安全管理課件

第9章平安管理三個(gè)概念：登錄、用戶、角色登錄帳號(hào)：用來和SQLSERVER連接有了登錄號(hào)才能連接上SQLSERVER，才有使用SQLSERVER的入門資格，但登錄帳號(hào)沒有使用數(shù)據(jù)庫(kù)對(duì)象的權(quán)力數(shù)據(jù)庫(kù)用戶：簡(jiǎn)稱用戶，作為數(shù)據(jù)庫(kù)對(duì)象，SQLSERVER用它來設(shè)定數(shù)據(jù)庫(kù)存取的許可權(quán)。所以為了要存取SQLSERVER內(nèi)的某一數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)對(duì)象，每一登錄帳號(hào)必須對(duì)應(yīng)一個(gè)用戶名。角色：也稱為平安性角色，對(duì)數(shù)據(jù)具有相同的訪問權(quán)限。包括系統(tǒng)內(nèi)建角色和自建角色二類角色，其中，系統(tǒng)內(nèi)建角色又分為效勞器角色和數(shù)據(jù)庫(kù)角色，數(shù)據(jù)庫(kù)角色也是一個(gè)數(shù)據(jù)庫(kù)對(duì)象登錄、用戶的關(guān)系1、登錄帳號(hào)是用來連接SQLSERVER的，但登錄帳號(hào)沒有使用數(shù)據(jù)庫(kù)對(duì)象的權(quán)力，SQLSERVER是以用戶名來設(shè)定數(shù)據(jù)庫(kù)存取的許可權(quán)。所以，為了要存取SQLSERVER內(nèi)某一數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)庫(kù)對(duì)象，每一登錄帳號(hào)必須在該數(shù)據(jù)庫(kù)對(duì)應(yīng)一個(gè)用戶名2、用戶是數(shù)據(jù)庫(kù)對(duì)象，定義和修改時(shí)必須選擇對(duì)應(yīng)的數(shù)據(jù)庫(kù)，而登錄不是數(shù)據(jù)庫(kù)對(duì)象，它的定義和修改在SQLSERVER效勞器下的平安性里進(jìn)行。3、用戶的定義必須指定對(duì)應(yīng)的登錄名，一個(gè)登錄名可以對(duì)應(yīng)多個(gè)用戶，但一個(gè)登錄名在一個(gè)數(shù)據(jù)庫(kù)內(nèi)只能有一個(gè)用戶。4、用戶名與數(shù)據(jù)庫(kù)相關(guān)。sales數(shù)據(jù)庫(kù)中的xyz用戶帳戶不同于inventory數(shù)據(jù)庫(kù)中的xyz用戶帳戶，即使這兩個(gè)帳戶有相同的用戶名。用戶名由db_owner固定數(shù)據(jù)庫(kù)角色成員定義。SQLSERVER2000可以通過兩種方式來進(jìn)行身份驗(yàn)證：Windows身份驗(yàn)證、SQLSERVER身份驗(yàn)證。Windows身份驗(yàn)證：由Windows系統(tǒng)確認(rèn)用戶的登錄帳號(hào)和密碼，Windows系統(tǒng)的登錄帳號(hào)可以直接訪問SQLSERVER系統(tǒng)，不必提供SQLSERVER的登錄帳號(hào)和密碼。SQLSERVER身份驗(yàn)證：由Windows系統(tǒng)確認(rèn)用戶的登錄帳號(hào)和口令。相應(yīng)的，SQLSERVER2000可以在兩種平安模式〔身份驗(yàn)證〕下工作：Windows身份驗(yàn)證模式：用Windows用戶帳號(hào)進(jìn)行連接混合模式：用Windows身份驗(yàn)證或SQLSERVER身份驗(yàn)證與SQLSERVER實(shí)例連接。9.1.1身份驗(yàn)證9.1.2授權(quán)又叫權(quán)限驗(yàn)證，數(shù)據(jù)庫(kù)中的所有對(duì)象的存取權(quán)限還必須通過授權(quán)〔即存取許可〕的設(shè)定來決定該登錄者是否擁有某一對(duì)象的存取權(quán)限。登錄管理登錄帳號(hào)是基于效勞器使用的用戶名。為了訪問SQLServer系統(tǒng)，用戶必須提供正確的登錄帳號(hào)。這些登錄帳號(hào)既可以是Windows登錄帳號(hào)，也可以是SQLServer登錄帳號(hào)。登錄帳號(hào)的信息是系統(tǒng)級(jí)信息，存儲(chǔ)在master數(shù)據(jù)庫(kù)中的syslogins系統(tǒng)表中。