SQLServer教程管理安全性PPT课件

1、2021-10-12SQLServer教程管理安全性1第第4章章 管理安全性管理安全性 教学目标教学重点教学过程2021-10-12SQLServer教程管理安全性2教学目标教学目标l全面学习和掌握系统的安全性技术全面学习和掌握系统的安全性技术l掌握身份验证技术掌握身份验证技术l掌握许可管理技术掌握许可管理技术2021-10-12SQLServer教程管理安全性3教学重点教学重点l理解身份验证模式和身份验证方式之间的理解身份验证模式和身份验证方式之间的关系关系l掌握管理掌握管理login帐户技术帐户技术l掌握管理数据库掌握管理数据库user帐户技术帐户技术l掌握管理角色技术掌握管理角色技术l理

2、解和掌握管理应用程序角色技术理解和掌握管理应用程序角色技术l掌握许可的授予、收回和否定技术掌握许可的授予、收回和否定技术2021-10-12SQLServer教程管理安全性4教学过程教学过程l身份验证模式和身份验证方式身份验证模式和身份验证方式 l管理管理login帐户帐户 l管理管理user帐户帐户 l管理角色管理角色 l管理许可管理许可 l规划规划SQL Server系统的安全性系统的安全性 2021-10-12SQLServer教程管理安全性54.1 身份验证模式和身份验证方式身份验证模式和身份验证方式 l基本概念基本概念 lWindows身份验证模式身份验证模式 l混合身份验证模式混合

3、身份验证模式 2021-10-12SQLServer教程管理安全性6基本概念基本概念l身份验证方式就是指当用户访问数据库系身份验证方式就是指当用户访问数据库系统时，系统对该用户的帐户和密码的确认统时，系统对该用户的帐户和密码的确认过程。认证的内容包括确认用户的帐户是过程。认证的内容包括确认用户的帐户是否有效、是否能访问系统、能访问系统中否有效、是否能访问系统、能访问系统中的哪些数据等。的哪些数据等。l身份验证模式就是指系统选择何种身份验身份验证模式就是指系统选择何种身份验证方式确认用户是否合法的方式。证方式确认用户是否合法的方式。2021-10-12SQLServer教程管理安全性7Windo

4、ws身份验证模式身份验证模式lWindows身份验证模式只允许使用身份验证模式只允许使用Windows身份验证方式。身份验证方式。 l当使用当使用Windows身份验证方式时，由身份验证方式时，由Windows系统确认用户的系统确认用户的login帐户或组帐帐户或组帐户。户。2021-10-12SQLServer教程管理安全性8混合身份验证模式混合身份验证模式l混合身份验证模式既允许使用混合身份验证模式既允许使用Windows身份验证身份验证方式，又允许使用方式，又允许使用SQL Server身份验证方式。身份验证方式。 lSQL Server系统会优先采用系统会优先采用Windows身份验证

5、身份验证方式确认用户方式确认用户 l与与Windows身份验证模式相比，混合身份验证模身份验证模式相比，混合身份验证模式提供了下列一些优点：允许非式提供了下列一些优点：允许非Windows客户、客户、Internet客户等连接到客户等连接到SQL Server系统中；对用系统中；对用户的身份采用了双层身份验证方式。户的身份采用了双层身份验证方式。2021-10-12SQLServer教程管理安全性94.2 管理管理login帐户帐户 llogin帐户的概念帐户的概念 l管理管理login帐户帐户 2021-10-12SQLServer教程管理安全性10login帐户的概念帐户的概念llogin

6、帐户是基于服务器使用的用户名。在帐户是基于服务器使用的用户名。在SQL Server系统中，既可以基于系统中，既可以基于Windows组或用户帐户创建组或用户帐户创建login帐户，也可以创建帐户，也可以创建SQL Server自己的自己的login帐户。帐户。llogin帐户的信息是系统级信息，存储在帐户的信息是系统级信息，存储在master数据库的数据库的sysxlogins系统表中。系统表中。2021-10-12SQLServer教程管理安全性11管理管理login帐户帐户l基于基于Windows组或用户帐户创建组或用户帐户创建login帐户帐户l创建新的创建新的SQL Server系统

