SQLServer系统安全管理概述.pptx
57页
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,,*,第,10,章 系,统,统安全,管,管理,10.1SQLServer 2014,的安全,机,机制,10.2,建立和,管,管理用,户,户账户,10.3,角 色,管,管,理,理,10.4,数据库,权,权限的,管,管理,10.5,数据库,架,架构的,定,定义和,使,使用,10.1SQLServer 2014,的安全,机,机制,10.1.1SQLServer,身份验,证,证模式,身份验,证,证模式,是,是指系,统,统确认,用,用户的,方,方式SQLServer,有两种,身,身份验,证,证模式,:,:,Windows,验证模式和,SQL Server,验证模式这,这是在安装,SQL Server,的过程中由,“,“数据库引,擎,擎配置”确,定,定的,如图,10.1,所示10.1.1 SQL Server,身份验证模,式,式,1,.,Windows,验证模式,用户登录,Windows,时进行身份,验,验证,登录,SQL Server,时就不再进,行,行身份验证,了,了。
注意:,(,1,)必须将,Windows,账户加入到,SQL Server,中,才能采,用,用,Windows,账户登录,SQLServer,2,)如,果,果使,用,用,Windows,账户,登,登录,到,到另,一,一个,网,网络,的,的,SQLServer,,则,必,必须,在,在,Windows,中设,置,置彼,此,此的,托,托管,权,权限,2,.,SQLServer,验证,模,模式,在,SQLServer,验,证,证,模,模,式,式,下,下,,,,,SQLServer,服,务,务,器,器,要,要,对,对,登,登,录,录,的,的,用,用,户,户,进,进,行,行,身,身,份,份,验,验,证,证,系,系,统,统,管,管,理,理,员,员,必,必,须,须,设,设,定,定,登,登,录,录,验,验,证,证,模,模,式,式,的,的,类,类,型,型,为,为,混,混,合,合,验,验,证,证,模,模,式,式,当,当,采,采,用,用,混,混,合,合,模,模,式,式,时,时,,,,,SQLServer,系,统,统,既,既,允,允,许,许,使,使,用,用,Windows,登录名,登,登录,,也,也允许,使,使用,SQLServer,登录名,登,登录。
10.1.2SQLServer,安全性,机,机制,1,.服务,器,器级别,服务器,级,级别所,包,包含的,安,安全对,象,象主要,有,有登录,名,名、固,定,定服务,器,器角色,等,等其,中,中,登,录,录名用,于,于登录,数,数据库,服,服务器,,,,而固,定,定服务,器,器角色,用,用于给,登,登录名,赋,赋予相,应,应的服,务,务器权,限,限SQLServer,中的登,录,录名主,要,要有两,种,种:第,一,一种是,Windows,登录名,,,,第二,种,种是,SQL Server,登录名Windows,登录名对应,Windows,验证模式,,该,该验证模式,所,所涉及的账,户,户类型主要,有,有,Windows,本地用户账,户,户、,Windows,域用户账户,、,、,Windows,组2,.数据库级,别,别,数据库级别,所,所包含的安,全,全对象主要,有,有用户、角,色,色、应用程,序,序角色、证,书,书、对称密,钥,钥、非对称,密,密钥、程序,集,集、全文目,录,录、,DDL,事件、架构,等,等用户安全对,象,象是用来访,问,问数据库的,如果某人,只,只拥有登录,名,名,而没有,在,在相应的数,据,据库中为其,创,创建登录名,所,所对应的用,户,户,则该用,户,户只能登录,数,数据库服务,器,器,而不能,访,访问相应的,数,数据库。
10.1.2 SQL Server,安全性机制,3,.架构级别,架构级别所,包,包含的安全,对,对象有表、,视,视图、函数,、,、存储过程,、,、类型、同,义,义词、聚合,函,函数等在,创,创建这些对,象,象时可设定,架,架构,若不,设,设定则系统,默,默认架构为,dbo,数据库用户,只,只能对属于,自,自己架构中,的,的数据库对,象,象执行相应,的,的数据操作,至于操作,的,的权限则由,数,数据库角色,决,决定例如,,,,若某数据,库,库中的表,A,属于架构,S1,,表,B,属于架构,S2,,而某用户,默,默认的架构,为,为,S2,,如果没有,授,授予用户操,作,作表,A,的权限,则,该,该用户不能,对,对表,A,执行相应的,数,数据操作但,但是,该用,户,户可以对表,B,执行相应的,操,操作10.1.3 SQL Server,数据库安全,验,验证过程,一个用户如,果,果要对某一,数,数据库进行,操,操作,则必,须,须满足以下,三,三个条件:,(,1,)登录,SQL Server,服务器时必,须,须通过身份,验,验证2,)必须是该,数,数据库的用,户,户,或者是,某,某一数据库,角,角色的成员,。
