1、1,SQL Server的安全控制,2,一、數(shù)據(jù)庫權(quán)限的種類及用戶的分類 1.權(quán)限的種類 第一類是對(duì)數(shù)據(jù)庫管理系統(tǒng)進(jìn)行維護(hù)的權(quán)限; 第二類是對(duì)數(shù)據(jù)庫中的對(duì)象和數(shù)據(jù)進(jìn)行操作的權(quán)限; 第一種是對(duì)數(shù)據(jù)庫對(duì)象的權(quán)限，包括創(chuàng)建、刪除和修改數(shù) 據(jù)庫對(duì)象； 第二種是對(duì)數(shù)據(jù)庫數(shù)據(jù)的操作權(quán)，包括對(duì)表、視圖數(shù)據(jù)的 增、刪、改、查。 2.數(shù)據(jù)庫用戶的分類 數(shù)據(jù)庫中的用戶按其操作權(quán)限的大小可分為如下三類： （1）數(shù)據(jù)庫系統(tǒng)管理員：具有一切權(quán)限。 （2）數(shù)據(jù)庫對(duì)象擁有者：對(duì)其所擁有的對(duì)象具有一切權(quán)限。 （3）普通用戶：只具有對(duì)數(shù)據(jù)庫數(shù)據(jù)的增、刪、改、查權(quán)。,3,二、 SQL Server的安全控制,一個(gè)用戶如果要訪問S

2、QL Server數(shù)據(jù)庫中的數(shù)據(jù)，他必須要經(jīng)過三個(gè)認(rèn)證過程： 第一個(gè)認(rèn)證過程是身份驗(yàn)證，這時(shí)用登錄賬號(hào)來標(biāo)識(shí)用戶，身份 驗(yàn)證只驗(yàn)證用戶連接到SQL Server數(shù)據(jù)庫服務(wù)器的資格，即驗(yàn)證該用戶是否具有連接到數(shù)據(jù)庫服務(wù)器的“連接權(quán)”。 第二個(gè)認(rèn)證過程是當(dāng)用戶訪問數(shù)據(jù)庫時(shí)，他必須具有對(duì)具體數(shù)據(jù)庫的“訪問權(quán)”，即驗(yàn)證用戶是否是數(shù)據(jù)庫的合法用戶。 第三個(gè)認(rèn)證過程是當(dāng)用戶操作數(shù)據(jù)庫中的數(shù)據(jù)或?qū)ο髸r(shí)，他必須具有所要進(jìn)行的操作的“操作權(quán)”，即驗(yàn)證用戶是否具有操作許可。,4,SQL Server的用戶有兩種類型： Windows授權(quán)用戶：來自于Windows的用戶或組； SQL授權(quán)用戶：來自于非Windows

3、的用戶，我們也將這種用戶稱為 SQL用戶。 SQL Server為不同的用戶類型提供有不同的安全認(rèn)證模式： 1.Windows身份驗(yàn)證模式 Windows身份驗(yàn)證模式允許用戶Windows NT或Windows 2000用戶連接到SQL Server。 2.混合驗(yàn)證模式 混合驗(yàn)證模式表示SQL Server接受Windows授權(quán)用戶和SQL授權(quán)用戶。如果不是Windows操作系統(tǒng)的用戶希望也能使用SQL Server，則應(yīng)該選擇混合驗(yàn)證模式。,5,3.設(shè)置驗(yàn)證模式 在企業(yè)管理器中設(shè)置SQL Server的身份驗(yàn)證模式的方法為： （1）在企業(yè)管理器的控制臺(tái)上，在要設(shè)置驗(yàn)證模式的服務(wù)器名 上單擊鼠

