SQLServer2008基礎(chǔ)教程3用戶賬號權(quán)限管理

1、2022-4-30精選ppt第1頁第第3章章 管理安全性管理安全性本章概述 本章要點本章內(nèi)容2022-4-30精選ppt第2頁本章概述本章概述l安全性是數(shù)據(jù)庫管理系統(tǒng)的重要特征。能否提供安全性是數(shù)據(jù)庫管理系統(tǒng)的重要特征。能否提供全面、完整、有效、靈活的安全機制，往往是衡全面、完整、有效、靈活的安全機制，往往是衡量一個分布式數(shù)據(jù)庫管理系統(tǒng)是否成熟的重要標(biāo)量一個分布式數(shù)據(jù)庫管理系統(tǒng)是否成熟的重要標(biāo)志，也是用戶選擇合適的數(shù)據(jù)庫產(chǎn)品的一個重要志，也是用戶選擇合適的數(shù)據(jù)庫產(chǎn)品的一個重要判斷指標(biāo)。判斷指標(biāo)。lMicrosoft SQL Server 2008系統(tǒng)提供了一整套系統(tǒng)提供了一整套保護數(shù)據(jù)安全的機

2、制，包括角色、架構(gòu)、用戶、保護數(shù)據(jù)安全的機制，包括角色、架構(gòu)、用戶、權(quán)限等手段，可以有效地實現(xiàn)對系統(tǒng)訪問和數(shù)據(jù)權(quán)限等手段，可以有效地實現(xiàn)對系統(tǒng)訪問和數(shù)據(jù)訪問的控制。本章全面講述訪問的控制。本章全面講述Microsoft SQL Server 2008系統(tǒng)的安全管理。系統(tǒng)的安全管理。2022-4-30精選ppt第3頁本章要點本章要點l理解數(shù)據(jù)庫安全性問題和安全性機制之間的關(guān)系理解數(shù)據(jù)庫安全性問題和安全性機制之間的關(guān)系l管理和維護登錄名管理和維護登錄名lSQL Server系統(tǒng)的密碼策略系統(tǒng)的密碼策略l固定服務(wù)器角色的特點和管理固定服務(wù)器角色的特點和管理l管理和維護數(shù)據(jù)庫用戶管理和維護數(shù)據(jù)庫用戶l

3、管理和維護架構(gòu)管理和維護架構(gòu)l權(quán)限類型和權(quán)限管理權(quán)限類型和權(quán)限管理l系統(tǒng)內(nèi)置的加密機制系統(tǒng)內(nèi)置的加密機制2022-4-30精選ppt第4頁本章內(nèi)容本章內(nèi)容3.1 概述概述3.2 管理登錄名管理登錄名3.3 固定服務(wù)器角色固定服務(wù)器角色3.4 管理數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶3.5 管理架構(gòu)管理架構(gòu)3.6 數(shù)據(jù)庫角色數(shù)據(jù)庫角色3.7 管理應(yīng)用程序角色管理應(yīng)用程序角色3.8 管管 理理 權(quán)權(quán) 限限3.9 SQL Server 2008內(nèi)置的加密機制內(nèi)置的加密機制3.10 使用使用SQL Server Management Studio工具工具3.11 本章小結(jié)本章小結(jié)2022-4-30精選ppt第5頁

4、3.1 概述概述l安全性是所有數(shù)據(jù)庫管理系統(tǒng)的一個重要安全性是所有數(shù)據(jù)庫管理系統(tǒng)的一個重要特征。理解安全性問題是理解數(shù)據(jù)庫管理特征。理解安全性問題是理解數(shù)據(jù)庫管理系統(tǒng)安全性機制的前提。系統(tǒng)安全性機制的前提。l下面結(jié)合下面結(jié)合Microsoft SQL Server 2008系統(tǒng)系統(tǒng)的安全特征，分析安全性問題和安全性機的安全特征，分析安全性問題和安全性機制之間的關(guān)系。制之間的關(guān)系。2022-4-30精選ppt第6頁登錄到系統(tǒng)登錄到系統(tǒng)l第一個安全性問題：當(dāng)用戶登錄數(shù)據(jù)庫系第一個安全性問題：當(dāng)用戶登錄數(shù)據(jù)庫系統(tǒng)時，如何確保只有合法的用戶才能登錄統(tǒng)時，如何確保只有合法的用戶才能登錄到系統(tǒng)中？這是一個

5、最基本的安全性問題，到系統(tǒng)中？這是一個最基本的安全性問題，也是數(shù)據(jù)庫管理系統(tǒng)提供的基本功能。也是數(shù)據(jù)庫管理系統(tǒng)提供的基本功能。l在在Microsoft SQL Server 2008系統(tǒng)中，通系統(tǒng)中，通過身份驗證模式和主體解決這個問題。過身份驗證模式和主體解決這個問題。2022-4-30精選ppt第7頁身份驗證模式身份驗證模式l身份驗證模式是身份驗證模式是Microsoft SQL Server 2008系統(tǒng)驗證客系統(tǒng)驗證客戶端和服務(wù)器之間連接的方式。戶端和服務(wù)器之間連接的方式。Microsoft SQL Server 2008系統(tǒng)提供了兩種身份驗證模式：系統(tǒng)提供了兩種身份驗證模式：Windo

6、ws身份驗證身份驗證模式和混合模式。在模式和混合模式。在Windows身份驗證模式中，用戶通身份驗證模式中，用戶通過過Microsoft Windows用戶賬戶連接時，用戶賬戶連接時，SQL Server使使用用Windows操作系統(tǒng)中的信息驗證賬戶名和密碼。操作系統(tǒng)中的信息驗證賬戶名和密碼。Windows身份驗證模式使用身份驗證模式使用Kerberos安全協(xié)議，通過強安全協(xié)議，通過強密碼的復(fù)雜性驗證提供密碼策略強制、賬戶鎖定支持、支密碼的復(fù)雜性驗證提供密碼策略強制、賬戶鎖定支持、支持密碼過期等。在混合模式中，當(dāng)客戶端連接到服務(wù)器時，持密碼過期等。在混合模式中，當(dāng)客戶端連接到服務(wù)器時，既可能采