3,)必须有对,数,数据库对象,执,执行该操作,的,的权限10.1.3 SQL Server,数据库安全,验,验证过程,不管使用哪,种,种验证方式,,,,用户都必,须,须具备有效,的,的Windows用户,登,登录名SQL Server有,两,两个常用的,默,默认登录名,:,:sa和计,算,算机名\Windows管理员账,户,户名其中,,,,sa是系,统,统管理员,,在,在SQLServer中拥有系,统,统和数据库,的,的所有权限,,,,如图10.2所示10.2,建立和管理,用,用户账户,10.2.1,以界面方式,管,管理用户账,户,户,1,.建立,Windows,验证模式的,登,登录名,(,1,)创建,Windows,的用户以管理员身,份,份登录到,Windows,,打开控制,面,面板,完成,新,新用户“,liu,”的创建2,)将,Windows,账户加入到,SQL Server,中以管理员身,份,份登录到“,SSMS,”,在“对,象,象资源管理,器,器”中,在,“,“安全性”,下,下选择“登,录,录名”项右,右击鼠标,,在,在弹出的快,捷,捷菜单中选,择,择“新建登,录,录名”,打,开,开“登录名,-,新建”窗口,。
可以通过,单,单击“常规,”,”选项页的,“,“搜索”按,钮,钮,在“选,择,择用户或组,”,”对话框的,“,“输入要选,择,择的对象名,称,称”中输入,“,“,liu,”,然后单,击,击“检查名,称,称”按钮,,系,系统生成“,PC-201412101514\liu,”(如图,10.3,所示),单,击,击“确定”,按,按钮,回到,“,“登录名,-,新建”窗口,10.2.1,以界面方式,管,管理用户账,户,户,在登录名中,就,就会显示完,整,整名称选,择,择默认数据,库,库为“pxscj”,,如,如图10.4所示10.2.1,以界面方式,管,管理用户账,户,户,2,.建立,SQL Server,验证模式的,登,登录名,(,1,)将验证模,式,式设为混合,模,模式以系统管理,员,员身份登录,“,“,SSMS,”,在“对,象,象资源管理,器,器”中选择,要,要登录的,SQL Server,服务器图标,,,,右击鼠标,,,,在弹出的,快,快捷菜单中,选,选择“属性,”,”菜单项,,打,打开“服务,器,器属性”窗,口,口选择“,安,安全性”选,项,项页选择,服,服务器身份,验,验证为“,SQL Server,和,Windows,身份验证模,式,式”,如图,10.5,所示。
10.2.1,以界面方式,管,管理用户账,户,户,(2)创建SQL Server,验,验证模式的,登,登录名在“对象资,源,源管理器”,中,中“安全性,”,”下的“登,录,录名”上按,右,右键,选择,“,“新建登录,名,名”,系统,显,显示“登录,名,名-新建”,对,对话框选,择,择“SQLServer 身份,验,验证”,,登,登录名输入,“,“SQL_liu”,,输,输入密码和,确,确认密码“123”,,并,并将“强,制,制密码过期,”,”复选框中,的,的钩去掉,,默,默认数据库,为,为“pxscj”,如,图,图10.6,所,所示单击,“,“确定”按,钮,钮即可10.2.1,以界面方式,管,管理用户账,户,户,3,.管理数据,库,库用户,(,1,)以登录名,新,新建数据库,用,用户以系统管理,员,员身份连接,SQL Server,,展开“数,据,据库”→这,里,里可选“,pxscj,”→“安全,性,性”,选择,“,“用户”,,右,右击鼠标,,选,选择“新建,用,用户”菜单,项,项,进入“,数,数据库用户,-,新建”窗口,在“登录名,”,”框中填写,一,一个能够登,录,录,SQL Server,的登录名,,如,如“,SQL_liu,”。
在“用户名,”,”框中填写,一,一个数据库,用,用户名“,User_SQL_liu,”一个登录名,在,在本数据库,中,中只能创建,一,一个数据库,用,用户这里,可,可选择默认,架,架构为,dbo,,如图,10.7,所示10.2.1,以界面方式,管,管理用户账,户,户,图10.7,新,新建数,据,据库用户(SQL Server,登,登录名),10.2.1,以界面方式,管,管理用户账,户,户,也可采用上,述,述方法在,pxscj,数据库下新,建,建,Windows,登录名“,liu,”对应的用,户,户“,User_liu,”,如图,10.8,所示10.2.1,以界面方式,管,管理用户账,户,户,(,2,),数,数,据,据,库,库,用,用,户,户,显,显,示,示,数,据,据,库,库,用,用,户,户,创,创,建,建,成,成,功,功,后,后,,,,,可,可,以,以,通,通,过,过,选,选,择,择,“,“,pxscj,”→“安全,性,性”,选择,“,“用户”栏,查,查看到该用,户,户在“用,户,户”列表中,,,,还可以修,改,改现有数据,库,库用户的属,性,性,或者删,除,除该用户3,)以,SQL Server,登录名连接,SQL Server,。
重启,SQL Server,,在对话框,的,的“身份验,证,证”框中选,择,择“,SQL Server,身份验证”,,,,“登录名,”,”填写为“,SQL_liu,”,输入密,码,码“,123,”,单击“,连,连接”按钮,,,,即可连接,SQL Server,,如图,10.9,所示10.2.1,以界面方式,管,管理用户账,户,户,此时的“对,象,象资源管理,器,器”如图,10.10,所示10.2.2,以命令方式,管,管理用户账,户,户:,CREATE LOGIN/USER,1,.登录名创,建,建,1,)创建登录,名,名,语法格式:,CREATE LOGIN,登录名,{,WITHPASSWORD =',密码,' [ HASHED] [MUST_CHANGE ],[ , <,选项列表,> [ ,...] ]/*WITH,子句用于创,建,建,SQL Server,登录名,*/,| FROM/*FROM,子句用于创,建,建其他登录,名,名,*/,{,WINDOWS [WITH