4、標(biāo)右鍵，然后在彈出的菜單上選擇“屬性” 。 （2）在窗口中選擇“安全性”標(biāo)簽頁，在窗口的“安全性” 成組框中的“身份驗(yàn)證”部分，有兩個(gè)選項(xiàng)：“SQL Server和Windows”以及“僅Windows”。前一個(gè)選項(xiàng)代 表混合驗(yàn)證模式，后一個(gè)選項(xiàng)代表Windows驗(yàn)證模式。 （3）單擊“確定”按鈕。,6,7,三、管理SQL Server登錄賬號(hào),內(nèi)置系統(tǒng)帳號(hào)：,用戶創(chuàng)建自己的登錄帳號(hào)：,8,建立登錄賬號(hào) 使用企業(yè)管理器建立登錄賬號(hào)的步驟為： （1）展開“安全性”，單擊“登錄”節(jié)點(diǎn)。 （2）右擊內(nèi)容窗格中的空白處，從彈出式菜單中選擇“新建登錄”命令。 （3）設(shè)置如下選項(xiàng)： 在“名稱”文本框中輸入

5、登錄的賬號(hào)名。 在“身份驗(yàn)證”區(qū)域中，有如下兩個(gè)選擇： “Windows身份驗(yàn)證”模式 “SQL Server身份驗(yàn)證”模式 在“數(shù)據(jù)庫”下拉列表框中選擇登錄到SQL Server之后默認(rèn)情況下要連接的數(shù)據(jù)庫。 在“語言”列表框中選擇顯示給用戶的信息所使用的默認(rèn)語言。,9,例子:添加一個(gè)windows用戶user; 添加一個(gè)SQL用戶ss;,10,修改登錄賬號(hào)的屬性 對(duì)于已經(jīng)建立好的SQL Server登錄賬號(hào)，還可以對(duì)登錄賬號(hào)的密碼等進(jìn)行修改。 使用企業(yè)管理器修改登錄密碼的步驟為： 右擊想要修改密碼的登錄賬號(hào)，從彈出式菜單中選擇“屬性”命令，可以進(jìn)行如下更改： 更改密碼：在“常規(guī)”選項(xiàng)卡上，

6、可以在“密碼”文本框中輸入新的密碼。 更改默認(rèn)數(shù)據(jù)庫：在“數(shù)據(jù)庫”列表框中選擇一個(gè)新的數(shù)據(jù)庫。 更改顯示給用戶所使用的語言：在“語言”列表框中選擇一個(gè)新的語言。,11,刪除登錄賬號(hào) 若不再需要某個(gè)登錄賬號(hào)，或者不再允許某個(gè)登錄賬號(hào)訪問SQL Server，則可以將其刪除。使用企業(yè)管理器刪除登錄賬號(hào)的步驟為： （1）在控制臺(tái)上依次單擊“Microsoft SQL Servers”和“SQL Server組”左邊的加號(hào)，然后單擊服務(wù)器，展開樹形目錄。 （2）展開“安全性”節(jié)點(diǎn)，然后單擊“登錄”節(jié)點(diǎn)。 （3）在右邊的內(nèi)容窗格中，右擊想要?jiǎng)h除的登錄賬號(hào)，從彈出的菜單中選擇“刪除”命令或按Delete鍵

7、。 （4）若確實(shí)要?jiǎng)h除此登錄賬號(hào)， 則單擊“是”，否則單擊“否”，取消刪除操作。,12,四、 管理數(shù)據(jù)庫用戶,用戶具有了登錄賬號(hào)之后，他只能連接到SQL Server服務(wù)器上，但不具有訪問任何用戶數(shù)據(jù)庫的能力，只有成為了數(shù)據(jù)庫的合法用戶后，才能訪問此數(shù)據(jù)庫。,建立數(shù)據(jù)庫用戶 使用企業(yè)管理器建立數(shù)據(jù)庫用戶的步驟為： （1）單擊要建立數(shù)據(jù)庫用戶的數(shù)據(jù)庫節(jié)點(diǎn)，右擊“用戶”，并在彈出的菜單上選擇“新建數(shù)據(jù)庫用戶”命令。 （2）在“登錄名”列表框中選擇一個(gè)登錄賬號(hào)名。默認(rèn)時(shí)“用戶名”文本框的內(nèi)容和用戶選擇的登錄賬號(hào)一樣，用戶可以在“用戶名”文本框中輸入一個(gè)新的數(shù)據(jù)庫用戶名，也可以采用與登錄賬號(hào)一樣的用戶

