1、第11章 数据库的安全性,教学提示:安全性对于任何一种数据库管理系统来说都是至关重要的,SQL Server 2000 提供了有效的数据访问安全机制。本章以附录2SQL上机考试与辅助阅卷系统安全性设计与实现为教学案例。 教学要求:通过本章的学习,读者应该掌握SQL 服务器安全性机制及其运用。,11.1 SQL Server的安全机制 11.2 服务器登录 11.3 服务器角色 11.4 数据库用户 11.5 数据库角色 11.6 管理权限,数据库管理系统的安全性 SQL Server 的安全机制,设置安全认证模式 服务器登录账户 考试案例简介 增加登录账户 阻止账户登录 删除登录账户,第11章
2、 数据库的安全性,添加数据库用户 修改和查看数据库用户 删除数据库用户 特殊数据库用户 dbo、guest,固定服务器角色 查看固定服务器角色成员 向固定服务器角色中添加成员 从固定服务器角色中删除成员,固定数据库角色 自定义数据库角色 管理数据库角色成员,权限 使用企业管理器管理权限 使用T-SQL语句管理权限,第11章 数据库的安全性,1安全机制DBMS安全性SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,1 SQL Server的安全机制,1.1 数据库管理系统的安全性 1.2 SQL Server的安全机制,第11章 数据库的
3、安全性,1安全机制DBMS安全性SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,数据库管理系统的安全性通常包括两个方面:一是指数据访问的安全性,二是指数据运行的安全性(数据库维护:灾难恢复等)。,数据访问的安全性是指设计和实现数据库资源的授权访问,即设计和实现授权的用户在指定的时间、指定或允许的地点(计算机)、授权的访问方式访问数据库中的指定的数据资源。,1.1 数据库管理系统的安全性,第11章 数据库的安全性,1安全机制DBMS安全性SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本
4、章小结,计算机连接(计算机级) 服务器的登录(服务器级) 数据库的访问(数据库级) 表或视图的访问(数据表或视图级) 过程、内嵌表值函数的访问(过程或函数级) 表或视图中列的访问(字段级限),1.2 SQL Server的安全机制,身份验证/连接权,权限验证/访问权,6级/2阶段,第11章 数据库的安全性,1安全机制DBMS安全性SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,计算机连接(计算机级) 服务器登录(服务器级) 数据库访问(数据库级) 表或视图访问(数据表或视图级) 过程、内嵌表值函数访问(过程或函数级) 表或视图中列的访
5、问(字段级限),1.2 SQL Server的安全机制,搜索或ping到安装SQL Server 服务器的计算机。,在要访问的数据库中建立数据库用户并与登录账号关联。,登录SQL Server服务器的登录账户和口令。,数据库用户对要访问的库中的表(视图)设有访问权限。,数据库用户对要访问的库中的过程或函数设有访问权限。,数据库用户对要访问的表(视图)中列的设有访问权限。,第11章 数据库的安全性,1安全机制DBMS安全性SQL安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,1.2 SQL Server的安全机制,第11章 数据库的安全性,2
6、 服务器的登录账户,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,2.1 设置安全认证模式 2.2 服务器登录账户 2.3 SQL上机考试与辅助阅卷系统案例简介 2.4 增加登录账户 2.5 阻止账户登录 2.6 删除登录账户,第11章 数据库的安全性,2.1 设置安全认证模式,【例11.1】查看或设置SQL Server的安全认证模式。,(1) 展开【服务器组】、右击服务器 (2) 单击【属性】,弹出【SQL Server属性】,单击【安全性】 (3) 在【身份验证】中【
7、仅Windows或【 SQL Server和Windows】选项。 (4) 在【审核级别】中选择【无】、【成功】、【失败】或【全部选项。 (5) 在【启动服务账户】中选择【系统账户】或【本账户】选项。 (6) 单击【确定】,重新启动SQL Server。 如图11.1所示。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.1 设置安全认证模式,Windows身份验证模式SQL Server 身份验证模式 仅Windows验证模式 SQL Serv