创建,Windows,登录名,使,使用,FROM,子句,,在,在,FROM,子句的,语,语法格,式,式中,,WINDOWS,关键字,指,指定将,登,登录名,映,映射到,Windows,登录名,,,,其中,,,,,
创建,SQLServer,登录名,使,使用,WITH,子句,,其,其中,,PASSWORD,:用于,指,指定正,在,在创建,的,的登录,名,名的密,码,码,“,',密码,',”为密,码,码字符,串,串HASHED,选项指,定,定在,PASSWORD,参数后,输,输入的,密,密码已,经,经过哈,希,希运算,<,选项列,表,表,>,:用于,指,指定在,创,创建,SQLServer,登录名,时,时的如,下,下选项,,SID,:指定,新,新,SQLServer,登录名,的,的全局,唯,唯一标,识,识符如,如果未,选,选择此,选,选项,,则,则自动,指,指派,DEFAULT_DATABASE,:指定,默,默认数,据,据库如,如果未,指,指定此,选,选项,,则,则默认,数,数据库,将,将设置,为,为,master,,DEFAULT_LANGUAGE,:指定,默,默认语,言,言如,果,果未指,定,定此选,项,项,则,默,默认语,言,言将设,置,置为服,务,务器的,当,当前默,认,认语言,,CHECK_EXPIRATION,:指定,是,是否对,此,此登录,名,名强制,实,实施密,码,码过期,策,策略,,默,默认值,为,为,OFF,。
,CHECK_POLICY,:指定,应,应对此,登,登录名,强,强制实,施,施运行,SQLServer,的计算,机,机的,Windows,密码策,略,略,默,认,认值为,ON,例,10.2,】创建,SQLServer,登录名,SQL_tao,,密码为,123456,,默认数,据,据库设为,pxscj,CREATE LOGINSQL_tao,WITHPASSWORD='123456',,DEFAULT_DATABASE=pxscj,,,10.2.2,以命令方,式,式管理用,户,户账户:,CREATE LOGIN/USER,2,)删除登,录,录名,删除登录,名,名使用,DROPLOGIN,命令语,法,法格式:,DROPLOGIN,登录名,例如,删,除,除,Windows,登录名,tao,和,SQLServer,登录名,SQL_tao,DROPLOGIN [PC-201412101514\tao],DROPLOGIN SQL_tao,,10.2.2,以命令方,式,式管理用,户,户账户:,CREATELOGIN/USER,2,.,数,数,据,据,库,库,用,用,户,户,创,创,建,建,1,),创,创,建,建,数,数,据,据,库,库,用,用,户,户,创,建,建,数,数,据,据,库,库,用,用,户,户,使,使,用,用,CREATEUSER,命,令,令,。
语,语,法,法,格,格,式,式,:,:,CREATEUSER,用,户,户,名,名,[{FOR|FROM},{,LOGIN,登,录,录,名,名,|CERTIFICATE,证,书,书,名,名,|ASYMMETRICKEY,非,对,对,称,称,密,密,钥,钥,名,名,},|WITHOUTLOGIN,],[WITHDEFAULT_SCHEMA=,架,构,构,名,名,],,10.2.2,以,命,命,令,令,方,方,式,式,管,管,理,理,用,用,户,户,账,账,户,户,:,:,CREATELOGIN/USER,【,例,例10.3,】,】,使,使,用,用SQLServer,登,登,录,录,名,名SQL_tao,和,和Windows,登,登,录,录,名,名[PC-201412101514\tao],在,在pxscj,数,数,据,据,库,库,中,中,创,创,建,建,数,数,据,据,库,库,用,用,户,户User_SQL_tao,和,和User_tao,,,,,默,默,认,认,架,架,构,构,名,名,使,使,用,用dbo,USEpxscj,GO,CREATEUSERUser_SQL_tao,FORLOGINSQL_tao,WITHDEFAULT_SCHEMA=dbo,CREATE USER User_tao,FOR LOGIN[PC-201412101514\tao],WITHDEFAULT_SCHEMA=dbo,命令执行成,功,功后,可以,在,在数据库pxscj的,“,“安全性”,下,下的“用户,”,”列表中查,看,看到该数据,库,库用户。
10.2.2,以命令方式,管,管理用户账,户,户:,CREATE LOGIN/USER,2,)删除数据,库,库用户,删除数据库,用,用户使用,DROPUSER,语句语法格式:,DROPUSER,用户名,“用户名”,为,为要删除的,数,数据库用户,名,名,在删除,之,之前要使用,USE,语句指定数,据,据库例如,删除,pxscj,数据库的数,据,据库用户,User_SQL_tao,USE pxscj,GO,DROPUSERUser_SQL_tao, User_tao,,10.3,角 色 管,理,理,10.3.1,固定服务器,角,角色,SQL Server,提供了以下,固,固定服务器,角,角色1,),sysadmin,:系统管理,员,员,角色成,员,员可对,SQL Server,服务器进行,所,所有的管理,工,工作,为最,高,高管理角色,2,),securityadmin,:安全管理,员,员,角色成,员,员可以管理,登,登录名及其,属,属性,可以,授,授予、拒绝,、,、撤销服务,器,器级和数据,库,库级的权限,,,,还可以重,置,置,SQL Server,登录名的密,码,码3,),serveradmin,:服务器管,理,理员,角色,成,成员具有对,服,服务器进行,设,设置及关闭,服,服务器的权,限,限。
