《SQLServer安全性控制...ppt》由会员分享,可在线阅读,更多相关《SQLServer安全性控制...ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、SQL Server的安全控制的安全控制 1一、数据库权限的种类及用户的分类一、数据库权限的种类及用户的分类 1.1.权限的种类权限的种类 第一类是对数据库管理系统进行维护的权限第一类是对数据库管理系统进行维护的权限;第二类是对数据库中的对象和数据进行操作的权限第二类是对数据库中的对象和数据进行操作的权限;第一种是对数据库对象的权限,包括创建、删除和修改数第一种是对数据库对象的权限,包括创建、删除和修改数 据库对象;据库对象;第二种是对数据库数据的操作权,包括对表、视图数据的第二种是对数据库数据的操作权,包括对表、视图数据的 增、删、改、查。增、删、改、查。2.2.数据库用户的分类数据库用户的
2、分类 数据库中的用户按其操作权限的大小可分为如下三类:数据库中的用户按其操作权限的大小可分为如下三类:(1 1)数据库系统管理员:具有一切权限。)数据库系统管理员:具有一切权限。(2 2)数据库对象拥有者:对其所拥有的对象具有一切权限。)数据库对象拥有者:对其所拥有的对象具有一切权限。(3 3)普通用户:只具有对数据库数据的增、删、改、查权。)普通用户:只具有对数据库数据的增、删、改、查权。2二、二、SQL Server的安全控制的安全控制 一个用户如果要访问一个用户如果要访问SQL ServerSQL Server数据库中的数据,他必须要经数据库中的数据,他必须要经过三个认证过程:过三个认证
3、过程:第一个认证过程是身份验证,这时用登录账号来标识用户,身份第一个认证过程是身份验证,这时用登录账号来标识用户,身份 验证只验证用户连接到验证只验证用户连接到SQL ServerSQL Server数据库服务器的资格,即验数据库服务器的资格,即验证该用户是否具有连接到数据库服务器的证该用户是否具有连接到数据库服务器的“连接权连接权”。第二个认证过程是当用户访问数据库时,他必须具有对具体数据第二个认证过程是当用户访问数据库时,他必须具有对具体数据库的库的“访问权访问权”,即验证用户是否是数据库的合法用户。,即验证用户是否是数据库的合法用户。第三个认证过程是当用户操作数据库中的数据或对象时,他必
4、须第三个认证过程是当用户操作数据库中的数据或对象时,他必须具有所要进行的操作的具有所要进行的操作的“操作权操作权”,即验证用户是否具有操作,即验证用户是否具有操作许可。许可。3SQL ServerSQL Server的用户有两种类型:的用户有两种类型:WindowsWindows授权用户:来自于授权用户:来自于WindowsWindows的用户或组;的用户或组;SQLSQL授权用户:来自于非授权用户:来自于非WindowsWindows的用户,我们也将这种用户称为的用户,我们也将这种用户称为 SQLSQL用户。用户。SQL ServerSQL Server为不同的用户类型提供有不同的安全认证模
5、式:为不同的用户类型提供有不同的安全认证模式:1.Windows1.Windows身份验证模式身份验证模式 WindowsWindows身份验证模式允许用户身份验证模式允许用户Windows NTWindows NT或或Windows 2000Windows 2000用户连接到用户连接到SQL ServerSQL Server。2.2.混合验证模式混合验证模式 混合验证模式表示混合验证模式表示SQL ServerSQL Server接受接受WindowsWindows授权用户和授权用户和SQLSQL授授权用户。如果不是权用户。如果不是WindowsWindows操作系统的用户希望也能使用操作系
6、统的用户希望也能使用SQL SQL ServerServer,则应该选择混合验证模式则应该选择混合验证模式。43.3.设置验证模式设置验证模式 在企业管理器中设置在企业管理器中设置SQL ServerSQL Server的身份验证模式的方法为:的身份验证模式的方法为:(1 1)在企业管理器的控制台上,在要设置验证模式的服务器名)在企业管理器的控制台上,在要设置验证模式的服务器名 上单击鼠标右键,然后在弹出的菜单上选择上单击鼠标右键,然后在弹出的菜单上选择“属性属性”。(2 2)在窗口中选择)在窗口中选择“安全性安全性”标签页,在窗口的标签页,在窗口的“安全性安全性”成组框中的成组框中的“身份验
