《数据库的安全性》PPT课件.ppt

第11章 数据库的安全性 教学提示：安全性对于任何一种数据库管理系统来说 都是至关重要的，SQL Server 2000 提供了有效的 数据访问安全机制。本章以附录2SQL上机考试与 辅助阅卷系统安全性设计与实现为教学案例。 教学要求：通过本章的学习，读者应该掌握SQL 服务 器安全性机制及其运用。 11.1 SQL Server的安全机制 11.2 服务器登录 11.3 服务器角色 11.4 数据库用户 11.5 数据库角色 11.6 管理权限 数据库管理系统的安全性 SQL Server 的安全机制 设置安全认证模式 服务器登录账户 考试案例简介 增加登录账户 阻止账户登录 删除登录账户 第11章 数据库的安全性 添加数据库用户 修改和查看数据库用户 删除数据库用户 特殊数据库用户 dbo、guest 固定服务器角色 查看固定服务器角色成员 向固定服务器角色中添加成员 从固定服务器角色中删除成员 固定数据库角色 自定义数据库角色 管理数据库角色成员 权限 使用企业管理器管理权限 使用T-SQL语句管理权限 第11章 数据库的安全性 1安全机制 DBMS安全性 SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 1 SQL Server的安全机制 1.1 1.1 数据库管理系统的安全性数据库管理系统的安全性 1.2 SQL Server1.2 SQL Server的安全机制的安全机制 第11章 数据库的安全性 1安全机制 DBMS安全性 SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 数据库管理系统的安全性通常包括两个 方面：一是指数据访问的安全性，二是 指数据运行的安全性(数据库维护：灾 难恢复等)。 数据访问的安全性是指设计和实现数据 库资源的授权访问，即设计和实现授权 的用户在指定的时间、指定或允许的地 点(计算机)、授权的访问方式访问数据 库中的指定的数据资源。 1.1 数据库管理系统的安全性 第11章 数据库的安全性 1安全机制 DBMS安全性 SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 计算机连接计算机连接( (计算机级计算机级) ) 服务器的登录服务器的登录( (服务器级服务器级) ) 数据库的访问数据库的访问( (数据库数据库级级) ) 表或视图的访问表或视图的访问( (数据表或视图数据表或视图级级) ) 过程、内嵌表值函数的访问过程、内嵌表值函数的访问( (过程或函数级过程或函数级) ) 表或视图中列的访问表或视图中列的访问( (字段级字段级限限) ) 1.2 SQL Server的安全机制 身份验证/连接权 权限验证/访问权 6 6级级/2/2阶段阶段 第11章 数据库的安全性 1安全机制 DBMS安全性 SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 计算机连接计算机连接( (计算机级计算机级) ) 服务器登录服务器登录( (服务器级服务器级) ) 数据库访问数据库访问( (数据库数据库级级) ) 表或视图访问表或视图访问( (数据表或视图数据表或视图级级) ) 过程、内嵌表值函数访问过程、内嵌表值函数访问( (过程或函数级过程或函数级) ) 表或视图中列的访问表或视图中列的访问( (字段级字段级限限) ) 1.2 SQL Server的安全机制 搜索或ping到安装SQL Server 服务器的计算机。 在要访问的数据库中建立数据库用户并与登录账号关联。 登录SQL Server服务器的登录账户和口令。 数据库用户对要访问的库中的表(视图)设有访问权限。 数据库用户对要访问的库中的过程或函数设有访问权限。 数据库用户对要访问的表(视图)中列的设有访问权限。 第11章 数据库的安全性 1安全机制 DBMS安全性 SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 1.2 SQL Server的安全机制 第11章 数据库的安全性 2 服务器的登录账户 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 2 2. .1 1 设置安全认证模式设置安全认证模式 2 2. .2 2 服务器登录账户服务器登录账户 2.3 2.3 SQLSQL上机考试与辅助阅卷系统上机考试与辅助阅卷系统案例简介案例简介 2.4 2.4 增加登录账户增加登录账户 2.5 2.5 阻止账户登录阻止账户登录 2 2. .6 6 删除登录账户删除登录账户 第11章 数据库的安全性 2 2. .1 1 设置安全认证模式设置安全认证模式 【例11.1】查看或设置SQL Server的安全认证模式。 (1) 展开【服务器组】、右击服务器 (2) 单击【属性】，弹出【SQL Server属性】，单击【安 全性】 (3) 在【身份验证】中【仅Windows或【 SQL Server和 Windows】选项。 (4) 在【审核级别】中选择【无】、【成功】、【失败】 或【全部选项。 (5) 在【启动服务账户】中选择【系统账户】或【本账户 】选项。 (6) 单击【确定】，重新启动SQL Server。 如图11.1所示。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2 2. .1 1 设置安全认证模式设置安全认证模式 WindowsWindows身份验证模式身份验证模式 SQL Server SQL Server 身份验证模式身份验证模式 仅仅WindowsWindows验证模式验证模式 SQL ServerSQL Server和和WindowsWindows 使用Windows操作系统的登录账户和密码连接SQL 服务器。 与 Windows安全系统集成在一起，优点：如安全 验证和密码加密、审核、密码过期、最短密码长 度，多次登录请求无效后锁定账户。 只使用Windows身份验证模式。 使用SQL Server的登录账户和密码连接SQL服务器。 用户提供登录账户和密码先在SQL Server中验证， 如果验证失败后，再去进行Windows身份验证。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2 2.2 .2 服务器登录账户服务器登录账户 1 1用企业管理器查看登录账户用企业管理器查看登录账户 【例11.2】使用企业管理器查看服务器登录账号。 (1) 展开【服务器组】、服务器、【安全性】。 (2) 单击【登录】，在详细信息窗格中显示登录账号信息 。如图11.2所示。 登录账户(LoginName)是指用户登录(连接) SQL Server服务器的账户和密码，是进入数据库服务器 的第一张通行证。 2 2用用T-SQLT-SQL语句查看登录账户语句查看登录账户 【例11.3】使用T-SQL语句查看服务器登录账号 。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2 2.2 .2 服务器登录账户服务器登录账户 3 3 特殊登录账户特殊登录账户 sa：SQL Server数据库服务器系统管理员登录账户。 不可删除、不能更改。该账户拥有最高的管理权限，不 要轻易使用sa。 BUILTINAdministrators：一个Windows组账户，凡属 于该组的Windows账户都可作为SQL Server的登录账户 ，可删除。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.3 2.3 SQLSQL上机考试与辅助阅卷系统上机考试与辅助阅卷系统案例简介案例简介 简介：从题库中16份试题通过随机 等方式为同学们发放试题；学生通 过上机方式完成试卷，并将其结果 提交到数据库中；教师再从数据库 中取出试卷进行阅卷（其中选择题 、判断题、填空题自动批阅）并汇 总学生考试成绩。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.3 2.3 SQLSQL上机考试与辅助阅卷系统上机考试与辅助阅卷系统案例简介案例简介 登录录名数据库库用户户/ 角色 描述 SQL考试试客 户户 SQL考试试客户户只用在用户户登录录开始连连接服务务器时时，登录录 后用户户成为为相应应的老师师或学生。只可查询查询 参数表和学生信息表中学号、姓名、座号、 身份证证号，填写学生信息表中的座号。 SQL考试试教 师师 SQL考试试教师师设设置为为数据库库的所有者角色，具有本数据库库 的所有权权限，但不能修改试试卷完成表中的答 案、结结果图图、提交时间时间 和提交机器的内容。 sqltest100001高翔100001学号为为100001的学生登录账户录账户 。 考生(角色)所有考生都是这这个角色的成员员，只能进进行个 人答卷，不可查询别查询别 人的答案或标标准答案， 即只可查询查询 参数表和执执行p学生查询查询 个人试试 卷、p学生提交试试卷答案。 saDbo服务务器管理员员sa，具有服务务器和本数据库库的 所有权权限。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.4 2.4 增加登录账户增加登录账户 1 1 用企业管理器管理登录账户用企业管理器管理登录账户 【例11.4】创建登录账号SQL考试客户 。 (1) 双击SQL上机考试与阅卷系统.exe文件 ，自解压安装到：E:SQL上机考试与阅卷系 统。 (2) 展开【服务器组】、服务器，右击【数据库 】选择【所有任务】、【附加数据库】菜单， 弹出【附加数据库】对话框，单击【】按钮 选“E:SQL上机考试与阅卷系统SQL考试 数据库.mdf”进行附加。