增加登錄帳號(hào)可以有兩種方法：使用企業(yè)管理器1、選擇要建立登錄的SQLSERVER效勞器2、展開平安性，選擇登錄使用系統(tǒng)存儲(chǔ)過程1、SQLSERVER登錄(sp_AddLogin，sp_DropLogin)sp_addlogin‘登陸名’，‘密碼’，‘默認(rèn)數(shù)據(jù)庫(kù)’2、WindowsNT用戶或組登錄(機(jī)器名\用戶或工作組名)(sp_GrantLogin、sp_DenyLogin、sp_RevokeLogin)格式：sp_GrantLogin‘機(jī)器名\用戶名’9.2.1創(chuàng)立登錄9.2.2查看、修改登錄查看、修改登錄帳號(hào)：使用企業(yè)管理器1、選擇要查看或修改的登錄的SQLSERVER效勞器2、展開平安性，選擇登錄3、在詳細(xì)信息窗格中，右擊要查看的登錄，然后單擊屬性。9.2.3刪除登錄使用企業(yè)管理器1、選擇要?jiǎng)h除登錄的SQLSERVER效勞器2、展開平安性，選擇登錄3、在詳細(xì)信息窗格中，右擊要查看的登錄，單擊刪除。使用系統(tǒng)存儲(chǔ)過程1、SQLSERVER登錄(sp_dropLogin)sp_droplogin‘登陸名’，‘密碼’，‘默認(rèn)數(shù)據(jù)庫(kù)’2、WindowsNT用戶或組登錄(機(jī)器名\用戶或工作組名)(sp_DenyLogin、sp_RevokeLogin)格式：sp_revokeLogin‘機(jī)器名\用戶名’數(shù)據(jù)庫(kù)用戶管理用戶帳號(hào)是基于數(shù)據(jù)庫(kù)使用的名稱，與登錄帳號(hào)相對(duì)應(yīng)，登錄帳號(hào)屬數(shù)據(jù)庫(kù)實(shí)例范疇的概念，用戶帳號(hào)屬于特定數(shù)據(jù)庫(kù)范疇。一個(gè)登錄帳號(hào)可以使用一個(gè)特定的用戶帳號(hào)或一個(gè)默認(rèn)的用戶帳號(hào)。用戶帳戶是由SQLServer管理的，所有的用戶帳戶都存放在系統(tǒng)表sysusers中。9.3.1創(chuàng)立用戶帳號(hào)創(chuàng)立數(shù)據(jù)庫(kù)用戶帳號(hào)，可以有兩種方法：使用企業(yè)管理器1、選擇要建立用戶的SQLSERVER效勞器2、展開數(shù)據(jù)庫(kù)，選擇用戶使用系統(tǒng)存儲(chǔ)過程sp_AddUser‘登錄名’，‘用戶名’注：在管理用戶的時(shí)候必須選擇對(duì)應(yīng)的數(shù)據(jù)庫(kù) 〔use要建立用戶的數(shù)據(jù)庫(kù)名〕9.3.2刪除用戶帳號(hào)刪除數(shù)據(jù)庫(kù)用戶帳號(hào)，可以有兩種方法：使用企業(yè)管理器1、選擇要建立用戶的SQLSERVER效勞器2、展開數(shù)據(jù)庫(kù)，選擇用戶使用系統(tǒng)存儲(chǔ)過程sp_DropUser‘用戶名’注：在管理用戶的時(shí)候必須選擇對(duì)應(yīng)的數(shù)據(jù)庫(kù) 〔use要建立用戶的數(shù)據(jù)庫(kù)名〕9.4角色角色在權(quán)限管理方面是一個(gè)強(qiáng)有力的工具，如果用戶具有相同的權(quán)限，那么我們可以：1、先創(chuàng)立一個(gè)角色2、對(duì)這個(gè)角色賦予權(quán)限3、將這些用戶添加到該角色中〔使它們成為角色中的成員〕角色分為系統(tǒng)內(nèi)建角色和自建角色，同時(shí)系統(tǒng)內(nèi)建角色分為效勞器角色和數(shù)據(jù)庫(kù)角色〔自建角色都是數(shù)據(jù)庫(kù)角色〕。1、效勞器角色和登錄名相對(duì)應(yīng)2、數(shù)據(jù)庫(kù)角色是和用戶對(duì)應(yīng)的3、數(shù)據(jù)庫(kù)角色和用戶都是數(shù)據(jù)庫(kù)對(duì)象，定義和刪除的時(shí)候必須選擇所屬的數(shù)據(jù)庫(kù)一、固定效勞器角色二、向固定效勞器角色添加登錄向固定效勞器角色添加登錄成員使用企業(yè)管理器1、選擇要建立用戶的SQLSERVER效勞器2、展開平安性，選擇效勞器角色，添加登錄三、固定數(shù)據(jù)庫(kù)角色四、向固定數(shù)據(jù)庫(kù)角色添加用戶向固定數(shù)據(jù)庫(kù)角色添加用戶使用企業(yè)管理器1、選擇要建立用戶的SQLSERVER效勞器2、展開數(shù)據(jù)庫(kù)，選擇角色所在的數(shù)據(jù)庫(kù)3、單擊角色，添加用戶使用系統(tǒng)存儲(chǔ)過程1、定義、刪除角色：sp_AddRole、sp_DropRole2、修改角色成員：sp_droprolemember‘角色名’sp_AddRoleMember‘角色名’，‘用戶名’注：在管理數(shù)據(jù)庫(kù)角色的時(shí)候必須選擇對(duì)應(yīng)的數(shù)據(jù)庫(kù) 當(dāng)用戶連接到SQLServer后，他們可以執(zhí)行的活動(dòng)由授予以下帳戶的權(quán)限確定：1、用戶的平安帳戶。