SQL2000安全性管理

1、服務(wù)器認證服務(wù)器認證是指每個用戶在通過網(wǎng)絡(luò)訪問SQL Server 2000數(shù)據(jù)庫之前，操作系統(tǒng)或數(shù)據(jù)庫服務(wù)器會對用戶進行身份驗證，以此來決定該用戶是否可以連接到服務(wù)器以及該用戶可以訪問哪些數(shù)據(jù)。沒有通過檢查的用戶，服務(wù)器將拒絕其對數(shù)據(jù)庫的連接請求。在服務(wù)器認證階段，SQL Server提供了3種認證模式：第一種是Windows認證模式；第二種是SQL Server認證模式；第三種是兩種認證模式的有機結(jié)合，即混合認證模式，它既支持Windows認證，又支持SQL Server認證。下面詳細介紹這3種認證模式。（1）Windows認證模式用戶在與SQL Server進行連接時不需要提供SQL S

2、erver登錄賬號就可以直接與SQL Server 相連接，這種認證模式就是Windows認證模式。使用Windows認證模式時，只要來訪用戶通過“服務(wù)器平臺”用戶的檢驗，SQL Server就不再對該用戶進行安全性檢驗工作了，此用戶就可以成功地連接到SQL Server數(shù)據(jù)庫服務(wù)器。Windows認證模式的優(yōu)點主要體現(xiàn)在以下幾點：l          Windows NT/2000有著更強的用戶賬戶管理工具?？梢栽O(shè)置賬戶鎖定、密碼期限等，數(shù)據(jù)庫管理員可以把用戶賬戶交給Windows NT/2000去管理

3、，而把自己的工作主要集中在數(shù)據(jù)庫管理方面。l          Windows NT/2000的組策略支持多個用戶同時被授權(quán)訪問SQL Server。l          用戶只需使用一個用戶名和口令，就可以同時訪問Windows和SQL Server。如果在客戶和服務(wù)器間建立連接，使用該驗證模式時，必須滿足的一個條件就是客戶端的用戶必須在服務(wù)器上有合法的Windows NT/2000賬戶，服務(wù)器能夠在自己的域中驗證

4、該用戶。 注意：如果服務(wù)器啟動了Guest賬戶，也可以使用該驗證模式，但這種方法常常會帶來安全上的隱患。（2）SQL Server認證模式當(dāng)用戶與SQL Server連接時，必須提供由SQL Server管理員為其設(shè)定的登錄賬號和口令，并指定SQL Server工作在SQL Server認證模式下。經(jīng)過SQL Server安全系統(tǒng)對用戶的身份進行驗證合法后才能連接上數(shù)據(jù)庫服務(wù)。SQL Server認證模式的優(yōu)點主要體現(xiàn)在以下幾點。l          創(chuàng)建了Windows NT/2000之上的另外一個安全

5、層次。l          支持更大范圍的用戶，如非Windows NT客戶、Novell網(wǎng)用戶等。l          一個應(yīng)用程序可以使用單個的SQL Server登錄賬號和口令。（3）混合認證模式混合認證模式是前兩種認證模式的有機結(jié)合。用戶既能使用Windows認證模式又能使用SQL Server認證模式連接到SQL Server服務(wù)器。數(shù)據(jù)庫認證用戶必須使用特定的登錄賬戶經(jīng)過驗證才能登錄到SQL Server

6、。登錄以后，用戶在訪問每個數(shù)據(jù)庫時也必須使用特定的用戶賬號才能對數(shù)據(jù)庫進行訪問，而且只能查看經(jīng)授權(quán)可以查看的表和視圖，只能執(zhí)行經(jīng)授權(quán)可以執(zhí)行的存儲過程和管理功能，這樣可以有效地控制用戶訪問數(shù)據(jù)庫的權(quán)限，防止一個用戶在連接SQL Server以后，對服務(wù)器上的所有數(shù)據(jù)庫進行訪問。用戶賬戶的數(shù)據(jù)庫訪問權(quán)限決定了用戶在數(shù)據(jù)庫中可以進行哪些操作。 注意：安裝系統(tǒng)時，Guest用戶自動加入到master、pubs、tempdb和Northwind數(shù)據(jù)庫中，當(dāng)SQL Server數(shù)據(jù)庫用戶沒有用戶賬號時可以使用Guest用戶賬號登錄，以匿名的方式查看數(shù)據(jù)庫中的數(shù)據(jù)。 管理服務(wù)器角色服務(wù)器角色是指

