第10章 系統(tǒng)安全管理

1、河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系SQL Server 2000SQL Server 2000的身份認證模式的身份認證模式10.1建立和管理用戶賬號建立和管理用戶賬號10.2服務器角色與數據庫角色服務器角色與數據庫角色10.3河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 SQL Server 2000的身份認證模式有兩的身份認證模式有兩種：種：1Windows NT認證模式認證模式 該模式使用該模式使用Windows操作系統(tǒng)的安全操作系統(tǒng)的安全機制驗證用戶身份，只要用戶能夠通過機制驗證用戶身份，只要用戶能夠通過Windows NT/2000用戶賬號

2、驗證就可以連用戶賬號驗證就可以連接上接上SQL Server。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 這種模式只適合能夠提供有效身份驗這種模式只適合能夠提供有效身份驗證的基于證的基于NT技術的技術的Windows操作系統(tǒng)，在操作系統(tǒng)，在Windows 95/98操作系統(tǒng)下無法使用。操作系統(tǒng)下無法使用。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系2SQL Server認證模式認證模式 該模式下該模式下SQL Server提供給用戶一個提供給用戶一個登錄登錄SQL Server用戶賬號和密碼，這將保用戶賬號和密碼，這將保存在存在SQL Server的內部，

3、而且該記錄與任的內部，而且該記錄與任何何Windows NT/2000賬號無關。賬號無關。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 設定認證模式操作步驟如下：設定認證模式操作步驟如下：（1）打開）打開“企業(yè)管理器企業(yè)管理器”并在并在“企業(yè)管理企業(yè)管理器器”中選擇要設置安全模式的服務器，單中選擇要設置安全模式的服務器，單擊鼠標右鍵，在彈出菜單中選擇擊鼠標右鍵，在彈出菜單中選擇“屬性屬性”命令，在出現(xiàn)的對話框中選擇命令，在出現(xiàn)的對話框中選擇“安全性安全性”選項卡。如圖選項卡。如圖10-1所示。所示。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系圖圖10-1 1

4、0-1 設置設置SQL ServerSQL Server的安全認證模式的安全認證模式河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系（2）在）在“安全性安全性”區(qū)域中有混合認證模式區(qū)域中有混合認證模式“SQL Server和和Windows”以及以及Windows NT認證模式認證模式“僅僅Windows”供選擇。執(zhí)行供選擇。執(zhí)行完設置操作后，重新啟動計算機才會使所完設置操作后，重新啟動計算機才會使所設置的安全模式生效。設置的安全模式生效。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系10.2.1 Windows NT認證模式登認證模式登錄賬號的建立與刪除錄賬號的

5、建立與刪除1通過通過SQL語句授予語句授予Windows NT認證模式的登錄權限認證模式的登錄權限河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_grantlogin授予授予Windows NT/2000的用戶或組登錄的用戶或組登錄SQL Server。 語法：語法：sp_grantlogin loginname=login河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系參數說明參數說明: sp_grantlogin：系統(tǒng)存儲過程名。：系統(tǒng)存儲過程名。 loginname=：占位符，可以省略。：占位符，可以省略。 login：

6、被授予登錄權限的：被授予登錄權限的Windows NT/2000的用戶和組名稱。一般是的用戶和組名稱。一般是“域域用用戶名或組戶名或組”或或“計算機名計算機名用戶名稱用戶名稱”。執(zhí)行了執(zhí)行了sp_grantlogin后，用戶僅僅是能連后，用戶僅僅是能連上上SQL Server，但是還不能操作數據庫。，但是還不能操作數據庫。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系2Windows NT認證模式登錄權限的取消認證模式登錄權限的取消語法語法:sp_revokelogin loginname=login參數說明：參數說明：sp_revokelogin 是系統(tǒng)存儲過程，功能是是系統(tǒng)

