第11章 安全管理辩析.ppt

11.3.1 建立登录帐户 在“新建登录”对话框中可输入登录名、身份验证方式、密码和默认数据库。 选择以Windows身份验证时，输入的用户必须是现存的Windows用户。 选择以Sql Server身份验证时，创建的登录帐号只有在混合模式中可登录。 建立好用户的登录帐号之后，只能连接到相应的SQL Server服务器，还不具备访问用户任何数据库的能力。 使用企业管理器管理数据库用户权限 展开“数据库”节点并展开要设置权限的数据库，单击“用户”节点。 在内容窗格中右击要设置权限的数据库用户，从弹出的菜单中选择“所有任务”下的“管理权限”命令 。将打开“数据库用户属性”对话框。 删除固定的服务器角色成员 在“服务器角色属性”对话框中，选择要删除的登录帐户，单击“删除”按钮即可。 固定的数据库角色 固定的数据库角色 描述 db_owner 在数据库中拥有全部权限。 db_accessadmin 可以添加或删除用户ID。 db_securityadmin 可以管理数据库角色和角色成员，并管理数据库中的语句权限和对象权限。 db_ddladmin 可以建立、修改和删除数据库对象（运行所有的DDL语句） db_backupoperator 可以进行数据库备份、恢复操作 db_datareader 可以查询数据库中所有用户表中的数据。 db_datawriter 可以更改数据库中所有用户表中的数据。 db_denydatareader 不允许查询数据库中所有用户表中的数据。 db_denydatawriter 不允许更改数据库中所有用户表中的数据 public 默认不具有任何权限，但用户可对此角色进行授权（这一点与其他角色不同）。每个用户都属于该角色（自动地） 。 添加固定的数据库角色的成员 展开“数据库”节点，展开要操作的数据库，单击“角色”， 右击右边内容窗格中要添加成员的数据库角色在弹出的菜单中选择“属性”命令。 单击“添加”。 也可以在“用户”属性中为用户指定角色。 删除数据库角色的成员 选择要删除的用户，单击“删除”按钮。 11.6.3 用户自定义的角色 用户自定义的角色属于数据库一级的角色。 用户可以根据实际的工作职能情况定义自己的一系列角色，并给每个角色授予合适的权限。 用户自定义的角色的成员可以是数据库的用户，也可以是用户定义的角色。 建立用户自定义的角色 展开“数据库”，并展开要添加用户自定义角色的数据库； 右击“角色”节点，选择“新建数据库角色”命令； 指定角色名称。 可以使用“添加”按钮为该角色添加用户，即该用户该用户具备了该角色的权限。 新建角色时不能为角色指定权限。 为用户定义的角色授权 展开要操作的用户自定义角色所在的数据库。 右击“角色”节点，在右边的内容窗格中，右击要授予权限的用户自定义的角色，在弹出的菜单中选择“属性”命令。 单击“权限” 按钮，弹出为角色指定权限的对话框，类似于为用户指定权限。 添加和删除用户自定义角色的成员 与固定的数据库角色添加和删除成员的过程相同。 用户自定义角色的成员可以是用户，也可以是其他的用户自定义角色。 用户权限与角色权限之间的关系 有了角色，就不用直接管理每个具体的数据库用户的权限。数据库用户具有所属角色所有的权限，称为权限的“继承”； 只要没有权限被拒绝过，则角色的成员的权限是角色的权限（继承来的角色）加上它们自己所具有的权限； 如果在角色中授予了某个权限，在该角色的成员可以通过自己的权限设置来拒绝该权限。 如果某个权限在角色中被拒绝，则角色中的成员就不能再有此权限，即使为此成员授予了此权限也不行。 一个用户的权限是由所属角色继承来的权限与自己权限之和。 第11章 安全管理 第11章 安全管理 11.1 安全控制 11.2 SQL Server的安全控制 11.3 管理SQL Server登录帐户 11.4 管理数据库用户 11.5 管理权限 11.6 角色 11.1 安全控制 安全控制：在数据库应用系统的不同层次提供对有意损害行为的安全防范。 1. 安全控制模型 文件操作控制 操作权控制 身份验证 用户 数据库应用程序 数据库管理系统 操作 系统 加密存储 与冗余 数据库 2. 数据库权限的种类及用户的分类 权限的种类 系统维护权 操作权 数据库对象权限：创建、修改、删除 数据操作权：对表、视图数据的增加、删除、更改、查询 用户的分类 系统管理员（sa）：在数据库中具有全部的权限； 对象拥有者：创建数据库对象的用户即为数据库对象的拥有者； 普通用户：普通用户只有对数据库数据的增加、删除、更改和查询的权限。 11.2 SQL Server的安全控制 如果用户要访问SQL Server数据库的数据，必须经过三个认证过程。