数据库安全性及用户权限管理-.ppt

1、项项目目5：数据：数据库库安全性及用安全性及用户权户权限管理限管理 任务5-1：SQLServer安全架构任务5-2：数据库登录的管理任务5-3：数据库用户的管理任务5-4：数据库角色的管理任务5-5：访问权限的管理1任任务务5-1：SQL Server安全架构安全架构21、SQL Server的安全的安全认证认证模式模式 用户想操作SQLServer中某一数据库中的数据，必须满足以下3个条件：首先，登录SQLServer服务器时必须通过身份验证；其次，必须是该数据库的用户或者是某一数据库角色的成员；最后，必须有执行该操作的权限。从上面三个条件可以看出SQL Server数据库的安全性检查是通

2、过 登录名、用户、权限来完成的。32、两种身份、两种身份验证验证模式模式Windows身份验证模式混合验证模式41）Windows身份身份验证验证模式模式当用户通过Windows用户帐户进行连接时，SQLServer通过回叫Windows以获得信息，重新验证帐户名和密码，并在sys.syslogins系统视图中查找该帐户，以确定该帐户是否有权限登录。在这种方式下，用户不必提供登录名和密码让SQLserver验证。52）混合）混合验证验证模式模式混合验证模式使用户能够通过Windows身份验证或SQLServer身份验证与SQLServer实例连接。在SQLServer验证模式下，SQLServ

3、er在sys.syslogins系统视图中检测输入的登录名和密码。如果在sys.syslogins视图中存在该登录名，并且密码也是匹配的，那么该登录名可以登录到SQLServer；否则，登录失败。在这种方式下，用户必须提供登录名和密码，让SQLserver验证。63）设设置置验证验证模式模式可以使用SQLServerManagementStudio来设置或改变验证模式。7任任务务5-2：数据：数据库库登登录录的管理的管理81、系、系统统安装安装时创时创建的登建的登录账户录账户SQLServer2005安装好之后，系统会自动产生一些系统内置登录账户。本地管理员组（BUILTAdministrat

4、ors）默认属于sysadmin角色中的成员，因此具有管理员权限。系统管理员(sa)默认情况下，它指派给固定服务器角色sysadmin，并不能进行更改。92、创创建登建登录账户录账户1）使用SQLServerManagementStudio添加Windows登录账户2）使用SQLServerManagementStudio添加SQLServer登录账户103）使用）使用CREATE LOGIN语语句句创创建登建登录账户录账户CREATELOGINlogin_nameWITH|FROM示例：创建一个使Windows用户myComputermyName得以连接到SQLServer的登录账户。CRE

5、ATELOGINmyComputermyNameFROMWINDOWS示例：创建一个SQLServer登录，登录名为lisi并指定密码abcd。CREATELOGINlisiWITHPASSWORD=abcd示例：CREATELOGINmyLoginWITHPASSWORD=12311也可用存也可用存储过储过程程创创建登建登录账户录账户：创建Windows验证登录的语法格式：sp_grantloginlogin创建SQLServer验证登录的语法格式：sp_addloginlogin,password,default_database123、修改登、修改登录账户录账户1）使用SQLServer

6、ManagementStudio修改登录账户的属性132）使用）使用ALTER LOGIN语语句修改登句修改登录账户录账户属性属性ALTERLOGINlogin_name|WITH,.示例：将lisi登录账户名称更改为lisi_new。ALTERLOGINlisiWITHNAME=lisi_new示例：将lisi_new登录账户的密码修改为“abcdef”。ALTERLOGINlisi_newWITHPASSWORD=abcdef14也可用存也可用存储过储过程修改登程修改登录账户录账户属性：属性：拒绝Windows验证登录帐户的语法格式为：sp_denyloginlogin更改登录帐号密码的语

7、法格式为：sp_passwordold_password,new_password,login153、查查看登看登录账户录账户1）使用SQLServerManagementStudio查看登录账户2）使用系统存储过程sp_helplogins查看登录账户164、删删除登除登录账户录账户1）使用SQLServerManagementStudio删除登录账户2）使用DROPLOGIN语句删除登录账户DROPLOGINlogin_name示例：删除登录账户lisi_new。DROPLOGINlisi_new17也可用存也可用存储过储过程程删删除登除登录账户录账户：删除Windows验证登录的语法格式

