SQLServer权限管理.ppt

1 第8章SQLServer权限管理 8 1数据库的安全性8 2数据库的安全性管理 上一章 返回目录 2 数据库的安全性由数据库角色来控制 当用户成功地连接到服务器之后 会在此服务器上的数据库角色中查找相应用户的用户名 如果在数据库角色中找到了用户名 则该用户可以查看该数据库的名称和其中的数据集的列表 包括虚拟的和链接的数据表 但是 该用户只能访问那些已经指派了数据库角色的数据表 如果在数据库角色中没有找到用户名 则该用户不能查看或访问服务器上的任何对象 当然 在授予用户对数据库中数据表的访问权限之前 必须授予他们对数据库的访问权限 以保护数据不受内部和外部侵害 8 1数据库的安全性 3 8 2数据库的安全性管理 用户具体访问数据时 要经过以下三个阶段的处理过程 1 用户必须登录到SQLServer的实例 进行身份鉴别 被确认合法后才能登录到SQLServer实例 2 用户在每个要访问的数据库里必须要有一个账号 SQLServer实例将SQLServer登录映射到数据库用户账号上 在这个数据库的账号上定义数据库的管理和数据对象访问的安全策略 3 检查用户是否具有访问数据对象 执行动作的权限 经过语句许可权限的验证 才能实现对数据的操作 4 5 8 2 1SQLServer身份验证模式 身份验证用来识别用户的登录账号和验证用户与SQLServer相连接的能力 如果验证成功 用户就能连接到SQLServer上 SQLServer使用两种身份验证模式 Windows身份验证模式和混合模式验证方式 1 Windows身份验证Windows身份验证的特点是与WindowsNT4 0和Windows2000安全系统的集成 6 8 2 1SQLServer身份验证模式 结合了WindowsNT4 0和Windows2000安全系统提供更多的功能 如 安全验证和密码加密 审核 密码过期 最短密码长度 以及在多次登录请求无效后锁定用户等 当一个用户请求一个信任连接时 该用户只有是WindowsNT4 0或Windows2000已经确认用户是合法的时候 才会允许用户登录SQLServer 7 2 混合模式身份验证混合模式则包含了Windows身份验证和SQLServer身份验证两个子模式 用户可以使用Windows身份验证或者SQLServer身份验证与SQLServer实例连接 在使用Windows身份验证时 通过WindowsNT4 0或Windows2000用户账户使用信任连接登录SQLServer 8 在SQLServer身份验证时 用户必须提供登录名和口令 SQLServer通过检查是否已注册了该SQLServer登录账号 以及指定的密码是否与以前记录的密码匹配 自己进行身份验证 如果SQLServer未设置登录账号 则身份验证将失败 见图8 1 9 图8 1SQLServer的身份验证 10 8 2 2创建登录账号和用户账号管理 1 创建登录账号不管使用哪种验证模式 用户都必须先具有有效的登录账号 在SQLServer中有三个默认的用户登录账号 即sa administrator builtin和guest sa是系统管理员 它是一个特殊的用户 在SQLServer系统和所有数据库中拥有所有的权限 11 administrator builtin是SQLServer为每一个WindowsNT系统管理员提供了一个默认的用户账号 这个账号在SQLServer系统和所有数据库也拥有所有的权限 Guest账号为默认访问系统用户账号 通常可以使用企业管理器和使用向导创建登录账号 12 1 使用企业管理器创建登录账号的具体步骤 打开企业管理器 展开服务器组 然后展开 安全性 文件夹 用鼠标右键单击登录图标 从弹出的快捷菜单中选择 新建登录 选项 则出现 新建登录 对话框 如图8 2所示 在 名称 文本框中输入登录名 在身份验证选项栏中选择相应的验证模式 