7、取既可能采取Windows身份驗證，也可能采取身份驗證，也可能采取SQL Server身份驗證。當(dāng)設(shè)置為混合模式時，允許用戶使用身份驗證。當(dāng)設(shè)置為混合模式時，允許用戶使用Windows身份驗證身份驗證SQL Server身份驗證進行連接。身份驗證進行連接。2022-4-30精選ppt第8頁主體主體l主體是可以請求系統(tǒng)資源的個體、組合過程。例主體是可以請求系統(tǒng)資源的個體、組合過程。例如，數(shù)據(jù)庫用戶是一種主體，可以按照自己的權(quán)如，數(shù)據(jù)庫用戶是一種主體，可以按照自己的權(quán)限在數(shù)據(jù)庫中執(zhí)行操作和使用相應(yīng)的數(shù)據(jù)。限在數(shù)據(jù)庫中執(zhí)行操作和使用相應(yīng)的數(shù)據(jù)。lMicrosoft SQL Server 2008系統(tǒng)

8、有多種不同的系統(tǒng)有多種不同的主體，不同主體之間的關(guān)系是典型的層次結(jié)構(gòu)關(guān)主體，不同主體之間的關(guān)系是典型的層次結(jié)構(gòu)關(guān)系，位于不同層次上的主體其在系統(tǒng)中影響的范系，位于不同層次上的主體其在系統(tǒng)中影響的范圍也不同。位于層次比較高的主體，其作用范圍圍也不同。位于層次比較高的主體，其作用范圍比較大；位于層次比較低的主體，其作用范圍比比較大；位于層次比較低的主體，其作用范圍比較小。較小。2022-4-30精選ppt第9頁操作操作l第二個安全性問題：當(dāng)用戶登錄到系統(tǒng)中，第二個安全性問題：當(dāng)用戶登錄到系統(tǒng)中，他可以執(zhí)行哪些操作、使用哪些對象和資他可以執(zhí)行哪些操作、使用哪些對象和資源？源？l這也是一個基本的安全問

9、題，在這也是一個基本的安全問題，在Microsoft SQL Server 2008系統(tǒng)中，通過安全對象系統(tǒng)中，通過安全對象和權(quán)限設(shè)置來解決這個問題。和權(quán)限設(shè)置來解決這個問題。2022-4-30精選ppt第10頁主體和安全對象的結(jié)構(gòu)示意圖主體和安全對象的結(jié)構(gòu)示意圖 主體 WindowsWindows 級級 Windows 組 Windows 域登錄名 Windows 本地登錄名 SQL ServerSQL Server 級級 SQL Server 登錄名 固定服務(wù)器角色 數(shù)據(jù)庫級數(shù)據(jù)庫級 數(shù)據(jù)庫用戶 固定數(shù)據(jù)庫角色 應(yīng)用程序角色 安全對象 服務(wù)器安全對象范圍服務(wù)器安全對象范圍 端點 SQL S

10、erver 登錄名 數(shù)據(jù)庫 數(shù)據(jù)庫安全對象范圍數(shù)據(jù)庫安全對象范圍 數(shù)據(jù)庫用戶/應(yīng)用程序角色/角色/程序集/消息類型/路由/服務(wù)/遠(yuǎn)程服務(wù)綁定/全文目錄/證書/非對稱密鑰/對稱密鑰/約定/架構(gòu) 架構(gòu)安全對象范圍架構(gòu)安全對象范圍 類型/XML 架構(gòu)集合/聚合/約束/函數(shù)/過程/隊列/統(tǒng)計信息/同義詞/表/視圖 請求 2022-4-30精選ppt第11頁所有所有l(wèi)第三個安全性問題：數(shù)據(jù)庫中的對象由誰第三個安全性問題：數(shù)據(jù)庫中的對象由誰所有？如果是由用戶所有，那么當(dāng)用戶被所有？如果是由用戶所有，那么當(dāng)用戶被刪除時，其所擁有的對象怎么辦，難道數(shù)刪除時，其所擁有的對象怎么辦，難道數(shù)據(jù)庫對象可以成為沒有所有

11、者的據(jù)庫對象可以成為沒有所有者的“孤兒孤兒”嗎？嗎？l在在Microsoft SQL Server 2008系統(tǒng)中，這系統(tǒng)中，這個問題是通過用戶和架構(gòu)分離來解決的。個問題是通過用戶和架構(gòu)分離來解決的。2022-4-30精選ppt第12頁數(shù)據(jù)庫對象、架構(gòu)和用戶之間的數(shù)據(jù)庫對象、架構(gòu)和用戶之間的關(guān)系示意圖關(guān)系示意圖 數(shù)據(jù)庫對象 架構(gòu) 用戶 包含在 被擁有 表 視圖 存儲過程 函數(shù) 2022-4-30精選ppt第13頁3.2 管理登錄名管理登錄名l管理登錄名包括創(chuàng)建登錄名、設(shè)置密碼策管理登錄名包括創(chuàng)建登錄名、設(shè)置密碼策略、查看登錄名信息及修改和刪除登錄名略、查看登錄名信息及修改和刪除登錄名等。等。l

12、下面講述登錄名管理的內(nèi)容，注意，下面講述登錄名管理的內(nèi)容，注意，sa是是一個默認(rèn)的一個默認(rèn)的SQL Server登錄名，擁有操作登錄名，擁有操作SQL Server系統(tǒng)的所有權(quán)限。該登錄名不系統(tǒng)的所有權(quán)限。該登錄名不能被刪除。當(dāng)采用混合模式安裝能被刪除。當(dāng)采用混合模式安裝Microsoft SQL Server系統(tǒng)之后，應(yīng)該為系統(tǒng)之后，應(yīng)該為sa指定一個指定一個密碼。密碼。2022-4-30精選ppt第14頁創(chuàng)建登錄名創(chuàng)建登錄名l在在Microsoft SQL Server 2008系統(tǒng)中，許系統(tǒng)中，許多操作都既可以通過多操作都既可以通過Transact-SQL語句完語句完成，也可以通過成，也