8、名。 （3）單擊“確定”關(guān)閉此窗口。,13,例子: 添加SQL用戶ss為用戶數(shù)據(jù)庫st的用戶。,14,每個(gè)用戶都屬于public角色,使用戶具有一些默認(rèn)權(quán)限.,15,刪除數(shù)據(jù)庫用戶 從當(dāng)前數(shù)據(jù)庫中刪除一個(gè)用戶，就是去掉了登錄賬號(hào)和數(shù)據(jù)庫用戶之間的映射關(guān)系。刪除數(shù)據(jù)庫用戶之后，登錄賬號(hào)仍然存在。 使用企業(yè)管理器刪除數(shù)據(jù)庫用戶的過程為： （1）在控制臺(tái)上，展開服務(wù)器組以及服務(wù)器。 （2）展開“數(shù)據(jù)庫”節(jié)點(diǎn)，然后展開要?jiǎng)h除用戶的數(shù)據(jù)庫。 （3）單擊“用戶”，然后在右邊的內(nèi)容窗格中右擊想要?jiǎng)h除的數(shù)據(jù)庫用戶，從彈出的菜單中選擇“刪除”命令。 （4）在彈出的確認(rèn)窗口中，單擊“是”，刪除此用戶。,思考:如果

9、某個(gè)登錄帳號(hào)已是某些數(shù)據(jù)庫的用戶,這個(gè)帳號(hào)能刪除嗎?,16,五、 管理權(quán)限,在SQL Server 2000 中，權(quán)限分為三種: 1對(duì)象權(quán)限 對(duì)象權(quán)限是指用戶對(duì)數(shù)據(jù)庫中的表、視圖等對(duì)象的操作權(quán)，相當(dāng)于數(shù)據(jù)庫操作語言（DML）的語句權(quán)限， 2語句權(quán)限 語句權(quán)限相當(dāng)于數(shù)據(jù)定義語言（DDL）的語句權(quán)限，這種權(quán)限專指是否允許執(zhí)行下列語句：CREATE TABLE、CREATE VIEW等與創(chuàng)建數(shù)據(jù)庫對(duì)象有關(guān)的操作。 3隱含權(quán)限 隱含權(quán)限是指由SQL Server預(yù)定義的服務(wù)器角色、數(shù)據(jù)庫角色、數(shù)據(jù)庫擁有者和數(shù)據(jù)庫對(duì)象擁有者所具有的權(quán)限，隱含權(quán)限相當(dāng)于內(nèi)置權(quán)限，不需要再明確地授予這些權(quán)限。,17,權(quán)限的

10、管理包含如下三個(gè)內(nèi)容： 授予權(quán)限：允許用戶或角色具有某種操作權(quán)。 收回權(quán)限：不允許用戶或角色具有某種操作權(quán)，或者收回曾經(jīng)授 予 的權(quán)限。 拒絕訪問：拒絕某用戶或角色具有某種操作權(quán)，既使用戶或角色由 于繼承而獲得這種操作權(quán)，也不允許執(zhí)行相應(yīng)的操作。,對(duì)象權(quán)限 語句權(quán)限 隱含權(quán)限,18,1使用企業(yè)管理器管理數(shù)據(jù)庫對(duì)象權(quán)限 （1）展開“數(shù)據(jù)庫”并展開要設(shè)置權(quán)限的數(shù)據(jù)庫，單擊“用戶” 節(jié)點(diǎn)。 （2）在內(nèi)容窗格中右擊要設(shè)置權(quán)限的數(shù)據(jù)庫用戶，并從彈出的菜 單中選擇“所有任務(wù)”下的“管理權(quán)限”命令?？梢赃M(jìn)行如下設(shè) 置： 授予權(quán)限 拒絕權(quán)限 收回權(quán)限,19,例子: 為數(shù)據(jù)庫st用戶ss添加表student的有