7、存儲過程，功能是取消取消Windows NT/2000用戶和組登錄用戶和組登錄SQL Server的權限，但是該用戶和組還是可以的權限，但是該用戶和組還是可以登錄登錄Windows NT/2000的。的。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系10.2.2 SQL Server認證模式登錄認證模式登錄賬號的建立與刪除賬號的建立與刪除 如果設置為混合認證模式或者在如果設置為混合認證模式或者在Windows 9X下運行下運行SQL Server，而且不通，而且不通過過Windows NT/2000用戶和組連接用戶和組連接SQL Server，則需要創(chuàng)建，則需要創(chuàng)建SQL Se

8、rver登錄賬號。登錄賬號。1通過通過SQL語句創(chuàng)建語句創(chuàng)建SQL Server認認證模式的登錄賬號證模式的登錄賬號河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系語法語法:sp_addlogin loginname= login,passwd=password,defdb=database,deflanguage=language,sid=sid,encryptopt=encryption_option河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系參數說明：參數說明： login：登錄的名稱。這個登錄名要符合：登錄的名稱。這個登錄名要符合SQL的標識符命名規(guī)則。

9、的標識符命名規(guī)則。 password：登錄密碼。該密碼存在系統(tǒng)：登錄密碼。該密碼存在系統(tǒng)表中。表中。 database：登錄后連接的數據庫，默認：登錄后連接的數據庫，默認為為master。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 language：用戶登錄到：用戶登錄到SQL Server時系時系統(tǒng)指派的語言，默認為統(tǒng)指派的語言，默認為NULL。 sid：安全標識號，默認為：安全標識號，默認為NULL。 encryption_option：當密碼存在系統(tǒng)表：當密碼存在系統(tǒng)表中時是否加密，可取下面三個值之一。中時是否加密，可取下面三個值之一。河南工程學院河南工程學院 計算機

10、科學與工程系計算機科學與工程系 NULL：進行加密，該值是默認設置；：進行加密，該值是默認設置；skip_encryption：密碼已經加密，不用再：密碼已經加密，不用再對其加密；對其加密；skip_encryption_old：已提供：已提供的密碼由的密碼由SQL Server較早版本加密，此值較早版本加密，此值供升級使用。供升級使用。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系sp_addlogin wensp_addlogin weng,sql,Student河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系2SQL Server認證模式的登錄賬號的認證模式

11、的登錄賬號的刪除刪除語法語法:sp_droplogin loginname=login河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系10.2.3 通過企業(yè)管理器創(chuàng)建和刪通過企業(yè)管理器創(chuàng)建和刪除登錄賬號除登錄賬號1創(chuàng)建登錄賬號創(chuàng)建登錄賬號（1）打開）打開“企業(yè)管理器企業(yè)管理器”并展開服務器，并展開服務器，繼續(xù)展開繼續(xù)展開“安全性安全性”，在，在“登錄登錄”項目上項目上單擊鼠標右鍵，在彈出菜單中選擇單擊鼠標右鍵，在彈出菜單中選擇“新建新建登錄登錄”命令。如圖命令。如圖10-2所示。所示。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系圖圖10-2 10-2 創(chuàng)建登錄創(chuàng)

12、建登錄河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系（2）這時出現(xiàn)）這時出現(xiàn)“新建登錄新建登錄”窗口。這個窗窗口。這個窗口既可以設置口既可以設置Windows NT認證模式下的認證模式下的登錄賬號，也可以設置登錄賬號，也可以設置SQL Server登錄賬登錄賬號。如圖號。如圖10-3所示。所示。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系圖圖10-3 10-3 新建登錄窗口新建登錄窗口河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系（3）通過上述操作在計算機上新創(chuàng)建了兩）通過上述操作在計算機上新創(chuàng)建了兩個登錄賬號，如圖個登錄賬號，如圖10-4所示

13、。一個是所示。一個是“ZCJliu”，另外一個是，另外一個是“l(fā)iu”?！癦CJliu”登錄賬號其本身是登錄賬號其本身是Windows NT/2000的用戶名。的用戶名?！發(fā)iu”登錄賬號是登錄賬號是SQL Server登錄賬號。登錄賬號。 河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系圖圖10-4 10-4 新添加的兩個賬號新添加的兩個賬號河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系2刪除登錄賬號刪除登錄賬號 操作方法是在要刪除的登錄賬號上單操作方法是在要刪除的登錄賬號上單擊鼠標右鍵，在彈出菜單中選擇擊鼠標右鍵，在彈出菜單中選擇“刪除刪除”命令即可。命令即可

