SQLServer第10章.ppt

1,第10章 SQL Server安全管理,安全管理概述,10.1,登录,10.2,数据库用户,10.3,角色,10.4,权限管理,10.5,2,对于网络环境下的多用户数据库而言，安全问题是至关重要的。必须对不同的用户赋予不同的访问权限，才能保证数据库中的数据不被泄露或破坏。本章将介绍SQL Server 2000实现安全管理的方法。,3,本章要点,安全管理概述 登录 数据库用户 角色 权限管理,4,10.1 安全管理概述,SQL Server 2000的安全管理模型中包括SQL Server登录、数据库用户、权限和角色4个主要方面，具体如下。,SQL Server登录：要想连接到SQL Server服务器实例，必须拥有相应的登录账户和密码。SQL Server的身份认证系统验证用户是否拥有有效的登录账户和密码，从而决定是否允许该用户连接到指定的SQL Server服务器实例。,5,10.1 安全管理概述,数据库用户：通过身份认证后，用户可以连接到SQL Server服务器实例。但是，这并不意味着该用户可以访问到指定服务器上的所有数据库。在每个SQL Server数据库中，都存在一组SQL Server用户账户。登录账户要访问指定数据库，就要将自身映射到数据库的一个用户账户上，从而获得访问数据库的权限。一个登录账户可以对应多个用户账户。,6,10.1 安全管理概述,权限：权限规定了用户在指定数据库中所能进行的操作。 角色：类似于Windows的用户组，角色可以对用户进行分组管理。可以对角色赋予数据库访问权限，此权限将应用于角色中的每一个用户。,7,10.2 登录,登录指用户连接到指定SQL Server数据库实例的过程。在此期间，系统要对该用户进行身份验证。 只有拥有正确的登录账户和密码，才能连接到指定的数据库实例。,8,10.2.1 身份验证模式,登录到SQL Server实例必须经过两个过程。首先要从系统中获得此权限，即得到授权；然后就是要通过系统的身份验证。SQL Server提供以下两种身份验证模式。,Windows 身份验证模式 混合模式（Windows身份验证和SQL Server身份验证）,9,1Windows身份验证模式,SQL Server数据库系统通常运行在Windows NT服务器平台上，而NT作为网络操作系统，本身就具备管理登录、验证用户合法性的能力，Windows身份验证模式正是利用了这一用户安全性和账户管理的机制，允许SQL Server也可以使用Windows的用户名和密码。在这种模式下，用户只需要通过Windows的身份验证，就可以连接到SQL Server，而SQL Server本身也就不需要管理一套登录数据。 当用户通过Windows NT 4.0、Windows 2000或Windows 2003用户账户进行连接时，SQL Server通过回叫Windows系统以获得信息，重新验证账户名和密码。,2混合模式,SQL Server可以设置其自己的SQL Server登录账户。用户登录时，SQL Server将对用户的账户进行验证。如果SQL Server未设置该登录账户，或该账户的用户名、密码不正确，则身份验证将失败，而且用户将收到错误信息。 混合模式允许用户使用Windows NT安全性或SQL Server安全性连接到SQL Server，这就意味着用户可以使用他的Windows账户，或使用他的SQL Server账户登录到SQL Server系统。,11,身份验证模式的选择,对于Windows NT的用户，既可以使用Windows身份验证模式，也可以使用SQL Server的身份验证模式。而对于Windows 9.x的用户只能使用SQL Server的身份验证模式。 应用程序开发人员和数据库用户也许更喜欢“SQL Server身份验证”模式，因为他们可以通过对登录账户和密码的管理实现权限控制。,12,SQL Server 2000的身份验证过程,13,设置SQL Server的身份认证模式,14,10.2.2 新建登录账户,SQL Server有以下两个默认的登录账户： sa：即系统管理员（system administrator）账户，该账户在SQL Server系统和所有数据库中拥有所有的权限。 BUILTINAdministrators：该账户为Windows NT系统管理员账户，具有与sa有相同的权限。 