1、學(xué)習(xí)要點(diǎn)：SQL Server的身份驗(yàn)證模式SQL Server登錄賬戶的管理用戶的管理角色管理和權(quán)限管理第11部分SQL Server的安全性管理11.1SQL Server 2000的身份驗(yàn)證模式用戶想操作SQL Server中某一數(shù)據(jù)庫中的數(shù)據(jù)，必須滿足以下3個條件：v通過身份驗(yàn)證登錄SQL Server服務(wù)器；v必須是該數(shù)據(jù)庫的用戶或者是某一數(shù)據(jù)庫角色的成員；v必須有執(zhí)行某一操作的權(quán)限。從上面三個條件可以看出SQL Server數(shù)據(jù)庫的安全性檢查是通過登錄名、用戶、權(quán)限來完成的。兩種身份驗(yàn)證模式：vWindows身份驗(yàn)證v混合模式（Windows身份驗(yàn)證和SQL Server 身份驗(yàn)證

2、）11.1.1 Windows 身份驗(yàn)證模式v當(dāng)用戶通過Windows NT/2000 用戶帳戶進(jìn)行連接時，SQL Server 通過回叫Windows NT /2000 以獲得信息，重新驗(yàn)證帳戶名和密碼，并在syslogins表中查找該帳戶，以確定該帳戶是否有權(quán)限登錄。在這種方式下，用戶不必提供密碼或登錄名讓SQL server驗(yàn)證。v優(yōu)點(diǎn)是：windows安全系統(tǒng)提供更多的功能：安全驗(yàn)證、密碼加密、審核、密碼過期、最短密碼長度，以及多次登陸請求無效后鎖定帳戶等。11.1.2混合驗(yàn)證模式v混合模式使用戶能夠通過Windows 身份驗(yàn)證或SQL Server 身份驗(yàn)證與SQL Server 實(shí)

3、例連接。v在SQL Server驗(yàn)證模式下，SQL Server在syslogins表中檢測輸入的登錄名和密碼。如果在syslogins表中存在該登錄名，并且密碼也是匹配的，那么該登錄名可以登錄到SQL Server。否則，登錄失敗。在這種方式下，用戶必須提供登錄名和密碼,讓SQL server驗(yàn)證。v提供SQL server身份驗(yàn)證是為了向后兼容。Eg：windows9811.1.3設(shè)置驗(yàn)證模式v可以使用SQL Server 企業(yè)管理器來設(shè)置或改變驗(yàn)證模式。（1）打開企業(yè)管理器，展開服務(wù)器組，右擊需要修改驗(yàn)證模式的服務(wù)器，再單擊“屬性”選項(xiàng)，出現(xiàn)SQL Server屬性對話框。（2）在SQL

4、 Server屬性對話框單擊“安全性”選項(xiàng)卡。（3）如果要使用Windows身份驗(yàn)證，選擇“僅Windows”；如果想使用混合認(rèn)證模式，選擇“SQL Server和Windows”。（4）在“審核級別”中選擇在SQL Server 錯誤日志中記錄用戶訪問SQL Server的級別:無，成功，失敗，全部。身份驗(yàn)證模式的修改后需要重新啟動SQL Server服務(wù)才能生效。11.2登錄管理11.2.1 系統(tǒng)安裝時創(chuàng)建的登錄賬戶 SQL Server 2000安裝好之后，系統(tǒng)會自動產(chǎn)生兩個登錄賬戶。本地管理員組（BUILTAdministrators）默認(rèn)屬于sysadmin角色中的成員，因此具有管理

5、員權(quán)限。系統(tǒng)管理員(sa) 默認(rèn)情況下，它指派給固定服務(wù)器角色sysadmin，并不能進(jìn)行更改。11.2.2 添加Windows登錄v在Windows NT/2000 的用戶或組可以訪問數(shù)據(jù)庫之前，必須給其授予連接到SQL Server實(shí)例的權(quán)限。 1使用企業(yè)管理器添加Windows登錄賬戶（1）打開企業(yè)管理器，展開服務(wù)器組，然后展開服務(wù)器。（2）展開“安全性”，右擊“登錄”，然后單擊“新建登錄”選項(xiàng)。（3）在“名稱”框中，輸入要被授權(quán)訪問SQL Server的Windows NT/2000 帳戶（以計(jì)算機(jī)名（域名）用戶名（組名）的形式）11.2.2 添加Windows登錄（4）在“身份驗(yàn)證”