7、根據(jù)SQL Server的管理任務(wù)以及這些任務(wù)相對的重要性等級，把具有SQL Server管理職能的用戶劃分為不同的角色來管理SQL Server的權(quán)限。服務(wù)器角色適用于服務(wù)器范圍內(nèi)，其權(quán)限不能被修改。啟動企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器，展開“安全性”節(jié)點，單擊“服務(wù)器角色”選項，右側(cè)列表框內(nèi)自動顯示存在的服務(wù)器角色，如圖1所示。圖1 服務(wù)器角色SQL Server共有8種預(yù)定義的服務(wù)器角色，各角色的具體含義如表1所示。表1服務(wù)器角色服務(wù)器角色角 色 描 述Sysadmin（系統(tǒng)管理員）可以在SQL Server中做任何事情Serveradmin（服務(wù)器管理員）設(shè)置SQL Server

8、服務(wù)器范圍內(nèi)的配置選項，可以關(guān)閉服務(wù)器Setupadmin（安裝管理員）可以管理擴展的存儲過程Securityadmin（安全管理員）管理數(shù)據(jù)庫登錄Processadmin（進程管理員）管理運行在SQL Server中的進程Dbcreator（數(shù)據(jù)庫創(chuàng)建者）可以創(chuàng)建和更改數(shù)據(jù)庫Diskadmin（磁盤管理員）管理磁盤文件Bulkadmin（批量管理員）可以執(zhí)行大容量數(shù)據(jù)插入操作 下面介紹如何使用企業(yè)管理器來管理服務(wù)器角色。操作步驟如下：（1）啟動企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2） 展開“安全性”節(jié)點，單擊“服務(wù)器角色”選項，右側(cè)列表框內(nèi)自動顯示當(dāng)前SQL Ser

9、ver服務(wù)器的角色，如圖2所示。（3）在企業(yè)管理器右邊的角色列表框中右鍵單擊要查看信息的服務(wù)器角色“processadmin”，在彈出的快捷菜單中選擇“屬性”命令，彈出“服務(wù)器角色屬性”對話框，如圖3所示。在這個對話框中，可以看到該角色的成員。（4）在“服務(wù)器角色屬性”對話框中單擊“添加”按鈕，在彈出的“添加成員”對話框中選擇登錄賬號“mrsoft”，即可向該角色中添加成員。如果想刪除用戶，只要選中該用戶，單擊“刪除”按鈕即可，如圖4所示。圖2服務(wù)器角色列表圖3 服務(wù)器角色屬性 圖4 向服務(wù)器角色添加用戶（5）最后單擊“確定”按鈕即可完成添加操作。管理數(shù)據(jù)庫角色數(shù)據(jù)庫角色是對數(shù)據(jù)庫對象操作的權(quán)

10、限的集合。在SQL Server中，數(shù)據(jù)庫角色可以新建，也可以使用已存在的數(shù)據(jù)庫角色。數(shù)據(jù)庫角色能為某一用戶或一組用戶授予不同級別的管理、訪問數(shù)據(jù)庫或數(shù)據(jù)庫對象的權(quán)限，這些權(quán)限是SQL Server數(shù)據(jù)庫專有的。啟動企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。展開指定的數(shù)據(jù)庫“model”節(jié)點，單擊“角色”選項，右側(cè)列表框內(nèi)自動顯示存在的數(shù)據(jù)庫角色，如圖1所示。圖1 數(shù)據(jù)庫角色數(shù)據(jù)庫角色角 色 描 述db_accessadmin可以增加或刪除Windows NT認證模式下用戶或用戶組以及SQL Server用戶db_backupoperator可以備份數(shù)據(jù)庫db_datareader能且僅能對數(shù)據(jù)

11、庫中任何表執(zhí)行select操作，從而讀取所有表的信息db_datawriter能對數(shù)據(jù)庫中任何表執(zhí)行insert、delete、update操作，但不能進行select操作db_ddladmin可以新建、刪除、修改數(shù)據(jù)庫中任何對象db_denydatareader不能對數(shù)據(jù)庫中任何表進行select操作db_denydatawriter不能對數(shù)據(jù)庫中任何表進行insert、delete、update操作db_owner數(shù)據(jù)庫的所有者，可以執(zhí)行任何數(shù)據(jù)庫管理工作，可以對數(shù)據(jù)庫內(nèi)的任何對象進行任何操作db_securityadmin管理數(shù)據(jù)庫內(nèi)權(quán)限的grant、deny、revoke操作，即對語句