8、：sp_revokeloginlogin删除SQLServer验证登录的语法格式：sp_droploginlogin18任任务务5-3：数据：数据库库用用户户的管理的管理191、默、默认认数据数据库库用用户户1）数据库所有者(DataBaseOwner，dbo)dbo是数据库的所有者，拥有数据库中的所有对象，每个数据库都有dbo，sysadmin服务器角色的成员自动映射成dbo，无法删除dbo用户，且此用户始终出现在每个数据库中。通常，登录名sa映射为库中的用户dbo。另外，由固定服务器角色sysadmin的任何成员创建的任何对象都自动属于dbo。202）GUEST用用户户Guest用户帐户允

9、许没有用户帐户的登录名访问数据库。当登录名没有被映射到一个用户名上时，如果在数据库中存在Guest用户，登录名将自动映射成Guest，并获得相应的数据库访问权限。Guest用户可以和其他用户一样设置权限，不能删除Guest用户，但可在除master和tempdb之外的任何数据库中禁用Guest用户。213）Information_schema和和sys用用户户每个数据库中都包含Information_scheme和sys用户，它们出现在目录视图中。使用它们获取有关数据库的元数据信息。222、创创建数据建数据库库用用户户1）使用SQLServerManagementStudio添加数据库用户23

10、2）使用）使用CREATE USER语语句添加数据句添加数据库库用用户户CREATEUSERuser_nameFOR|FROMLOGINlogin_name示例：在Sales数据库中创建数据库用户myUser，其登录名为myLogin。UseSalesGoCREATEUSERmyUserFROMLOGINmyLogin24也可用存也可用存储过储过程程sp_adduser创创建数据建数据库库用用户户：253、查查看数据看数据库库用用户户1）使用SQLServerManagementStudio查看数据库用户2）使用存储过程sp_helpuser查看数据库用户264、删删除数据除数据库库用用户户1

11、）使用SQLServerManagementStudio删除数据库用户2）使用DROPUSER语句删除数据库用户格式为：DROPUSERuser_name也可使用存储过程sp_dropuser删除数据库用户，格式为：sp_dropuseruser27任任务务5-4：数据：数据库库角色的管理角色的管理281、角色的概念及分、角色的概念及分类类角色是为了易于管理而按相似的工作属性对用户进行分组的一种方式。在SQLServer中，组是通过角色来实现的。在SQLServer中，角色分为服务器角色和数据库角色两种。服务器角色是服务器级别的一个对象，只能包含登录名。数据库角色是数据库级别的一个对象，只能包

12、含数据库用户名。292、固定服、固定服务务器角色器角色固定服务器角色描述Sysadmin在SQLServer中执行任何活动。Serveradmin配置服务器范围的设置。Setupadmin添加和删除链接服务器，并执行某些系统存储过程（如sp_serveroption）。Securityadmin管理服务器登录。Processadmin管理在SQLServer实例中运行的进程。Dbcreator创建和改变数据库。Diskadmin管理磁盘文件。bulkadmin执行BULKINSERT（大容量插入）语句。301）使使用用SQL Server Management Studio给给登登录录账账户设

13、户设置固定服置固定服务务器角色功能。器角色功能。2）使使用用存存储储过过程程sp_addsrvrolemember给给登登录录账账户设户设置固定服置固定服务务器角色功能。器角色功能。其语法格式为：sp_addsrvrolememberlogin,role其中：login：添加到固定服务器角色中的登录名。role：要添加登录名的固定服务器角色的名称。示例：sp_addsrvrolemembermyLogin,sysadmin313）使使用用SQL Server Management Studio撤撤销销给给登登录账户录账户所所设设置的服置的服务务器角色功能。器角色功能。4）使使用用存存储储过过程