13、可以通過Microsoft SQL Server Management Studio工具來完成。工具來完成。l下面主要介紹如何使用下面主要介紹如何使用Transact-SQL語句語句創(chuàng)建登錄名。在創(chuàng)建登錄名時，既可以通創(chuàng)建登錄名。在創(chuàng)建登錄名時，既可以通過將過將Windows登錄名映射到登錄名映射到SQL Server系系統(tǒng)中，也可以創(chuàng)建統(tǒng)中，也可以創(chuàng)建SQL Server登錄名。登錄名。2022-4-30精選ppt第15頁使用使用Windows登錄名創(chuàng)建登錄名登錄名創(chuàng)建登錄名2022-4-30精選ppt第16頁創(chuàng)建有默認(rèn)數(shù)據(jù)庫的登錄名創(chuàng)建有默認(rèn)數(shù)據(jù)庫的登錄名2022-4-30精選ppt第17

14、頁創(chuàng)建創(chuàng)建SQL Server登錄名登錄名2022-4-30精選ppt第18頁Microsoft SQL Server 2008系系統(tǒng)的密碼策略問題統(tǒng)的密碼策略問題l密碼復(fù)雜性和密碼過期兩大特征密碼復(fù)雜性和密碼過期兩大特征l密碼的復(fù)雜性是指通過增加更多可能的密密碼的復(fù)雜性是指通過增加更多可能的密碼數(shù)量來阻止黑客的攻擊。碼數(shù)量來阻止黑客的攻擊。l密碼過期策略是指如何管理密碼的使用期密碼過期策略是指如何管理密碼的使用期限。在創(chuàng)建限。在創(chuàng)建SQL Server登錄名時，如果使登錄名時，如果使用密碼過期策略，那么系統(tǒng)將提醒用戶及用密碼過期策略，那么系統(tǒng)將提醒用戶及時更改舊密碼和登錄名，并且禁止使用過時

15、更改舊密碼和登錄名，并且禁止使用過期的密碼。期的密碼。2022-4-30精選ppt第19頁關(guān)鍵字關(guān)鍵字l在使用在使用CREATE LOGIN語句創(chuàng)建語句創(chuàng)建SQL Server登錄名時，為了實施上述的密碼策登錄名時，為了實施上述的密碼策略，可以指定略，可以指定HASHED、MUST_CHANGE、CHECK_EXPIRATION、CHECK_PLICY等關(guān)鍵字。等關(guān)鍵字。2022-4-30精選ppt第20頁HASHED關(guān)鍵字關(guān)鍵字lHASHED關(guān)鍵字用于描述如何處理密碼的哈希運關(guān)鍵字用于描述如何處理密碼的哈希運算。算。l在使用在使用CREATE LOGIN語句創(chuàng)建語句創(chuàng)建SQL Server登

16、登錄名時，如果在錄名時，如果在PASSWORD關(guān)鍵字后面使用關(guān)鍵字后面使用HASHED關(guān)鍵字，那么表示在作為密碼的字符串關(guān)鍵字，那么表示在作為密碼的字符串存儲到數(shù)據(jù)庫之前，對其進行哈希運算。存儲到數(shù)據(jù)庫之前，對其進行哈希運算。l如果在如果在PASSWORD關(guān)鍵字后面沒有使用關(guān)鍵字后面沒有使用HASHED關(guān)鍵字，那么表示作為密碼的字符串已關(guān)鍵字，那么表示作為密碼的字符串已經(jīng)是經(jīng)過哈希運算之后的字符串，因此在存儲到經(jīng)是經(jīng)過哈希運算之后的字符串，因此在存儲到數(shù)據(jù)庫之前不再進行哈希運算了。數(shù)據(jù)庫之前不再進行哈希運算了。2022-4-30精選ppt第21頁其他關(guān)鍵字其他關(guān)鍵字lMUST_CHANGE關(guān)鍵

17、字表示在首次使用新關(guān)鍵字表示在首次使用新登錄名時提示用戶輸入新密碼。登錄名時提示用戶輸入新密碼。lCHECK_ EXPIRATION關(guān)鍵字表示是否對關(guān)鍵字表示是否對該登錄名實施密碼過期策略。該登錄名實施密碼過期策略。lCHECK_PLICY關(guān)鍵字表示對該登錄名強關(guān)鍵字表示對該登錄名強制實施制實施Windows密碼策略。密碼策略。2022-4-30精選ppt第22頁使用密碼策略創(chuàng)建使用密碼策略創(chuàng)建SQL Server登錄名登錄名2022-4-30精選ppt第23頁維護登錄名維護登錄名l登錄名創(chuàng)建之后，可以根據(jù)需要修改登錄登錄名創(chuàng)建之后，可以根據(jù)需要修改登錄名的名稱、密碼、密碼策略、默認(rèn)的數(shù)據(jù)名的

18、名稱、密碼、密碼策略、默認(rèn)的數(shù)據(jù)庫等信息，可以禁用或啟用該登錄名，甚庫等信息，可以禁用或啟用該登錄名，甚至可以刪除不需要的登錄名。至可以刪除不需要的登錄名。2022-4-30精選ppt第24頁使用使用ALTER LOGIN修改登錄名修改登錄名2022-4-30精選ppt第25頁修改修改Rudolf登錄名的密碼登錄名的密碼2022-4-30精選ppt第26頁禁用和啟用登錄名禁用和啟用登錄名2022-4-30精選ppt第27頁3.3 固定服務(wù)器角色固定服務(wù)器角色l固定服務(wù)器角色是服務(wù)器級別的主體，它們的作固定服務(wù)器角色是服務(wù)器級別的主體，它們的作用范圍是整個服務(wù)器。用范圍是整個服務(wù)器。l固定服務(wù)器

19、角色已經(jīng)具備了執(zhí)行指定操作的權(quán)限，固定服務(wù)器角色已經(jīng)具備了執(zhí)行指定操作的權(quán)限，可以把其他登錄名作為成員添加到固定服務(wù)器角可以把其他登錄名作為成員添加到固定服務(wù)器角色中，這樣該登錄名可以繼承固定服務(wù)器角色的色中，這樣該登錄名可以繼承固定服務(wù)器角色的權(quán)限。權(quán)限。l下面首先講述下面首先講述Microsoft SQL Server 2008系統(tǒng)系統(tǒng)提供的固定服務(wù)器角色的特點，然后分析如何處提供的固定服務(wù)器角色的特點，然后分析如何處理登錄名與固定服務(wù)器角色之間的關(guān)系。理登錄名與固定服務(wù)器角色之間的關(guān)系。2022-4-30精選ppt第28頁固定服務(wù)器角色的特點固定服務(wù)器角色的特點l固定服務(wù)器角色也是服務(wù)器