6、下，單擊“Windows 身份驗(yàn)證”。（5）在“數(shù)據(jù)庫”中，單擊用戶在登錄到SQL Server 實(shí)例后所連接的默認(rèn)數(shù)據(jù)庫。在“語言”中，單擊顯示給用戶的信息所用的默認(rèn)語言。（6）單擊“確定”按鈕。注意：授權(quán)一個Windows用戶或組訪問SQL Server，必須以這個用戶登錄到Windows后才能驗(yàn)證這個用戶能否聯(lián)接到SQL Server。授權(quán)用戶或組訪問SQL Server時，此Windows用戶和組必須事先存在。11.2.2 添加Windows登錄2使用系統(tǒng)存儲過程sp_grantlogin添加Windows登錄。 sp_grantlogin login登錄名必須以“計(jì)算機(jī)名稱（或域名）

7、用戶名（或組名）”的形式。11.2.3 添加SQL Server登錄 如果用戶沒有Windows賬號，SQL Server 配置為在混合模式下運(yùn)行，或SQL Server 實(shí)例正在Windows 98 上運(yùn)行，則可以創(chuàng)建SQL Server 登錄賬戶。 1使用企業(yè)管理器添加SQL Server登錄賬戶（1）打開企業(yè)管理器，展開服務(wù)器組，然后展開服務(wù)器。（2）展開“安全性”，右擊“登錄”，然后單擊“新建登錄”選項(xiàng)。（3）在“身份驗(yàn)證”下，選擇“SQL Server 身份驗(yàn)證”。11.2.3 添加SQL Server登錄（4）在“名稱”框中，輸入SQL Server 登錄的名稱，在“密碼”框中輸入

8、密碼（可選（5）在“數(shù)據(jù)庫”下拉列表中，單擊用戶登錄到SQL Server實(shí)例后所連接的默認(rèn)數(shù)據(jù)庫。在“語言”中，單擊顯示給用戶的信息所用的默認(rèn)語言。（6）單擊“確定”按鈕。如果“密碼”框中輸入了密碼，則彈出確認(rèn)密碼對話框11.2.3 添加SQL Server登錄2用系統(tǒng)存儲過程sp_addlogin添加SQL Server登錄。sp_addloginlogin , password , database , language 例11-2 下面的示例創(chuàng)建一個SQL Server 登錄，登錄名為lisi并指定密碼abcd。 sp_addloginlisi,abcd11.3數(shù)據(jù)庫用戶管理11.3.

9、1默認(rèn)數(shù)據(jù)庫用戶 1數(shù)據(jù)庫所有者(DataBaseOwmer,dbo) dbo是數(shù)據(jù)庫的擁有者，擁有數(shù)據(jù)庫中的所有對象，每個數(shù)據(jù)庫都有dbo, sysadmin服務(wù)器角色的成員自動映射成dbo, 無法刪除dbo用戶，且此用戶始終出現(xiàn)在每個數(shù)據(jù)庫中。通常，登錄名sa映射為庫中的用戶dbo。另外，由固定服務(wù)器角色sysadmin的任何成員創(chuàng)建的任何對象都自動屬于dbo11.3.1默認(rèn)的數(shù)據(jù)庫用戶2Guest用戶Guest 用戶帳戶允許沒有用戶帳戶的登錄訪問數(shù)據(jù)庫。當(dāng)?shù)卿浢麤]有被映射到一個用戶名上時，如果在數(shù)據(jù)庫中存在Guest用戶，登錄名將自動映射成Guest，并獲得對應(yīng)的數(shù)據(jù)庫訪問權(quán)限。Gues

10、t用戶可以和其他用戶一樣設(shè)置權(quán)限，以可以增加和刪除，但master和tempdb數(shù)據(jù)庫中的Guest不能被刪除。默認(rèn)情況下，新建的數(shù)據(jù)庫中沒有Guest 用戶帳戶。11.3.2 創(chuàng)建數(shù)據(jù)庫用戶1使用企業(yè)管理器添加數(shù)據(jù)庫用戶（1）打開企業(yè)管理器，展開服務(wù)器組，然后展開服務(wù)器。（2）展開“數(shù)據(jù)庫”文件夾，然后展開將授權(quán)用戶或組訪問的數(shù)據(jù)庫。（3）右擊“用戶”，然后單擊“新建數(shù)據(jù)庫用戶”命令。彈出“數(shù)據(jù)庫用戶屬性”對話框（4）在“數(shù)據(jù)庫用戶屬性”對話框的“登錄名”框中鍵入或選擇將被授權(quán)訪問數(shù)據(jù)庫的Windows或SQL Server登錄名。在“用戶名”中，輸入在數(shù)據(jù)庫中識別登錄所用的用戶名。在默認(rèn)的