14、。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 權限是指用戶對數據庫對象的使用及權限是指用戶對數據庫對象的使用及操作的權利，而角色是權限的集合體。角操作的權利，而角色是權限的集合體。角色有固定服務器角色、固定數據庫角色和色有固定服務器角色、固定數據庫角色和用戶自定義數據庫角色之分。用戶自定義數據庫角色之分。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系10.3.1 固定服務器角色固定服務器角色 固定服務器角色是關于操作服務器的固定服務器角色是關于操作服務器的權限。如果某個權限。如果某個SQL Server登錄賬號（無登錄賬號（無論是哪種模式下創(chuàng)建的登錄賬號都統(tǒng)

15、稱為論是哪種模式下創(chuàng)建的登錄賬號都統(tǒng)稱為SQL Server登錄賬號）要想獲得管理服務登錄賬號）要想獲得管理服務器的權限，那么就應將該登錄賬號設為固器的權限，那么就應將該登錄賬號設為固定服務器角色的成員。定服務器角色的成員。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 在在SQL Server中提供的固定服務器角中提供的固定服務器角色如表色如表10-1所示。注意：只能將登錄賬號所示。注意：只能將登錄賬號添加為固定服務器角色的成員，而不能自添加為固定服務器角色的成員，而不能自定義服務器角色。定義服務器角色。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系角角 色色

16、 類類 型型權權 限限sysadminsysadmin可以在可以在SQL ServerSQL Server服務器中執(zhí)行任何操作服務器中執(zhí)行任何操作serveradminserveradmin設置服務器的配置選項，關閉服務器設置服務器的配置選項，關閉服務器setupadminsetupadmin可以管理數據復制部件擴展存儲過程可以管理數據復制部件擴展存儲過程securityadminsecurityadmin管理服務器登錄標識，更改密碼以及管理服務器登錄標識，更改密碼以及CREATE CREATE DATABASEDATABASE權限，還可以讀取錯誤日志權限，還可以讀取錯誤日志processad

17、minprocessadmin管理在管理在SQL ServerSQL Server服務器中運行的進程服務器中運行的進程dbcreatordbcreator創(chuàng)建、修改和刪除數據庫創(chuàng)建、修改和刪除數據庫diskadmindiskadmin管理系統(tǒng)磁盤文件管理系統(tǒng)磁盤文件bulkadminbulkadmin可以執(zhí)行可以執(zhí)行BULK INSERTBULK INSERT語句語句表表10-110-1固定服務器角色的權限固定服務器角色的權限河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系1通過通過SQL語句添加固定服務器角色語句添加固定服務器角色成員成員語法：語法：sp_addsrvrolem

18、ember loginname=login,rolename=role河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系參數說明：參數說明： sp_addsrvrolemember：系統(tǒng)存儲過程，：系統(tǒng)存儲過程，功能是將登錄賬號添加為某個固定服務器功能是將登錄賬號添加為某個固定服務器成員。此時該登錄賬號便擁有了該固定服成員。此時該登錄賬號便擁有了該固定服務器角色所擁有的權限。務器角色所擁有的權限。 login：指明要添加的登錄賬號。：指明要添加的登錄賬號。 role：服務器角色名。必須為表：服務器角色名。必須為表10-1中中所列的角色類型。所列的角色類型。河南工程學院河南工程學院

19、計算機科學與工程系計算機科學與工程系sp_addsrvrolemember weng,dbcreatorsp_addsrvrolemember wen,sysadmin河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系2通過通過SQL語句刪除固定服務器角色語句刪除固定服務器角色成員成員語法語法:sp_dropsrvrolemember loginname= login,rolename role河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系參數說明參數說明: sp_dropsrvrolemember是系統(tǒng)存儲過程，是系統(tǒng)存儲過程，用于從固定服務器角色中刪除登錄賬號。