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.4 2.4 增加登录账户增加登录账户 1 1 用企业管理器管理登录账户用企业管理器管理登录账户 【例11.4】创建登录账号SQL考试客户 。 (3) 展开【服务器组】、服务器、【安全性】。 (4) 右击【登录】，选择【新建登录(L)】，弹出【SQL Server登录属性 新建登录】，如图11.3所示。 (5) 单击【常规】、【服务器角色】、【数据库用户】选项 卡填写相关内容：名称：SQL考试客户、数据库：SQL考试 数据库、密码：123，选：SQL身份验证。 (6) 单击【确定】，弹出【确认密码】对话框。 (7) 在【确认密码】对话框，填写【确认新密码】，并单击 【确定】按钮。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.4 2.4 增加登录账户增加登录账户 2 2用存储过程用存储过程sp_addloginsp_addlogin创建登录账户创建登录账户 【例11.5】使用T-SQL语句创建服务器登录账号 。 语法：sp_addlogin 登录名 , 密码 , 默认数据库 , 默认语言 功能：创建SQL Server身份验证的登录账户。 提示：用sp_defaultdb存储过程可以更改用户的 默认数据库。 用sp_defaultlanguage存储过程可以更改 用户的默认语言。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.4 2.4 增加登录账户增加登录账户 3 3 用存储过程用存储过程sp_grantloginsp_grantlogin授权授权WindowsWindows登录账户登录账户 语法：sp_grantlogin 登录名 功能：授予Windows NT用户或组的成员登 录连接数据库服务器。 注意：只有sysadmin和securityadmin角 色的账户可用sp_addlogin创建SQL Server身份验证的登录账户、可用 sp_grantlogin授权windows账户登录 SQL Server。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.5 2.5 阻止账户登录阻止账户登录 在SQL Server中要阻止某账户的登录，对 于Windows身份验证的账户可用拒绝登录 方式阻止，对于SQL Server身份验证的 账户可以修改密码而不通知该密码的用 户方式阻止，更彻底的方法是删除账户 。 在SQL Server应用中，有时SQL Server身 份验证的账户忘记登录密码需要数据库 管理员重新设置密码，有时用户本人认 为登录可能泄漏需要更新自己的登录密 码。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.5 2.5 阻止账户登录阻止账户登录 1. 1. 用企业管理器设置用企业管理器设置SQL ServerSQL Server身份验证账号密码身份验证账号密码 操作步骤： (1)展开【服务器组】、服务器、【安全性】，单击【登录 】。 (2)右击要设置的SQL Server身份账户，选择【属性】，弹 出【SQL Server登录属性】对话框。 (3)在【常规】选项卡的密码区域输入新密码。 (4)单击【确定】，弹出【确认密码】对话框。 (5)在【确认密码】对话框，填写【确认新密码】，并单击 【确定】按钮。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.5 2.5 阻止账户登录阻止账户登录 2 2 用存储过程用存储过程sp_passwordsp_password修改修改SQL ServerSQL Server 身份验证账号密码身份验证账号密码 语法：sp_password 旧密码, 新密码 , 登录账户 功能：修改SQL Server身份账户的登录密码。 【例11.6】以SQL考试教师身份连接查询分析器,连接时 输入自己的登录密码1949,修改自己的登录密码， 假设原密码为：1949，新密码为：1999。 【例11.7】设置SQL考试教师的登录密码为2008。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.5 2.5 阻止账户登录阻止账户登录 3.3.用企业管理器授予用企业管理器授予/ /拒绝拒绝WindowsWindows账户登录账户登录 操作步骤： (1)展开【服务器组】，展开要设置的服务器， 展开【安全性】，单击【登录】。 (2)右击要设置的Windows身份验证账户，选择【 属性】菜单项，弹出【SQL Server登录属性】 对话框。 (3)在【常规】选项卡的身份验证区域单击【拒 绝访问】/【允许访问】选项。 (4)单击【确定】按钮。