11、情況下，它設(shè)置為登錄名。（5）單擊“確定”按鈕11.3.2 創(chuàng)建數(shù)據(jù)庫用戶2用系統(tǒng)存儲過程sp_grantdbaccess添加數(shù)據(jù)庫用戶。sp_grantdbaccesslogin,name_in_db11.4角色管理角色是為了易于管理而按相似的工作屬性對用戶進(jìn)行分組的一種方式。SQL Server中組是通過角色來實(shí)現(xiàn)的。在SQL Server中角色分為服務(wù)器角色和數(shù)據(jù)庫角色兩種。服務(wù)器角色是服務(wù)器級的一個對象，只能包含登錄名。數(shù)據(jù)庫角色是數(shù)據(jù)庫級的一個對象，只能包含數(shù)據(jù)庫用戶名。11.4.1 固定服務(wù)器角色固定服務(wù)器角色 描述Sysadmin 在SQL Server 中執(zhí)行任何活動。Serv

12、eradmin 配置服務(wù)器范圍的設(shè)置。Setupadmin 添加和刪除鏈接服務(wù)器，并執(zhí)行某些 系統(tǒng)存儲過程（如sp_serveroption）Securityadmin 管理服務(wù)器登錄。Processadmin 管理在SQL Server 實(shí)例中運(yùn)行進(jìn)程Dbcreator 創(chuàng)建和改變數(shù)據(jù)庫。Diskadmin 管理磁盤文件。Bulkadmin 執(zhí)行BULK INSERT（大容量插入）語句11.4.1 固定服務(wù)器角色1使用企業(yè)管理器將登錄賬戶添加到固定服務(wù)器角色。（1）打開企業(yè)管理器，展開服務(wù)器組，然后展開服務(wù)（2）展開“安全性”，然后單擊“服務(wù)器角色” （3）雙擊需要添加登錄賬戶的服務(wù)器角色，

13、彈出“屬性”對話框（4）在“常規(guī)”選項(xiàng)卡中單擊“添加”按鈕,然后單擊要添加的登錄。（5）單擊“確定”按鈕，完成操作11.4.1 固定服務(wù)器角色2使用存儲過程sp_addsrvrolemember存儲過程sp_addsrvrolemember用來添加登錄，使其成為服務(wù)器角色的成員。sp_addsrvrolememberlogin,role11.4.2 固定數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色 描述db_owner 數(shù)據(jù)庫擁有者，可以執(zhí)行所有數(shù)據(jù)庫角色活動， 以及數(shù)據(jù)庫中的其它維護(hù)和配置活動。db_accessadmin 在數(shù)據(jù)庫中添加或刪除Windows NT 4.0 或Windows 2000組和用戶以及

14、SQL Server 用戶。db_datareader 查看來自數(shù)據(jù)庫中所有用戶表的全部數(shù)據(jù)。db_datawriter 添加、更改或刪除來自數(shù)據(jù)庫中所有用戶表的數(shù)據(jù)db_ddladmin 添加、修改或除去數(shù)據(jù)庫中的對象（運(yùn)行所有DDL）db_securityadmin 管理SQL Server 2000 數(shù)據(jù)庫角色的角色和成員 并管理數(shù)據(jù)庫中的語句和對象權(quán)限。db_backupoperator 有備份數(shù)據(jù)庫的權(quán)限。db_denydatareader 不允許查看數(shù)據(jù)庫數(shù)據(jù)的權(quán)限。db_denydatawriter 不允許更改數(shù)據(jù)庫數(shù)據(jù)的權(quán)限。Public 數(shù)據(jù)庫中用戶的所有默認(rèn)權(quán)限。11.4.