7、证身份验证”部分,有两个选项:部分,有两个选项:“SQL SQL Server Server和和WindowsWindows”以及以及“仅仅WindowsWindows”。前一个选项代前一个选项代 表混合验证模式,后一个选项代表表混合验证模式,后一个选项代表WindowsWindows验证模式。验证模式。(3 3)单击)单击“确定确定”按钮。按钮。56三、三、管理管理SQL Server登录账号登录账号 内置系统帐号:内置系统帐号:用户创建自己的登录帐号:用户创建自己的登录帐号:7l建立登录账号建立登录账号 使用企业管理器建立登录账号的步骤为:使用企业管理器建立登录账号的步骤为:(1 1)展开
8、)展开“安全性安全性”,单击,单击“登录登录”节点。节点。(2 2)右击内容窗格中的空白处,从弹出式菜单中选择)右击内容窗格中的空白处,从弹出式菜单中选择“新建登录新建登录”命令。命令。(3 3)设置如下选项:)设置如下选项:在在“名称名称”文本框中输入登录的账号名。文本框中输入登录的账号名。在在“身份验证身份验证”区域中,有如下两个选择:区域中,有如下两个选择:“WindowsWindows身份验证身份验证”模式模式“SQL ServerSQL Server身份验证身份验证”模式模式在在“数据库数据库”下拉列表框中选择登录到下拉列表框中选择登录到SQL ServerSQL Server之后默
9、认情之后默认情况下要连接的数据库。况下要连接的数据库。在在“语言语言”列表框中选择显示给用户的信息所使用的默认语言。列表框中选择显示给用户的信息所使用的默认语言。8例子例子:添加一个添加一个windows用户用户user;添加一个添加一个SQL用户用户ss;9l修改登录账号的属性修改登录账号的属性 对于已经建立好的对于已经建立好的SQL ServerSQL Server登录账号,还可以对登录账号的登录账号,还可以对登录账号的密码等进行修改。密码等进行修改。使用企业管理器修改登录密码的步骤为:使用企业管理器修改登录密码的步骤为:右击想要修改密码的登录账号,从弹出式菜单中选择右击想要修改密码的登录
10、账号,从弹出式菜单中选择“属性属性”命令,可以进行如下更改:命令,可以进行如下更改:l更改密码:在更改密码:在“常规常规”选项卡上,可以在选项卡上,可以在“密码密码”文本框中输入文本框中输入新的密码。新的密码。l更改默认数据库:在更改默认数据库:在“数据库数据库”列表框中选择一个新的数据库。列表框中选择一个新的数据库。l更改显示给用户所使用的语言:在更改显示给用户所使用的语言:在“语言语言”列表框中选择一个新列表框中选择一个新的语言。的语言。10l删除登录账号删除登录账号 若不再需要某个登录账号,或者不再允许某个登录账号访若不再需要某个登录账号,或者不再允许某个登录账号访问问SQL Serve
11、rSQL Server,则可以将其删除。使用企业管理器删除登录则可以将其删除。使用企业管理器删除登录账号的步骤为:账号的步骤为:(1 1)在控制台上依次单击)在控制台上依次单击“Microsoft SQL ServersMicrosoft SQL Servers”和和“SQL SQL ServerServer组组”左边的加号,然后单击服务器,展开树形目录。左边的加号,然后单击服务器,展开树形目录。(2 2)展开)展开“安全性安全性”节点,然后单击节点,然后单击“登录登录”节点。节点。(3 3)在右边的内容窗格中,右击想要删除的登录账号,从弹出)在右边的内容窗格中,右击想要删除的登录账号,从弹出
12、的菜单中选择的菜单中选择“删除删除”命令或按命令或按DeleteDelete键。键。(4 4)若确实要删除此登录账号,)若确实要删除此登录账号,则单击则单击“是是”,否则单击,否则单击“否否”,取消删除操作。,取消删除操作。11四、四、管理数据库用户管理数据库用户 用户具有了登录账号之后,他只能连接到用户具有了登录账号之后,他只能连接到SQL ServerSQL Server服务服务器上,但不具有访问任何用户数据库的能力,只有成为了数器上,但不具有访问任何用户数据库的能力,只有成为了数据库的合法用户后,才能访问此数据库。据库的合法用户后,才能访问此数据库。l建立数据库用户建立数据库用户 使用企
13、业管理器建立数据库用户的步骤为:使用企业管理器建立数据库用户的步骤为:(1 1)单击要建立数据库用户的数据库节点,右击)单击要建立数据库用户的数据库节点,右击“用户用户”,并,并在弹出的菜单上选择在弹出的菜单上选择“新建数据库用户新建数据库用户”命令。命令。(2 2)在)在“登录名登录名”列表框中选择一个登录账号名。默认时列表框中选择一个登录账号名。默认时“用用户名户名”文本框的内容和用户选择的登录账号一样,用户可以在文本框的内容和用户选择的登录账号一样,用户可以在“用户名用户名”文本框中输入一个新的数据库用户名,也可以采用文本框中输入一个新的数据库用户名,也可以采用与登录账号一样的用户名。与