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2.5 2.5 阻止账户登录阻止账户登录 4 4 用存储过程用存储过程sp_denyloginsp_denylogin拒绝拒绝WindowsWindows账户登录账户登录 格式：sp_denylogin 登录名 功能：拒绝Windows NT用户或组的成员登 录数据库服务器。 注意：其中登录名是要授权的Windows NT用户或组，必须用Windows NT域名 限定，其格式为“域名组名”或“域 名用户名”。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2 2. .6 6 删除登录账户删除登录账户 1.1.用企业管理器删除登录账户用企业管理器删除登录账户 操作步骤： (1)展开【服务器组】，展开要设置的服务器，展开【安全 性】，单击【登录】。 (2)右击要删除的登录账户，单击【删除】菜单项。 (3)在确认对话框中单击【是】按钮。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 2 2. .6 6 删除登录账户删除登录账户 2. 2. 用用T-SQLT-SQL语句删除登录账户语句删除登录账户 语法：sp_revokelogin 登录名 功能：撤销Windows身份验证的登录账户。 语法: sp_droplogin 登录名 功能：删除sql server身份验证的登录账户。 注意：只有sysadmin和securityadmin角 色的账户可用和sp_droplogin删除SQL Server身份验证的登录账户、可用 sp_revokelogin撤销windows账户登录 SQL Server。 1安全机制 2服务器登录 安全认证模式 登录账户 考试案例 增加登录账户 阻止账户登录 删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3 3 服务器的角色服务器的角色 角色是指服务器管理、数据库管理和访问的机制，包含 两方面的内涵，一是角色的成员，二是角色的权限， 即指定角色中成员允许行使的权限。角色通过添加或 删除成员方法增减成员，通过授予、拒绝或撤销方法 增减权限。因此，权限可理解为岗位或职务，通过任 免指定职务的人员，通过赋予或撤销增减职务的权限 。 SQL Server 2000有两种类型的预定义角色：固定服务器 角色(ServerRole)和固定数据库角色。这些角色是预 先定义的，角色的种类和每个角色的权限都是固定的 、不可更改或删除，只允许为其添加或删除成员 (public角色除外,其权限可以增减，其成员是数据库 中所有的数据库用户)。 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3 3 服务器的角色服务器的角色 3 3. .1 1 固定服务器角色固定服务器角色 3 3. .2 2 查看固定服务器角色成员查看固定服务器角色成员 3.3 3.3 向固定服务器角色中添加成员向固定服务器角色中添加成员 3.4 3.4 从固定服务器角色中删除成员从固定服务器角色中删除成员 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3 3. .1 1 固定服务器角色固定服务器角色 SQL Server 事先设计了8个固定的服务器角色 。这些角色是定义在服务器级上，存在于用 户数据库之外，具有完成特定服务器级管理 活动的权限，其作用域在服务器范围内。 固定服务器角色的成员是服务器的登录账户。 最初可由sa超级账户将其他登录账户添加到 任一种固定服务器角色中，也可由系统管理 员角色(sysadmin)或安全管理员角色 (securityadmin)的成员将其他登录账户添 加到任一种固定服务器角色中，还可以由每 种固定服务器角色的每个成员向该角色中添 加其他登录账户。 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3 3. .1 1 固定服务器角色固定服务器角色 固定服务务器角色权权力 sysadmin系统管理员进行任何活动。 serveradmin服务器管理员配置服务器范围的设置。 setupadmin设置管理员添加和删除链接服务器，并 执行某些系统存储过 程(如 sp_serveroption)。 securityadmin安全管理员登录账 号、用户、角色、权 限等管理。 processadmin进程管理员进程管理。 dbcreator数据库创 建者创建和改变数据库。 diskadmin磁盘管理员管理磁盘文件。 bulkadmin 执行 BULK INSERT 语句。 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3 3. .2 2 查看固定服务器角色成员查看固定服务器角色成员 1.1.