20、級別的主體，固定服務(wù)器角色也是服務(wù)器級別的主體，已經(jīng)具備了執(zhí)行指定操作的權(quán)限。已經(jīng)具備了執(zhí)行指定操作的權(quán)限。lMicrosoft SQL Server 2008系統(tǒng)提供了系統(tǒng)提供了9個固定服務(wù)器角色，這些角色的清單和功個固定服務(wù)器角色，這些角色的清單和功能描述如表能描述如表3-1所示。所示。2022-4-30精選ppt第29頁固定服務(wù)器角色固定服務(wù)器角色2022-4-30精選ppt第30頁固定服務(wù)器角色和登錄名固定服務(wù)器角色和登錄名l在在Microsoft SQL Server系統(tǒng)中，可以把登錄名添加到固系統(tǒng)中，可以把登錄名添加到固定服務(wù)器角色中，使登錄名作為固定服務(wù)器角色的成員繼定服務(wù)器角色

21、中，使登錄名作為固定服務(wù)器角色的成員繼承固定服務(wù)器角色的權(quán)限。承固定服務(wù)器角色的權(quán)限。l對于登錄名來說，可以判斷其是否為某個固定服務(wù)器角色對于登錄名來說，可以判斷其是否為某個固定服務(wù)器角色的成員。的成員。l用戶可以使用用戶可以使用sp_addsrvrolemember、sp_helpsrvrolememeber、sp_dropsrvrolemember等等存儲過程和存儲過程和IS_SRVROLEMEMBER函數(shù)來執(zhí)行有關(guān)固定函數(shù)來執(zhí)行有關(guān)固定服務(wù)器角色和登錄名之間關(guān)系的操作。服務(wù)器角色和登錄名之間關(guān)系的操作。2022-4-30精選ppt第31頁sp_addsrvrolememberl如果希望指

22、定的登錄名成為某個固定服務(wù)如果希望指定的登錄名成為某個固定服務(wù)器角色的成員，可以使用器角色的成員，可以使用sp_addsrvrolemember存儲過程來完成這存儲過程來完成這種操作。種操作。lsp_addsrvrolemember存儲過程的語法如存儲過程的語法如下：下：lsp_addsrvrolemember login_name, role_name2022-4-30精選ppt第32頁在在sysadmin角色中增加成員角色中增加成員2022-4-30精選ppt第33頁sp_helpsrvrolememberl如果要查看指定的固定服務(wù)器角色的成員或所有的固定服如果要查看指定的固定服務(wù)器角色的

23、成員或所有的固定服務(wù)器角色的成員，可以使用務(wù)器角色的成員，可以使用sp_helpsrvrolemember存儲存儲過程。過程。l如果希望判斷指定的登錄名是否為某個固定服務(wù)器角色的如果希望判斷指定的登錄名是否為某個固定服務(wù)器角色的成員，可以使用成員，可以使用IS_SRVROLEMEMBER函數(shù)。該函數(shù)返函數(shù)。該函數(shù)返回值是回值是1時，表示當(dāng)前用戶的登錄名是成員；返回時，表示當(dāng)前用戶的登錄名是成員；返回0時，表時，表示不是成員；否則，表示指定的固定服務(wù)器角色名稱是錯示不是成員；否則，表示指定的固定服務(wù)器角色名稱是錯誤的。是表示該登錄名成員不是當(dāng)前固定服務(wù)器角色的成誤的。是表示該登錄名成員不是當(dāng)前固

24、定服務(wù)器角色的成員，但是依然作為系統(tǒng)的登錄名存在。員，但是依然作為系統(tǒng)的登錄名存在。2022-4-30精選ppt第34頁sp_dropsrvrolememberl如果希望把固定服務(wù)器角色的某個成員刪如果希望把固定服務(wù)器角色的某個成員刪除，那么可以使用除，那么可以使用sp_dropsrvrolemember存儲過程。刪除存儲過程。刪除固定服務(wù)器角色的登錄名成員，只是表示固定服務(wù)器角色的登錄名成員，只是表示該登錄名成員不是當(dāng)前固定服務(wù)器角色的該登錄名成員不是當(dāng)前固定服務(wù)器角色的成員，但是依然作為系統(tǒng)的登錄名存在。成員，但是依然作為系統(tǒng)的登錄名存在。2022-4-30精選ppt第35頁3.4 管理數(shù)

25、據(jù)庫用戶管理數(shù)據(jù)庫用戶l數(shù)據(jù)庫用戶是數(shù)據(jù)庫級的主體，是登錄名數(shù)據(jù)庫用戶是數(shù)據(jù)庫級的主體，是登錄名在數(shù)據(jù)庫中的映射，是在數(shù)據(jù)庫中執(zhí)行操在數(shù)據(jù)庫中的映射，是在數(shù)據(jù)庫中執(zhí)行操作和活動的行動者。作和活動的行動者。l在在Microsoft SQL Server 2008系統(tǒng)中，數(shù)系統(tǒng)中，數(shù)據(jù)庫用戶不能直接擁有表、視圖等數(shù)據(jù)庫據(jù)庫用戶不能直接擁有表、視圖等數(shù)據(jù)庫對象，而是通過架構(gòu)擁有這些對象。數(shù)據(jù)對象，而是通過架構(gòu)擁有這些對象。數(shù)據(jù)庫用戶管理包括創(chuàng)建用戶、查看用戶信息、庫用戶管理包括創(chuàng)建用戶、查看用戶信息、修改用戶、刪除用戶等操作。修改用戶、刪除用戶等操作。2022-4-30精選ppt第36頁創(chuàng)建用戶創(chuàng)建

26、用戶l可以使用可以使用CREATE USER語句在指定的數(shù)語句在指定的數(shù)據(jù)庫中創(chuàng)建用戶。據(jù)庫中創(chuàng)建用戶。l由于用戶是登錄名在數(shù)據(jù)庫中的映射，因由于用戶是登錄名在數(shù)據(jù)庫中的映射，因此在創(chuàng)建用戶時需要指定登錄名。此在創(chuàng)建用戶時需要指定登錄名。2022-4-30精選ppt第37頁創(chuàng)建登錄名的數(shù)據(jù)庫用戶創(chuàng)建登錄名的數(shù)據(jù)庫用戶2022-4-30精選ppt第38頁創(chuàng)建帶有默認(rèn)架構(gòu)的數(shù)據(jù)庫用戶創(chuàng)建帶有默認(rèn)架構(gòu)的數(shù)據(jù)庫用戶2022-4-30精選ppt第39頁查看和查看和dbol如果希望查看數(shù)據(jù)庫用戶的信息，可以使用如果希望查看數(shù)據(jù)庫用戶的信息，可以使用sys.database_principals目錄視圖。該

