sqlserver2008数据库应用与开发教学课件作者李新德第九章

第九章 数据库的安全管理,项目十四 在两种身份验证模式下建立用户账户 项目十五 建立数据库用户和角色 项目十六 给角色和用户授权,返回,项目十四 在两种身份验证模式下建立用户账户,一、SQL Server 2008 的三层安全机制 数据库中的数据对于一个单位来说是非常重要的资源，数据的丢失或泄露可能会带来严重的后果和巨大的损失，因此数据库安全是数据库管理中一个十分重要的方面。SQL Server2008 数据库系统的安全管理具有层次性，安全性级别可以分为3 层，分别是SQL Server 服务器级别的安全性、数据库级别的安全性、数据库对象级别的安全性。 （1）SQL Server 服务器级别的安全性。这一级别的安全性建立在控制服务器登录账号和密码的基础上，即必须具有正确的服务器登录账号和密码才能连接到SQL Server 服务器中。,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,SQL Server 提供了Window 账号登录和SQL Server 账号登录两种方式，用户提供正确的登录账号和密码连接到服务器之后，就能获得相应的访问权限，可以执行相应的操作。 （2）数据库级别的安全性。用户提供正确的服务器登录账号和密码通过第一层的SQL Server 服务器的安全性检查之后，将接受第二层的安全性检查，即是否具有访问某个数据库的权利。当建立服务器登录账号时，系统会提示选择默认的数据库。在默认情况下，master数据库将作为登录账号的默认数据库。不过因为master 数据库中保存了大量的系统信息，所以建议在建立登录账号时不要将master 数据库设置为默认数据库。,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,（3）数据库对象级别的安全性。用户通过了前两层的安全性验证之后，在对具体的数据库安全对象进行操作时，将接受权限检查，即用户要想访问数据库里的对象，必须事先给予相应的访问权限，否则系统将拒绝访问。数据库对象的所有者拥有对该对象全部的操作权限，在创建数据库对象时，SQL Server 自动把该对象的所有权给予该对象的创建者。 二、两种SQL Server 服务器级别的安全性 1. Windows 身份验证模式,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,在Windows 身份验证模式下，SQL Server 检测当前使用Windows 的用户账户，并在系统注册表中查找该用户，以确定该用户账户是否有权限登录。在这种方式下，用户不必提交登录名和密码让SQL Server 验证。也就是说，用户身份由Windows 进行确认，SQL Server 不要求提供密码，也不执行身份验证。Windows 身份验证是默认的身份验证，并且比SQL Server 身份验证更为安全。 Windows 身份验证模式有以下主要优点： （1）数据库管理员的工作可以集中在管理数据库上面，而不是管理用户账户。对用户账户的管理可以交给Windows 去完成。,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,（2）Windows 有更强的用户账户管理工具，可以设置账户锁定、密码期限等。如果不是通过定制来扩展SQL Server，SQL Server 是不具备这些功能的。 （3）Windows 的组策略支持多个用户同时被授权访问SQL Server。 2. 混合身份验证模式 混合身份验证模式允许以SQL Server 验证模式或者Windows 身份验证模式来进行验证。使用哪个模式取决于在最初的通信时使用的网络库。,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,用户既可以通过Windows 账号登录，也可以通过SQL Server 专用账号登录。当使用SQL Server 身份验证时，在SQL Server 中创建的登录名并不基于Windows 用户账号。账号名和密码均通过SQL Server 创建并存储在SQL Server 中。通过SQL Server 身份验证进行连接的用户每次连接时必须提供登录名和密码。 SQL Server 验证模式处理登录的过程为：用户在输入登录名和密码后，SQL Server 在系统注册表中检测输入的登录名和密码。如果输入的登录名存在，而且密码也正确，就可以登录到SQL Server。 混合身份验证模式具有如下优点： （1）创建了Windows 之上的另外一个安全层次。,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,（2）支持更大范围的用户，例如非Windows 客户、Novell 网络等。 （3）一个应用程序可以使用单个的SQL Server 登录口令。 三、安全性的两阶段检验 1. 验证阶段（Authentication） 用户在SQL Server 上获得对任何数据库的访问权限之前，必须登录到SQL Server 上，并且被认为是合法的。SQL Server 或者Windows 对用户进行验证，如果验证通过，用户就可以连接到SQL Server 上,否则,SQL Server 将拒绝用户登录，从而保证系统安全。 2. 许可确认阶段（Permission Validation）,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,用户验证通过后，登录到SQL Server 上，系统检查用户是否有访问服务器上数据的权限。 任务一 在Windows 身份验证模式下创建SQL Server 系统的账户 【知识准备】 （1）掌握Windows 操作系统中“计算机管理”的创建用户方法； （2）理解Windows 身份验证模式的概念； （3）掌握SQL Server 2008 数据库系统中“对象资源管理器”的使用方法。,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,【任务实施】 1. 