4,),setupadmin,:设置管理,员,员,角色成,员,员可以添加,和,和删除链接,服,服务器,并,执,执行某些系,统,统存储过程,5,),processadmin,:进程管理,员,员,角色成,员,员可以终止,SQL Server,实例中运行,的,的进程6,),diskadmin,:用于管理,磁,磁盘文件7,),dbcreator,:数据库创,建,建者,角色,成,成员可以创,建,建、更改、,删,删除或还原,任,任何数据库,8,),bulkadmin,:可执行,BULKINSERT,语句,但是,这,这些成员对,要,要插入数据,的,的表必须有,INSERT,权限9,),public,:其角色成,员,员可以查看,任,任何数据库,10.3.1,固定服务器,角,角色,1,.界面方式,添,添加服务器,角,角色成员,(,1,)以系统管,理,理员身份登,录,录到,SQL Server,服务器,在,“,“对象资源,管,管理器”中,展,展开“安全,性,性”→“登,录,录名”,选,择,择登录名,,例,例如“,PC-201412101514\tao,”,双击或,右,右击选择“,属,属性”菜单,项,项,打开“,登,登录属性”,窗,窗口。
2,)在打开的,“,“登录属性,”,”窗口中选,择,择“服务器,角,角色”选项,页,页,在“登,录,录属性”窗,口,口右边列出,了,了所有的固,定,定服务器角,色,色,用户可,以,以根据需要,,,,在服务器,角,角色前的复,选,选框中打钩,,,,来为登录,名,名添加相应,的,的服务器角,色,色此处默,认,认已经选择,了,了“,public,”服务器角,色,色单击“,确,确定”按钮,完,完成添加10.3.1,固定服务器,角,角色,2,.利用“系,统,统存储过程,”,”添加固定,服,服务器角色,成,成员,利用系统存,储,储过程,sp_addsrvrolemember,可将一登录,名,名添加到某,一,一固定服务,器,器角色中,,使,使其成为固,定,定服务器角,色,色的成员语,语法格式:,sp_addsrvrolemember[ @,登录名,= ] 'login', [@,角色名,=] 'role',参数含义:,'login',指定,添,添加,到,到固,定,定服,务,务器,角,角色,'role',的登,录,录名,,,,,'login',可以,是,是,SQLServer,登录,名,名或,Windows,登录,名,名;,对,对于,Windows,登录,名,名,,如,如果,还,还没,有,有授,予,予,SQLServer,访问,权,权限,,,,将,自,自动,对,对其,授,授予,访,访问,权,权限,。
例,10.4,】将,SQLServer,登录,名,名“,SQL_tao,”添,加,加到,sysadmin,固定,服,服务,器,器角,色,色中,EXECsp_addsrvrolemember'SQL_tao','sysadmin',,10.3.1,固定,服,服务,器,器角,色,色,3,.利,用,用“,系,系统,存,存储,过,过程,”,”删,除,除固,定,定服,务,务器,角,角色,成,成员,利,用,用,sp_dropsrvrolemember,系,统,统,存,存,储,储,过,过,程,程,可,可,从,从,固,固,定,定,服,服,务,务,器,器,角,角,色,色,中,中,删,删,除,除,SQLServer,登,录,录,名,名,或,或,Windows,登,录,录,名,名,语,语,法,法,格,格,式,式,:,:,sp_dropsrvrolemember[@,登,录,录,名,名,=]'login',[@,角,色,色,名,名,=]'role',参,数,数,含,含,义,义,:,:,'login',为,将,将,要,要,从,从,固,固,定,定,服,服,务,务,器,器,角,角,色,色,删,删,除,除,的,的,登,登,录,录,名,名,。
'role',为,服,服,务,务,器,器,角,角,色,色,名,名,,,,,默,默,认,认,值,值,为,为,NULL,,,必,必,须,须,是,是,有,有,效,效,的,的,固,固,定,定,服,服,务,务,器,器,角,角,色,色,名,名,例如,,从,从,sysadmin,固定服,务,务器角,色,色中删,除,除,SQLServer,登录名,SQL_tao,EXEC sp_dropsrvrolemember 'SQL_tao','sysadmin',,10.3.2,固定数,据,据库角,色,色,(,1,),db_owner,:数据,库,库所有,者,者,这,个,个数据,库,库角色,的,的成员,可,可执行,数,数据库,的,的所有,管,管理操,作,作2,),db_accessadmin,:数据,库,库访问,权,权限管,理,理者,,角,角色成,员,员具有,增,增加、,删,删除数,据,据库使,用,用者、,数,数据库,角,角色和,组,组的权,限,限3,),db_securityadmin,:数据,库,库安全,管,管理员,,,,角色,成,成员具,有,有可管,理,理数据,库,库中的,权,权限,,如,如设置,数,数据库,表,表的增,加,加、删,除,除、修,改,改和查,询,询等存,取,取权限,。