如果选择 SQLServer身份验证 后还必须输入密码 13 图8 2新建登录对话框 14 在 服务器角色 选项卡中 见图8 3 可以在服务器角色列表框中选择相应的服务器角色成员 在 数据库访问 选项卡中 见图8 4 在列表框中列出了该账号可以访问的数据库 如果单击数据库左边的复选框 表示该用户可以访问相应的数据库 最后单击 确定 按钮 完成登录账号的创建 15 图8 3服务器角色对话框 16 图8 4数据库访问对话框 17 2 使用SQLServer的 创建登录向导 工具创建登录账号的具体步骤 打开企业管理器 选择工具菜单中的 向导 选项 从弹出的 选择向导 对话框中选择 数据库 子项中的 创建登录向导 选项 将出现 欢迎使用创建登录向导 对话框 如图8 5所示 18 在 欢迎使用创建登录向导 对话框中 单击 下一步 按钮 将出现 选择身份验证模式 对话框 如图8 6所示 在此可以选择Windows身份验证或SQLServer身份验证模式 19 图8 5欢迎使用创建登录向导对话框 20 图8 6选择身份验证模式 21 确定验证模式后单击 下一步 按钮 此时 如果使用的是SQLServer验证模式 则会出现 使用SQLServer进行身份验证 对话框 见图8 7 在这个对话框中输入该账号的名称和密码 在 使用SQLServer进行身份验证 对话框中 单击 下一步 按钮 则会出现选择 授权访问安全角色 对话框 如图8 8所示 从中可以选择该账号访问数据库的安全性角色 22 图8 7使用SQLServer进行身份验证对话框 23 图8 8授权安全访问角色对话框 24 在 授权安全访问角色 对话框中 单击 下一步 按钮 将出现 授权访问数据库 对话框 在此对话框中可以选择授权该账户访问的数据库 见图8 9 在 授权访问数据库 对话框中选择要访问的数据库后 单击 下一步 按钮 则会出现 正在完成创建登录向导 对话框 见图8 10 单击 完成 按钮 完成登录账号的创建 25 图8 9授权访问数据库对话框 26 图8 10正在完成创建登录向导对话框 27 2 用户账号管理在数据库中 一个用户或工作组取得合法的登录账号 只表明该账号通过了Windows验证或者SQLServer验证 不能表明它可以对数据库的对象进行某些操作 只有当它同时拥有了用户账号后 才可以访问数据库 使用企业管理器可以授予SQLServer登录访问数据库的许可权限 创建数据库新帐号的具体步骤 28 1 打开企业管理器 展开要登录的服务器和要创建用户的数据库 用鼠标右键单击用户图标 从弹出的快捷菜单中选择 新建数据库用户 选项 则会出现 新建用户 对话框 见图8 11 2 在 登录名 下拉列表框中选择已经创建好的登录账号 在 用户名 选择框内输入数据库用户的名称 然后选择相应的数据库角色 单击 确定 按钮 即可完成数据库用户的创建 29 图8 11新建用户对话框 30 8 2 3权限管理 1 权限的分类SQLServer2000中权限可以分为对象权限 语句权限和暗示性权限 见第3章 2 管理对象权限管理对象权限有两种方法 一种是使用企业管理器 另一种是使用Transact SQL语言 企业管理器中提供了一个查看和管理对象权限的简单的图形界面 如果想查看或更改一个数据库对象的对象权限 可以按下列操作步骤进行操作 此处以表为例 31 1 打开企业管理器 展开指定的数据库 2 选中要查看或修改权限的数据表 单击鼠标右键 从弹出的快捷菜单选中 属性 选项 进入 表属性 对话框 然后单击 权限 按钮 则会打开 对象属性 对话框 如图8 12所示 如果希望修改某个数据库对象的访问权限 可以单击相应的命令方格 赋以相应权限 3 还可以单击一个特定的用户和角色 然后单击 列 按钮 打开 列权限 对话框 将权限控制到字段的级别 如图8 13所示 32 图8 12查看和修改对象属性 33 图8 13限制特定字段的权限