12、、對象、角色權(quán)限的管理public是一個特殊的角色，它包含所有數(shù)據(jù)庫用戶賬戶和角色所擁有的訪問權(quán)限，這種權(quán)限的繼承關(guān)系不能改變。管理員應(yīng)該特別注意給該角色賦權(quán)限在SQL Server中，數(shù)據(jù)庫角色分為兩種類型：一種是預(yù)定義數(shù)據(jù)庫角色，另一種是自定義數(shù)據(jù)庫角色。（1）預(yù)定義數(shù)據(jù)庫角色預(yù)定義數(shù)據(jù)庫角色是在SQL Server中已經(jīng)定義好的，具有管理、訪問數(shù)據(jù)庫權(quán)限的角色。有一點需要注意的是數(shù)據(jù)庫管理員不可以對預(yù)定義數(shù)據(jù)庫角色進行任何權(quán)限修改，也不可以刪除這些角色。（2）自定義數(shù)據(jù)庫角色自定義數(shù)據(jù)庫角色可以使用戶在數(shù)據(jù)庫中實現(xiàn)某一種特定功能。其優(yōu)點主要體現(xiàn)在以下幾點：l  

13、60;       SQL Server數(shù)據(jù)庫角色可以包含多個用戶。l          在同一個數(shù)據(jù)庫中用戶可以有不同的自定義角色，這種角色的組合是自由的。l          角色可以進行嵌套，從而在數(shù)據(jù)庫中實現(xiàn)不同級別的安全性。用戶自定義數(shù)據(jù)庫角色還可以分為兩種類型：標(biāo)準(zhǔn)角色和應(yīng)用角色。標(biāo)準(zhǔn)角色通過對用戶權(quán)限等級的認定將用戶分為不同的用戶組，使用戶相對

14、于一個或多個角色，進而實現(xiàn)管理的安全性。應(yīng)用角色使用戶只能通過特定的應(yīng)用程序間接地存取數(shù)據(jù)庫中的數(shù)據(jù)。二者的區(qū)別主要體現(xiàn)在以下幾點。l          應(yīng)用程序角色不包含成員。l          默認情況下，應(yīng)用程序角色是非活動的，需要用密碼激活。l          應(yīng)用程序角色不使用標(biāo)準(zhǔn)權(quán)限。SQL Server中還有一

15、個特殊的數(shù)據(jù)庫角色public，它存在于每一個數(shù)據(jù)庫中，包括系統(tǒng)數(shù)據(jù)庫，如master、msdb、model和用戶數(shù)據(jù)庫，數(shù)據(jù)庫的所有用戶都屬于public角色，并且不能從public角色中刪除。1創(chuàng)建數(shù)據(jù)庫角色下面以在數(shù)據(jù)庫“db-kcgl”中創(chuàng)建數(shù)據(jù)庫角色“kcgl”為例，介紹如何在企業(yè)管理器中創(chuàng)建數(shù)據(jù)庫角色。操作步驟如下：（1）啟動企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2）展開“數(shù)據(jù)庫”選項，展開指定的數(shù)據(jù)庫“db-kcgl”節(jié)點，右鍵單擊“角色”選項，在彈出的快捷菜單中選擇“新建數(shù)據(jù)庫角色”命令，如圖2所示。（3）進入如圖3所示的“數(shù)據(jù)庫角色屬性”對話框。在“名稱”文本框中輸入名稱

16、“kcgl”，選擇數(shù)據(jù)庫角色類型為“標(biāo)準(zhǔn)角色”，單擊“添加”按鈕選擇要添加的用戶。設(shè)置完成后單擊“確定”按鈕即可創(chuàng)建新的數(shù)據(jù)庫角色“kcgl”。 注意：列權(quán)限、用戶權(quán)限、角色權(quán)限發(fā)生沖突時，列權(quán)限優(yōu)先于用戶權(quán)限，用戶權(quán)限優(yōu)先于角色權(quán)限。2刪除數(shù)據(jù)庫角色下面使用企業(yè)管理器刪除數(shù)據(jù)庫角色。操作步驟如下： 圖2 建立數(shù)據(jù)庫角色 圖3 數(shù)據(jù)庫角色屬性（1）啟動企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2）展開指定的數(shù)據(jù)庫“db-kcgl”結(jié)點，選中“角色”選項，企業(yè)管理器右邊的角色列表框中顯示相應(yīng)的角色，鼠標(biāo)右鍵單擊要刪除的角色“kcgl”，在彈出的快捷菜單中選擇“刪除”命令，SQL Server會出

17、現(xiàn)確認刪除的對話框，選擇“確定”按鈕即可以刪除數(shù)據(jù)庫角色，如圖4所示。 圖4 刪除數(shù)據(jù)庫角色 注意：在SQL Server中不能刪除預(yù)定義的數(shù)據(jù)庫角色。下面使用T-SQL命令刪除數(shù)據(jù)庫角色。使用sp_droprole命令可以刪除數(shù)據(jù)庫角色。語法：Sp_sp_droprolerolename='role'參數(shù)說明：rolename：指自定義的數(shù)據(jù)庫角色。示例：本示例使用sp_droprole命令刪除數(shù)據(jù)庫“db-kcgl”中的數(shù)據(jù)庫角色“kcgl”。SQL語句如下：USE db-kcglGOEXEC sp_droprole'kcgl'GO 注意：如果該數(shù)據(jù)庫角色中