用企业管理器查看固定服务器角色用企业管理器查看固定服务器角色 (1)展开【服务器组】，展开要查看的服务器名，再展开【 安全性】。 (2)单击【服务器角色】，在详细信息窗格显示固定服务器 角色。 2.2.用企业管理器查看固定服务器角色成员用企业管理器查看固定服务器角色成员 (1)展开【服务器组】，展开要查看的服务器名； (2)展开【安全性】，单击【服务器角色】； (3)在详细信息窗格右击选定的角色，单击【属性】； (4)在【服务器角色属性】对话框中显示该角色的成员(登 录账户)列表。 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3 3. .2 2 查看固定服务器角色成员查看固定服务器角色成员 3.3.用存储过程用存储过程sp_helpsrvrolesp_helpsrvrole查看固定服务器角色查看固定服务器角色 语法：sp_helpsrvrole 固定服务器角色名 4.4.用存储过程用存储过程sp_helpsrvrolemembersp_helpsrvrolemember查看固定服务器角色成员查看固定服务器角色成员 语法：sp_helpsrvrolemember 固定服务器角色名 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3.3 3.3 向固定服务器角色中添加成员向固定服务器角色中添加成员 【例11.8】为使SQL考试教师能够建立学生的登录账户，需 要向固定服务器角色安全管理员角色securityadmin中添 加成员SQL考试教师。 (1)展开【服务器组】、服务器、【安全性】。 (2)单击【服务器角色】，在详细信息窗格显示固定服务器 角色。 (3)右击【securityadmin】角色行，选择【属性】。 (4)在【服务器角色属性】中，单击【常规】选项卡 ，单 击【添加】，如图11.4所示。 (5)在添加成员对话框中，选择登录账户【SQL考试教师】 、单击【确定】。 (6) 在【服务器角色属性】对话框中，单击【确定】。 1.1.用企业管理器向固定服务器角色中添加成员用企业管理器向固定服务器角色中添加成员 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3.3 3.3 向固定服务器角色中添加成员向固定服务器角色中添加成员 语法格式： sp_addsrvrolemember 登录用户名，固定服务器角色名 【例11.9】设置SQL考试教师为sysadmin角色的成员， 使其能够在SQL服务器中进行任何活动。 2 2. .用用sp_addsrvrolemembersp_addsrvrolemember添加成员添加成员 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 3.4 3.4 从固定服务器角色中删除成员从固定服务器角色中删除成员 (1)展开【服务器组】、服务器、【安全性】。 (2)单击【服务器角色】在详细窗格显示固定服务器角色。 (3)右击要删除成员的服务器角色行，单击【属性】。 (4)在【服务器角色属性】对话框中，单击【常规】卡。 (5)选择要删除的登录账户、单击【删除】、【确定】。 1.1.用企业管理器从固定服务器角色中删除成员用企业管理器从固定服务器角色中删除成员 语法格式： sp_dropsrvrolemember 登录用户名，固定服务器角色名 【例11.10】从sysadmin角色中删除SQL考试教师 成员 2 2. .用用sp_dropsrvrolemembersp_dropsrvrolemember删除成员删除成员 1安全机制 2服务器登录 3服务器角色 固定服务器角色 查看成员 增加成员 删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 4 4 数据库的用户数据库的用户 4 4. .1 1 添加数据库用户添加数据库用户 4 4. .2 2 修改和查看数据库用户修改和查看数据库用户 4.3 4.3 删除数据库用户删除数据库用户 4.4 4.4 特殊数据库用户特殊数据库用户 dbodbo、guestguest 数据库用户(dbAccess)：对于每个要求访问数据库的登录账户 ，必须在要访问的数据库中建立该数据库的访问账户，且 与其登录账户链接关联，才可进入该数据库访问（注：该 数据库中有guest数据库用户或该登录账户加入相应固定数 据库角色除外）。否则，该登录账户就无法进入该数据库 访问。这个数据库访问账户就是数据库用户(dbAccess)。 有关信息保存在各自数据库sysusers表中。 1安全机制 2服务器登录 3服务器角色 4数据库用户 添加用户 修改查看用户 删除用户 特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 4 4. .1 1 添加数据库用户添加数据库用户 【例11.11】为SQL考试数据库添加数据库用户。 (1)展开【服务器组】，展开要查看的服务器名。 (2)展开【服务器】，展开【SQL考试数据库】数据库。 (3)右击【用户】，单击【新建数据库用户.】菜单，弹 出【数据库用户属性新建用户】对话框。如图11.5 所示。 (4) 从登录名下拉列表框中选择一个登录账号。 (5) 在用户名框中输入数据库用户名。 (6) 单击【确定】按钮。 1.1.使用企业管理器添加数据库用户使用企业管理器添加数据库用户 1安全机制 2服务器登录 3服务器角色 4数据库用户 添加用户 修改查看用户 删除用户 特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 4 4. .1 1 添加数据库用户添加数据库用户 语法：sp_grantdbaccess 登录账户名, 数据库用户名 功能：在当前数据库中，添加数据库用户名为本数据库的 用户，并与将账户名为登录账户名的登录账户链接(关 联)。 【例11.12】在当前数据库SQL考试数据库中，创建SQL考 试教师名字的数据库用户，并与SQL考试数据库登录 账户关联。 2 2. .使用使用T-SQLT-SQL语句添加数据库用户语句添加数据库用户 1安全机制 2服务器登录 3服务器角色 4数据库用户 添加用户 修改查看用户 删除用户 特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 4 4. .2 2 修改和查看数据库用户修改和查看数据库用户 修改数据库用户，即修改用户所属的数据库的角色 及所拥有的权限。这些内容分别在介绍数据库角 色和管理权限的部分介绍。 查询分析器： FExec sp_helpuser Fselect user Fselect user_name() 企业管理器：展开【服务器组】，服务器，【数据 库】，展开要查看的数据库，单击【用户】，在 详细信息窗格中显示该数据库的用户。 查看数据库用户： 1安全机制 2服务器登录 3服务器角色 4数据库用户 添加用户 修改查看用户 删除用户 特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 4.3 4.3 删除数据库用户删除数据库用户 (1)展开【服务器组】、服务器、【数据库】、数 据库； (2)单击【用户】，在详细信息窗格中右击想要删 除的数据库用户，选择【删除】，在确认对话框 中单击【是】。 1.1.使用企业管理器删除数据库用户使用企业管理器删除数据库用户 语法：sp_revokedbaccess 数据库用户名 2 2. .使用使用sp_revokedbaccesssp_revokedbaccess删除数据库用户删除数据库用户 1安全机制 2服务器登录 3服务器角色 4数据库用户 添加用户 修改查看用户 删除用户 特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 4.4 4.4 特殊数据库用户特殊数据库用户 dbodbo、guestguest dbo是数据库对象的所有者，每个数据库中都存 在，不能删除，具有操作该数据库的最高权 力。户与该数据库创建者的登录账户关联， 自动关联固定服务器角色sysadmin中的所有 成员，同时sysadmin的任何成员创建的任何 对象都自动属于dbo。 guest用户:允许在该数据库中没有相应用户的登 录账户访问数据库，即可认为guest自动关 联服务器所有登录账户。guest 用户可以同其他 用户账户一样被授于权限。默认情况下，新建的数据 库中没有 guest 用户。可以在除 master 和 tempdb 外（在这两个数据库中它必须始终存在）的所有数据 库中添加或删除 guest 用户。 1安全机制 2服务器登录 3服务器角色 4数据库用户 添加用户 修改查看用户 删除用户 特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 5 5 数据库的角色数据库的角色 5 5. .1 1 固定数据库角色固定数据库角色 5 5. .2 2 自定义数据库角色自定义数据库角色 5.3 5.3 管理数据库角色成员管理数据库角色成员 数据库角色(dbRole)是定义在数据库级上，保存在各自数据 库的系统表sysusers之中，作用在各自的数据库之内，同 样包含两方面的内涵，一是角色的成员，二是角色的权限 。数据库角色的成员是数据库用户(dbAccess)。数据库角 色分为固定数据库角色、用户自定义角色和应用程序角色 。本书只介绍前2种角色。 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 固定数据库角色 自定义数据库角色 管理数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 5 5. .1 1 固定数据库角色固定数据库角色 固定数据库角色是系统预定义在数据库级上管理的角色，除 public角色外，角色的种类和每个角色的权限都是固定的 、不可更改或删除，只允许为其添加或删除成员。