8、er和Windows,使用Windows操作系统的登录账户和密码连接SQL服务器。 与 Windows安全系统集成在一起,优点:如安全验证和密码加密、审核、密码过期、最短密码长度,多次登录请求无效后锁定账户。,只使用Windows身份验证模式。,使用SQL Server的登录账户和密码连接SQL服务器。,用户提供登录账户和密码先在SQL Server中验证,如果验证失败后,再去进行Windows身份验证。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全
9、性,2.2 服务器登录账户,1用企业管理器查看登录账户,【例11.2】使用企业管理器查看服务器登录账号。,(1) 展开【服务器组】、服务器、【安全性】。 (2) 单击【登录】,在详细信息窗格中显示登录账号信息。如图11.2所示。,登录账户(LoginName)是指用户登录(连接) SQL Server服务器的账户和密码,是进入数据库服务器的第一张通行证。,2用T-SQL语句查看登录账户,【例11.3】使用T-SQL语句查看服务器登录账号 。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训
10、 8本章小结,第11章 数据库的安全性,2.2 服务器登录账户,3 特殊登录账户,sa:SQL Server数据库服务器系统管理员登录账户。不可删除、不能更改。该账户拥有最高的管理权限,不要轻易使用sa。BUILTINAdministrators:一个Windows组账户,凡属于该组的Windows账户都可作为SQL Server的登录账户,可删除。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.3 SQL上机考试与辅助阅卷系统案例简介,简介:
11、从题库中16份试题通过随机等方式为同学们发放试题;学生通过上机方式完成试卷,并将其结果提交到数据库中;教师再从数据库中取出试卷进行阅卷(其中选择题、判断题、填空题自动批阅)并汇总学生考试成绩。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.3 SQL上机考试与辅助阅卷系统案例简介,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结
12、,第11章 数据库的安全性,2.4 增加登录账户,1 用企业管理器管理登录账户,【例11.4】创建登录账号SQL考试客户 。,(1) 双击SQL上机考试与阅卷系统.exe文件,自解压安装到:E:SQL上机考试与阅卷系统。 (2) 展开【服务器组】、服务器,右击【数据库】选择【所有任务】、【附加数据库】菜单,弹出【附加数据库】对话框,单击【】按钮选“E:SQL上机考试与阅卷系统SQL考试数据库.mdf”进行附加。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库
13、的安全性,2.4 增加登录账户,1 用企业管理器管理登录账户,【例11.4】创建登录账号SQL考试客户 。,(3) 展开【服务器组】、服务器、【安全性】。 (4) 右击【登录】,选择【新建登录(L)】,弹出【SQL Server登录属性 新建登录】,如图11.3所示。 (5) 单击【常规】、【服务器角色】、【数据库用户】选项卡填写相关内容:名称:SQL考试客户、数据库:SQL考试数据库、密码:123,选:SQL身份验证。 (6) 单击【确定】,弹出【确认密码】对话框。 (7) 在【确认密码】对话框,填写【确认新密码】,并单击【确定】按钮。,1安全机制 2服务器登录安全认证模式登录账户考试案例增
14、加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.4 增加登录账户,2用存储过程sp_addlogin创建登录账户,【例11.5】使用T-SQL语句创建服务器登录账号 。,语法:sp_addlogin 登录名 , 密码 , 默认数据库 , 默认语言 功能:创建SQL Server身份验证的登录账户。,提示:用sp_defaultdb存储过程可以更改用户的默认数据库。用sp_defaultlanguage存储过程可以更改用户的默认语言。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻
15、止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.4 增加登录账户,3 用存储过程sp_grantlogin授权Windows登录账户,语法:sp_grantlogin 登录名 功能:授予Windows NT用户或组的成员登录连接数据库服务器。,注意:只有sysadmin和securityadmin角色的账户可用sp_addlogin创建SQL Server身份验证的登录账户、可用sp_grantlogin授权windows账户登录SQL Server。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登