27、目錄視圖目錄視圖。該目錄視圖包含了有關(guān)數(shù)據(jù)庫用戶的名稱、包含了有關(guān)數(shù)據(jù)庫用戶的名稱、ID、類型、默認(rèn)、類型、默認(rèn)的架構(gòu)、創(chuàng)建日期和最后修改日期等信息。的架構(gòu)、創(chuàng)建日期和最后修改日期等信息。ldbo是數(shù)據(jù)庫中的默認(rèn)用戶。是數(shù)據(jù)庫中的默認(rèn)用戶。SQL Server系統(tǒng)安系統(tǒng)安裝之后，裝之后，dbo用戶就自動存在了。用戶就自動存在了。dbo用戶擁有用戶擁有在數(shù)據(jù)庫中操作的所有權(quán)限。默認(rèn)情況下，在數(shù)據(jù)庫中操作的所有權(quán)限。默認(rèn)情況下，sa登登錄名在各數(shù)據(jù)庫中對應(yīng)的用戶是錄名在各數(shù)據(jù)庫中對應(yīng)的用戶是dbo用戶。用戶。2022-4-30精選ppt第40頁激活激活guest用戶用戶2022-4-30精選ppt

28、第41頁維護用戶維護用戶l可以使用可以使用ALTER USER語句修改用戶。修語句修改用戶。修改用戶包括兩個方面，第一，可以修改用改用戶包括兩個方面，第一，可以修改用戶名；第二可以修改用戶的默認(rèn)架構(gòu)。戶名；第二可以修改用戶的默認(rèn)架構(gòu)。l修改用戶名與刪除、重建用戶是不同的。修改用戶名與刪除、重建用戶是不同的。修改用戶名僅僅是名稱的改變，不是用戶修改用戶名僅僅是名稱的改變，不是用戶與登錄名對應(yīng)關(guān)系的改變，也不是用戶與與登錄名對應(yīng)關(guān)系的改變，也不是用戶與架構(gòu)關(guān)系的變化。架構(gòu)關(guān)系的變化。2022-4-30精選ppt第42頁修改用戶名修改用戶名2022-4-30精選ppt第43頁修改和刪除修改和刪除l也

29、可以使用也可以使用ALTER USER語句修改指定用語句修改指定用戶的默認(rèn)架構(gòu)，這時可以使用戶的默認(rèn)架構(gòu)，這時可以使用WITH DEFAULT_ SCHEMA子句。子句。l如果用戶不再需要了，可以使用如果用戶不再需要了，可以使用DROP USER語句刪除數(shù)據(jù)庫中的用戶。語句刪除數(shù)據(jù)庫中的用戶。2022-4-30精選ppt第44頁3.5 管理架構(gòu)管理架構(gòu)l架構(gòu)是形成單個命名空間的數(shù)據(jù)庫實體的架構(gòu)是形成單個命名空間的數(shù)據(jù)庫實體的集合。集合。l架構(gòu)是數(shù)據(jù)庫級的安全對象，也是架構(gòu)是數(shù)據(jù)庫級的安全對象，也是Microsoft SQL Server 2008系統(tǒng)強調(diào)的特系統(tǒng)強調(diào)的特點，是數(shù)據(jù)庫對象的容器。

30、點，是數(shù)據(jù)庫對象的容器。l管理架構(gòu)包括創(chuàng)建架構(gòu)、查看架構(gòu)的信息、管理架構(gòu)包括創(chuàng)建架構(gòu)、查看架構(gòu)的信息、修改架構(gòu)及刪除架構(gòu)等。修改架構(gòu)及刪除架構(gòu)等。2022-4-30精選ppt第45頁創(chuàng)建架構(gòu)創(chuàng)建架構(gòu)l使用使用CREATE SCHEMA語句不僅可以創(chuàng)建語句不僅可以創(chuàng)建架構(gòu)，同時還可以創(chuàng)建該架構(gòu)所擁有的表、架構(gòu)，同時還可以創(chuàng)建該架構(gòu)所擁有的表、視圖并且可以對這些對象設(shè)置權(quán)限。視圖并且可以對這些對象設(shè)置權(quán)限。l下面講述如何創(chuàng)建架構(gòu)。下面講述如何創(chuàng)建架構(gòu)。2022-4-30精選ppt第46頁創(chuàng)建一個簡單的架構(gòu)創(chuàng)建一個簡單的架構(gòu)2022-4-30精選ppt第47頁創(chuàng)建有明確所有者的架構(gòu)創(chuàng)建有明確所有者的

31、架構(gòu)2022-4-30精選ppt第48頁創(chuàng)建架構(gòu)時同時創(chuàng)建一個表創(chuàng)建架構(gòu)時同時創(chuàng)建一個表2022-4-30精選ppt第49頁創(chuàng)建架構(gòu)的同時創(chuàng)建表和管理權(quán)創(chuàng)建架構(gòu)的同時創(chuàng)建表和管理權(quán)限限2022-4-30精選ppt第50頁查看數(shù)據(jù)庫中的架構(gòu)信息查看數(shù)據(jù)庫中的架構(gòu)信息l如果要查看數(shù)據(jù)庫中的架構(gòu)信息，可以使如果要查看數(shù)據(jù)庫中的架構(gòu)信息，可以使用用sys.schemas架構(gòu)目錄視圖。架構(gòu)目錄視圖。l該視圖包含了數(shù)據(jù)庫中架構(gòu)的名稱、架構(gòu)該視圖包含了數(shù)據(jù)庫中架構(gòu)的名稱、架構(gòu)的標(biāo)識符和架構(gòu)所有者的標(biāo)識符等信息。的標(biāo)識符和架構(gòu)所有者的標(biāo)識符等信息。2022-4-30精選ppt第51頁修改和刪除架構(gòu)修改和刪除架