4,),db_ddladmin,:数据,库,库,DDL,管理员,,,,角色,成,成员可,增,增加、,修,修改或,删,删除数,据,据库中,的,的对象,5,),db_backupoperator,:数据,库,库备份,操,操作员,,,,角色,成,成员具,有,有执行,数,数据库,备,备份的,权,权限6,),db_datareader,:数据,库,库数据,读,读取者,,,,角色,成,成员可,以,以从所,有,有用户,表,表中读,取,取数据,7,),db_datawriter,:数据,库,库数据,写,写入者,,,,角色,成,成员具,有,有对所,有,有用户,表,表进行,增,增加、,删,删除、,修,修改的,权,权限8,),db_denydatareader,:数据,库,库拒绝,数,数据读,取,取者,,角,角色成,员,员不能,读,读取数,据,据库中,任,任何表,的,的内容,9,),db_denydatawriter,:数据,库,库拒绝,数,数据写,入,入者,,角,角色成,员,员不能,对,对任何,表,表进行,增,增加、,删,删除、,修,修改操,作,作10,),public,:一个,特,特殊的,数,数据库,角,角色,,每,每个数,据,据库用,户,户都是,public,角色的,成,成员,,因,因此不,能,能将用,户,户、组,或,或角色,指,指派为,public,角色的,成,成员,,也,也不能,删,删除,public,角色的,成,成员。
通,通常,,将,将一些,公,公共的,权,权限赋,给,给,public,角色10.3.2,固定数,据,据库角,色,色,1,.以界,面,面方式,添,添加固,定,定数据,库,库角色,成,成员,(,1,)以系,统,统管理,员,员身份,登,登录到,SQLServer,服务器,,,,在“,对,对象资,源,源管理,器,器”中,展,展开“,数,数据库,”,”→“,pxscj,”→“,安,安全性,”,”→“,用,用户”,,,,选择,一,一个数,据,据库用,户,户,如,“,“,User_tao,”,双,击,击或单,击,击右键,选,选择“,属,属性”,菜,菜单项,,,,打开,“,“数据,库,库用户,”,”窗口,2,)在打,开,开的窗,口,口中,,在,在“常,规,规”选,项,项页的,“,“数据,库,库角色,成,成员身,份,份”栏,中,中,用,户,户可以,根,根据需,要,要,在,数,数据库,角,角色前,的,的复选,框,框中打,钩,钩,为,数,数据库,用,用户添,加,加相应,的,的数据,库,库角色,,,,单击,“,“确定,”,”按钮,完,完成添,加,加3,)查看固定,数,数据库角色,的,的成员在,“,“对象资源,管,管理器”中,,,,在,pxscj,数据库下的,“,“安全性”,→,→“角色”,→,→“数据库,角,角色”目录,下,下,选择“,数,数据库角色,”,”,如“,db_owner,”,右击选,择,择“属性”,菜,菜单项,在,“,“属性”窗,口,口中的“角,色,色成员”栏,下,下可以看到,该,该数据库角,色,色的成员列,表,表。
10.3.2,固定数据库,角,角色,2,.利用系统,存,存储过程添,加,加固定数据,库,库角色成员,利用系统存,储,储过程,sp_addrolemember,可以将一个,数,数据库用户,添,添加到某一,固,固定数据库,角,角色中,使,其,其成为该固,定,定数据库角,色,色的成员语,语法格式:,sp_addrolemember [ @,角色名,= ] 'role', [ @,成员名,= ] 'security_account',参数含义:,'role',为当前数据,库,库中的数据,库,库角色的名,称,称'security_account',为添加到该,角,角色的安全,账,账户,可以,是,是数据库用,户,户或当前数,据,据库角色例,10.5,】将,pxscj,数据库上的,数,数据库用户,User_sql_tao,、,User_tao,添加为固定,数,数据库角色,db_owner,的成员USEpxscj,GO,EXECsp_addrolemember 'db_owner', 'User_SQL_tao',EXECsp_addrolemember 'db_owner', 'User_tao',,10.3.2,固定数据,库,库角色,3,.利用系,统,统存储过,程,程删除固,定,定数据库,角,角色成员,利用系统,存,存储过程,sp_droprolemember,可以将某,一,一成员从,固,固定数据,库,库角色中,去,去除。
语法格式,:,:,sp_droprolemember [@,角色名,= ]'role' ,[ @,成员名,= ]'security_account',例如,将,数,数据库用,户,户,User_SQL_tao,从,db_owner,中去除EXECsp_droprolemember 'db_owner', 'User_SQL_tao',EXECsp_droprolemember 'db_owner', 'User_tao',,10.3.3,自定义数,据,据库角色,:,:,CREATE/DROPROLE,1,.界面方,式,式创建数,据,据库角色,(,1,)创建数,据,据库角色,以,Windows,系统管理,员,员身份连,接,接,SQLServer,,在“对,象,象资源管,理,理器”中,展,展开“数,据,据库”,,选,选择要创,建,建角色的,数,数据库(,如,如,pxscj,),展开,其,其中的“,安,安全性”,→,→“角色,”,”,右击,鼠,鼠标,在,弹,弹出的快,捷,捷菜单中,选,选择“新,建,建”菜单,项,项,在弹,出,出的子菜,单,单中选择,“,“新建数,据,据库角色,”,”菜单项,,,,进入“,数,数据库角,色,色,-,新建”窗,口,口。