20、用于從固定服務器角色中刪除登錄賬號。 sysadmin固定服務器角色的成員執(zhí)行固定服務器角色的成員執(zhí)行sp_dropsrvrolemember，可刪除任何固定，可刪除任何固定服務器角色中的成員，其他固定服務器角服務器角色中的成員，其他固定服務器角色成員只可以刪除相同固定服務器角色中色成員只可以刪除相同固定服務器角色中的其他成員。的其他成員。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系3通過企業(yè)管理器添加和刪除固定服通過企業(yè)管理器添加和刪除固定服務器角色成員務器角色成員（1）以系統(tǒng)管理員的身份登錄）以系統(tǒng)管理員的身份登錄SQL Server系統(tǒng)，打開系統(tǒng)，打開“企業(yè)管理器企業(yè)管

21、理器”并展開，進而并展開，進而展開展開“安全性安全性”，在，在“登錄登錄”項目中選擇項目中選擇要添加為固定服務器角色成員的登錄賬號，要添加為固定服務器角色成員的登錄賬號，單擊鼠標右鍵，選擇單擊鼠標右鍵，選擇“屬性屬性”命令項，出命令項，出現(xiàn)如圖現(xiàn)如圖10-5所示的窗口。本步驟以登錄賬所示的窗口。本步驟以登錄賬號號“l(fā)iu”為例。為例。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系圖圖10-5 SQL Server10-5 SQL Server登錄屬性框登錄屬性框 河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系（2）在）在“服務器角色服務器角色”列表框中選擇某個列

22、表框中選擇某個固定服務器角色名稱，在名稱前面的復選固定服務器角色名稱，在名稱前面的復選框單擊一下出現(xiàn)了勾號就表示選中了。單框單擊一下出現(xiàn)了勾號就表示選中了。單擊擊“確定確定”按鈕便完成了添加工作。按鈕便完成了添加工作。（3）如果是刪除固定服務器角色成員，在）如果是刪除固定服務器角色成員，在第（第（2）步中將選中的復選框勾號去掉即可。）步中將選中的復選框勾號去掉即可。 河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系10.3.2 固定數據庫角色固定數據庫角色1將登錄賬號添加為某個數據庫的將登錄賬號添加為某個數據庫的用戶和從數據庫用戶中刪除用戶和從數據庫用戶中刪除 登錄賬號只是能與登

23、錄賬號只是能與SQL Server連接，連接，要對具體的某個數據庫進行操作，應該首要對具體的某個數據庫進行操作，應該首先使該登錄賬號成為這個數據庫的用戶。先使該登錄賬號成為這個數據庫的用戶。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系語法語法:sp_grantdbaccess loginname=login ,name_in_db=name_in_dbsp_revokedbaccess name_in_db=name_in_db河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系參數說明參數說明: login：登錄賬號名。：登錄賬號名。 name_in_db：在數據

24、庫中的用戶名。如：在數據庫中的用戶名。如果不指定，則使用登錄賬號作為數據庫用果不指定，則使用登錄賬號作為數據庫用戶名。如果指定了用戶，那么兩者間便建戶名。如果指定了用戶，那么兩者間便建立了映射關系。登錄賬號立了映射關系。登錄賬號“計算機名計算機名Administrator”對每個數據庫都映射有一對每個數據庫都映射有一個用戶名個用戶名dbo。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 sp_grantdbaccess是系統(tǒng)存儲過程，僅是系統(tǒng)存儲過程，僅可以在當前數據庫中添加用戶?？梢栽诋斍皵祿熘刑砑佑脩?。 sp_revokedbaccess是系統(tǒng)存儲過程，僅是系統(tǒng)存儲過程，