32、構(gòu)l修改架構(gòu)是指將特定架構(gòu)中的對象轉(zhuǎn)移到修改架構(gòu)是指將特定架構(gòu)中的對象轉(zhuǎn)移到其他架構(gòu)中。其他架構(gòu)中。l可以使用可以使用ALTER SCHEMA語句完成對架構(gòu)語句完成對架構(gòu)的修改。的修改。l需要注意的是，如果要更改對象本身的結(jié)需要注意的是，如果要更改對象本身的結(jié)構(gòu)，那么應(yīng)該使用針對該對象的構(gòu)，那么應(yīng)該使用針對該對象的ALTER語語句。句。2022-4-30精選ppt第52頁轉(zhuǎn)移對象的架構(gòu)轉(zhuǎn)移對象的架構(gòu)2022-4-30精選ppt第53頁刪除架構(gòu)刪除架構(gòu)2022-4-30精選ppt第54頁3.6 數(shù)據(jù)庫角色數(shù)據(jù)庫角色l數(shù)據(jù)庫角色是數(shù)據(jù)庫級別的主體，也是數(shù)據(jù)庫用數(shù)據(jù)庫角色是數(shù)據(jù)庫級別的主體，也是數(shù)據(jù)

33、庫用戶的集合。數(shù)據(jù)庫用戶可以作為數(shù)據(jù)庫角色的成戶的集合。數(shù)據(jù)庫用戶可以作為數(shù)據(jù)庫角色的成員，繼承數(shù)據(jù)庫角色的權(quán)限。數(shù)據(jù)庫管理人員可員，繼承數(shù)據(jù)庫角色的權(quán)限。數(shù)據(jù)庫管理人員可以通過管理角色的權(quán)限來管理數(shù)據(jù)庫用戶的權(quán)限。以通過管理角色的權(quán)限來管理數(shù)據(jù)庫用戶的權(quán)限。lMicrosoft SQL Server 2008系統(tǒng)提供了一些固系統(tǒng)提供了一些固定數(shù)據(jù)庫角色和定數(shù)據(jù)庫角色和public特殊角色。特殊角色。l下面詳細(xì)介紹數(shù)據(jù)庫角色的特點和管理方式。下面詳細(xì)介紹數(shù)據(jù)庫角色的特點和管理方式。2022-4-30精選ppt第55頁管理數(shù)據(jù)庫角色管理數(shù)據(jù)庫角色l管理數(shù)據(jù)庫角色包括創(chuàng)建數(shù)據(jù)庫角色、添管理數(shù)據(jù)庫角

34、色包括創(chuàng)建數(shù)據(jù)庫角色、添加和刪除數(shù)據(jù)庫角色成員、查看數(shù)據(jù)庫角加和刪除數(shù)據(jù)庫角色成員、查看數(shù)據(jù)庫角色信息及修改和刪除角色等。色信息及修改和刪除角色等。2022-4-30精選ppt第56頁創(chuàng)建簡單的角色創(chuàng)建簡單的角色2022-4-30精選ppt第57頁創(chuàng)建帶有所有者的角色創(chuàng)建帶有所有者的角色2022-4-30精選ppt第58頁sp_addrolememberl如果要為角色添加成員，可以使用如果要為角色添加成員，可以使用sp_addrolemember存儲過程。存儲過程。l使用該存儲過程可以為當(dāng)前數(shù)據(jù)庫中的數(shù)據(jù)庫角使用該存儲過程可以為當(dāng)前數(shù)據(jù)庫中的數(shù)據(jù)庫角色添加數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色、色添加數(shù)據(jù)庫用

35、戶、數(shù)據(jù)庫角色、Windows登錄登錄名和名和Windows組。組。lsp_addrolemember存儲過程的使用方式如下所存儲過程的使用方式如下所示：示：lsp_addrolemember role_name, security_account2022-4-30精選ppt第59頁在角色中添加成員在角色中添加成員2022-4-30精選ppt第60頁其他操作其他操作l與與sp_addrolemember存儲過程相對應(yīng)的是存儲過程相對應(yīng)的是sp_droprolemember存儲過程，后者可以刪除指定數(shù)據(jù)存儲過程，后者可以刪除指定數(shù)據(jù)庫角色中的成員。庫角色中的成員。l可以使用可以使用sys.dat

36、abase_principals安全性目錄視圖查看安全性目錄視圖查看當(dāng)前數(shù)據(jù)庫中所有數(shù)據(jù)庫角色信息，使用當(dāng)前數(shù)據(jù)庫中所有數(shù)據(jù)庫角色信息，使用sys.database_role_members安全性目錄視圖查看當(dāng)前安全性目錄視圖查看當(dāng)前數(shù)據(jù)庫中所有數(shù)據(jù)庫角色和其成員的信息。數(shù)據(jù)庫中所有數(shù)據(jù)庫角色和其成員的信息。l如果要修改數(shù)據(jù)庫角色的名稱，可以使用如果要修改數(shù)據(jù)庫角色的名稱，可以使用ALTER ROLE語句。如果某個角色確實不再需要了，可以使用語句。如果某個角色確實不再需要了，可以使用DROP ROLE語句刪除指定的角色。語句刪除指定的角色。2022-4-30精選ppt第61頁固定數(shù)據(jù)庫角色固定

37、數(shù)據(jù)庫角色l就像固定服務(wù)器角色一樣，固定數(shù)據(jù)庫角就像固定服務(wù)器角色一樣，固定數(shù)據(jù)庫角色也具有了預(yù)先定義好的權(quán)限。使用固定色也具有了預(yù)先定義好的權(quán)限。使用固定數(shù)據(jù)庫角色可以大大簡化數(shù)據(jù)庫角色權(quán)限數(shù)據(jù)庫角色可以大大簡化數(shù)據(jù)庫角色權(quán)限管理工作。管理工作。lMicrosoft SQL Server 2008系統(tǒng)提供了系統(tǒng)提供了9個固定數(shù)據(jù)庫角色，這些固定數(shù)據(jù)庫角色個固定數(shù)據(jù)庫角色，這些固定數(shù)據(jù)庫角色清單和權(quán)限描述如表清單和權(quán)限描述如表3-2所示。所示。2022-4-30精選ppt第62頁public角色角色l除了除了3.6.2節(jié)介紹的固定數(shù)據(jù)庫角色之外，節(jié)介紹的固定數(shù)據(jù)庫角色之外，Microsoft