14、登录账号一样的用户名。(3 3)单击)单击“确定确定”关闭此窗口。关闭此窗口。12例子例子:添加添加SQL用户用户ss为用户数据库为用户数据库st的用户。的用户。13每个用户都属于每个用户都属于public角色角色,使用户具有使用户具有一些默认权限一些默认权限.14l删除数据库用户删除数据库用户 从当前数据库中删除一个用户,就是去掉了登录账号和数据从当前数据库中删除一个用户,就是去掉了登录账号和数据库用户之间的映射关系。删除数据库用户之后,登录账号仍然库用户之间的映射关系。删除数据库用户之后,登录账号仍然存在。存在。使用企业管理器删除数据库用户的过程为:使用企业管理器删除数据库用户的过程为:(
15、1 1)在控制台上,展开服务器组以及服务器。)在控制台上,展开服务器组以及服务器。(2 2)展开)展开“数据库数据库”节点,然后展开要删除用户的数据库。节点,然后展开要删除用户的数据库。(3 3)单击)单击“用户用户”,然后在右边的内容窗格中右击想要删除的,然后在右边的内容窗格中右击想要删除的数据库用户,从弹出的菜单中选择数据库用户,从弹出的菜单中选择“删除删除”命令。命令。(4 4)在弹出的确认窗口中,单击)在弹出的确认窗口中,单击“是是”,删除此用户。,删除此用户。思考思考:如果某个登录帐号已是某些数据库的用户如果某个登录帐号已是某些数据库的用户,这个帐这个帐号能删除吗号能删除吗?15五、
16、五、管理权限管理权限 在在SQL Server 2000 中,权限分为三种中,权限分为三种:1对象权限对象权限 对象权限是指用户对数据库中的表、视图等对象的操作权,相当对象权限是指用户对数据库中的表、视图等对象的操作权,相当于数据库操作语言(于数据库操作语言(DML)的语句权限,)的语句权限,2语句权限语句权限 语句权限相当于数据定义语言(语句权限相当于数据定义语言(DDL)的语句权限,这种权限专)的语句权限,这种权限专指是否允许执行下列语句:指是否允许执行下列语句:CREATE TABLE、CREATE VIEW等等与创建数据库对象有关的操作。与创建数据库对象有关的操作。3隐含权限隐含权限
17、隐含权限是指由隐含权限是指由SQL Server预定义的服务器角色、数据库角色、预定义的服务器角色、数据库角色、数据库拥有者和数据库对象拥有者所具有的权限,隐含权限相当于数据库拥有者和数据库对象拥有者所具有的权限,隐含权限相当于内置权限,不需要再明确地授予这些权限。内置权限,不需要再明确地授予这些权限。16权限的管理包含如下三个内容:权限的管理包含如下三个内容:授予权限:授予权限:允许用户或角色具有某种操作权。允许用户或角色具有某种操作权。收回权限:收回权限:不允许用户或角色具有某种操作权,或者收回曾经授不允许用户或角色具有某种操作权,或者收回曾经授 予予 的权限。的权限。拒绝访问:拒绝访问:
18、拒绝某用户或角色具有某种操作权,既使用户或角色由拒绝某用户或角色具有某种操作权,既使用户或角色由 于继承而获得这种操作权,也不允许执行相应的操作。于继承而获得这种操作权,也不允许执行相应的操作。对象权限对象权限语句权限语句权限隐含权限隐含权限171使用企业管理器管理数据库对象权限使用企业管理器管理数据库对象权限(1)展开)展开“数据库数据库”并展开要设置权限的数据库,单击并展开要设置权限的数据库,单击“用户用户”节点。节点。(2)在内容窗格中右击要设置权限的数据库用户,并从弹出的菜)在内容窗格中右击要设置权限的数据库用户,并从弹出的菜 单中选择单中选择“所有任务所有任务”下的下的“管理权限管理
19、权限”命令。可以进行如命令。可以进行如下设下设 置:置:授予权限授予权限 拒绝权限拒绝权限 收回权限收回权限18例子例子:为数据库为数据库st用户用户ss添加表添加表student的有关权限。的有关权限。192使用企业管理器管理语句权限使用企业管理器管理语句权限 使用企业管理器管理数据库用户的语句权限的过程为:使用企业管理器管理数据库用户的语句权限的过程为:(1)展开)展开“数据库数据库”,右击要设置语句权限的数据库,并从弹,右击要设置语句权限的数据库,并从弹出出 的菜单中选择的菜单中选择“属性属性”,在弹出的窗口中,选择,在弹出的窗口中,选择“权限权限”选项选项 卡。卡。(2)在要设置的语句
20、权限以及用户所对应的方框中单击鼠标,)在要设置的语句权限以及用户所对应的方框中单击鼠标,使其中出现相应标记。使其中出现相应标记。20例子例子:为数据库为数据库st用户用户ss添加语句权限。添加语句权限。213使用使用Transact-SQL语句管理对象权限语句管理对象权限 在在Transact-SQL语句中,用于管理权限的语句有三个:语句中,用于管理权限的语句有三个:GRANT语句:语句:用于授权;用于授权;REVOKE语句:语句:用于收回权限;用于收回权限;DENY语句:语句:用于拒绝权限。用于拒绝权限。22管理对象权限的语句的语法格式为:管理对象权限的语句的语法格式为:GRANT|DENY
