SQLServer身份认证.ppt

8 1SQLServer2000的身份认证模式 1 WindowsNT认证模式用户登录WindowsNT时进行身份认证 登录SQLServer时不再进行身份验证 对于WindowsNT认证模式登录的几点重要说明 1 必须将NT网络账号加入到SQLServer中 才能采用NT网络账号登录SQLServer 2 如果使用NT网络账号登录到另一个网络的SQLServer 必须在NT网络中设置彼此的托管权限 2 SQLServer认证模式在SQLServer认证模式下 SQLServer服务器要对登录的用户进行身份验证对于Windows9x系列的操作系统只能使用SQLServer认证模式 而当SQLServer在WindowsNT或Windows2000上运行时 系统管理员设定登录认证模式的类型可为WindowsNT认证模式和混合模式 8 2 1WindowsNT认证模式登录账号的建立与删除 1 WindowsNT认证模式登录账号的建立1 通过企业管理器建立WindowsNT认证模式的登录账号 8 2 1WindowsNT认证模式登录账号的建立与删除 在企业管理器中选择 登录 图标右击 SQLServer信任连接设置窗口 8 2 1WindowsNT认证模式登录账号的建立与删除 2 通过调用系统存储过程建立WindowsNT认证模式的登录账号创建WindowsNT Windows2000的用户或组后 使用系统存储过程sp grantlogin也可将一个WindowsNT或Windows2000的用户或组的登录账号添加到SQLServer中 以便通过Windows身份验证连接到SQLServer 语法格式 sp grantlogin loginame login 参数含义 loginame 原样输入的常量字符串 注意 1 不能在用户定义的事务内执行sp grantlogin 2 仅sysadmin或securityadmin固定服务器角色的成员可以执行sp grantlogin 8 2 1WindowsNT认证模式登录账号的建立与删除 2 WindowsNT认证模式登录账号的删除 步骤如下 1 以系统管理员身份进入企业管理器 并展开目录树 2 在目录树的 登录 节点下 选中待删除的 账号 节点 2 通过调用系统存储过程删除WindowsNT认证模式的登录账号通过执行系统存储过程sp revokelogin可删除WindowsNT用户或组登录SQLServer的账号 1 通过企业管理器删除WindowsNT认证模式的登录账号 8 2 2混合认证模式下SQLServer登录账号的建立与删除 1 在企业管理器中 选择要登录的SQLServer服务器图标右击 出现一快捷菜单 选择菜单项 属性 出现如图的SQLServer服务器属性配置窗口 2 选择 安全性 选项卡 如图所示 选择身份验证方式为 SQLServer与Windows 选择 确定 按钮 SQLServer服务器属性配置窗口 SQLServer身份认证方式配置窗口 8 2 2混合认证模式下SQLServer登录账号的建立与删除 1 通过企业管理器创建SQLServer登录账号 1 在企业管理器中选择 登录 图标右击 出现快捷菜单 选择 新建登录 菜单项 进入如下图的界 2 输入账号名 密码 选择 SQLServer身份验证 方式 点击 确定 按钮 SQLServer登录账号新建窗口 8 2 2混合认证模式下SQLServer登录账号的建立与删除 2 利用系统存储过程创建SQLServer登录账号语法格式 sp addlogin loginame login passwd password defdb database deflanguage language sid sid encryptopt encryption option 8 2 2混合认证模式下SQLServer登录账号的建立与删除 3 SQLServer登录账号的删除利用sp droplogin系统存储过程可删除SQLServer登录账号 语法格式 sp droplogin loginame login 参数含义 login 将被删除的登录账号名 返回值 0 成功 或1 失败 说明 1 若要删除一个数据库现有用户的登录账号 必须首先使用sp dropuser删除该用户 2 不能删除系统管理员 sa 的登录账号 3 不能在用户定义的事务内执行sp droplogin 4 只有sysadmin和securityadmin固定服务器角色的成员才能执行sp droplogin 8 3 3用户自定义数据库角色 2 创建数据库用户并加入数据库角色 即在某一数据库中为SQLServer服务器的登录账号或WindowsNT的登录账号创建一数据库用户账号 将数据库用户加入该数据库中的某一角色 即 使数据库用户成为某一角色的成员 新建数据库用户的属性界面 8 3 3用户自定义数据库角色 3 给数据库角色赋予创建数据库对象的权限 在企业管理器目录树中 选择XSBOOK数据库结点右击 出现一快捷菜单 选择菜单项 属性 进入如图所示的界面 选择 权限 选项卡 选中允许数据库角色或数据库用户执行的权限 4 给数据库角色赋予表操作权限 在企业管理器的目录树中 选择XSBOOK数据库结点下角色图标的项目 ROLE 双击 