每个数 据库都有10个固定数据库角色，如下表所示。 public是一个特殊的数据库角色，数据库中的每个数据库用 户都自动是此角色的成员，最初创建只有本数据库的系统 表和系统视图的select权限。 可以通过授予、拒绝或撤 销方法增减权限，提供数据库中所有用户的默认权限。 查看固定数据库角色列表： F 展开【服务器组】、服务器、【数据库】、数据库，单击 【角色】，在右侧详细信息窗格中列出角色列表。 F 查询分析器中，执行sp_helpdbfixedrole 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 固定数据库角色 自定义数据库角色 管理数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 5 5. .1 1 固定数据库角色固定数据库角色 角色描述 Public所有人 db_owner所有者，在数据库库中拥拥有全部权权限 db_accessadmin用户户管理者，可以添加或删删除用户户ID db_securityadmin 安全管理者，管理权权限、所有权权、角色和 成员资员资 格 db_ddladmin 可以发发出 ALL DDL(除GRANT、REVOKE 、 DENY) db_backupoperator 备备份操作者。 db_datareader 数据读读者，可以读读本库库内任何表的数据 db_datawriter 数据写者，可以插入、删删除、修改本数据 库库内任何表中的数据。 db_denydatareader 不能读库读库 内任何表中任何数据用户户。 db_denydatawriter 不能改库库内任何表中任何数据用户户。 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 固定数据库角色 自定义数据库角色 管理数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 5 5. .2 2 自定义数据库角色自定义数据库角色 （1）展开【服务器组】、服务器、【数据库】、数据库。 （2）右击【角色】单击【新建数据库角色】弹出【数据库角 色属性新建角色】对话框。如图11.6所示。 （3）在对话框中输入角色的名称：考生，选中【标准角色】 单选按钮。 （4）单击【添加】，可以为角色添加用户，也可不添加用户 创建一个暂无成员的角色。单击【确定】。 1.1.使用企业管理器管理自定义数据库角色使用企业管理器管理自定义数据库角色 自定义数据库角色是由用户定义，存在于数据库之中，作用 在各自数据库之内，允许用户增减权限、添加或删除成员 的角色。自定义数据库角色定义的目的是为了方便权限管 理。 【例11.13】创建SQL考试数据库库角色考生。 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 固定数据库角色 自定义数据库角色 管理数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 5 5. .2 2 自定义数据库角色自定义数据库角色 语法：sp_addrole 角色名 , 角色的所有者 功能：在当前数据库中添加标准的用户角色。新角色的所有 者必须是当前数据库中的某个用户或角色，默认值为 dbo。 语法：sp_droprole 角色名 功能：从当前数据库删除标准用户角色。 2 2. .用用T T- -SqlSql创建或删除自定义数据库角色创建或删除自定义数据库角色 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 固定数据库角色 自定义数据库角色 管理数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 5.3 5.3 管理数据库角色成员管理数据库角色成员 (1)展开【服务器组】、服务器、【数据库】、数据库； (2)单击【角色】，在右侧详细信息窗格中选定角色右击，单 击【属性】，弹出【数据库角色属性】对话框 (3)单击【添加】添加角色成员，选中成员单击【删除】删 除角色成员。 1.1.使用企业管理器管理数据库角色成员使用企业管理器管理数据库角色成员 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 固定数据库角色 自定义数据库角色 管理数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 5.3 5.3 管理数据库角色成员管理数据库角色成员 语法：sp_addrolemember 数据库角色, 安全账户 功能：为数据库角色添加成员。 