在“数据,库,库角色,-,新建”窗,口,口中,选,择,择“常规,”,”选项页,,,,输入要,定,定义的角,色,色名称(,如,如,ROLE1,),所有,者,者默认为,dbo,直接单,击,击“确定,”,”按钮,,完,完成数据,库,库角色的,创,创建,如,图,图,10.11,所示10.3.3,自定义数,据,据库角色,:,:,CREATE/DROPROLE,图10.11,新,新,建,建,数,数,据,据,库,库,角,角,色,色,10.3.3,自,定,定,义,义,数,数,据,据,库,库,角,角,色,色,:,:,CREATE/DROPROLE,(,2,)将数,据,据库用,户,户加入,数,数据库,角,角色将用户,加,加入自,定,定义数,据,据库角,色,色的方,法,法与将,用,用户加,入,入固定,数,数据库,角,角色的,方,方法类,似,似例,如,如,将,pxscj,数据库,的,的用户,User_tao,加入,ROLE1,角色此,此时数,据,据库角,色,色,ROLE1,的成员,还,还没有,任,任何的,权,权限,,当,当授予,数,数据库,角,角色权,限,限时,,这,这个角,色,色的成,员,员也将,获,获得相,同,同的权,限,限。
当,数,数据库,用,用户成,为,为某一,数,数据库,角,角色的,成,成员之,后,后,该,数,数据库,用,用户就,获,获得该,数,数据库,角,角色所,拥,拥有的,对,对数据,库,库操作,的,的权限,10.3.3,自定义,数,数据库,角,角色:,CREATE/DROPROLE,2,.命令,创,创建数,据,据库角,色,色,(,1,)定义,数,数据库,角,角色创,创建用,户,户自定,义,义数据,库,库角色,可,可以使,用,用,CREATEROLE,语句语法格,式,式:,CREATEROLE,角色名,[ AUTHORIZATION,所有者,名,名,],【例,10.6,】在当前,数,数据库,中,中创建,名,名为,ROLE2,的新角,色,色,并,指,指定,dbo,为该角,色,色的所,有,有者USEpxscj,GO,CREATEROLEROLE2,AUTHORIZATION dbo,(,2,)给数,据,据库角,色,色添加,成,成员向,向用户,定,定义数,据,据库角,色,色添加,成,成员也,使,使用存,储,储过程,sp_ addrolemember,,用法与之,前,前介绍的基,本,本相同例,10.7,】将,SQL Server,登录名创建,的,的,pxscj,的数据库用,户,户,User_SQL_tao,添加到数据,库,库角色,ROLE1,中。
将数据,库,库角色,ROLE2,添加到,ROLE1,中EXECsp_addrolemember 'ROLE1','User_SQL_tao',EXECsp_addrolemember 'ROLE1','ROLE2',,10.3.3,自定义数据,库,库角色:,CREATE/DROP ROLE,3,.命令删除,数,数据库角色,要删除数据,库,库角色可以,使,使用,DROPROLE,语句语法,格,格式:,DROPROLE,角色名,其中,“角,色,色名”为要,删,删除的数据,库,库角色的名,称,称例,10.8,】删除数据库,角,角色,ROLE2,在删除,ROLE2,之前,首先,需,需要将,ROLE2,中的成员删,除,除,可以使,用,用界面方式,,,,也可以使,用,用命令方式,若使用界,面,面方式,只,需,需在,ROLE2,的属性页中,操,操作即可确,确认,ROLE2,可以删除后,,,,使用以下,命,命令删除,ROLE2,:,DROPROLEROLE2,,10.3.4,应用程序角,色,色,创建应用程,序,序角色步骤,如,如下:,(,1,)以系统管,理,理员身份连,接,接,SQL Server,,在“对象,资,资源管理器,”,”窗口中展,开,开“数据库,”,”→“,pxscj,”→“安全,性,性”→“角,色,色”,右击,“,“应用程序,角,角色”,选,择,择“新建应,用,用程序角色,”,”。
2,)在“应,用,用程序角,色,色,-,新建”窗,口,口中输入,应,应用程序,角,角色名称,“,“,APPRole,”,默认,架,架构“,dbo,”,设置,密,密码为“,123,”,,,,,如,如,图,图,10.12,所,示,示,10.3.4,应,用,用,程,程,序,序,角,角,色,色,图,10.12,新,建,建,应,应,用,用,程,程,序,序,角,角,色,色,(,(,常,常,规,规,),),10.3.4,应,用,用,程,程,序,序,角,角,色,色,在,“,“,安,安,全,全,对,对,象,象,”,”,选,选,项,项,页,页,中,中,,,,,可,可,以,以,单,单,击,击,“,“,搜,搜,索,索,”,”,按,按,钮,钮,,,,,添,添,加,加,“,“,特,特,定,定,对,对,象,象,”,”,,,,,选,选,择,择,对,对,象,象,为,为xsb,表,表,单,单,击,击,“,“,确,确,定,定,”,”,按,按,钮,钮,回,回,到,到,“,“,安,安,全,全,对,对,象,象,”,”,选,选,项,项,页,页,中,中,,,,,授,授,予,予xsb,表,表,的,的,“,“,选,选,择,择,”,”,权,权,限,限,(,(,如,如,图,图10.13,所,所,示,示,),),,,,,完,完,成,成,后,后,单,单,击,击,“,“,确,确,定,定,”,”,按,按,钮,钮,。