出现如图所示的界面 设置创建数据库对象权限的窗口 数据库角色的属性窗口 8 3 3用户自定义数据库角色 数据库表操作权限设置窗口 表的列操作权限设置窗口 8 3 3用户自定义数据库角色 2 通过SQL命令创建数据库角色1 定义数据库角色语法格式 sp addrole rolename role ownername owner 说明 1 角色名可以包括字母 符号及数字 但是不能含有反斜线 2 不能在用户定义的事务内使用sp addrole 3 只有sysadmin固定服务器角色及db securityadmin和db owner固定数据库角色的成员才能执行sp addrole 8 3 3用户自定义数据库角色 2 将一个登录账号添加为某个数据库的用户利用系统存储过程sp grantdbaccess可将一个登录账号添加为某个数据库的用户 语法格式 sp grantdbaccess loginame login name in db name in db 说明 1 数据库用户名可含有字母 符号和数字 但不能包含反斜线 不能为NULL 也不能为空字符串 2 sp grantdbaccess仅可以在当前数据库中添加用户 账户 若要从数据库中删除账户 使用sp revokedbaccess 3 如果当前数据库中没有guest账户 而且login为guest 则可将guest添加为当前数据库的账户 4 sa登录账号不能添加到数据库中 5 不能从用户定义的事务中执行sp grantdbaccess 6 只有sysadmin固定服务器角色 db accessadmin和db owner固定数据库角色的成员才能执行sp grantdbaccess 7 存储过程sp adduser的功能与sp grantdbaccess的功能相同 8 3 3用户自定义数据库角色 3 给数据库角色添加成员利用系统存储过程sp addrolemember可将当前数据库的用户或角色添加到当前数据库的某个角色中 使其成为该角色的成员 语法格式 sp addrolemember rolename role membername security account 说明 1 当使用sp addrolemember将用户账号添加到角色时 新成员将继承所有应用到角色的权限 2 不能将固定数据库或固定服务器角色 或者dbo添加到其他角色 例如 不能将db owner固定数据库角色添加成为用户定义的角色YourRole的成员 3 在用户定义的事务中不能使用sp addrolemember 4 只有sysadmin固定服务器角色和db owner固定数据库角色中的成员可以执行sp addrolemember 将用户账号添加到固定数据库角色 5 db securityadmin固定数据库角色的成员可以将用户添加到任何用户定义的角色 8 3 3用户自定义数据库角色 4 数据库用户 角色操作权限的授予 拒绝和收回 1 数据库用户 角色操作权限的授予利用GRANT语句可以给数据库用户或数据库角色赋予执行T SQL语句的权限及对数据库对象进行操作的权限 语法格式 GRANT ALL statement n TOsecurity account n 功能 授予执行T SQL语句的权限 GRANT ALL PRIVILEGES permission n column n ON table view ON table view column n ON stored procedure extended procedure ON user defined function TOsecurity account n WITHGRANTOPTION AS group role 8 3 3用户自定义数据库角色 3 数据库用户 角色的删除1 删除数据库用户在企业管理器中删除数据库用户很简单 直接在目录树的某一数据库结点下 选中须删除的用户项目 按 Del 键即可 语法格式 sp revokedbaccess name in db name 说明 1 在用户定义事务内部不能执行sp revokedbaccess 2 只有sysadmin固定服务器角色成员及db accessadmin和db owner固定数据库角色成员才能执行sp revokedbaccess 8 3 3用户自定义数据库角色 2 删除数据库角色要删除用户自定义的数据库角色 首先应删除该角色的所有成员 下面介绍删除数据库角色成员及删除数据库角色的系统存储过程 语法格式 sp droprolemember rolename role membername security account 说明 1 不能从用户定义的事务内执行sp droprolemember 2 只有sysadmin固定服务器角色 db owner和db securityadmin固定数据库角色的成员才能执行sp droprolemember 8 4综合应用训练 1 以系统管理员身份登录到SQLServer的企业管理器或查询分析器 2 给每个学生创建一个登录账号 3 将每个学生的登录账号定义为XSBOOK的用户 4 在数据库XSBOOK下创建一数据库角色role 并给该数据库角色授予执行CREATEDATABASE语句的权限 5 将每个学生对应的用户账号定义为数据库角色role的成员 可考虑如下实现方案