7、的系统的login帐户帐户 l更改帐户密码和删除帐户更改帐户密码和删除帐户2021-10-12SQLServer教程管理安全性12基于基于Windows组或用户帐户创建组或用户帐户创建login帐户帐户l可以使用可以使用sp_grantlogin系统存储过程或系统存储过程或SQL Server Enterprise Manager工具允工具允许许Windows用户帐户或组帐户连接到用户帐户或组帐户连接到SQL Server系统上。系统上。 2021-10-12SQLServer教程管理安全性13注意事项注意事项l对于一个对于一个Windows组帐户来说，组帐户来说，SQL Server系统只有

8、一系统只有一个个login帐户与其对应，因此删除帐户与其对应，因此删除Windows组帐户的某个组帐户的某个成员帐户并不影响成员帐户并不影响SQL Server系统中的系统中的login帐户。帐户。l删除某个删除某个Windows组帐户或用户帐户，并不把他们从组帐户或用户帐户，并不把他们从SQL Server系统中删除。如果希望删除系统中删除。如果希望删除Windows的某个的某个组帐户或用户帐户，应该首先把它从组帐户或用户帐户，应该首先把它从Windows中删除，中删除，然后再把它从然后再把它从SQL Server系统中删除。系统中删除。l作为某个作为某个Windows组帐户成员的用户帐户，

9、既可以作为组帐户成员的用户帐户，既可以作为组成员访问组成员访问SQL Server系统，也可以通过单独授权的方系统，也可以通过单独授权的方式访问式访问SQL Server系统。系统。2021-10-12SQLServer教程管理安全性14创建新的创建新的SQL Server系统的系统的login帐户帐户l可以使用可以使用sp_addlogin系统存储过程或系统存储过程或SQL Server Enterprise Manager工具或工具或向导创建一个向导创建一个SQL Server的的login帐户。帐户。 sp_addlogin loginame = login, passwd = pass

10、word , defdb = database , deflanguage = language , sid = sid , encryptopt = encryption_option 2021-10-12SQLServer教程管理安全性15更改帐户密码和删除帐户更改帐户密码和删除帐户l通过使用通过使用sp_password系统存储过程，用系统存储过程，用户可以在任意时刻改变自己帐户的密码。户可以在任意时刻改变自己帐户的密码。l系统管理员通过使用系统管理员通过使用sp_password系统存系统存储过程，用储过程，用NULL作为老密码，也可以改变作为老密码，也可以改变任意用户帐户的密码。任意

11、用户帐户的密码。l如果希望删除如果希望删除SQL Server系统中某个系统中某个login帐户，那么可以使用帐户，那么可以使用sp_droplogin系统存系统存储过程。储过程。 2021-10-12SQLServer教程管理安全性164.3 管理管理user帐户帐户l管理管理user帐户帐户 l默认的默认的user帐户帐户 2021-10-12SQLServer教程管理安全性17管理管理user帐户帐户 1lser帐户是基于数据库使用的名称，是与帐户是基于数据库使用的名称，是与login帐户相对应的。帐户相对应的。l当某个当某个login帐户访问数据库时，必须使用帐户访问数据库时，必须使用

12、一个特定的用户帐户或一个默认的用户帐一个特定的用户帐户或一个默认的用户帐户。户。l每一个数据库都有一个用来记录数据库每一个数据库都有一个用来记录数据库user帐户信息的帐户信息的sysusers系统表。系统表。 2021-10-12SQLServer教程管理安全性18管理管理user帐户帐户 2l为了在数据库中新建为了在数据库中新建user帐户，可以使用帐户，可以使用SQL Server Enterprise Manager或或sp_grantdbacess系统存储过程。系统存储过程。 lsp_revokedbacess系统存储过程可以从系统存储过程可以从当前的数据库中删除指定的当前的数据库中