16、录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.5 阻止账户登录,在SQL Server中要阻止某账户的登录,对于Windows身份验证的账户可用拒绝登录方式阻止,对于SQL Server身份验证的账户可以修改密码而不通知该密码的用户方式阻止,更彻底的方法是删除账户。,在SQL Server应用中,有时SQL Server身份验证的账户忘记登录密码需要数据库管理员重新设置密码,有时用户本人认为登录可能泄漏需要更新自己的登录密码。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登
17、录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.5 阻止账户登录,1. 用企业管理器设置SQL Server身份验证账号密码,操作步骤: (1)展开【服务器组】、服务器、【安全性】,单击【登录】。 (2)右击要设置的SQL Server身份账户,选择【属性】,弹出【SQL Server登录属性】对话框。 (3)在【常规】选项卡的密码区域输入新密码。 (4)单击【确定】,弹出【确认密码】对话框。 (5)在【确认密码】对话框,填写【确认新密码】,并单击【确定】按钮。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加
18、登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.5 阻止账户登录,2 用存储过程sp_password修改SQL Server身份验证账号密码,语法:sp_password 旧密码, 新密码, 登录账户 功能:修改SQL Server身份账户的登录密码。,【例11.6】以SQL考试教师身份连接查询分析器,连接时输入自己的登录密码1949,修改自己的登录密码,假设原密码为:1949,新密码为:1999。,【例11.7】设置SQL考试教师的登录密码为2008。,1安全机制 2服务器登录安全认证模式登录账户
19、考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.5 阻止账户登录,3.用企业管理器授予/拒绝Windows账户登录,操作步骤: (1)展开【服务器组】,展开要设置的服务器,展开【安全性】,单击【登录】。 (2)右击要设置的Windows身份验证账户,选择【属性】菜单项,弹出【SQL Server登录属性】对话框。 (3)在【常规】选项卡的身份验证区域单击【拒绝访问】/【允许访问】选项。 (4)单击【确定】按钮。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删
20、除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.5 阻止账户登录,4 用存储过程sp_denylogin拒绝Windows账户登录,格式:sp_denylogin 登录名 功能:拒绝Windows NT用户或组的成员登录数据库服务器。,注意:其中登录名是要授权的Windows NT用户或组,必须用Windows NT域名限定,其格式为“域名组名”或“域名用户名”。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本
21、章小结,第11章 数据库的安全性,2.6 删除登录账户,1.用企业管理器删除登录账户,操作步骤: (1)展开【服务器组】,展开要设置的服务器,展开【安全性】,单击【登录】。 (2)右击要删除的登录账户,单击【删除】菜单项。 (3)在确认对话框中单击【是】按钮。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,2.6 删除登录账户,2. 用T-SQL语句删除登录账户,语法:sp_revokelogin 登录名 功能:撤销Windows身份验证的登录账户
22、。 语法: sp_droplogin 登录名 功能:删除sql server身份验证的登录账户。,注意:只有sysadmin和securityadmin角色的账户可用和sp_droplogin删除SQL Server身份验证的登录账户、可用sp_revokelogin撤销windows账户登录SQL Server。,1安全机制 2服务器登录安全认证模式登录账户考试案例增加登录账户阻止账户登录删除登录账户 3服务器角色 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,3 服务器的角色,角色是指服务器管理、数据库管理和访问的机制,包含两方面的内涵,一是角色