15、2 固定數(shù)據(jù)庫角色1使用企業(yè)管理器將用戶添加到固定數(shù)據(jù)庫角色。（1）打開企業(yè)管理器，展開服務(wù)器組，然后展開服務(wù)器。（2）展開“數(shù)據(jù)庫”文件夾，然后展開角色所在的數(shù)據(jù)庫。（3）單擊“角色” （4）雙擊需要添加用戶的數(shù)據(jù)庫角色，彈出“屬性”對話框（5）在“常規(guī)”選項(xiàng)卡中單擊“添加”按鈕，然后單擊要添加的用戶。（6）單擊“確定”按鈕，完成操作。11.4.2 固定數(shù)據(jù)庫角色2使用存儲過程sp_addrolemember存儲過程sp_addrolemember用來添加用戶，使其成為數(shù)據(jù)庫角色的成員。sp_addrolememberrole ,security_account 11.4.3 自定義數(shù)據(jù)庫角

16、色 當(dāng)一組用戶需要在SQL Server 中執(zhí)行一組指定的活動時，為了方便管理，可以創(chuàng)建數(shù)據(jù)庫角色。用戶自定義數(shù)據(jù)庫角色有兩種：標(biāo)準(zhǔn)角色和應(yīng)用程序角色。1使用企業(yè)管理器創(chuàng)建用戶自定義數(shù)據(jù)庫角色。（1）打開企業(yè)管理器，展開服務(wù)器組，然后展開服務(wù)器。（2）展開“數(shù)據(jù)庫”文件夾，然后展開要在其中創(chuàng)建角色的數(shù)據(jù)庫。（3）右擊“角色”，單擊“新建數(shù)據(jù)庫角色”命令，彈出“數(shù)據(jù)庫角色屬性”對話框。（4）在“名稱”框中輸入新角色的名稱，選擇“標(biāo)準(zhǔn)角色”。單擊“添加”按鈕將成員添加到“標(biāo)準(zhǔn)角色”列表中，然后單擊要添加的一個或多個用戶。（也可以選擇“應(yīng)用程序角色”，在“密碼”框中輸入密碼。注意：應(yīng)用程序角色不包含

17、成員）。（5）單擊“確定”按鈕，完成操作。11.4.3 自定義數(shù)據(jù)庫角色2使用存儲過程創(chuàng)建角色sp_addrole創(chuàng)建標(biāo)準(zhǔn)角色；sp_addapprole創(chuàng)建應(yīng)用程序角色；sp_setapprole激活應(yīng)用程序角色。注意：用戶自定義數(shù)據(jù)庫角色可以刪除，而固定服務(wù)器角色和固定數(shù)據(jù)庫角色是不能刪除的。3應(yīng)用程序角色當(dāng)要求對數(shù)據(jù)庫的某些操作不允許用戶用任何工具來進(jìn)行操作，而只能用特定的應(yīng)用程序來處理，這時就可以建立應(yīng)用程序角色。應(yīng)用程序角色不包含成員；默認(rèn)情況下，應(yīng)用程序角色是非活動的，需要用密碼激活。在激活應(yīng)用程序角色以后，當(dāng)前用戶的原來的所有權(quán)限會自動消失，而獲得了該應(yīng)用程序角色的權(quán)限。11.5

18、權(quán)限管理 11.5.1權(quán)限類型 權(quán)限用來控制用戶如何訪問數(shù)據(jù)庫對象。一個用戶可以直接分配到權(quán)限，以可以作為一個角色的成員來間接的得到權(quán)限。一個用戶可以同時屬于具有不同權(quán)限的多個角色。權(quán)限分為：對象權(quán)限語句權(quán)限暗示性權(quán)限11.5.1 權(quán)限類型1對象權(quán)限對象權(quán)限是指用戶訪問和操作數(shù)據(jù)庫中表、視圖、存儲過程等對象的權(quán)限。有五個不同的權(quán)限：查詢（select）插入（insert）更新（update）刪除（delete）執(zhí)行（execute）前四個權(quán)限用于表和視圖，執(zhí)行只用于存儲過程。11.5.1 權(quán)限類型2語句權(quán)限語句權(quán)限是指用戶創(chuàng)建數(shù)據(jù)庫或在數(shù)據(jù)庫中創(chuàng)建或修改對象、執(zhí)行數(shù)據(jù)庫或事務(wù)日志備份的權(quán)限。語句權(quán)限有：BACKUP DATABASEBACKUP LOGCREATE DATABASEDEFAULTCREATE FUNCTIONCREATE PROCEDURECREATE RULECREATE TABLECREATE VIEW 11.5.1 權(quán)限類型3暗示性權(quán)限暗示性權(quán)限是指系統(tǒng)預(yù)定義角色的成員或數(shù)據(jù)庫對象所有者所擁有的權(quán)限。例如，sysadmin固定服務(wù)器角色成員自動繼承在SQ