25、僅可以在當前數據庫中刪除用戶?？梢栽诋斍皵祿熘袆h除用戶。 只有只有sysadmin固定服務器角色、固定服務器角色、db_accessadmin和和db_owner固定數據庫角固定數據庫角色的成員才能執(zhí)行色的成員才能執(zhí)行sp_grantdbaccess和和sp_revokedbaccess。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系2給固定數據庫角色添加成員和刪除給固定數據庫角色添加成員和刪除成員成員 需要授予用戶操作權限。授予的方法需要授予用戶操作權限。授予的方法大致有三種：大致有三種： 使之成為某個固定數據庫角色的成員。使之成為某個固定數據庫角色的成員。河南工程學院河南

26、工程學院 計算機科學與工程系計算機科學與工程系 單獨授予某項操作權限，比如授予某個單獨授予某項操作權限，比如授予某個用戶對用戶對Student數據庫中所有用戶表的數據庫中所有用戶表的SELECT操作權限，但沒有操作權限，但沒有UPDATE、INSERT操作權限。操作權限。 使之成為用戶自定義數據庫角色的成員。使之成為用戶自定義數據庫角色的成員。 固定數據庫角色的操作是定義在數據固定數據庫角色的操作是定義在數據庫級別上的庫級別上的 。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系角角 色色 名名 稱稱權權 限限db_ownerdb_owner擁有數據庫中的所有權限，是數據庫中的最

27、擁有數據庫中的所有權限，是數據庫中的最高管理角色高管理角色db_accessadmindb_accessadmin管理數據庫中的用戶賬戶，可以向數據庫中管理數據庫中的用戶賬戶，可以向數據庫中添加或刪除用戶、組或登錄標識添加或刪除用戶、組或登錄標識db_securityadmindb_securityadmin管理角色和數據庫角色成員，對象所有權、管理角色和數據庫角色成員，對象所有權、語句執(zhí)行權限以及數據庫訪問權語句執(zhí)行權限以及數據庫訪問權db_ddlamdindb_ddlamdin在數據庫中創(chuàng)建、修改或刪除數據庫對象在數據庫中創(chuàng)建、修改或刪除數據庫對象db_backupoperatordb_b

28、ackupoperator執(zhí)行對數據庫的備份操作執(zhí)行對數據庫的備份操作db_datareaderdb_datareader能夠檢索數據庫中任何表的所有數據能夠檢索數據庫中任何表的所有數據db_datawriterdb_datawriter能夠對數據庫中任何表插入、修改和刪除數能夠對數據庫中任何表插入、修改和刪除數據據表表10-210-2 固定數據庫角色的權限固定數據庫角色的權限 河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系角角 色色 名名 稱稱權權 限限db_denydatareaderdb_denydatareader禁止讀取數據庫中的任何表的數據禁止讀取數據庫中的任何表的

29、數據db_denydatawriterdb_denydatawriter禁止修改數據庫中任何表的數據禁止修改數據庫中任何表的數據PublicPublic每個數據庫用戶都是每個數據庫用戶都是publicpublic角色的成員。角色的成員。不能將用戶、組指派為不能將用戶、組指派為publicpublic角色的成員，角色的成員，也不能刪除也不能刪除publicpublic角色的成員角色的成員續(xù)表續(xù)表河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系語法語法:sp_addrolemember loginname=role, membername=security_accountsp_dro

30、prolememberloginname=role, membername=security_account河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系參數說明：參數說明： role：要添加或刪除的成員所屬的角色：要添加或刪除的成員所屬的角色名稱。名稱。 security_account：要添加或刪除的成員：要添加或刪除的成員名稱。名稱。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 sp_addrolemember：是系統(tǒng)存儲過程，：是系統(tǒng)存儲過程，用于將某數據庫用戶添加為某個固定數據用于將某數據庫用戶添加為某個固定數據庫角色的成員，也適用于用戶自定義的數庫

31、角色的成員，也適用于用戶自定義的數據庫角色。據庫角色。 sp_droprolemember：是系統(tǒng)存儲過程，：是系統(tǒng)存儲過程，用于將某個固定數據角色的成員刪除，也用于將某個固定數據角色的成員刪除，也適用于用戶自定義的數據庫角色。適用于用戶自定義的數據庫角色。將成員從數據庫角色中刪除并沒有從數據將成員從數據庫角色中刪除并沒有從數據庫用戶中刪除。庫用戶中刪除。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系3權限管理權限管理 在在SQL Server中可授予數據庫用戶的中可授予數據庫用戶的權限分為三種：對象權限、語句權限和隱權限分為三種：對象權限、語句權限和隱含權限。含權限。 第一種