23、的成员,二是角色的权限,即指定角色中成员允许行使的权限。角色通过添加或删除成员方法增减成员,通过授予、拒绝或撤销方法增减权限。因此,权限可理解为岗位或职务,通过任免指定职务的人员,通过赋予或撤销增减职务的权限。,SQL Server 2000有两种类型的预定义角色:固定服务器角色(ServerRole)和固定数据库角色。这些角色是预先定义的,角色的种类和每个角色的权限都是固定的、不可更改或删除,只允许为其添加或删除成员(public角色除外,其权限可以增减,其成员是数据库中所有的数据库用户)。,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成员 4数据库用户 5数据库
24、角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,3 服务器的角色,3.1 固定服务器角色 3.2 查看固定服务器角色成员 3.3 向固定服务器角色中添加成员 3.4 从固定服务器角色中删除成员,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,3.1 固定服务器角色,SQL Server 事先设计了8个固定的服务器角色。这些角色是定义在服务器级上,存在于用户数据库之外,具有完成特定服务器级管理活动的权限,其作用域在服务器范围内。,固定服务器角色的成员是服务器
25、的登录账户。最初可由sa超级账户将其他登录账户添加到任一种固定服务器角色中,也可由系统管理员角色(sysadmin)或安全管理员角色(securityadmin)的成员将其他登录账户添加到任一种固定服务器角色中,还可以由每种固定服务器角色的每个成员向该角色中添加其他登录账户。,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,3.1 固定服务器角色,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训
26、8本章小结,第11章 数据库的安全性,3.2 查看固定服务器角色成员,1.用企业管理器查看固定服务器角色,(1)展开【服务器组】,展开要查看的服务器名,再展开【安全性】。 (2)单击【服务器角色】,在详细信息窗格显示固定服务器角色。,2.用企业管理器查看固定服务器角色成员,(1)展开【服务器组】,展开要查看的服务器名; (2)展开【安全性】,单击【服务器角色】; (3)在详细信息窗格右击选定的角色,单击【属性】; (4)在【服务器角色属性】对话框中显示该角色的成员(登录账户)列表。,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成员 4数据库用户 5数据库角色 6管理
27、权限 7本章实训 8本章小结,第11章 数据库的安全性,3.2 查看固定服务器角色成员,3.用存储过程sp_helpsrvrole查看固定服务器角色,语法:sp_helpsrvrole 固定服务器角色名,4.用存储过程sp_helpsrvrolemember查看固定服务器角色成员,语法:sp_helpsrvrolemember 固定服务器角色名,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,3.3 向固定服务器角色中添加成员,【例11.8】为使SQL考试教师能够建立学生的登
28、录账户,需要向固定服务器角色安全管理员角色securityadmin中添加成员SQL考试教师。,(1)展开【服务器组】、服务器、【安全性】。 (2)单击【服务器角色】,在详细信息窗格显示固定服务器角色。 (3)右击【securityadmin】角色行,选择【属性】。 (4)在【服务器角色属性】中,单击【常规】选项卡 ,单击【添加】,如图11.4所示。 (5)在添加成员对话框中,选择登录账户【SQL考试教师】、单击【确定】。 (6) 在【服务器角色属性】对话框中,单击【确定】。,1.用企业管理器向固定服务器角色中添加成员,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成
29、员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,3.3 向固定服务器角色中添加成员,语法格式: sp_addsrvrolemember 登录用户名,固定服务器角色名,【例11.9】设置SQL考试教师为sysadmin角色的成员,使其能够在SQL服务器中进行任何活动。,2.用sp_addsrvrolemember添加成员,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成员 4数据库用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,3.4 从固定服务器角色中删除成员,(1)展开【服务器组】、服务
30、器、【安全性】。 (2)单击【服务器角色】在详细窗格显示固定服务器角色。 (3)右击要删除成员的服务器角色行,单击【属性】。 (4)在【服务器角色属性】对话框中,单击【常规】卡。 (5)选择要删除的登录账户、单击【删除】、【确定】。,1.用企业管理器从固定服务器角色中删除成员,语法格式: sp_dropsrvrolemember 登录用户名,固定服务器角色名,【例11.10】从sysadmin角色中删除SQL考试教师 成员,2.用sp_dropsrvrolemember删除成员,1安全机制 2服务器登录 3服务器角色固定服务器角色查看成员增加成员删除成员 4数据库用户 5数据库角色 6管理权限