语法：sp_droprolemember 数据库角色, 安全账户 功能：从数据库角色中删除成员。 2 2. .使用使用T-SQLT-SQL语句增删数据库角色成员语句增删数据库角色成员 【例11.14】SQL上机考试与辅助阅卷系统账户设置， 具体要求见表11.1。 数据库角色指当前数据库中的数据库角色的名称，包括固定 数据库角色(public角色除外)和自定义角色； 安全账户指当前数据库用户、当前数据库角色或windows登 录账户。 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 固定数据库角色 自定义数据库角色 管理数据库角色 6管理权限 7本章实训 8本章小结 第11章 数据库的安全性 6 6 管理权限管理权限 6 6. .1 1 权限权限 6 6. .2 2 使用企业管理器管理权限使用企业管理器管理权限 6.3 6.3 使用使用T-SQLT-SQL语句管理权限语句管理权限 权限是指用户是否能进行访问数据库资源的相应操作。即权 限就是用户是否可以执行访问数据库资源的相应操作语句 或存储过程。 管理权限实质就是管理数据库访问的安全性，有三方面的内 涵：一是用户，有服务器登录账户、角色中的成员和数据 库用户，二是访问的数据库资源（对象），有服务器、数 据库、库中表或视图、自定义函数、存储过程、表或视图 中的列，三是相应的操作方式。总之，管理权限就是将用 户、资源和操作权限的有机配置。 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 权限 管理权限(1) 管理权限(2) 7本章实训 8本章小结 第11章 数据库的安全性 6 6. .1 1 权限权限 语句权限是指用 户能否当前数 据库上进行备 份数据库和创 建数据库、表 、视图、用户 定义函数、存 储过程、规则 和默认等对象 ，即指用户能 否执行右表所 列语句。 1.1.语句权限语句权限 权限:语句权限、对象权限和暗示性权限。 动动作对对象语语句 备备份数据backup database 日志backup log 创创建数据库库create database 数据表create table 视图视图create view 存储过储过 程create procedure 自定义义函数create function 规则规则create rule 默认认create default 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 权限 管理权限(1) 管理权限(2) 7本章实训 8本章小结 第11章 数据库的安全性 6 6. .1 1 权限权限 对象权限是指用户能否在当前数据库中表或视图、用户 定义函数、存储过程、表或视图的列上进行相应的访 问操作。 2.2.对象权根对象权根 对对象操作 表或视图视图 select、insert、update 和 delete 存储过储过 程Execute 内嵌表值值函数 Select 表或视图视图 的列 select和update 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 权限 管理权限(1) 管理权限(2) 7本章实训 8本章小结 第11章 数据库的安全性 6 6. .1 1 权限权限 暗示性权限是指将用户(成员)加入角色，系统自动将角 色的权限传递给成员的权限，特别是预定义角色，如 固定服务器角色成员所具有的权限。暗示性权限是由 添加或删除角色成员实现的。 3.3.暗示性权限暗示性权限 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 权限 管理权限(1) 管理权限(2) 7本章实训 8本章小结 第11章 数据库的安全性 6 6. .2 2 使用企业管理器管理权限使用企业管理器管理权限 (1)展开【服务器组】，右击要设置的数据库，选择【属性 】菜单项，弹出数据库【属性】对话框。 (2)单击【权限】选项卡，如图11.7所示。 (3)权限选项卡中信息表格左侧列出了数据库中所有用户和 角色，在上方列出所有语句权限，单击用户/角色与权 限的交叉点的方框可以设置用户或角色的授权状况。 (4)单击【确定】完成。 1.1.管理语句权限管理语句权限 【例11.15】使用企业管理器管理语句权限。 1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 权限 管理权限(1) 管理权限(2) 7本章实训 8本章小结 第11章 数据库的安全性 6 6. .2 2 使用企业管理器管理权限使用企业管理器管理权限 (1)展开【服务器组】、服务器、【数据库】、数据库。 (2)根据用户类型，单击【用户】或【角色】，在右侧详细 信息窗格显示【用户】或【角色】列表。 (3)右击要设置用户或角色，单击【属性】，弹出【数据库 用户属性】或【数据库角色属性】对话框，在常规选项 卡上单击【