32、：對象權限。第一種：對象權限。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 對象權限指用于決定用戶對數據庫對對象權限指用于決定用戶對數據庫對象執(zhí)行操作的權利。這些數據庫對象包括象執(zhí)行操作的權利。這些數據庫對象包括表、視圖、存儲過程和用戶自定義函數。表、視圖、存儲過程和用戶自定義函數。而所執(zhí)行的操作包括：而所執(zhí)行的操作包括：SELECT、INSERT、UPDATE、DELETE、REFERENCES和和EXECUTE。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系語語 句句適適 用用 對對 象象SELECTSELECT表、視圖、列表、視圖、列INSERTINSE

33、RT表、視圖表、視圖UPDATEUPDATE表、視圖、列表、視圖、列DELETEDELETE表、視圖表、視圖表表10-310-3對象權限對象權限河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系語語 句句適適 用用 對對 象象REFERENCESREFERENCES表、列表、列EXECUTEEXECUTE存儲過程、函數存儲過程、函數續(xù)表續(xù)表河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系語法：語法：授予操作數據庫對象的權限授予操作數據庫對象的權限GRANT ALL PRIVILEGES | permission ,n (column,n) ON table | vie

34、w | ON table | view (column,n) | ON stored_procedure | extended_procedure河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 | ON user_defined_functionTO security_account ,nWITH GRANT OPTIONAS group | role河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系禁止操作數據庫對象的權限禁止操作數據庫對象的權限DENY ALL PRIVILEGES | permission ,n (column,n) ON table | vi

35、ew | ON table | view (column,n) | ON stored_procedure | extended_procedure | ON user_defined_functionTO security_account ,nCASCADE河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系撤消操作數據庫對象的權限撤消操作數據庫對象的權限REVOKE GRANT OPTION FOR ALL PRIVILEGES | permission ,n (column,n) ON table | view | ON table | view (column,n) | ON

36、 stored_procedure | extended_procedure | ON user_defined_function河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系TO | FROM security_account ,nCASCADEAS group | role河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系參數說明：參數說明： 對于授予操作數據庫對象權限的對于授予操作數據庫對象權限的GRANT語句各參數的意義如下：語句各參數的意義如下：河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系ALL：表示授予所有可用的權限。對于：表示授予所有

37、可用的權限。對于sysadmin角色成員和數據庫對象所有者可以角色成員和數據庫對象所有者可以使用使用ALL。PRIVILEGES：可選關鍵字。：可選關鍵字。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系permission：用于指定授予的權限類型。：用于指定授予的權限類型。對于表、表值函數或視圖，對于表、表值函數或視圖，permission的的取值可為：取值可為：SELECT、INSERT、DELETE、UPDATE、REFERENCES；對于存儲過程則為對于存儲過程則為EXECUTE；對于用戶；對于用戶函數則為函數則為EXECUTE或或REFERENCES；對；對于列則為于列

38、則為SELECT或或UPDATE。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系column：指當前數據庫中授予權限的列：指當前數據庫中授予權限的列名。名。table|view：指當前數據庫授予權限的表：指當前數據庫授予權限的表名或視圖名。名或視圖名。stored_procedure | extended_procedure：指當前數據庫授予權限的系統(tǒng)存儲過程名指當前數據庫授予權限的系統(tǒng)存儲過程名或擴展存儲過程名?；驍U展存儲過程名。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系user_defined_function：指當前數據庫授：指當前數據庫授予權限的用戶