31、 7本章实训 8本章小结,第11章 数据库的安全性,4 数据库的用户,4.1 添加数据库用户 4.2 修改和查看数据库用户 4.3 删除数据库用户 4.4 特殊数据库用户 dbo、guest,数据库用户(dbAccess):对于每个要求访问数据库的登录账户,必须在要访问的数据库中建立该数据库的访问账户,且与其登录账户链接关联,才可进入该数据库访问(注:该数据库中有guest数据库用户或该登录账户加入相应固定数据库角色除外)。否则,该登录账户就无法进入该数据库访问。这个数据库访问账户就是数据库用户(dbAccess)。有关信息保存在各自数据库sysusers表中。,1安全机制 2服务器登录 3服
32、务器角色 4数据库用户添加用户修改查看用户删除用户特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,4.1 添加数据库用户,【例11.11】为SQL考试数据库添加数据库用户。,(1)展开【服务器组】,展开要查看的服务器名。 (2)展开【服务器】,展开【SQL考试数据库】数据库。 (3)右击【用户】,单击【新建数据库用户.】菜单,弹出【数据库用户属性新建用户】对话框。如图11.5所示。 (4) 从登录名下拉列表框中选择一个登录账号。 (5) 在用户名框中输入数据库用户名。 (6) 单击【确定】按钮。,1.使用企业管理器添加数据库用户,1安全机制 2服务器登录
33、3服务器角色 4数据库用户添加用户修改查看用户删除用户特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,4.1 添加数据库用户,语法:sp_grantdbaccess 登录账户名, 数据库用户名 功能:在当前数据库中,添加数据库用户名为本数据库的用户,并与将账户名为登录账户名的登录账户链接(关联)。,【例11.12】在当前数据库SQL考试数据库中,创建SQL考试教师名字的数据库用户,并与SQL考试数据库登录账户关联。,2.使用T-SQL语句添加数据库用户,1安全机制 2服务器登录 3服务器角色 4数据库用户添加用户修改查看用户删除用户特殊用户 5数据库角色
34、6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,4.2 修改和查看数据库用户,修改数据库用户,即修改用户所属的数据库的角色及所拥有的权限。这些内容分别在介绍数据库角色和管理权限的部分介绍。,查询分析器: Exec sp_helpuser select user select user_name(),企业管理器:展开【服务器组】,服务器,【数据库】,展开要查看的数据库,单击【用户】,在详细信息窗格中显示该数据库的用户。,查看数据库用户:,1安全机制 2服务器登录 3服务器角色 4数据库用户添加用户修改查看用户删除用户特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11
35、章 数据库的安全性,4.3 删除数据库用户,(1)展开【服务器组】、服务器、【数据库】、数据库; (2)单击【用户】,在详细信息窗格中右击想要删除的数据库用户,选择【删除】,在确认对话框中单击【是】。,1.使用企业管理器删除数据库用户,语法:sp_revokedbaccess 数据库用户名,2.使用sp_revokedbaccess删除数据库用户,1安全机制 2服务器登录 3服务器角色 4数据库用户添加用户修改查看用户删除用户特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,4.4 特殊数据库用户 dbo、guest,dbo是数据库对象的所有者,每个数据库中
36、都存在,不能删除,具有操作该数据库的最高权力。户与该数据库创建者的登录账户关联,自动关联固定服务器角色sysadmin中的所有成员,同时sysadmin的任何成员创建的任何对象都自动属于dbo。,guest用户:允许在该数据库中没有相应用户的登录账户访问数据库,即可认为guest自动关联服务器所有登录账户。guest 用户可以同其他用户账户一样被授于权限。默认情况下,新建的数据库中没有 guest 用户。可以在除 master 和 tempdb 外(在这两个数据库中它必须始终存在)的所有数据库中添加或删除 guest 用户。,1安全机制 2服务器登录 3服务器角色 4数据库用户添加用户修改查看