可以使用以下两种方式新建登录帐户： 在企业管理器中创建登录账户 使用命令创建登录账户,15,1在企业管理器中创建登录账户,展开指定服务器实例下的“安全性”文件夹，用鼠标右击“登录”项，在弹出菜单中选择“新建登录”命令，打开饼设置“新建登录”对话框：,16,2使用命令创建登录账户,使用系统存储过程创建Windows身份验证模式登录账户； 使用系统存储过程创建SQL Server身份验证模式的登录账户,17,使用系统存储过程创建Windows身份验证模式登录账户,使用sp_grantlogin存储过程可以创建新的Windows身份验证模式登录账户，语法如下： sp_grantlogin 登录名称 登录名称指要添加的Windows用户或组的名称。Windows组和用户必须用Windows域名限定，格式为“域名用户名”，例如“LondonJoeb”。 只有sysadmin或securityadmin固定服务器角色的成员可以执行sp_grantlogin。,18,例10-1,使用sp_grantlogin存储过程将用户LEEpublic映射到SQL Server登录账户。 sp_grantlogin LEEpublic 执行结果为： 已向 LEEpublic 授予登录访问权。,19,使用sp_addlogin存储过程可以创建新的登录账户，语法如下： sp_addlogin 登录名称, 登录密码 , 默认数据库, 默认语言 SQL Server 登录名称和密码不能含有反斜线（）；不能是保留的登录名称，例如sa或public，或者已经存在的登录名称；不能为NULL；不能为空字符串()。,使用系统存储过程创建SQL Server身份验证模式的登录账户,20,使用sp_addlogin存储过程创建SQL Server登录账户lee，密码为111111，默认数据库为“学生管理”。 sp_addlogin lee, 111111, 学生管理 执行结果为： 已创建新登录。,例10-2,21,使用企业管理器修改账户 使用企业管理器删除账户 使用存储过程修改和删除账户,10.2.3 修改和删除登录账户,22,展开指定服务器实例下的“安全性”文件夹，用鼠标单击“登录”项，可以在右侧窗格中查看到已经存在的SQL Server登录账户。用鼠标右键单击登录账户名，在弹出的快捷菜单中选择“属性”命令，打开“登录属性”对话框，在该对话框中可以对账户信息进行修改。,1使用企业管理器修改账户,23,修改Windows身份验证模式账户,1使用企业管理器修改账户,24,修改SQL Server身份验证模式账户,1使用企业管理器修改账户,25,在企业管理器中，用鼠标右键单击SQL Server账户，在弹出的快捷菜单中选择“删除”命令，在弹出的确认对话框中单击“是”按钮，可以删除该账户。,2使用企业管理器删除账户,26,sp_denylogin存储过程 sp_revokelogin存储过程 sp_password存储过程 sp_droplogin存储过程,3使用系统存储过程修改和删除账户,27,用于阻止Windows用户或用户组连接到SQL Server实例，基本语法： sp_denylogin 用户或用户组名 sp_denylogin只能和Windows账户一起使用，“用户或用户组名”格式为“域名用户名”。sp_denylogin无法用于通过sp_addlogin添加的SQL Server登录。 sp_denylogin和sp_grantlogin是对应的两个存储过程，它们可以互相反转对方的效果，允许和拒绝用户访问SQL Server。,sp_denylogin存储过程,28,使用sp_denylogin存储过程拒绝用户LEEpublic访问SQL Server实例。 sp_denylogin LEEpublic 执行结果为： 已拒绝对 LEEpublic 的登录访问权。,例10-3,29,用于删除SQL Server中使用sp_denylogin或sp_grantlogin创建的Windows身份认证模式登录账户，基本语法如下： sp_revokelogin 用户或用户组名 【例10-4】使用sp_revokelogin存储过程删除用户LEEpublic对应的SQL Server登录账户。 sp_revokelogin LEEpublic 执行结果为： 已废除 LEEpublic 的登录访问权。 从登录列表中可以看到，LEEpublic已经被删除。,sp_revokelogin存储过程,30,用于修改SQL Server登录的密码，基本语法如下： sp_password 旧密码, 新密码, 登录账户名 【例10-5】使用sp_password存储过程将登录账户lee的密码修改为222222。 sp_password 111111, 222222, lee 执行结果为： 密码已更改。