最新安全性finalPPT课件.ppt

安全性安全性finalfinal§主要内容ØSQL Server的安全层次Ø登录帐户的管理Ø用户帐户的管理Ø权限管理Ø角色管理任务任务§创建登录名为liuzc的登录，并指定默认数据库为Webshop及密码修改 liuzc的登录密码在不需要时将该登录删除CREATE LOGIN liuzcWITH PASSWORD= 'liuzc518',DEFAULT_DATABASE= WebshopALTER LOGIN liuzcWITH PASSWORD= 'liuzc'DROP LOGIN 'liuzc'任务任务§指定GDCP域中的apple为登录帐户，拒绝GDCP域中的apple为登录帐户身份，删除 Windows用户 GDCP\apple 的登录 CREATE LOGIN GDCP\apple FROM WINDOWSDROP LOGIN GDCP\apple用户帐户的管理§SQL Server的第二层安全策略§数据库用户ID在定义时必须与一个登录ID相关联§创建和管理用户帐户Ø使用SSMSØ使用T-SQL语句授予和删除数据库用户帐户§删除数据库用户CREATE USER user_name  [ { { FOR | FROM }CREATE USER user_name  [ { { FOR | FROM } { LOGIN login_name}] { LOGIN login_name}] §给登录帐户授予数据库访问权DROP USER user_name DROP USER user_name §修改数据库用户ALTER USER user_name      ALTER USER user_name      WITH   NAME = new_user_name WITH   NAME = new_user_name 任务任务§添加所建登录帐户‘liuzc’关联的Webshop数据库用户’a’ ，将 Windows 用户GDCP\apple添加到Webshop数据库，使其成为数据库用户b，从Webshop数据库中删除数据库用户a,bUSE WebshopCREATE USER a FOR LOGIN liuzc'USE Webshop CREATE USER b FOR LOGIN GDCP\appleUSE WebshopDROP USER aDROP USER b权限管理§权限Ø用来控制用户如何访问数据库对象。

§类型Ø对象权限Ø语句权限Ø隐含权限授予、撤消和拒绝对象权限§授予对象权限GRANT GRANT 权限权限 [ON [ON 对象对象 ] TO ] TO 数据库用户数据库用户§拒绝对象权限 REVOKE REVOKE 权限权限 [ON [ON 对象对象 ] FROM ] FROM 数据库用户数据库用户§撤消对象权限DENY DENY 权限权限 [ON [ON 对象对象 ] TO ] TO 数据库用户数据库用户任务任务§a是一个未注册的普通用户，查询商品信息表数据的权利，但无添加、修改和删除商品信息授予a用户查询商品信息表数据的权利，撤消a用户商品信息表表数据的权利，拒绝a用户查询商品信息表数据的权利 GRANT SELECT ON Goods TO aREVOKE SELECT ON Goods FROM aDENY SELECT ON Goods TO a角色管理§角色Ø角色是SQL Server 2000引进的新概念，利用角色，SQL Server管理者可以将某些用户设置为某一角色，这样只对角色进行权限设置便可以实现对所有用户权限的设置，大大减少了管理员的工作量。

§分类Ø固定服务器角色Ø数据库角色固定服务器角色固定服固定服务务器角色器角色说说 明明功功 能能 描描 述述bulkadminBULK INSERT操作操作员员可以可以执执行行 BULK INSERT（大容量插入）（大容量插入）语语句句dbcreator数据数据库创库创建者建者可以可以创创建、更改、建、更改、删删除和除和还还原任何数据原任何数据库库diskadmin磁磁盘盘管理管理员员可以管理磁可以管理磁盘盘文件文件processadmin进进程管理程管理员员可以管理在可以管理在SQL Server中运行的中运行的进进程程securityadmin安全管理安全管理员员管理登管理登录录名及其属性；可以名及其属性；可以 GRANT、、DENY 和和 REVOKE 服服务务器器级权级权限和数据限和数据库级权库级权限，也可以限，也可以重置重置 SQL Server 登登录录名的密名的密码码serveradmin服服务务器管理器管理员员可以可以设设置服置服务务器范器范围围的配置的配置选项选项和关和关闭闭服服务务器器setupadmin安装程序管理安装程序管理员员可以添加和可以添加和删删除除链链接服接服务务器，并且也可以器，并且也可以执执行某些行某些系系统统存存储过储过程程sysadmin系系统统管理管理员员可以在服可以在服务务器中器中执执行任何活行任何活动动；默；默认认情况下，情况下，Windows BUILTIN\Administrators 组组（本地管理（本地管理员组员组）的所有成）的所有成员员都是都是 sysadmin 固定服固定服务务器角色器角色的成的成员员添加和删除固定服务器角色§添加固定服务器角色sp_addsrvrolemember [ @loginame = ] 'login'sp_addsrvrolemember [ @loginame = ] 'login' [@rolename =] 'role‘ [@rolename =] 'role‘sp_dropsrvrolemember [ @loginame = ] 'login' , sp_dropsrvrolemember [ @loginame = ] 'login' , [ @rolename = ] ‘role’ [ @rolename = ] ‘role’ §删除固定服务器角色任务任务§将固定服务器角色sysadmin分配给登录帐户liuzc，将登录帐户liuzc从固定服务器角色sysadmin中删除 sp_addsrvrolemember ' liuzc ','sysadmin‘sp_dropsrvrolemember ' liuzc ','sysadmin'固定数据库角色固定数据固定数据库库角色角色描描 述述db_owner在特定的数据在特定的数据库库中具有全部中具有全部权权限限db_accessadmin可以添加或可以添加或删删除数据除数据库库用用户户和角色和角色db_securityadmin可以管理全部可以管理全部权权限、限、对对象所有象所有权权、角色和角色成、角色和角色成员资员资格格db_ddladmin能能够够添加、添加、删删除和修改数据除和修改数据库对库对象象db_backupoperator能能够备够备份和恢复数据份和恢复数据库库db_datareader能能够够从数据从数据库库内任何表中内任何表中读读取数据取数据db_datawriter能能够对够对数据数据库库内任何表插入、修改和内任何表插入、修改和删删除数据除数据db_denydatareader不能不能够够从表中从表中读读取数据取数据db_denydatawriter不能不能够够改改变变表中的数据表中的数据public维护维护默默认认的的许许可可创建和删除用户数据库角色§创建用户数据库角色CREATE ROLE role_name [ AUTHORIZATION owner_name ]CREATE ROLE role_name [ AUTHORIZATION owner_name ]DROP ROLE rolenameDROP ROLE rolename§删除用户数据库角色§修改用户数据库角色ALTER ROLE rolenameALTER ROLE rolenameWITH NAME=newrolenameWITH NAME=newrolename任务任务§创建一个名为comuser的数据库角色，删除数据库角色’comuser’CREATE ROLE comuserDROP ROLE comuser添加和删除数据库用户到数据库角色§添加固定数据库角色sp_addrolemember [ @rolename = ] 'role' ,sp_addrolemember [ @rolename = ] 'role' , [ @membername = ] 'security_account‘ [ @membername = ] 'security_account‘sp_droprolemember [ @rolename = ] 'role' ,sp_droprolemember [ @rolename = ] 'role' , [ @membername = ] 'security_account' [ @membername = ] 'security_account' §删除固定数据库角色§SQL Server 有哪两种身份验证模式？§登录帐户和数据库用户的关系如何？想一想想一想 结束语结束语谢谢大家聆听！！！谢谢大家聆听！！！26。