21、 对象权限名对象权限名 ,ON 表名表名|视图名视图名|存储过程名存储过程名 TO 数据库用户名数据库用户名|用户角色名用户角色名 ,REVOKE 对象权限名对象权限名 ,ON 表名表名|视图名视图名|存储过程名存储过程名 FROM 数据库用户名数据库用户名|用户角色名用户角色名 ,23 例例1:为用户:为用户user1授予授予Student表的查询权。表的查询权。GRANT SELECT ON Student TO user1 例例2:为用户:为用户user1授予授予SC表的查询权和插入权。表的查询权和插入权。GRANT SELECT,INSERT ON SC TO user1 例例3:收回
22、用户:收回用户user1授予授予Student表的查询权。表的查询权。REVOKE SELECT ON Student FROM user1 例例4:拒绝用户:拒绝用户user1对对SC表的更改权。表的更改权。DENY UPDATE ON SC TO user1例子例子:为数据库为数据库st用户用户ss授予表授予表student的插入权限。的插入权限。244使用使用Transact-SQL语句管理语句权限语句管理语句权限 管理语句权限的语句同管理对象权限的语句一样,也有管理语句权限的语句同管理对象权限的语句一样,也有GRANT、REVOKE和和DENY三个,其语法格式为:三个,其语法格式为:G
23、RANT|DENY 语句权限名语句权限名 ,TO 数据库用户名数据库用户名|用户角色名用户角色名 ,REVOKE 语句权限名语句权限名 ,FROM 数据库用户名数据库用户名|用户角色名用户角色名 ,25例例1:授予:授予user1具有创建数据库表的权限。具有创建数据库表的权限。GRANT CREATE TABLE TO user1 例例2:授予:授予user1和和user2具有创建数据库表和视图的权限。具有创建数据库表和视图的权限。GRANT CREATE TABLE,CREATE VIEW TO user1,user2 例例3:收回授予:收回授予user1创建数据库表的权限。创建数据库表的权
24、限。REVOKE CREATE TABLE FROM user126六、角色六、角色在数据库中,为便于对用户及权限的管理,将一组具在数据库中,为便于对用户及权限的管理,将一组具有相同权限的用户组织在一起,这一组具有相同权限有相同权限的用户组织在一起,这一组具有相同权限的用户就称为角色(的用户就称为角色(Role)角色角色角色角色系统预定义的系统预定义的固定角色固定角色用户根据自己的需要定义的用户根据自己的需要定义的用户角色用户角色固定的服务器角色固定的服务器角色固定的数据库角色固定的数据库角色是为整个服务器设置的是为整个服务器设置的是为具体的数据库设置的是为具体的数据库设置的属于数据库一级的角
25、色属于数据库一级的角色271.固定的服务器角色固定的服务器角色28为用户设置服务器角色:为用户设置服务器角色:292.固定的数据库角色固定的数据库角色数据库的用户一定是数据库的用户一定是public角色角色.且且该角色的权限可改。该角色的权限可改。例子例子:为数据库为数据库st公共用户授予表公共用户授予表student的查询权限。的查询权限。30为用户设置数据库角色:为用户设置数据库角色:31建立用户自定义的角色建立用户自定义的角色 使用企业管理器建立用户自定义的角色的过程为:使用企业管理器建立用户自定义的角色的过程为:(1)在控制台上展开服务器组,并展开服务器。)在控制台上展开服务器组,并展
26、开服务器。(2)展开)展开“数据库数据库”,并展开要添加用户自定义角色的数据库。,并展开要添加用户自定义角色的数据库。(3)右击)右击“角色角色”节点,选择节点,选择“新建数据库角色新建数据库角色”命令。命令。(4)在)在“名称名称”文本框中输入角色的名字。文本框中输入角色的名字。(5)选中)选中“标准角色标准角色”单选按钮,以建立一个标准的数据库角色。单选按钮,以建立一个标准的数据库角色。(6)此时)此时,可以在此单击可以在此单击“添加添加”按钮按钮,直接在此角色中添加成员。直接在此角色中添加成员。(7)单击)单击“确定确定”按钮,关闭此窗口。按钮,关闭此窗口。32331.用户自定义角色的授权用户自定义角色的授权2.添加和删除用户自定义角色的成员添加和删除用户自定义角色的成员34