10.3.4,应用程,序,序角色,(,3,)添加,User_SQL_tao,用户为,db_denydatareader,数据库,角,角色的,成,成员,,使,使用“,SQL_tao,”登录,名,名连接,SQLServer,此后,,在,在查询,窗,窗口中,输,输入如,下,下语句,:,:,USEpxscj,GO,SELECT*FROM xsb,运行结,果,果显示,出,出错信,息,息4,)使用,系,系统存,储,储过程,sp_setapprole,激活应,用,用程序,角,角色,,语,语句如,下,下:,EXEC sp_setapprole'APPRole','123',(,5,)在查,询,询窗口,中,中重新,输,输入第,(,(,3,)步中,的,的查询,语,语句,,成,成功地,执,执行了,查,查询10.4,数据库,权,权限的,管,管理,10.4.1,授予权,限,限:,GRANT,1,.以命,令,令方式,授,授予权,限,限,利用,GRANT,语句可,以,以给数,据,据库用,户,户或数,据,据库角,色,色授予,数,数据库,级,级别或,对,对象级,别,别的权,限,限语法格,式,式:,GRANT{ ALL[ PRIVILEGES]} |,权限,[(,列,[,...])][,...],[ON,安全,对,对象,]TO,主体,[,...],[WITHGRANTOPTION][AS,主体,],【例,10.9,】给,pxscj,数据,库,库上,的,的用,户,户,User_liu,和,User_SQL_liu,授予,创,创建,表,表的,权,权限,。
以系,统,统管,理,理员,(,(,sa,)身,份,份登,录,录,SQLServer,,新建一,个,个查询,,输,输入以下,语,语句:,USEpxscj,GO,GRANT CREATETABLE,TO User_liu,User_SQL_liu, Role1,GO,说明:授,予,予数据库,级,级权限时,,,,,CREATE DATABASE,权限只能,在,在,master,数据库中,被,被授予10.4.1,授予权限,:,:,GRANT,【例10.10】,首,首先,在,在pxscj数据,库,库中给public角色授,予,予xsb,表,表的SELECT,权,权限然,后,后,将其,他,他一些权,限,限授予用,户,户User_liu和User_SQL_liu,使,用,用户有对xsb表,的,的所有操,作,作权限以系统管,理,理员身份,登,登录SQL Server,,,,新建一,个,个查询,,输,输入以下,语,语句:,USEpxscj,GO,GRANT SELECT,ON xsb,TO public, Role2,GO,GRANT INSERT, UPDATE, DELETE, REFERENCES,ON xsb,TO User_liu,User_SQL_liu,GO,,10.4.1,授予权限,:,:,GRANT,2,.以界面,方,方式授予,语,语句权限,1,)授予数,据,据库的权,限,限,【例,10.11,】数据库用,户,户,User_SQL_tao,授予,pxscj,数据库的,CREATE TABLE,语句的权,限,限(即创,建,建表的权,限,限)。
1,)选择“,pxscj,”数据库,,,,右击鼠,标,标,选择,“,“属性”,菜,菜单项进,入,入,pxscj,数据库的,“,“数据库,属,属性”窗,口,口,选择,“,“权限”,页,页在“,用,用户或角,色,色”栏中,选,选择需要,授,授予权限,的,的用户或,角,角色:,User_SQL_tao,,在窗口,下,下方列出,的,的“权限,”,”列表中,找,找到相应,的,的权限:,创,创建表,,在,在复选框,中,中打钩,,单,单击“确,定,定”按钮,即,即可完成,,,,如图,10.14,所示2,)如果需,要,要授予权,限,限的用户,在,在列出的,“,“用户或,角,角色”列,表,表中不存,在,在,则可,以,以单击“,搜,搜索”按,钮,钮将该用,户,户添加到,列,列表中再,选,选择单,击,击“有效,”,”选项卡,可,可以查看,该,该用户在,当,当前数据,库,库中有哪,些,些权限10.4.1,授予权限,:,:,GRANT,图10.14 “,数,数据库属,性,性”窗口,10.4.1,授予权限,:,:,GRANT,2,)授予数,据,据库对象,上,上的权限,【例,10.12,】给数据库,用,用户,User_SQL_tao,授予,kcb,表上的,SELECT,、,INSERT,的权限。
1,)选择“,pxscj,”数据库,→,→“表”,→,→“,kcb,”,右击,鼠,鼠标,选,择,择“属性,”,”菜单项,进,进入,kcb,表的属性,窗,窗口,选,择,择“权限,”,”选项页,2,)单击“,搜,搜索”按,钮,钮,在弹,出,出的“选,择,择用户或,角,角色”窗,口,口中单击,“,“浏览”,按,按钮,选,择,择需要授,权,权的用户,或,或角色:,User_SQL_tao,),选择,后,后单击“,确,确定”按,钮,钮回到,kcb,表的“表,属,属性”窗,口,口3,)如图,10.15,所示,在,“,“权限”,列,列表中选,择,择需要授,予,予的权限,,,,如“插,入,入”,单,击,击“确定,”,”按钮完,成,成授权4,)如果要,授,授予用户,在,在表的列,上,上的,SELECT,权限,可,以,以选择“,选,选择”权,限,限后单击,“,“列权限,”,”按钮,,在,在弹出的,“,“列权限,”,”对话框,中,中选择要,授,授予权限,的,的列10.4.2,拒绝权限,使用,DENY,命令可以,拒,拒绝给当,前,前数据库,内,内的用户,授,授予的权,限,限,并防,止,止数据库,用,用户通过,其,其组或角,色,色成员资,格,格继承权,限,限。