,sp_password存储过程,31,用于删除SQL Server登录账户，以阻止使用该登录账户访问SQL Server，基本语法如下： sp_droplogin 登录名称 【例10-6】使用sp_droplogin存储过程删除登录账户lee。 sp_droplogin lee 执行结果为： 登录已除去。,sp_droplogin存储过程,32,本节介绍： 数据库用户概述 新建数据库用户 修改和删除数据库用户,10.3 数据库用户,拥有登录账户的用户才能通过SQL Server身份验证，从而获得对SQL Server实例的访问权限。但通过SQL Server的身份验证并不代表用户就能够访问SQL Server中的数据，要访问某个具体的数据库，还必须使登录账户成为某数据库的用户。,33,两个特殊的数据库用户： Dbo：数据库所有者，是具有在数据库中执行所有活动的权限的用户，它与登录账户sa相对应。 Guest：允许没有用户账户的登录访问数据库。当满足下列所有条件时，登录采用guest用户的标识。 登录有访问SQL Server实例的权限，但没有通过自己的用户账户访问数据库的权限。 数据库中含有guest用户账户。,10.3.1 数据库用户概述,34,可以将权限应用到guest用户，就如同它是任何其他用户账户一样。可以在除master和tempdb外（在这两个数据库中guest用户必须始终存在）的所有数据库中添加或删除guest用户。默认情况下，新建的数据库中没有guest用户账户。 创建数据库对象的用户称为数据库对象所有者。创建数据库对象的权限必须由数据库所有者或系统管理员授予。但是，在授予数据库对象这些权限后，数据库对象所有者就可以创建对象并授予其他用户使用该对象的权限。数据库对象所有者没有特殊的登录 ID 或密码。对象创建者被隐性授予数据库的所有权限，但其他用户必须被显式授予权限后才能访问该对象。,用户授权,35,使用企业管理器创建数据库用户 sp_grantdbaccess存储过程创建数据库用户,10.3.2 新建数据库用户,36,展开指定的数据库，选择“用户”项，可以查看该数据库中用户的信息，如下图。默认情况下，用户创建的数据库中只有一个用户，即dbo。,（1）使用企业管理器创建数据库用户,37,用鼠标右击“用户”项，从快捷菜单中选择“新建数据库用户”命令，打开“新建用户”对话框，如下图。,（1）使用企业管理器创建数据库用户,38,使用sp_grantdbaccess存储过程可以将SQL Server登录和Windows用户（用户组）指定为当前数据库用户，并使其能够被授予在数据库中执行活动的权限。基本语法如下： sp_grantdbaccess 登录名, 数据库用户名 数据库用户名：可以包含1128个字符，包括字母、符号和数字，但不能包含反斜线符号（）、不能为NULL或空字符串。如果没有指定数据库用户名，则默认为与“登录名”相同,（2）使用sp_grantdbaccess存储过程创建数据库用户,39,使用sp_grantdbaccess存储过程为登录账户lee创建数据库用户。 sp_grantdbaccess lee 执行结果为： 已向 lee 授予数据库访问权。,例10-7,40,使用企业管理器修改数据库用户：右击数据库用户名，从弹出菜单中选择“属性”命令，打开“用户属性”对话框。（与“新建用户”对话框类似，但其“权限”按钮变为有效）可以在此对话框中修改用户信息。 使用企业管理器删除数据库用户：右击数据库用户名，从弹出菜单中选择“删除”命令。 使用sp_revokedbaccess存储过程删除数据库用户，基本语法如下： sp_revokedbaccess 数据库用户名,10.3.3 修改和删除数据库用户,41,使用sp_revokedbaccess存储过程删除数据库用户lee。 sp_revokedbaccess lee 执行结果为： 用户已从当前数据库中除去。,例10-8,42,角色是一个强大的工具。利用角色，SQL Server管理者可以将某些用户设置为某一角色，对一个角色授予、拒绝或废除的权限也适用于该角色的任何成员，这样只需对角色进行权限设置便可以实现对所有用户权限的设置，大大减少了管理员的工作量。,10.4 角色,43,10.4.1 角色管理,44,1固定服务器角色,根据SQL Server的管理任务，以及这些任务的相对重要性等级，把具有SQL Server管理职能的用户划分为不同的用户组，每一组定义为一种固定服务器角色。每一组所具有的管理SQL Server的权限都是SQL Server内置的，即不能对其权限进行添加、修改和删除，可以在这些角色中添加用户以获得相关的管理权限。