37、用户删除用户特殊用户 5数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,5 数据库的角色,5.1 固定数据库角色 5.2 自定义数据库角色 5.3 管理数据库角色成员,数据库角色(dbRole)是定义在数据库级上,保存在各自数据库的系统表sysusers之中,作用在各自的数据库之内,同样包含两方面的内涵,一是角色的成员,二是角色的权限。数据库角色的成员是数据库用户(dbAccess)。数据库角色分为固定数据库角色、用户自定义角色和应用程序角色。本书只介绍前2种角色。,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色固定数据库角色自定义数据库角色管理数
38、据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,5.1 固定数据库角色,固定数据库角色是系统预定义在数据库级上管理的角色,除public角色外,角色的种类和每个角色的权限都是固定的、不可更改或删除,只允许为其添加或删除成员。每个数据库都有10个固定数据库角色,如下表所示。,public是一个特殊的数据库角色,数据库中的每个数据库用户都自动是此角色的成员,最初创建只有本数据库的系统表和系统视图的select权限。 可以通过授予、拒绝或撤销方法增减权限,提供数据库中所有用户的默认权限。,查看固定数据库角色列表: 展开【服务器组】、服务器、【数据库】、数据库,单击【角色】,在
39、右侧详细信息窗格中列出角色列表。 查询分析器中,执行sp_helpdbfixedrole,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色固定数据库角色自定义数据库角色管理数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,5.1 固定数据库角色,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色固定数据库角色自定义数据库角色管理数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,5.2 自定义数据库角色,(1)展开【服务器组】、服务器、【数据库】、数据库。 (2)右击【角色】单击【新建数据库角色】弹出【数据库角色属
40、性新建角色】对话框。如图11.6所示。 (3)在对话框中输入角色的名称:考生,选中【标准角色】单选按钮。 (4)单击【添加】,可以为角色添加用户,也可不添加用户创建一个暂无成员的角色。单击【确定】。,1.使用企业管理器管理自定义数据库角色,自定义数据库角色是由用户定义,存在于数据库之中,作用在各自数据库之内,允许用户增减权限、添加或删除成员的角色。自定义数据库角色定义的目的是为了方便权限管理。,【例11.13】创建SQL考试数据库库角色考生。,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色固定数据库角色自定义数据库角色管理数据库角色 6管理权限 7本章实训 8本章小结,第1
41、1章 数据库的安全性,5.2 自定义数据库角色,语法:sp_addrole 角色名 , 角色的所有者 功能:在当前数据库中添加标准的用户角色。新角色的所有者必须是当前数据库中的某个用户或角色,默认值为 dbo。 语法:sp_droprole 角色名 功能:从当前数据库删除标准用户角色。,2.用T-Sql创建或删除自定义数据库角色,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色固定数据库角色自定义数据库角色管理数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,5.3 管理数据库角色成员,(1)展开【服务器组】、服务器、【数据库】、数据库; (2)单击【
42、角色】,在右侧详细信息窗格中选定角色右击,单击【属性】,弹出【数据库角色属性】对话框 (3)单击【添加】添加角色成员,选中成员单击【删除】删除角色成员。,1.使用企业管理器管理数据库角色成员,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色固定数据库角色自定义数据库角色管理数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,5.3 管理数据库角色成员,语法:sp_addrolemember 数据库角色, 安全账户 功能:为数据库角色添加成员。 语法:sp_droprolemember 数据库角色, 安全账户 功能:从数据库角色中删除成员。,2.使用T-S
43、QL语句增删数据库角色成员,【例11.14】SQL上机考试与辅助阅卷系统账户设置,具体要求见表11.1。,数据库角色指当前数据库中的数据库角色的名称,包括固定数据库角色(public角色除外)和自定义角色; 安全账户指当前数据库用户、当前数据库角色或windows登录账户。,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色固定数据库角色自定义数据库角色管理数据库角色 6管理权限 7本章实训 8本章小结,第11章 数据库的安全性,6 管理权限,6.1 权限 6.2 使用企业管理器管理权限 6.3 使用T-SQL语句管理权限,权限是指用户是否能进行访问数据库资源的相应操作。即权限
