2022年数据库安全管理角色管理.pptx

,2017/7/14,0,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,17,讲 数据库的安全管理,数据库技术,-SQL Server,信息工程学院,数据库技术,课程组,教学任务发布,任务背景描述：,在“,Exam”,数据库中，所有相关的数据均存放在,7,个不同的数据表中，表间的数据彼此关联，用户根据自己的数据需求在数据库中可以进行各种各样的操作。数据库的大门是向任何用户敞开的吗？用户进入到这个数据海洋能为所欲为吗？,工作任务之：,身份验证模式（数据库服务器登录的安全性）,用户管理,角色管理,（数据库使用的安全性）,权限管理,17.3,角色管理,角色是一种权限机制。,SQL Server,管理员可以将某些用户设置为某一角色，这样只对角色进行权限设置便可实现对多个用户权限的设置，便于管理。,在,SQL Server,中主要有两种角色类型,服务器级角色,数据库级角色,17.3,角色管理,-,服务器角色管理,从最低级别的角色（,bulkadmin,）到最高级别的角色（,sysadmin,）的顺序分析各角色权限：,Bulkadmin,：这个服务器角色的成员可以运行,BULKINSERT,语句。这条语句允许从文本文件中将数据导入到,SQLServer2008,数据库中，为需要执行大容量插入到数据库的域账户而设计。,Dbcreator,：这个服务器角色的成员可以创建、更改、删除和还原任何数据库。这不仅是适合助理,DBA,的角色，也可能是适合开发人员的角色。,Diskadmin,：这个服务器角色用于管理磁盘文件，比如镜像数据库和添加备份设备。它适合助理,DBA,。,17.3,角色管理,-,服务器角色管理,Processadmin,：,SQLServer2008,能够多任务化，也就是说可以通过执行多个进程做多个事件。例如，,SQLServer2008,可以生成一个进程用于向高速缓存写数据，同时生成另一个进程用于从高速缓存中读取数据。这个角色的成员可以结束（在,SQL Server 2008,中称为删除）进程。,Securityadmin,：这个服务器角色的成员将管理登录名及其属性。他们可以授权、拒绝和撤销服务器级权限。也可以授权、拒绝和撤销数据库级权限。另外，它们可以重置,SQL Server 2008,登录名的密码。,Serveradmin,：这个服务器角色的成员可以更改服务器范围的配置选项和关闭服务器。例如,SQL Server 2008,可以使用多大内存或监视通过网络发送多少信息，或者关闭服务器，这个角色可以减轻管理员的一些管理负担。,17.3,角色管理,-,服务器角色管理,2.,与服务器级角色相关的操作与命令,浏览固定服务器角色的权限,exec sp_srvrolepermission sysadmin,注：,sysadmin,就是一种服务器角色,将登录名添加到某个固定服务器角色中,exec sp_addsrvrolemember login,role,从固定服务器角色中删除登录名,exec sp_dropsrvrolemember login,role,注意：,不能添加、修改或删除固定服务器角色。只有固定服务器角色的成员才能执行上述两个系统过程来从角色中添加或删除登录账户。,17.3,角色管理,-,数据库角色管理,3.,数据库级角色,为便于管理数据库中的权限，,SQL Server,提供了若干角色，这些角色是指对数据库具有相同访问权限的用户和组的集合。数据库级角色的权限作用域为数据库范围。,SQL Server,中有两种类型的数据库级角色：,数据库中预定义的“固定数据库角色”,用户可以创建的“灵活数据库角色”,17.3,角色管理,-,数据库角色管理,固定数据库角色,固定数据库角色是指这些角色所具有的权限已被,SQL Server,定义，并且,SQL Server,管理员不能对其所具有的权限进行任何修改。固定数据库角色与相应的权限如下表所示：,17.3,角色管理,-,数据库角色管理,微软提供了,9,个内置的角色，以便于在数据库级别授予用户特殊的权限集合：,db_owner:,该角色的用户可以在数据库中执行任何操作。,db_accessadmin:,该角色的成员可以从数据库中增加或者删除用户。,db_backupopperator:,该角色的成员允许备份数据库。,db_datareader:,该角色的成员允许从任何表读取任何数据。,db_datawriter:,该角色的成员允许往任何表写入数据。,db_ddladmin,：该角色的成员允许在数据库中增加、修改或者删除任何对象（即可以执行任何,DDL,语句）。,17.3,角色管理,-,数据库角色管理,微软提供了,9,个内置的角色，以便于在数据库级别授予用户特殊的权限集合：,db_denydatareader:,该角色的成员被拒绝查看数据库中的任何数据，但是他们仍然可以通过存储过程来查看。,db_denydatawriter:,像,db_denydatareader,角色，该角色的成员被拒绝修改数据库中的任何数据，但是他们仍然可以通过存储过程来修改。,db_securityadmin:,该角色的成员可以更改数据库中的权限和角色。,public,：在,SQLServer2008,中每个数据库用户都属于,public,数据库角色。,当尚未对某个用户授予或者拒绝对安全对象的特定权限时，这该用户将据称授予该安全对象的,public,角色的权限，这个数据库角色不能被删除。,身份验证模式（数据库服务器登录的安全性）,db_datareader:该角色的成员允许从任何表读取任何数据。,与服务器级角色相关的操作与命令,3 角色管理-数据库角色管理,3 角色管理-服务器角色管理,3 角色管理-数据库角色管理,3 角色管理-数据库角色管理,用户自定义的数据库角色,SQL Server 2008共有9种预定义的服务器角色：,在SQL Server中主要有两种角色类型,3 角色管理-数据库角色管理,微软提供了9个内置的角色，以便于在数据库级别授予用户特殊的权限集合：,他们可以授权、拒绝和撤销服务器级权限。,从最低级别的角色（bulkadmin）到最高级别的角色（sysadmin）的顺序分析各角色权限：,db_backupopperator:该角色的成员允许备份数据库。,17.3,角色管理,-,数据库角色管理,用户自定义的数据库角色,当固定的数据库角色不能满足要求时，需要定义新的数据库角色。,管理员可以通过,SQL Server Management Studio,为数据库创建新的数据库角色。,17.3,角色管理,-,数据库角色管理,4.,与数据库角色管理相关的操作命令,创建用户自定义数据库角色,create role role_name authorization owner_name,注：,role_name,：将要创建的数据库角色名。,owner_name,：该角色拥有者的名字，必须是当前数据库里的用户或角色，默认为,dbo,给新建数据库角色设置已经存在的数据库角色,exec sp_addrolemember db_datareader,myRole,撤销给新建数据库角色所设置的已存在数据库角色,exec sp_droprolemember db_datareader,myRole,删除用户自定义数据库角色,drop role testRole,或,:exec sp_droprole testRole,