,45,SQL Server中的固定服务器角色,Sysadmin：可以在SQL Server中执行任何活动 Serveradmin：可以设置服务器范围的配置选项，关闭服务器 Setupadmin：可以管理链接服务器和启动过程 Securityadmin：可以管理登录和CREATE DATABASE权限，还可以读取错误日志和更改密码 Processadmin：可以管理在SQL Server中运行的进程 Dbcreator：可以创建、更改和除去数据库 Diskadmin：可以管理磁盘文件 Bulkadmin：可以执行BULK INSERT（大容量数据插入）语句,46,2固定数据库角色,每个数据库还有一系列的固定数据库角色。在添加用户时，可以指定该用户属于哪一个数据库角色。虽然不同的数据库中可以存在名称相同的角色，但各个角色的作用域只是在特定的数据库内。 例如，如果Database1和Database2中都有叫UserX的用户，将Database1中的UserX添加到Database1的db_owner固定数据库角色中，对Database2中的UserX是否是Database2的db_owner角色成员没有任何影响,47,SQL Server中的固定数据库角色,Public：每个数据库用户都属于public角色 db_owner：在数据库中有全部权限 db_accessadmin：可以增加或者删除数据库用户、用户组和角色 db_securityadmin：管理数据库角色的角色和成员，并管理数据库中的语句和对象权限 db_ddladmin：可以添加、修改或除去数据库中的对象（运行所有DDL） db_backupoperator：可以备份和恢复数据库 db_datareader：可以选择数据库内任何用户表中的所有数据,48,SQL Server中的固定数据库角色,db_datawriter：可以更改数据库内任何用户表中的所有数据 db_denydatareader：不能选择数据库内任何用户表中的任何数据 db_denydatawriter：不能更改数据库内任何用户表中的任何数据,49,3用户自定义的数据库角色,用户还可以自定义数据库角色。可以： 使用企业管理器管理自定义数据库角色 使用存储过程管理自定义数据库角色。,50,（1）在企业管理器中新建角色,展开指定的数据库，选择数据库中的“角色”项，可以查看到指定数据库的所有角色。 右击“角色”项，在弹出菜单中选择“新建数据库角色”，打开新建数据库角色对话框,51,（2）在企业管理器中修改角色,在角色列表中，用鼠标右击角色名，在弹出菜单中选择“属性”命令，打开数据库角色属性对话框。用户可以在角色属性对话框中修改角色的属性。如修改角色权限，添加用户或删除角色中的用户等。,52,（3）在企业管理器中删除角色,用鼠标右击角色名称，在弹出的快捷菜单中选择“删除”命令，可以删除数据库角色。但是无法删除固定的数据库角色。,53,（4）使用sp_addrole存储过程创建自定义角色,sp_addrole存储过程的功能是创建SQL Server角色，基本语法如下： sp_addrole 数据库角色名 【例10-9】使用sp_addrole存储过程创建数据库角色newrole。 sp_addrole newrole 执行结果为： 新角色已添加。,54,（5）使用sp_droprole存储过程删除自定义角色,sp_droprole存储过程的功能是删除SQL Server角色，基本语法如下： sp_droprole 数据库角色名 【例10-10】使用sp_droprole存储过程删除数据库角色newrole。 sp_droprole newrole 执行结果为： 角色已除去。,55,10.4.2 管理角色中的用户,角色只有包含了用户后才有存在的意义。向角色中添加用户后，用户就拥有了角色的所有权限；将用户从角色中删除后，用户从角色得到的权限将被取消。,在企业管理器中添加和删除角色成员 使用sp_addrolemember存储过程添加角色成员 使用sp_droprolemember存储过程删除角色成员,本小节介绍：,56,1在企业管理器中添加和删除角色成员,右击角色名，在弹出菜单中选择“属性”命令，打开“数据库角色属性”对话框(如左图),单击“添加”按钮，打开“添加角色成员”对话框(如右图) 。列表框中显示了当前数据库中所有用户名，不包括dbo。选择一个用户，单击“确定”按钮，可以将用户添加到角色中。,57,2使用sp_addrolemember存储过程添加角色成员,sp_addrolemember存储过程的功能是向角色中添加用户，基本语法如下： sp_addrolemember 数据库角色名, 数据库用户名 【例10-11】使用sp_addrolemember存储过程向数据库角色newrole中添加用户lee。 