶傍名或可組名兵或角匠色名約，說拜明這恭些語誘句的園執(zhí)行傾權(quán)限嗓授予全哪些榆用戶宗或組昆。例1．系療統(tǒng)管固理員準(zhǔn)授予品注冊煉名為me梅ng的用圾戶CR及EA延TE搬D旱A(chǔ)T稿AB麗AS痛E的權(quán)梳限。US館E嗎ma悶st亂erGOGR摘AN屋T影CR復(fù)EA忍TE烈D慘AT標(biāo)AB歲AS考E損TOme撐ngGO例2．授予桿用戶ST團U_茶MA伸NA鍋GE給R（ZU扯FE蓋-M夫XH念\me廟ng登錄臣標(biāo)識煩的名胡稱）嚴(yán)具有燦創(chuàng)建萄表的紙權(quán)限繳。US小E教學(xué)偷管理GOGR湖AN踩T蝕CR蓄EA扶TE習(xí)T抱AB庫LE說T書O蟲MA謎NA悼GE帥RGO2、字對象柏權(quán)限災(zāi)管理數(shù)據(jù)拿庫對器象的盟授權(quán)咽命令幫格式公是：GR游AN湯T{A碧LL必|P扣er初mi囑ss仙io合n_翼li魂st炎}ON曲{ta慶bl定e_爸na盼me它[(脖co蒼lu揉me披_l如is唯t)孩]|怕vi般ew貨_n拜am梁e[夸(c需ol旦um乖n_轉(zhuǎn)li拋st)]肉|疊st艘or輕ed闊_p收ro批ce創(chuàng)du趴re雜_n姿am松e|尿ex跟te學(xué)nd靠ed拉_s受to照re床d_階pr鋒oc更ed映ur炎e_濫na雨me儀|巧u很se淡r_精de躺fi電ne傘d_肥fu途nc射ti怕on際}TO饞{圈PU灰BL繞IC罰|n挖am跳e_狀li跟st他}[W爭IT蝕H梅GR表AN鄰T漢OP宣TI賊ON簡][a得s疏{g刻ro挑up禍|r日ol角e}縱]其中蘋：·A鉤LL說明坊將指恭定對嘗象的疾所有管操作雷權(quán)限植都授涼予指皆定的頭用戶粉，只遙有sy維sa恭dm禾in、db叔_o沒wn始er角色四成員叛和數(shù)遙據(jù)庫棍對象衡所有勞者才冤可以匙使用al機l選項胸；·p忍er蛛mi俘ss愿io構(gòu)n_網(wǎng)li康st是權(quán)遼限列蹤蝶表。.AS推{引gr順ou包p|沒ro臨le貞}:用戶紗可以趕從多淚個角充色或延組中宵繼承眉權(quán)限健，在GR腎AN善T和RE輕VO況KE語句忠中使題用AS選項鋪說明塘他們筋要管著理的漸用戶巾從哪細(xì)個角希色或存組繼接承權(quán)裙限。DE被NY{A蘭LL肺|P爭er斥mi舒ss無io榴n_肯li叼st寺}佩O浴N似{ta頸bl蕉e_舅na決me撿[(勻co蹲lu桌m(xù)e趕_l全is搬t(yī))嫁]|俱vi布ew駱_n練am襯e[懇(c擾ol赴um掀n_折li微st)]劍|乖st斤or臣ed語_p予ro拉ce普du柱re勤_n橡am紐奉e|疫ex限te叨nd驅(qū)ed青_s柿to攤re朱d_尿pr吧oc淘ed繪ur痰e_帝na垃me端|敘us臨er忘_d姨ef冰in倆ed豆_f炊un柔ct冰io可n}旅T飄O溝{P箭UB賄LI管C|蝦na壯me此_l憲is渾t}[C里AS顏CA咱DE登]數(shù)據(jù)陽庫對刺象的勁拒絕漿權(quán)限鳳的命現(xiàn)令格出式是頭：DE喚NY語句踏中的CA酒SC侍AD淘E選項茫有以棵下兩如個作哨用：.授予鋪用戶呢禁止鼻權(quán)限雖。.如果柄用戶客擁有WI豪TH捏G永RA磨NT憤O陶PT額IO萍N權(quán)限災(zāi)，則來撤消汪該權(quán)幻玉限。塞如果肺用戶棒已使