18、還有成員或仍擁有數(shù)據(jù)庫對象，則無法刪除該角色，必須首先刪除其中的成員或數(shù)據(jù)庫對象。查看登錄賬號啟動企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器，展開“安全性”節(jié)點，單擊“登錄”選項，可看到系統(tǒng)創(chuàng)建的默認登錄賬號及已建立的登錄賬號，如圖1所示。 圖1 查看服務(wù)器登錄賬號其中BUILTINAdministrators和sa是系統(tǒng)默認創(chuàng)建的兩個登錄賬號。l          BUILTINAdministrators：凡是Windows NT Server/2000中的Administrators組的賬號都允許作為S

19、QL Server登錄賬號使用。l          sa：SQL Server系統(tǒng)管理員登錄賬號，該賬號擁有最高的管理權(quán)限，可以執(zhí)行服務(wù)器范圍內(nèi)的所有操作。通常SQL Server管理員也是Windows NT或Windows Server 2000的管理員。特殊數(shù)據(jù)庫用戶SQL Server的數(shù)據(jù)庫級別上也存在著兩個特殊的數(shù)據(jù)庫用戶：dbo和guest。它們具有特殊的權(quán)限和作用。1dbodbo是數(shù)據(jù)庫的最高權(quán)利擁有者，可以在數(shù)據(jù)庫范圍內(nèi)執(zhí)行一切操作。在安裝SQL Server時，被設(shè)置到model數(shù)據(jù)

20、庫中，它的用戶ID（uid）總是1，并且永遠無法從數(shù)據(jù)庫中將其刪除。2guestguest是SQL Server數(shù)據(jù)庫中的一個特殊用戶，它可以使任何已經(jīng)登錄到SQL Server服務(wù)器的用戶都可以訪問數(shù)據(jù)庫。在系統(tǒng)數(shù)據(jù)庫中除model以外都有g(shù)uest用戶。而且master和tempdb系統(tǒng)數(shù)據(jù)庫中的guest用戶不能被刪除，其他數(shù)據(jù)庫中的guest用戶都可以被創(chuàng)建或刪除。但創(chuàng)建時必須使用sp_grantdbaccess命令建立guest用戶。示例：本示例使用sp_grantdbaccess命令為數(shù)據(jù)庫“db_kcgl”建立guest用戶。SQL語句如下：USE db_kcglEXEC sp_

21、grantdbaccess guestGO使用企業(yè)管理器管理權(quán)限1設(shè)置數(shù)據(jù)庫訪問權(quán)限下面以設(shè)置數(shù)據(jù)庫“kfgl”的訪問權(quán)限為例介紹如何通過企業(yè)管理器設(shè)置數(shù)據(jù)庫的訪問權(quán)限。操作步驟如下：（1）啟動企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2）展開“數(shù)據(jù)庫”節(jié)點，鼠標(biāo)右鍵單擊數(shù)據(jù)庫“kfgl”，在彈出的快捷菜單中選擇“屬性”命令，打開數(shù)據(jù)庫屬性對話框，如圖1所示。圖1 選擇“屬性”命令（3）在彈出的數(shù)據(jù)庫屬性對話框中單擊“權(quán)限”選項卡，如圖2所示，選擇數(shù)據(jù)庫用戶“mrsoft”的“創(chuàng)建表”和“創(chuàng)建視圖”復(fù)選框，即允許創(chuàng)建表及視圖。（4）單擊“確定”按鈕完成權(quán)限的設(shè)置。圖2 數(shù)據(jù)庫屬性2設(shè)置數(shù)據(jù)庫對象的訪問權(quán)限用戶在具有了訪問數(shù)據(jù)庫的權(quán)限之后，就可以授予其訪問數(shù)據(jù)庫對象的權(quán)限了。下面設(shè)置允許數(shù)據(jù)庫用戶“mrsoft”對數(shù)據(jù)庫“kfgl”中的員工信息表“ygxx”中的數(shù)據(jù)進行查詢、插入、修改和刪除操作。操作步驟如下：（1）啟動企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2）展開指定的數(shù)據(jù)庫“kfgl”節(jié)點，單擊“表”選項，在右側(cè)的列表中右鍵單擊表“ygxx”選項，在彈出的快捷菜單中選擇“