sp_addrolemember newrole, lee 执行结果为： lee 已添加到角色 newrole 中。,58,10.5 权限管理,权限决定了用户在数据库中可以进行的操作。可以对数据库用户或角色设置权限。,本节介绍： 权限的种类 设置权限,59,10.5.1 权限的种类,3种类型： 对象权限 语句权限 暗示性权限。,60,1对象权限,对象权限表示一个用户对特定的数据库对象，如表、视图、字段等的操作权限，如用户能否进行查询、删除、插入和修改一个表中的行，或能否执行一个存储过程。,61,1对象权限,SELECT、INSERT、UPDATE和DELETE语句权限，它们可以应用到整个表或视图中。 SELECT和UPDATE语句权限，它们可以有选择性地应用到表或视图中的单个列上。 SELECT权限，它们可以应用到用户定义函数。 INSERT和DELETE语句权限，它们会影响整行，因此只可以应用到表或视图中，不能应用到列上。 EXECUTE语句权限，它们可以影响存储过程和函数。,对象权限如下：,62,2语句权限,BACKUP DATABASE。 BACKUP LOG。 CREATE DATABASE。 CREATE DEFAULT。 CREATE FUNCTION。 CREATE PROCEDURE。 CREATE RULE。 CREATE TABLE。 CREATE VIEW。,语句权限表示一个用户对数据库的操作权限，如能否执行创建和删除对象的语句，能否执行备份和恢复数据库的语句等。语句权限如下：,63,3暗示性权限,暗示性权限指系统安装以后有些用户和角色不必授权就有的权限。例如，sysadmin固定服务器角色成员自动继承在SQL Server安装中进行操作或查看的全部权限。 数据库对象所有者拥有暗示性权限，可以对所拥有的对象执行一切活动。例如，拥有表的用户可以查看、添加或删除数据，更改表定义，或控制允许其他用户对表进行操作的权限。,64,10.5.2 设置权限,设置权限包括： 授予权限：授予用户、组或角色的语句权限和对象权限，使数据库用户在当前数据库中具有执行活动或处理数据的权限。 拒绝权限：包括删除以前授予用户、组或角色的权限，停用从其他角色继承的权限，确保用户、组或角色将来不继承更高级别的组或角色的权限。 废除权限：废除以前授予或拒绝的权限。废除类似于拒绝，因为二者都是在同一级别上删除已授予的权限。但是，废除权限是删除已授予的权限，并不妨碍用户、组或角色从更高级别继承已授予的权限。,65,1使用企业管理器管理对象权限,用鼠标右击一个表、视图或存储过程，在弹出菜单中选择“所有任务管理权限”，如图：,66,1使用企业管理器管理对象权限,打开“对象属性”对话框：,67,2使用企业管理器管理语句权限,用鼠标右击数据库，在弹出菜单中选择“属性”，打开数据库属性对话框。单击“权限”选项卡，可以设置用户的语句权限。如下图：,68,3使用企业管理器管理用户的权限,用鼠标右击用户名，在弹出菜单中选择“所有任务管理权限”，打开“数据库用户属性”对话框，可以设置用户的权限。如下图：,69,4使用企业管理器管理角色的权限,用鼠标右击角色名，在弹出的快捷菜单中选择“属性”，打开“数据库角色属性”对话框，单击 “权限”按钮，打开“数据库角色属性”对话框，在“权限”选项卡中可以设置角色对各种数据库对象的权限。如下图：,70,5使用GRANT语句,授予语句权限 授予对象权限,71,（1）授予语句权限,基本语法如下： GRANT ALL | 语句 , .n TO 安全账户 , .n 安全账户：当前数据库中的用户、角色或组，包括：SQL Server 角色；SQL Server用户；Windows NT组；Windows NT用户。 若权限被授予SQL Server角色或Windows NT组，权限可影响到当前数据库中该组或该角色成员的所有用户。 【例10-13】使用GRANT语句对用户lee授予创建表和创建视图的权限。 GRANT CREATE TABLE, CREATE VIEW TO lee,72,（2）授予对象权限,基本语法如下： GRANT ALL | 权限 ,.n ( 列名 ,.n ) ON 表 | 视图 | ON 表 | 视图 ( 列名 ,.n ) | ON 存储过程 | ON用户自定义函数 TO 安全账户 ,.n WITH GRANT OPTION AS 组 | 角色 ,73,（2）授予对象权限,参数说明： ALL：表示授予所有可用的权限。 权限：当前授予的对象权限。如在表、视图上可授予SELECT、INSERT、DELETE或UPDATE权限。在列上可授予SELECT和UPDATE权限。 