访问权限和管理权限.pptVIP

第5章 访问权限和管理权限,身份验证是用来确认登录SQL Server的用户的登录帐号和密码 的正确性，由此来验证其是否具有连接SQL Server的权限 SQL Server 2000提供了两种确认用户的认证模式： （一）Windows 身份验证模式 （二）混合验证模式（Windows身份验证和SQL Server身份验证）,5.1 身份验证过程与授权过程,5.1.1 身份验证模式,（一）Windows 身份验证模式 SQL Server数据库系统通常运行在Windows NT服务器平台上， 而NT作为网络操作系统，本身就具备管理登录、验证用户合法性 的能力 Windows NT认证模式正是利用了这一用户安全性和帐号管理 的机制，允许SQL Server也可以使用NT的用户名和口令。在这种 模式下，用户只需要通过Windows NT的认证，就可以连接到SQL Server，而SQL Server本身也就不需要管理一套登录数据,（二）混合验证模式 混合验证模式允许用户使用Windows NT安全性或SQL Server安 全性连接到SQL Server NT的用户既可以使用NT认证，也可以使用SQL Server认证,5.1.2 Windows和SQL Server身份验证的比较,Windows身份验证模式：用户只能使用Windows身份验证连接到 SQL Server 2000 混合模式：用户既可以使用Windows身份验证连接到SQL Server 2000，又可以使用SQL Server身份验证连接到SQL Server 2000,5.1.3 设置验证模式,对于指定了验证模式的SQL Server服务器，还可以在 企业管理器中打开服务器的 属性 安全性 审核级别： 无：表示禁用审核。 成功：表示只审核成功登录尝试。 失败：表示只审核失败登录尝试。 全部：表示既审核成功登录尝试又审核失败登录尝试,在安装SQL Server后，系统默认创建两个帐号。 BUILTINAdministrator是Windows NT组帐户，属于这个组的帐户都可以作为SQL Server登录帐户。 sa是系统管理员登录帐户，系统管理员sa是为向后兼容而提供的特殊登录，此SQL Server的管理员不一定是Windows NT的管理员,5.2 创建和管理登录,5.2.1 创建和管理服务器登录账号,其具体执行方式有： （1）使用向导方式 （2）打开企业管理器，展开希望创建新的登录的服务器， 展开安全性，选择“新建登录”,在安装SQL Server后，默认数据库中包含两个用户：dbo和guest。 任何一个登录帐号都可以通过guest帐号来存取相应的数据库 当建立一个新的数据库时，默认只有dbo帐号而没有guest帐号 操作步骤为: （1）在企业管理器中展开服务器组 （2）展开希望创建新的数据库 （3）在“用户”下选择“新建数据库用户”,5.2.2 创建和管理用户登录账号,在SQL Server中权限可以分为对象权限、语句权限和暗示性权限 1、对象权限（对象许可） 对特定的数据库对象，即表、视图、字段和存储过程的操作许 可，它决定了能对表、视图等数据库对象执行哪些操作 2、语句权限（语句许可） 表示对数据库的操作许可。也就是说，创建数据库或者创建数 据库中的其它内容所需要的许可类型 3、暗示性权限（预定义许可） 指系统安装以后有些用户和角色不必授权就有的许可,5.3 数据库特定的权限,5.3.1 权限的分类,可用于语句权限的Transact-SQL语句及其含义如下：,Create database：创建数据库 Create table：创建表 Create view：创建视图 Create rule：创建规则 Create default：创建缺省 Create procedure：创建存储过程 Create index：创建索引 Backup database：备份数据库 Backup log：备份事务日志,（1）打开企业管理器，展开指定的数据库节点 （2）选中到需要查看或修改权限的表，单击鼠标右键，选择菜单 命令“属性”，打开“表属性”对话框 （3）在“表属性”对话框中单击“权限”按钮，在后面的6列表示 对数据库对象的操作，具体含义如下： SELECT 对表或者视图的查询 INSERT 对表或者视图的插入记录 UPDATE 对表或者视图的数据修改 DELETE 删除表或者视图的数据 EXEC 执行存储过程 DRI 可对表的外键加上限制，以达成表的参考完整性,5.3.2 管理对象权限,1、使用企业管理器管理对象权限,（4）授予权限 表示允许某个用户或角色对一个对象执行某些操作 禁止权限 禁止某个用户或角色获得对一个对象执行某种操作的权限 空未授权限 表示尚未授权用户或角色对一个对象执行某种操作 （5）还可以单击一个特定的用户或角色，然后单击“列”按钮，打开“列权限”对话框，将权限控制到字段级别,5.3.2 管理对象权限,1、使用企业管理器管理对象权限,可以使用grant（授予）、revoke（取消）和deny（禁止）三种命令来实现管理权限 （1）Grant语句其语法： Grant on| To with grant option 获得某种权限的用户可将其再授予其他用户 含义：对指定的操作对象 的指定操作权限 授予指定的用户 例1：把查询Student表的权限授予给用户Z1 Grant select on student to Z1 例2：把对Student表和Course表的全部操作权限授予给用户Z2和Z3 Grant all privileges on student,course to Z2,Z3,5.3.2 管理对象权限,2、使用Transact-SQL语句管理对象权限,（2）Deny语句其语法： Deny on| To 含义：拒绝权限并防止指定的用户、组或角色从组和角色成员的关系中继承权限 例1：禁止用户Z1使用Student表的查询操作权限 Deny select on student to Z1 例2：禁止用户Z2,Z3使用Student表和Course表的全部操作权限 Deny all privileges on student,course to Z2,Z3,5.3.2 管理对象权限,2、使用Transact-SQL语句管理对象权限,（3）Revoke语句其语法： Revoke on| To 含义：取消以前授予或拒绝了的权限 例：Revoke select on student to Z1,5.3.2 管理对象权限,2、使用Transact-SQL语句管理对象权限,服务器角色是负责管理和维护SQL Server的组 SQL Server2000在安装过程中定义了几个固定的服务器角色： System Administrators：可执行SQL Server安装中的任何操作 Security Administrators：可管理登录和创建数据库的权限，还可以 读取错误日志和更改密码 Server Administrators：可设置服务器范围的配置选项，关闭服务器 Setup Administrators：可以管理链接服务器和启动过程 Process Administrators：可以管理在SQL Server中运行的进程 Database Creators：可以创建、更改和除去数据库 Disk Administrators：可以管理磁盘文件 Bulk Insert Administrators：可以执行大容量插入（Bulk Insert） 语句,5.4.1 服务器角色,5.4 角色的使用,5.4.2 数据库角色,5.4 角色的使用,public：最基本的数据库角色，数据库的所有用户都自动属于public角色，并且不能从public角色中删除 db_owner：拥有在数据库中的全部权限，可以执行SQL Server数据库中的任何操作 db_accessadmin：可以增加或删除数据库用户、工作组和角色 db_addladmin：增加、修改和删除数据库中的对象（使用Create 、Alter和 Drop语句） db_securityadmin：可以管理全部权限、对象所有权、角色和角色成员资格（使用GRANT、REVOKE和DENY语句）,5.4.2 数据库角色,5.4 角色的使用,db_backupoperat