38、SQL Server系統(tǒng)成功安裝之后，還有系統(tǒng)成功安裝之后，還有一個特殊的角色，這就是一個特殊的角色，這就是public角色。角色。lpublic角色有兩大特點，第一，初始狀態(tài)時沒有角色有兩大特點，第一，初始狀態(tài)時沒有權(quán)限；第二，所有的數(shù)據(jù)庫用戶都是它的成員。權(quán)限；第二，所有的數(shù)據(jù)庫用戶都是它的成員。l固定數(shù)據(jù)庫角色都有預(yù)先定義好的權(quán)限，但是不固定數(shù)據(jù)庫角色都有預(yù)先定義好的權(quán)限，但是不能為這些角色增加或刪除權(quán)限。雖然初始狀態(tài)下能為這些角色增加或刪除權(quán)限。雖然初始狀態(tài)下public角色沒有任何權(quán)限，但是可以為該角色授角色沒有任何權(quán)限，但是可以為該角色授予權(quán)限。予權(quán)限。2022-4-30精選ppt

39、第63頁3.7 管理應(yīng)用程序角色管理應(yīng)用程序角色l應(yīng)用程序角色是一個數(shù)據(jù)庫主體，它可以應(yīng)用程序角色是一個數(shù)據(jù)庫主體，它可以使應(yīng)用程序能夠用其自身的、類似用戶的使應(yīng)用程序能夠用其自身的、類似用戶的權(quán)限來運行。權(quán)限來運行。l在使用應(yīng)用程序時，僅允許特定用戶來訪在使用應(yīng)用程序時，僅允許特定用戶來訪問數(shù)據(jù)庫中的特定數(shù)據(jù)，如果不使用這些問數(shù)據(jù)庫中的特定數(shù)據(jù)，如果不使用這些特定的應(yīng)用程序連接，就無法訪問這些數(shù)特定的應(yīng)用程序連接，就無法訪問這些數(shù)據(jù)。從而實現(xiàn)安全管理的目的。據(jù)。從而實現(xiàn)安全管理的目的。2022-4-30精選ppt第64頁特點特點l與數(shù)據(jù)庫角色相比來說，應(yīng)用程序角色有與數(shù)據(jù)庫角色相比來說，應(yīng)用

40、程序角色有3個特點：第一，在默認(rèn)情況下該角色不包個特點：第一，在默認(rèn)情況下該角色不包含任何成員；第二，在默認(rèn)情況下該角色含任何成員；第二，在默認(rèn)情況下該角色是非活動的，必須激活之后才能發(fā)揮作用；是非活動的，必須激活之后才能發(fā)揮作用；第三，該角色有密碼，只有擁有應(yīng)用程序第三，該角色有密碼，只有擁有應(yīng)用程序角色正確密碼的用戶才可以激活該角色。角色正確密碼的用戶才可以激活該角色。當(dāng)激活某個應(yīng)用程序角色之后，用戶會失當(dāng)激活某個應(yīng)用程序角色之后，用戶會失去自己原有的權(quán)限，轉(zhuǎn)而擁有應(yīng)用程序角去自己原有的權(quán)限，轉(zhuǎn)而擁有應(yīng)用程序角色的權(quán)限。色的權(quán)限。2022-4-30精選ppt第65頁創(chuàng)建應(yīng)用程序角色創(chuàng)建應(yīng)用

41、程序角色2022-4-30精選ppt第66頁激活應(yīng)用程序角色激活應(yīng)用程序角色2022-4-30精選ppt第67頁修改應(yīng)用程序角色修改應(yīng)用程序角色2022-4-30精選ppt第68頁3.8 管理權(quán)限管理權(quán)限l權(quán)限是執(zhí)行操作、訪問數(shù)據(jù)的通行證。只權(quán)限是執(zhí)行操作、訪問數(shù)據(jù)的通行證。只有擁有了針對某種安全對象的指定權(quán)限，有擁有了針對某種安全對象的指定權(quán)限，才能對該對象執(zhí)行相應(yīng)的操作。才能對該對象執(zhí)行相應(yīng)的操作。l在在Microsoft SQL Server 2008系統(tǒng)中，不系統(tǒng)中，不同的對象有不同的權(quán)限。為了更好地理解同的對象有不同的權(quán)限。為了更好地理解權(quán)限管理的內(nèi)容，下面從權(quán)限的類型、常權(quán)限管理的

42、內(nèi)容，下面從權(quán)限的類型、常用對象的權(quán)限、隱含的權(quán)限、授予權(quán)限、用對象的權(quán)限、隱含的權(quán)限、授予權(quán)限、收回權(quán)限、否認(rèn)權(quán)限等幾個方面介紹。收回權(quán)限、否認(rèn)權(quán)限等幾個方面介紹。2022-4-30精選ppt第69頁權(quán)限的類型權(quán)限的類型l在在Microsoft SQL Server 2008系統(tǒng)中，不系統(tǒng)中，不同的分類方式可以把權(quán)限分成不同的類型。同的分類方式可以把權(quán)限分成不同的類型。如果依據(jù)權(quán)限是否預(yù)先定義，可以把權(quán)限如果依據(jù)權(quán)限是否預(yù)先定義，可以把權(quán)限分為預(yù)先定義的權(quán)限和預(yù)先未定義的權(quán)限。分為預(yù)先定義的權(quán)限和預(yù)先未定義的權(quán)限。l預(yù)先定義的權(quán)限是指那些系統(tǒng)安裝之后，預(yù)先定義的權(quán)限是指那些系統(tǒng)安裝之后，不必

43、通過授予權(quán)限即擁有的權(quán)限。不必通過授予權(quán)限即擁有的權(quán)限。l預(yù)先未定義的權(quán)限是指那些需要經(jīng)過授權(quán)預(yù)先未定義的權(quán)限是指那些需要經(jīng)過授權(quán)或繼承才能得到的權(quán)限?；蚶^承才能得到的權(quán)限。2022-4-30精選ppt第70頁對象權(quán)限對象權(quán)限l如果按照權(quán)限是否與特定的對象有關(guān)，可以把權(quán)限分為針對所有對象如果按照權(quán)限是否與特定的對象有關(guān)，可以把權(quán)限分為針對所有對象的權(quán)限和針對特殊對象的權(quán)限。的權(quán)限和針對特殊對象的權(quán)限。l針對所有對象的權(quán)限表示這種權(quán)限可以針對針對所有對象的權(quán)限表示這種權(quán)限可以針對SQL Server系統(tǒng)中所有系統(tǒng)中所有的對象，例如，的對象，例如，CONTROL權(quán)限是所有對象都有的權(quán)限。權(quán)限是所有