语法格式,:,:,DENY{ ALL [PRIVILEGES] },|,权限,[ (,列,[ ,...] )] [, ... ],[ ON,安全对象,] TO,主体,[ ,...],[ CASCADE] [AS,主体,],【例,10.13,】对,User_SQL_liu,用户和,ROLE2,角色成员,不,不允许使,用,用,CREATE VIEW,和,CREATE TABLE,语句DENYCREATEVIEW, CREATETABLE,TO User_SQL_liu,ROLE2,GO,,10.4.2,拒,绝,绝,权,权,限,限,【,例,例,10.14,】拒,绝,绝,用,用,户,户,User_SQL_liu,、,[PC-201412101514\liu],对,xsb,表,的,的,一,一,些,些,权,权,限,限,,,,,这,这,样,样,,,,,这,这,些,些,用,用,户,户,就,就,没,没,有,有,对,对,xsb,表的操作权,限,限了USE pxscj,GO,DENYSELECT, INSERT,UPDATE, DELETE,ON xsb TOUser_SQL_liu, [PC-201412101514\liu],GO,,10.4.3,撤销权限,利用,REVOKE,命令可撤销,以,以前给当前,数,数据库用户,授,授予或拒绝,的,的权限。
语法格式:,REVOKE [ GRANTOPTION FOR],{,[ ALL[ PRIVILEGES ]],|,权限,[ (,列,[ , ... ]) ] [, ... ],},[ ON,安全对象,],{ TO| FROM },主体,[ , ... ],[ CASCADE][ AS,主体,],,10.4.3,撤销权限,【例,10.15,】取消已授予,用,用户权限1,)取消授予,多,多个用户的,多,多个语句权,限,限REVOKE CREATE TABLE,CREATE DEFAULT,FROMUser_liu,User_SQL_liu,GO,(,2,)取消,User_liu,授予或拒绝,的,的在,xsb,表上的,SELECT,权限REVOKE SELECT,ON xsb,FROMUser_liu,,10.5,数据库架构,的,的定义和使,用,用,10.5.1,以界面方式,创,创建架构,1,.创建架构,【例,10.16,】在,pxscj,数据库中创,建,建架构步骤如下:,(,1,)以系统管,理,理员身份登,录,录,SQL Server,,在“对象,资,资源管理器,”,”中展开“,数,数据库”→,“,“,pxscj,”→“安全,性,性”,选择,“,“架构”,,右,右击鼠标,,在,在弹出的快,捷,捷菜单中选,择,择“新建架,构,构”菜单项,。
2,)在打开的,“,“架构,-,新建”窗口,中,中选择“常,规,规”选项页,,,,在窗口右,边,边“架构名,称,称”下面的,文,文本框中输,入,入架构名称,(,(如,Sch_test,)单击“,搜,搜索”按钮,,,,在打开的,“,“搜索角色,和,和用户”对,话,话框中单击,“,“浏览”按,钮,钮,在打开,的,的“查找对,象,象”对话框,中,中,在用户,“,“,User_SQL_liu,”前面的复,选,选框中打钩,,,,单击“确,定,定”按钮,,返,返回“搜索,角,角色和用户,”,”对话框单,单击“确定,”,”按钮,返,回,回“架构,-,新建”窗口,,,,如图,10.16,所示3,)创建完后,,,,在“数据,库,库”→“,pxscj,”→“安全,性,性”→“架,构,构”中,可,以,以找到该创,建,建后的新架,构,构,打开该,架,架构的属性,窗,窗口可以更,改,改架构的所,有,有者10.5.1,以界面方式,创,创建架构,图10.16 新建,架,架构,10.5.1,以界面方式,创,创建架构,2,.架,构,构应,用,用,【例,10.17,】架构,创,创建,完,完后,,,,可,以,以新,建,建一,个,个测,试,试表,来,来测,试,试如,何,何访,问,问架,构,构中,的,的对,象,象。
1,)在,“,“表,属,属性,”,”窗,口,口中,将,将其,架,架构,修,修改,为,为,Sch_test,设,置,置完,成,成后,保,保存,该,该表,,,,保,存,存后,的,的表,可,可以,在,在“,对,对象,资,资源,管,管理,器,器”,中,中找,到,到,,此,此时,表,表名,就,就已,经,经变,成,成,Sch_test.table_1,2,)打,开,开表,Sch_test.table_1,,在,表,表中,输,输入,一,一行,数,数据,“,“测,试,试架,构,构的,使,使用,”,”3,),在,在,“,“,对,对,象,象,资,资,源,源,管,管,理,理,器,器,”,”,中,中,展,展,开,开,数,数,据,据,库,库,“,“,pxscj,”,→,→,“,“,安,安,全,全,性,性,”,”,→,→,“,“,架,架,构,构,”,”,,,,,选,选,择,择,新,新,创,创,建,建,的,的,架,架,构,构,Sch_test,,,右,右,击,击,鼠,鼠,标,标,,,,,在,在,弹,弹,出,出,的,的,快,快,捷,捷,菜,菜,单,单,中,中,选,选,择,择,“,“,属,属,性,性,”,”,菜,菜,单,单,项,项,,,,,打,打,开,开,“,“,架,架,构,构。