11、關(guān)權(quán)限。,20,2使用企業(yè)管理器管理語句權(quán)限 使用企業(yè)管理器管理數(shù)據(jù)庫用戶的語句權(quán)限的過程為： （1）展開“數(shù)據(jù)庫”，右擊要設(shè)置語句權(quán)限的數(shù)據(jù)庫，并從彈出 的菜單中選擇“屬性”，在彈出的窗口中，選擇“權(quán)限”選項(xiàng) 卡。 （2）在要設(shè)置的語句權(quán)限以及用戶所對(duì)應(yīng)的方框中單擊鼠標(biāo)， 使其中出現(xiàn)相應(yīng)標(biāo)記。,21,例子: 為數(shù)據(jù)庫st用戶ss添加語句權(quán)限。,22,3使用Transact-SQL語句管理對(duì)象權(quán)限 在Transact-SQL語句中，用于管理權(quán)限的語句有三個(gè)： GRANT語句：用于授權(quán)； REVOKE語句：用于收回權(quán)限； DENY語句：用于拒絕權(quán)限。,23,管理對(duì)象權(quán)限的語句的語法格式為： GR

12、ANT | DENY 對(duì)象權(quán)限名 ， ON 表名 | 視圖名 | 存儲(chǔ)過程名 TO 數(shù)據(jù)庫用戶名 | 用戶角色名 ， REVOKE 對(duì)象權(quán)限名 ， ON 表名 | 視圖名 | 存儲(chǔ)過程名 FROM 數(shù)據(jù)庫用戶名 | 用戶角色名 ， ,24,例1：為用戶user1授予Student表的查詢權(quán)。 GRANT SELECT ON Student TO user1 例2：為用戶user1授予SC表的查詢權(quán)和插入權(quán)。 GRANT SELECT，INSERT ON SC TO user1 例3：收回用戶user1授予Student表的查詢權(quán)。 REVOKE SELECT ON Student FROM u

13、ser1 例4：拒絕用戶user1對(duì)SC表的更改權(quán)。 DENY UPDATE ON SC TO user1,例子: 為數(shù)據(jù)庫st用戶ss授予表student的插入權(quán)限。,25,4使用Transact-SQL語句管理語句權(quán)限 管理語句權(quán)限的語句同管理對(duì)象權(quán)限的語句一樣，也有GRANT、REVOKE和DENY三個(gè)，其語法格式為： GRANT | DENY 語句權(quán)限名 ， TO 數(shù)據(jù)庫用戶名 | 用戶角色名 ， REVOKE 語句權(quán)限名 ， FROM 數(shù)據(jù)庫用戶名 | 用戶角色名 ， ,26,例1：授予user1具有創(chuàng)建數(shù)據(jù)庫表的權(quán)限。 GRANT CREATE TABLE TO user1 例2：

14、授予user1和user2具有創(chuàng)建數(shù)據(jù)庫表和視圖的權(quán)限。 GRANT CREATE TABLE, CREATE VIEW TO user1, user2 例3：收回授予user1創(chuàng)建數(shù)據(jù)庫表的權(quán)限。 REVOKE CREATE TABLE FROM user1,27,六、角色,在數(shù)據(jù)庫中，為便于對(duì)用戶及權(quán)限的管理，將一組具有相同權(quán)限的用戶組織在一起，這一組具有相同權(quán)限的用戶就稱為角色（Role）,角色,角色,系統(tǒng)預(yù)定義的固定角色,用戶根據(jù)自己的需要定義的用戶角色,固定的服務(wù)器角色,固定的數(shù)據(jù)庫角色,是為整個(gè)服務(wù)器設(shè)置的,是為具體的數(shù)據(jù)庫設(shè)置的,屬于數(shù)據(jù)庫一級(jí)的角色,28,1.固定的服務(wù)器角色,29,為用戶設(shè)置服務(wù)器角色：,30,2.固定的數(shù)據(jù)庫角色,數(shù)據(jù)庫的用戶一定是public角色.且該角色的權(quán)限可改。,例子: 為數(shù)據(jù)庫st公共用戶授予表student的查詢權(quán)限。,31,為用戶設(shè)置數(shù)據(jù)庫角色：,32,建立用戶自定義的角色 使用企業(yè)管理器建立用戶自定義的