14、程sp_dropsrvrolemember撤撤销销给给登登录账户录账户所所设设置的服置的服务务器角色功能。器角色功能。其语法格式为：sp_dropsrvrolememberlogin,role 示例：sp_dropsrvrolemembermyLogin,sysadmin 323、固定数据、固定数据库库角色角色固定数据库角色描述db_owner数据库拥有者，可以执行所有数据库角色的活动，以及数据库中的其它维护和配置活动。db_accessadmin在数据库中添加或删除WindowsNT4.0或Windows2000组和用户以及SQLServer用户。db_datareader查看来自数据库中所

15、有用户表的全部数据。db_datawriter添加、更改或删除来自数据库中所有用户表的数据。db_ddladmin添加、修改或除去数据库中的对象（运行所有DDL）。db_securityadmin管理SQLServer2005数据库角色的角色和成员，并管理数据库中的语句和对象权限。db_backupoperator有备份数据库的权限。db_denydatareader不允许查看数据库数据的权限。db_denydatawriter不允许更改数据库数据的权限。Public 数据库中用户的所有默认权限。331）使用）使用SQL Server Management Studio给给用用户设户设置固定数

16、据置固定数据库库角色功能。角色功能。2）使用存）使用存储过储过程程sp_addrolemember给给用用户设户设置固置固定数据定数据库库角色功能。角色功能。其语法格式为：sp_addrolememberrole,security_account其中：role：当前数据库中的数据库角色的名称。security_account：是添加到该角色的用户。示例：sp_addrolememberdb_datareader,myUser343）使用）使用SQL Server Management Studio撤撤销给销给用用户户所所设设置的数据置的数据库库角色功能。角色功能。4）使用存）使用存储过储过程程

17、sp_droprolemember撤撤销给销给用用户户所所设设置的数据置的数据库库角色功能。角色功能。其语法格式为：sp_droprolememberrole,security_account示例：sp_droprolememberdb_datareader,myUser354、自定、自定义义数据数据库库角色角色当一组用户需要在SQLServer中执行一组指定的活动时，为了方便管理，可以创建用户自定义的数据库角色。361）使用）使用SQL Server Management Studio创创建用建用户户自定自定义义数据数据库库角色。角色。2）使用）使用CREATE ROLE语语句句创创建数据建

18、数据库库角色。角色。其语法格式为：CREATEROLErole_nameAUTHORIZATIONowner_name其中：role_name：将创建的数据库角色名称。AUTHORIZATIONowner_name：将拥有新角色的数据库用户或角色。示例：CREATEROLEmyRole37也可用存也可用存储过储过程程sp_addrole创创建数据建数据库库角色：角色：示例：sp_addroletestRole,dbo383）使用存）使用存储过储过程程sp_addrolemember给给新建数据新建数据库库角色角色设设置已存在的数据置已存在的数据库库角色功能。角色功能。其语法格式为：sp_add

19、rolememberrole,newRole示例：sp_addrolememberdb_datareader,myRolesp_addrolememberdb_datawriter,myRole394）使用存）使用存储过储过程程sp_droprolemember撤撤销给销给新建新建数据数据库库角色所角色所设设置的已存在数据置的已存在数据库库角色功能。角色功能。其语法格式为：sp_droprolememberrole,newRole示例：sp_droprolememberdb_datareader,myRolesp_droprolememberdb_datawriter,myRole405）应应

20、用程序角色用程序角色当要求对数据库的某些操作不允许用户用任何工具来进行操作，而只能用特定的应用程序来处理时就可以建立应用程序角色。应用程序角色不包含成员；默认情况下，应用程序角色是非活动的，需要用密码激活。在激活应用程序角色以后，当前用户原来的所有权限会自动消失，而获得了该应用程序角色的权限。可以通过图形界面创建应用程序角色，也可以通过CREATEAPPLICATIONROLE语句来创建。416）删删除自定除自定义义数据数据库库角色角色语法格式为：DROPROLErole_name也可使用存储过程sp_droprole删除数据库用户，格式为：sp_droprolerole42任任务务5-5：访

21、问权访问权限的管理限的管理431、权权限限类类型型权限用来控制用户如何访问数据库对象。一个用户可以直接分配到权限，以可以作为一个角色的成员来间接的得到权限。一个用户可以同时属于具有不同权限的多个角色。权限分为：对象权限、语句权限、暗示性权限。441）对对象象权权限限 对象权限是指用户访问和操作数据库中表、视图、存储过程等对象的权限。有五个不同的权限：查询（SELECT）、插入（INSERT）、更新（UPDATE）、删除（DELETE）、执行（EXECUTE）。前四个权限用于表和视图，执行只用于存储过程。452）语语句句权权限限语句权限是指用户创建数据库或在数据库中创建或修改对象、执行数据库或事