44、對象都有的權(quán)限。l針對特殊對象的權(quán)限是指某些權(quán)限只能在指定的對象上起作用，例如針對特殊對象的權(quán)限是指某些權(quán)限只能在指定的對象上起作用，例如INSERT可以是表的權(quán)限，但是不能是存儲過程的權(quán)限，而可以是表的權(quán)限，但是不能是存儲過程的權(quán)限，而EXECUTE可以是存儲過程的權(quán)限，但是不能是表的權(quán)限。下面，詳可以是存儲過程的權(quán)限，但是不能是表的權(quán)限。下面，詳細(xì)討論這兩種權(quán)限類型。細(xì)討論這兩種權(quán)限類型。l在在Microsoft SQL Server 2008系統(tǒng)中，針對所有對象的權(quán)限包括系統(tǒng)中，針對所有對象的權(quán)限包括CONTROL、ALTER、ALTER ANY、TAKE OWNERSHIP、INPER

45、SONATE、CREATE、VIEW DEFINITION等。等。2022-4-30精選ppt第71頁常用對象的權(quán)限常用對象的權(quán)限l在使用在使用GRANT語句、語句、REVOKE語句、語句、DENY語句執(zhí)行權(quán)限管理操作時，經(jīng)常使用語句執(zhí)行權(quán)限管理操作時，經(jīng)常使用ALL關(guān)鍵字表示指定安全對象的常用權(quán)限。關(guān)鍵字表示指定安全對象的常用權(quán)限。l不同的安全對象往往具有不同的權(quán)限。不同的安全對象往往具有不同的權(quán)限。l安全對象的常用權(quán)限如表安全對象的常用權(quán)限如表3-3所示。所示。2022-4-30精選ppt第72頁授予權(quán)限授予權(quán)限l在在Microsoft SQL Server 2008系統(tǒng)中，可以使用系統(tǒng)中

46、，可以使用GRANT語句將安全對象的權(quán)限授予指定的安全主體。這語句將安全對象的權(quán)限授予指定的安全主體。這些可以使用些可以使用GRANT語句授權(quán)的安全對象包括應(yīng)用程序角語句授權(quán)的安全對象包括應(yīng)用程序角色、程序集、非對稱密鑰、證書、約定、數(shù)據(jù)庫、端點、色、程序集、非對稱密鑰、證書、約定、數(shù)據(jù)庫、端點、全文目錄、函數(shù)、消息類型、對象、隊列、角色、路由、全文目錄、函數(shù)、消息類型、對象、隊列、角色、路由、架構(gòu)、服務(wù)器、服務(wù)、存儲過程、對稱密鑰、系統(tǒng)對象、架構(gòu)、服務(wù)器、服務(wù)、存儲過程、對稱密鑰、系統(tǒng)對象、表、類型、用戶、視圖和表、類型、用戶、視圖和XML架構(gòu)集合等。架構(gòu)集合等。lGRANT語句的語法是比較

47、復(fù)雜的，不同的安全對象有不語句的語法是比較復(fù)雜的，不同的安全對象有不同的權(quán)限，因此也有不同的授權(quán)方式。同的權(quán)限，因此也有不同的授權(quán)方式。l下面，通過一些示例介紹如何使用下面，通過一些示例介紹如何使用GRANT語句執(zhí)行授權(quán)語句執(zhí)行授權(quán)操作。操作。2022-4-30精選ppt第73頁執(zhí)行針對數(shù)據(jù)庫授權(quán)的執(zhí)行針對數(shù)據(jù)庫授權(quán)的GRANT語句語句2022-4-30精選ppt第74頁執(zhí)行針對表授權(quán)的執(zhí)行針對表授權(quán)的GRANT語句語句2022-4-30精選ppt第75頁收回權(quán)限收回權(quán)限l如果希望從某個安全主體處收回權(quán)限，可如果希望從某個安全主體處收回權(quán)限，可以使用以使用REVOKE語句。語句。lREVOKE

48、語句是與語句是與GRANT語句相對應(yīng)的，語句相對應(yīng)的，可以把通過可以把通過GRANT語句授予給安全主體的語句授予給安全主體的權(quán)限收回。權(quán)限收回。l也就是說，使用也就是說，使用REVOKE語句可以刪除通語句可以刪除通過過GRANT語句授予給安全主體的權(quán)限。語句授予給安全主體的權(quán)限。2022-4-30精選ppt第76頁使用使用REVOKE語句收回授予的權(quán)語句收回授予的權(quán)限限2022-4-30精選ppt第77頁收回收回WITH GRANT OPTION子子句形成權(quán)限時的錯誤句形成權(quán)限時的錯誤2022-4-30精選ppt第78頁成功地收回成功地收回WITH GRANT OPTION子句形成權(quán)限子句形成

49、權(quán)限2022-4-30精選ppt第79頁否認(rèn)權(quán)限否認(rèn)權(quán)限l安全主體可以通過兩種方式獲得權(quán)限，第一種方安全主體可以通過兩種方式獲得權(quán)限，第一種方式是直接使用式是直接使用GRANT語句為其授予權(quán)限，第二種語句為其授予權(quán)限，第二種方式是通過作為角色成員繼承角色的權(quán)限。方式是通過作為角色成員繼承角色的權(quán)限。l使用使用REVOKE語句只能刪除安全主體通過第一種語句只能刪除安全主體通過第一種方式得到的權(quán)限，要想徹底刪除安全主體的特定方式得到的權(quán)限，要想徹底刪除安全主體的特定權(quán)限必須使用權(quán)限必須使用DENY語句。語句。lDENY語句的語法形式與語句的語法形式與REVOKE語句非常類似。語句非常類似。2022-4-30精選ppt第80頁使用使用DENY語句刪除權(quán)限語句刪除權(quán)限2022-4-30精選ppt第81頁3.9 SQL Server 2008內(nèi)置的加內(nèi)置的加密機制密機制lMicrosoft SQL Server 2008系統(tǒng)不是簡單系