13、删除指定的user帐户。帐户。 l一般地，一般地，user帐户名称与帐户名称与login帐户名称相帐户名称相同。当然，也可以修改数据库同。当然，也可以修改数据库user帐户名帐户名称，使其与称，使其与login帐户具有完全不同的名称。帐户具有完全不同的名称。 2021-10-12SQLServer教程管理安全性19默认的默认的user帐户帐户lSQL Server系统安装之后，在每一个数据系统安装之后，在每一个数据库中，都有两个默认的库中，都有两个默认的user帐户：帐户：dbo和和guest。ldbo用户表示是数据库所有者，拥有在数据用户表示是数据库所有者，拥有在数据库中执行所有操作的权限。

14、库中执行所有操作的权限。lguest用户是一个特殊的用户帐户，它可以用户是一个特殊的用户帐户，它可以与任意的在该数据库中没有对应与任意的在该数据库中没有对应user帐户帐户的的login帐户相对应。帐户相对应。2021-10-12SQLServer教程管理安全性204.4 管理角色管理角色l角色的概念角色的概念 l固定服务器角色固定服务器角色 l固定数据库角色固定数据库角色 l用户自己定义的角色用户自己定义的角色 l应用程序角色应用程序角色 2021-10-12SQLServer教程管理安全性21角色的概念角色的概念l角色提供了一种把多个用户汇集成一个单元、以角色提供了一种把多个用户汇集成一个

15、单元、以便进行许可管理的方法。便进行许可管理的方法。l一般地，角色包含许多成员，这些成员继承角色一般地，角色包含许多成员，这些成员继承角色所拥有的许可。所拥有的许可。lSQL Server系统提供了许多用于日常管理工作的系统提供了许多用于日常管理工作的固定服务器角色和固定数据库角色，简化了对执固定服务器角色和固定数据库角色，简化了对执行日常管理工作的用户的许可管理。行日常管理工作的用户的许可管理。 l用户还可以创建自己的数据库角色，以便管理企用户还可以创建自己的数据库角色，以便管理企业中同一类雇员所执行的工作。业中同一类雇员所执行的工作。 l在在SQL Server系统中，还提供了一种特殊的没

16、有系统中，还提供了一种特殊的没有成员的角色。这种角色可以实现特殊的安全性。成员的角色。这种角色可以实现特殊的安全性。2021-10-12SQLServer教程管理安全性22固定服务器角色固定服务器角色l固定服务器角色提供了组合服务器级的用户权限。固定服务器角色提供了组合服务器级的用户权限。这些角色可以在这些角色可以在SQL Server服务器上进行相应的服务器上进行相应的管理操作，完全独立于具体的数据库。管理操作，完全独立于具体的数据库。l固定服务器角色的信息存储在固定服务器角色的信息存储在master数据库的数据库的sysxlogins系统表中。系统表中。l可以使用可以使用SQL Serve

17、r Enterprise Manager或或sp_addsrvrolemember系统存储过程，把某个系统存储过程，把某个login帐户添加为某个固定服务器角色的成员。帐户添加为某个固定服务器角色的成员。 2021-10-12SQLServer教程管理安全性23固定数据库角色固定数据库角色l固定数据库角色提供了组合数据库级管理员权限固定数据库角色提供了组合数据库级管理员权限的方法。的方法。l固定数据库角色的信息存储在数据库的固定数据库角色的信息存储在数据库的sysusers系统表中。系统表中。 l在固定数据库角色中，在固定数据库角色中，public角色是一个特殊的角色是一个特殊的数据库角色，数

18、据库中的每一个用户或角色都属数据库角色，数据库中的每一个用户或角色都属于于public角色的成员。角色的成员。 l使用使用SQL Server Enterprise Manager或或sp_addrolemember系统存储过程可以添加某个系统存储过程可以添加某个安全性帐户作为某个固定数据库角色的成员。安全性帐户作为某个固定数据库角色的成员。 2021-10-12SQLServer教程管理安全性24用户自己定义的角色用户自己定义的角色l使用使用SQL Server Enterprise Manager工工具或具或sp_addrole系统存储过程可以创建一系统存储过程可以创建一个新的数据库角色。