安全账户：权限将应用的安全账户。可以是：SQL Server用户 ；SQL Server角色；Windows NT用户；Windows NT组。 WITH GRANT OPTION：使被授予权限的用户或角色拥有再将该权限授予其他用户的权限。 AS 组 | 角色：作为角色或组的成员使用角色或组的权限。,74,（2）授予对象权限,【例10-14】使用GRANT语句对角色newrole授予对表“学生”的INSERT、UPDATE和DELETE的权限。 GRANT INSERT, UPDATE, DELETE ON 学生 TO newrole 【例10-15】使用GRANT语句授予用户Mary、John和Tom对pubs数据库的authors表的插入、修改、删除权限。 USE pubs GRANT INSERT, UPDATE, DELETE ON authors TO Mary, John, Tom,75,（2）授予对象权限,【例10-16】使用GRANT语句授予用户Log1对pubs数据库的Titles表的Title_id和Title列具有修改权限。 USE Pubs GRANT UPDATE(Title_id , Title) ON Titles TO Log1 也可以写成： USE Pubs GRANT UPDATE ON Titles(Title_id , Title) TO Log1,76,（2）授予对象权限,【例10-17】使用GRANT语句将对Market数据库的Custumers表的SELECT、INSERT权限授予用户Zhang，并允许用户Zhang再将该权限授予其他用户或角色。 USE Market GRANT SELECT , INSERT ON Custumers TO Zhang WITH GRANT OPTION,77,（2）授予对象权限,【例10-18】用户Tom将对表Table1的SELECT权限授予Role1角色，指定WITH GRANT OPTION子句。 GRANT SELECT ON Table1 TO Role1 WITH GRANT OPTION 设用户Jerry是Role1的成员，他要将表Table1上的SELECT权限授予用户Jack（设Jack不是Role1的成员）。相应的GRANT语句如下： GRANT SELECT ON Table1 TO Jack AS role1 因为对表Table1的WITH GRANT OPTION权限是授予Role1角色，而不是显式地授予Jerry，因此，Jerry必须用AS子句来获得role1角色的这种权限。,78,6使用DENY语句,拒绝语句权限 拒绝对象权限,79,（1）拒绝语句权限,基本语法如下： DENY ALL | 语句 , .n TO 安全账户 , .n 【例10-19】使用DENY语句对用户lee拒绝创建表和创建视图的权限。 DENY CREATE TABLE, CREATE VIEW TO lee,80,（2）拒绝对象权限,基本语法如下： DENY ALL | 权限 ,.n ( 列名 ,.n ) ON 表 | 视图 | ON 表 | 视图 (列名 ,.n ) | ON 存储过程| 用户自定义函数 TO 安全账户 ,.n CASCADE 参数CASCADE：拒绝安全账户的权限时，也将拒绝由安全账户授权的任何其他安全账户的权限。,81,（2）拒绝对象权限,【例10-20】 使用DENY语句拒绝角色newrole对“学生”表的INSERT、UPDATE和DELETE的权限。 DENY INSERT, UPDATE, DELETE ON 学生 TO newrole,82,（2）拒绝对象权限,【例10-21】CASCADE选项的作用。 设管理员使用以下GRANT语句对Liu进行授权，使用户Liu具有对Sales表的SELECT权限。 GRANT SELECT ON Sales TO Liu WITH GRANT OPTION 因此，用户Liu具有了将sales对象的SELECT权限授予其他用户的权限，于是用户Liu执行以下授权： GRANT SELECT ON Sales TO Gao 这时，管理员执行下面语句将拒绝用户Liu和Gao对sales表的SELECT权限，以及Liu的WITH GRANT OPTION权限。 DENY SELECT ON sales TO Liu CASCADE,83,7使用REVOKE语句,废除语句权限 废除对象权限,84,（1）废除语句权限,基本语法如下： REVOKE ALL | 语句 , .n FROM 安全账户 , .n 【例10-22】使用REVOKE语句废除用户le