22、务日志备份的权限。语句权限有：BACKUPDATABASEBACKUPLOGCREATEDATABASEDEFAULTCREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEW463）暗示性）暗示性权权限限 暗示性权限是指系统预定义角色的成员或数据库对象所有者所拥有的权限。例如，sysadmin固定服务器角色成员自动继承在SQLServer安装中进行操作或查看的全部权限。数据库对象所有者还有暗示性权限，可以对所拥有的对象执行一切活动。472、权权限限设设置置一个用户或角色的权限可以有三种存在的形式：授予（granted）拒绝（den

23、ied）废除（revoked）授予是赋予用户某权限；拒绝是禁止用户的某权限；废除是撤销以前授予或拒绝的权限。481）使用）使用SQL Server Management Studio管理管理权权限限2）用）用Transact_SQL语语句管理句管理权权限限 语语句句权权限限GRANT/DENY/REVOKEALL|statement,nTOsecurity_account,n其中：ALL：表示授予/拒绝/废除所有可用的权限。Statement：是被授予/拒绝/废除的语句，可以包括所有的语句权限。security_accoun：是权限将应用的用户。49例如，给用户user1创建表的权限。CREA

24、TELOGINlogin1WITHPASSWORD=123GOUSEsalesGOCREATEUSERuser1FROMLOGINlogin1GOGRANTALTERONSCHEMA:dbotouser1GOGRANTCREATETABLETOuser1GO或：sp_adduserlogin1,user1GOGRANTCREATETABLETOuser1GO50例如，给用户user1创建数据库的权限。USEmasterGOCREATEUSERuser1FROMLOGINlogin1GOGRANTCREATEDATABASETOuser1GO51 对对象象权权限限GRANT/DENY/REVOK

25、EALLPRIVILEGES|permission(column,.n),.n ONsecurableTOprincipal,.n其中：Permission：权限的名称。column：指定表中将授予/拒绝/废除其权限的列的名称。需要使用括号“()”。Securable：指定将授予/拒绝/废除其权限的安全对象。Principal：主体的名称，可为其授予安全对象权限的主体随安全对象而异。52示例1：授予用户user1在Seller表上的SELECT、UPDATE和INSERT权限。USEsalesGOGRANTSELECT,UPDATE,INSERTONSellerTOuser1GO示例2：拒绝用

26、户user1在Product表上的UPDATE和DELETE权限。USEsalesGODENYUPDATE,DELETEONProductTOuser1GO53示例3：撤消用户user1所有的对象权限。USEsalesGOREVOKESELECT,UPDATE,INSERTONSellerTOuser1GOREVOKEUPDATE,DELETEONProductTOuser1GO54课课堂堂练习练习（1）分别创建一个Windows验证登录账户和一个SQLServer验证登录账户；（2）修改SQLServer验证登录账户的账户名和密码；（3）给登录账户设置某一固定服务器角色功能；（4）撤销给登录

27、账户所设置的服务器角色功能；（5）给sales数据库创建一个用户；（6）删除所创建的数据库用户；（7）删除所创建的登录账户；（8）再次创建一个登录账户、以及一个sales数据库的用户；（9）给用户设置某一固定数据库角色功能；（10）撤销给用户所设置的数据库角色功能；55（11）创建sales数据库的一个角色；（12）给创建的角色设置某一固定数据库角色功能；（13）撤销给创建的角色所设置的固定数据库角色功能；（14）删除所创建的数据库角色；（15）授予一个用户可查看sales数据库中的所有数据表、但不能修改的权限；（16）给一个用户授予可操作sales数据库中的Product表中数据的权限；（17）给一个用户授予可查看sales数据库中的Product表中数据的权限；（18）撤销以上授予的权限；（19）拒绝以上授予的权限。56综综合合实验实验4详见：综合实验4数据库安全性及用户权限管理.doc57