创建Windows XP 操作系统的用户 步骤如下： （1）在任务栏中选择“开始”“设置”“控制面板”命令，弹出“控制面板”窗口。 （2）双击“管理工具”“计算机管理”图标，弹出图91 所示的“计算机管理”窗口。 （3）单击“本地用户和组”节点，用鼠标右键单击“用户”图标，弹出快捷菜单，选择“新用户”命令，弹出“新用户”对话框。,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,（4） 在“用户名”文本框中输入“Teacher_Gao”，在“全名”文本框中输入“Teacher_Gao”，在“密码”和“确认密码”框中输入“123456”。取消“新用户”对话框中“用户下次登录时需该密码”项的选择，同时选择“密码永不过期”项，如图92 所示，然后单击“创建”按钮。 （5）关闭“新用户”对话框，在“用户管理”窗口出现图93 所示的“Teacher_Gao”账户。 2. 创建SQL Server 2008 数据库系统的登录名,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,（1）打开SQL Server Management Studio，找到“对象资源管理器”窗口的“安全性”标签并展开，用鼠标右键单击“登录名”，选择“新建登录名”命令，如图94 所示。 （2）弹出“登录名新建”界面，在“常规”选项中确认是Windows 身份验证，单击“登录名”文本框旁的“搜索”按钮，出现图95 所示的“选择用户或组”对话框。 （3）单击“对象类型”按钮，弹出“对象类型”对话框，如图96 所示，选中其中的“组”和“用户”后，单击“确定”按钮，弹出“选择用户或组”窗口。,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,（4）在“选择用户或组”窗口中，单击“高级”按钮，再单击“立即查找”按钮，这时界面中会显示Windows 系统中的所有账户和组，如图97 所示。 （5）选中“Teacher_Gao”用户，单击“确定”按钮回到图95 所示的“选择用户或组”窗口，可看到已经将Windows XP 操作系统的用户“Teacher_Gao”选择进来，如图98 所示。 任务二 在混合身份验证模式下创建SQL Server 系统的账户 【知识准备】 （1）理解混合身份验证模式的概念；,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,（2）掌握SQL Server 2008 数据库管理系统中“对象资源管理器”的使用方法。 【任务实施】 在混合身份验证模式下创建SQL Server 系统的用户账户的步骤如下： （1）打开SQL Server Management Studio，用鼠标右键单击“对象资源管理器”，选择“属性”，再选择“安全性”选项页，在“服务器身份验证”栏选择“SQL Server 和Windows 身份验证模式（S）”，如图99 所示，单击“确认”按钮，关闭SQL Server 2008 数据库管理系统。,上一页,下一页,返回,项目十四 在两种身份验证模式下建立用户账户,（2）重新打开SQL Server Management Studio，在“对象资源管理器”窗口中，展开“安全性”，用鼠标右键单击“登录名”，选择“新建登录名”。 （3）在“常规”选项页中，输入登录名“Student_zhang”，并选择“SQL Server 身份验证”模式，在“密码”和“确认密码”框中均输入“123456”，同时取消“用户在下次登录时必须更改密码”选项，单击“确认”按钮，即在混合身份验证模式下创建了系统的登录名，如图910 所示。,上一页,返回,项目十五 建立数据库用户和角色,一、数据库用户的概念 由上一项目可知，由两种身份验证模式获得的登录账号，是指能登录到SQL Server 2008系统的账号，属于服务器的层面，它本身并不能让用户访问具体的用户数据库，而要使用SQL Server 数据库中的数据时，该账号必须同时还是某数据库的用户，就如进入公司必须拿钥匙先把大门打开，然后再拿另一把钥匙打开自己的办公室一样。用户如需访问某数据库，必须是该数据库的合法用户，进一步具有访问该数据库中数据的权限。,下一页,返回,项目十五 建立数据库用户和角色,某用户数据库的用户可以在该数据库内创建，而因为该用户必须首先是SQL Server 的用户，故通常在系统内搜索登录SQL Server 的账号，并将该账号作为用户数据库的用户。 二、数据库用户的分类 默认的数据库用户有dbo 用户、guest 用户和sys 用户等。 （1）dbo 用户。数据库所有者或dbo 用户是一个特殊类型的数据库用户，并且它被授予特殊的权限。一般来说，创建数据库的用户是数据库的所有者。dbo 被隐式地授予对数据库拥有所有权限，并能授予其他用户不同的权限。,上一页,下一页,返回,项目十五 建立数据库用户和角色,（2）guest 用户。guest 就是临时客户、来宾客户的意思。它在系统里是受限制的用户，拥有部分权利，在默认情况下，guest 用户存在于model 数据库中。 （3）sys 用户。所有系统对象包含在sys 的架构中。这是创建在每个数据库中的特殊架构，但是它们仅在master 数据库中可见。 三、角色的概念 角色是SQL Server 2008 用来集中管理数据库权限而设置的特殊概念。在理解上角色相当于公司中的岗位，不同的角色具有不同的岗位权限。,上一页,下一页,返回,项目十五 建立数据库用户和角色,利用角色来授权十分便利，数据库管理员将操作数据库的特定权限的集合赋予角色，然后数据库管理员再将数据库用户加入到该角色中，从而使数据库用户同样拥有了相应的权限。这样省去了为每个数据库用户重复授予相同的权限。 SQL Server 2008 在服务器级提供了固定的服务器角色，在数据库级提供了数据库角色。用户可以修改固定的数据库角色，也可以自己创建新的数据库角色，再分配权限给新建的角色。 四、服务器角色,上一页,下一页,返回,项目十五 建立数据库用户和角色,服务器角色的权限作用域为服务器范围，