2、用戶的平安帳戶所屬的WindowsNT或2000組或角色層次結(jié)構(gòu)。用戶假設(shè)要進(jìn)行任何涉及更改數(shù)據(jù)庫(kù)定義或訪問數(shù)據(jù)的活動(dòng)，那么必須有相應(yīng)的權(quán)限。管理權(quán)限包括授予或廢除執(zhí)行以下活動(dòng)的用戶權(quán)限：1、處理數(shù)據(jù)和執(zhí)行過程〔對(duì)象權(quán)限〕。2、創(chuàng)立數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)中的工程〔語句權(quán)限〕。3、利用授予預(yù)定義角色的權(quán)限〔暗示性權(quán)限〕。9.5權(quán)限管理處理數(shù)據(jù)或執(zhí)行過程時(shí)需要稱為對(duì)象權(quán)限的權(quán)限類別：1、SELECT、INSERT、UPDATE和DELETE語句權(quán)限，它們可以應(yīng)用到整個(gè)表或視圖中。2、SELECT和UPDATE語句權(quán)限，它們可以有選擇性地應(yīng)用到表或視圖中的單個(gè)列上。3、SELECT權(quán)限，它們可以應(yīng)用到用戶定義函數(shù)。4、INSERT和DELETE語句權(quán)限，它們會(huì)影響整行，因此只可以應(yīng)用到表或視圖中，而不能應(yīng)用到單個(gè)列上。5、EXECUTE語句權(quán)限，它們可以影響存儲(chǔ)過程和函數(shù)。注：對(duì)象權(quán)限的設(shè)置：SQLSERVER效勞器\數(shù)據(jù)庫(kù)\某一特定數(shù)據(jù)庫(kù)對(duì)象\所有任務(wù)\管理權(quán)限一、對(duì)象權(quán)限對(duì)象權(quán)限的設(shè)置使用企業(yè)管理器：SQLSERVER效勞器\數(shù)據(jù)庫(kù)\某一特定數(shù)據(jù)庫(kù)對(duì)象\所有任務(wù)\管理權(quán)限使用T-SQL語句：GRANT對(duì)象權(quán)限 ON數(shù)據(jù)庫(kù)對(duì)象 TO用戶或角色一、對(duì)象權(quán)限創(chuàng)立數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)中的項(xiàng)〔如表或存儲(chǔ)過程〕所涉及的活動(dòng)要求另一類稱為語句權(quán)限的權(quán)限。例如，如果用戶必須能夠在數(shù)據(jù)庫(kù)中創(chuàng)立表，那么應(yīng)該向該用戶授予CREATETABLE語句權(quán)限。語句權(quán)限〔如CREATEDATABASE〕適用于語句自身，而不適用于數(shù)據(jù)庫(kù)中定義的特定對(duì)象。語句權(quán)限有：1、BACKUPDATABASE、BACKUPLOG2、CREATEDATABASE3、CREATEDEFAULT、CREATERULE、CREATEFUNCTION4、CREATETABLE、CREATEVIEW、CREATEPROCEDURE二、語句權(quán)限語句權(quán)限的設(shè)置使用企業(yè)管理器：SQLSERVER效勞器\數(shù)據(jù)庫(kù)\某一特定數(shù)據(jù)庫(kù)\屬性\〞權(quán)限“選項(xiàng)卡使用T-SQL語句：GRANT語句權(quán)限TO用戶或角色或WINOWSNT用戶或WINOWSNT工作組二、語句權(quán)限暗示性權(quán)限控制那些只能由預(yù)定義系統(tǒng)角色的成員或數(shù)據(jù)庫(kù)對(duì)象所有者執(zhí)行的活動(dòng)。例如，sysadmin固定效勞器角色成員自動(dòng)繼承在SQLServer安裝中進(jìn)行操作或查看的全部權(quán)限。數(shù)