39、自定義函數。予權限的用戶自定義函數。security_account：指被授予權限的用戶：指被授予權限的用戶名。名。WITH GRANT OPTION：表示允許：表示允許security_account將指定的對象權限轉授給將指定的對象權限轉授給其他用戶和角色。該選項只對對象權限的其他用戶和角色。該選項只對對象權限的授予有效，即授予列的權限時是無效的。授予有效，即授予列的權限時是無效的。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系AS group | role：指當前數據庫中執(zhí)行：指當前數據庫中執(zhí)行GRANT語句的用戶所屬的角色名或組名。語句的用戶所屬的角色名或組名。當對象上

40、的權限被授予一個組或角色時，當對象上的權限被授予一個組或角色時，用該子句可以將對象權限進一步授予不是用該子句可以將對象權限進一步授予不是組或角色成員的用戶。組或角色成員的用戶。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 對于禁止操作數據庫對象權限的對于禁止操作數據庫對象權限的DENY語句的參數意義如下：語句的參數意義如下：CASCADE：指禁止：指禁止security_account的的權限時，也將連帶禁止由權限時，也將連帶禁止由secrity_account授權的任何其他用戶賬號。這也是針對授權的任何其他用戶賬號。這也是針對GRANT語句中語句中WITH GRANT OP

41、TION而而言的。言的。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系其他參數含義同上。其他參數含義同上。如果使用如果使用DENY語句禁止用戶獲得某個權語句禁止用戶獲得某個權限，那么將該用戶添加到已擁有該權限的限，那么將該用戶添加到已擁有該權限的組或角色時，就不能擁有該權限了。組或角色時，就不能擁有該權限了。 REVOKE語句可以取消以前授予或禁語句可以取消以前授予或禁止的對象權限。參數意義可以參看上述說止的對象權限。參數意義可以參看上述說明。明。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系 第二種權限：語句權限。第二種權限：語句權限。 語句權限決定用戶能否操

42、作數據庫和語句權限決定用戶能否操作數據庫和創(chuàng)建數據庫對象。創(chuàng)建數據庫對象。 語句權限不同于對象權限，并不針對語句權限不同于對象權限，并不針對某個數據庫對象，而僅僅針對語句而言。某個數據庫對象，而僅僅針對語句而言。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系語語 句句作作 用用CREATE DATABASECREATE DATABASE創(chuàng)建數據庫創(chuàng)建數據庫CREATE TABLECREATE TABLE在數據庫中創(chuàng)建表在數據庫中創(chuàng)建表CREATE VIEWCREATE VIEW在數據庫中創(chuàng)建視圖在數據庫中創(chuàng)建視圖CREATE FUNCTIONCREATE FUNCTION在數據

43、庫中創(chuàng)建函數在數據庫中創(chuàng)建函數CREATE PROCEDURECREATE PROCEDURE在數據庫中創(chuàng)建存儲過程在數據庫中創(chuàng)建存儲過程CREATE RULECREATE RULE在數據庫中創(chuàng)建規(guī)則在數據庫中創(chuàng)建規(guī)則CREATE DEFAULTCREATE DEFAULT在數據庫中創(chuàng)建默認值對象在數據庫中創(chuàng)建默認值對象BACKUP DATABASEBACKUP DATABASE備份數據庫備份數據庫BACKUP LOGBACKUP LOG備份日志備份日志表表10-410-4 語句權限語句權限 河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系語法：語法：授予執(zhí)行授予執(zhí)行T-SQL語

44、句的權限語句的權限GRANT ALL | statement, TO security_account,n禁止執(zhí)行禁止執(zhí)行T-SQL語句的權限語句的權限DENY ALL | statement, TO security_account,n取消執(zhí)行取消執(zhí)行T-SQL語句的權限語句的權限REVOKE ALL | statement, FROM security_account,n河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系參數說明：參數說明： 授予執(zhí)行授予執(zhí)行T-SQL語句的權限的語句的權限的GRANT語句的參數意義如下：語句的參數意義如下：1）ALL：表示授予所有可用的權限。對于：表示授予所有可用的權限。對于sysadmin角色成員可以使用角色成員可以使用ALL。河南工程學院河南工程學院 計算機科學與工程系計算機科學與工程系2）statement：指被授予權限的語句。可：指被授予權限的語句?？梢赃x以下語