19、个新的数据库角色。l当创建新的数据库角色时，信息记录在当当创建新的数据库角色时，信息记录在当前数据库的前数据库的sysusers系统表中。系统表中。l只有只有db_owner或或db_securityadmin角色角色的成员才可以执行的成员才可以执行sp_addrole系统存储过系统存储过程。程。2021-10-12SQLServer教程管理安全性25应用程序角色应用程序角色l使用应用程序角色可以限制用户只能通过指定的使用应用程序角色可以限制用户只能通过指定的应用程序来执行某些操作，而不能直接执行这些应用程序来执行某些操作，而不能直接执行这些操作。操作。l应用程序角色是一种特殊的角色，它具有一

20、些特应用程序角色是一种特殊的角色，它具有一些特殊的性质：殊的性质： (1) 应用程序角色没有成员，只有运行该应用程序的用应用程序角色没有成员，只有运行该应用程序的用户才能激活该角色。户才能激活该角色。 (2) 激活应用程序角色需要提供该角色的密码。激活应用程序角色需要提供该角色的密码。 (3) 激活的应用程序角色覆盖了用户在当前数据库中的激活的应用程序角色覆盖了用户在当前数据库中的其他许可。其他许可。 2021-10-12SQLServer教程管理安全性264.5 管理许可管理许可 l许可的概念和类型许可的概念和类型 l授予、收回和否定许可授予、收回和否定许可 l查看安全信息查看安全信息 20

21、21-10-12SQLServer教程管理安全性27许可的概念和类型许可的概念和类型l许可是用来授权用户可以使用数据库中的许可是用来授权用户可以使用数据库中的数据和执行数据库的操作。在数据和执行数据库的操作。在Microsoft SQL Server系统中，有三种类型的许可：系统中，有三种类型的许可： 语句许可语句许可 对象许可对象许可 预定义的许可预定义的许可2021-10-12SQLServer教程管理安全性28授予、收回和否定许可授予、收回和否定许可l管理许可就是授予、否定和收回许可。用管理许可就是授予、否定和收回许可。用户或角色的许可可以是这三种状态之一：户或角色的许可可以是这三种状态

22、之一：授予、否定或收回。授予、否定或收回。l在自然状态下，许可是收回的，另外许可在自然状态下，许可是收回的，另外许可也可以是授予或者否定。也可以是授予或者否定。l许可的信息存储在许可的信息存储在sysprotects系统表中。系统表中。 2021-10-12SQLServer教程管理安全性29许可的授予许可的授予 l可以使用可以使用SQL Server Enterprise Manager工具或工具或GRANT语句授权许可。可语句授权许可。可以把许可授予安全性帐户，允许这些帐户以把许可授予安全性帐户，允许这些帐户执行数据库操作或者使用数据库中的数据。执行数据库操作或者使用数据库中的数据。 20

23、21-10-12SQLServer教程管理安全性30许可的否定许可的否定 l有时候，希望限制某些用户或角色的许可，有时候，希望限制某些用户或角色的许可，这时可以否定这些安全性帐户的许可。在这时可以否定这些安全性帐户的许可。在安全性帐户上否定许可就等于：安全性帐户上否定许可就等于： 删除以前授予该用户或角色的许可删除以前授予该用户或角色的许可 禁止从另外一个角色中继承的许可禁止从另外一个角色中继承的许可l可以使用可以使用SQL Server Enterprise Manager或或DENY语句来执行否定许可的操语句来执行否定许可的操作。作。 2021-10-12SQLServer教程管理安全性31许可的收回许可的收回 l通过收回许可，可以禁止用户使用授予的通过收回许可，可以禁止用户使用授予的许可或否定的许可。收回许可类似于否定许可或否定的许可。收回许可类似于否定许可。不同点是收回许可只是删除授予的许可。不同点是收回许可只是删除授予的许可，但是不禁止该用户或角色从其他