44、就是用户是否可以执行访问数据库资源的相应操作语句或存储过程。,管理权限实质就是管理数据库访问的安全性,有三方面的内涵:一是用户,有服务器登录账户、角色中的成员和数据库用户,二是访问的数据库资源(对象),有服务器、数据库、库中表或视图、自定义函数、存储过程、表或视图中的列,三是相应的操作方式。总之,管理权限就是将用户、资源和操作权限的有机配置。,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限权限管理权限(1)管理权限(2) 7本章实训 8本章小结,第11章 数据库的安全性,6.1 权限,语句权限是指用户能否当前数据库上进行备份数据库和创建数据库、表、视图、用户定义
45、函数、存储过程、规则和默认等对象,即指用户能否执行右表所列语句。,1.语句权限,权限:语句权限、对象权限和暗示性权限。,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限权限管理权限(1)管理权限(2) 7本章实训 8本章小结,第11章 数据库的安全性,6.1 权限,对象权限是指用户能否在当前数据库中表或视图、用户定义函数、存储过程、表或视图的列上进行相应的访问操作。,2.对象权根,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限权限管理权限(1)管理权限(2) 7本章实训 8本章小结,第11章 数据库的安全性,6.1 权限,暗示性权限
46、是指将用户(成员)加入角色,系统自动将角色的权限传递给成员的权限,特别是预定义角色,如固定服务器角色成员所具有的权限。暗示性权限是由添加或删除角色成员实现的。,3.暗示性权限,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限权限管理权限(1)管理权限(2) 7本章实训 8本章小结,第11章 数据库的安全性,6.2 使用企业管理器管理权限,(1)展开【服务器组】,右击要设置的数据库,选择【属性】菜单项,弹出数据库【属性】对话框。 (2)单击【权限】选项卡,如图11.7所示。 (3)权限选项卡中信息表格左侧列出了数据库中所有用户和角色,在上方列出所有语句权限,单击用户
47、/角色与权限的交叉点的方框可以设置用户或角色的授权状况。 (4)单击【确定】完成。,1.管理语句权限,【例11.15】使用企业管理器管理语句权限。,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限权限管理权限(1)管理权限(2) 7本章实训 8本章小结,第11章 数据库的安全性,6.2 使用企业管理器管理权限,(1)展开【服务器组】、服务器、【数据库】、数据库。 (2)根据用户类型,单击【用户】或【角色】,在右侧详细信息窗格显示【用户】或【角色】列表。 (3)右击要设置用户或角色,单击【属性】,弹出【数据库用户属性】或【数据库角色属性】对话框,在常规选项卡上单击【
48、权限】按钮,如图11.8所示。 (4)【权限】单击对象与权限的交叉点的方框可以设置用户或角色的授权状况。 (5)单击【列】按钮弹出【列权限】对话框,在【常规】卡表格,单击列与权限的交叉点的方框可以设置用户或角色的授权状况,单击【确定】按钮。 (6) 设置完毕后,单击【确定】,使设置生效。,2.使用企业管理器为用户或角色设置对象权限,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限权限管理权限(1)管理权限(2) 7本章实训 8本章小结,第11章 数据库的安全性,6.2 使用企业管理器管理权限,(1)展开【服务器组】、服务器、【数据库】、数据库; (2)根据对象类型
49、,单击【表】、【视图】或【存储过程】。 (3)在详细信息窗格中,右击要管理权限的对象单击【所有任务】、【管理权限】菜单,如图11.9所示。之后弹出【对象属性】对话框,如图11.10所示。 (4)在【权限】选项卡信息表格,左侧列出【用户/数据库角色/public】,上方列出权限,单击其中行列的交叉点的方框可以设置对象的授权状况。 (5) 设置完毕后,单击【确定】,使设置生效。,3.用企业管理器为数据库对象设置用户与访问权限,1安全机制 2服务器登录 3服务器角色 4数据库用户 5数据库角色 6管理权限权限管理权限(1)管理权限(2) 7本章实训 8本章小结,第11章 数据库的安全性,6.3 使用T-SQL语句管理权限,语句权限语法格式:GRANT 语句 ,. TO 安全用户 ,. 对象权限语法格式:GRANT 权限 ,. ON 表或视图 ( 列,.) | ON 存储过程 | ON 用户自定义函数 TO 安全账户 ,.,