第10章 系统安全管理讲解.ppt

AS {group | role}：指当前数据库中执行GRANT语句的用户所属的角色名或组名。当对象上的权限被授予一个组或角色时，用该子句可以将对象权限进一步授予不是组或角色成员的用户。 ② 对于禁止操作数据库对象权限的DENY语句的参数意义如下： CASCADE：指禁止security_account的权限时，也将连带禁止由secrity_account授权的任何其他用户账号。这也是针对GRANT语句中WITH GRANT OPTION而言的。 其他参数含义同上。 如果使用DENY语句禁止用户获得某个权限，那么将该用户添加到已拥有该权限的组或角色时，就不能拥有该权限了。 ③ REVOKE语句可以取消以前授予或禁止的对象权限。参数意义可以参看上述说明。 第二种权限：语句权限。 语句权限决定用户能否操作数据库和创建数据库对象。 语句权限不同于对象权限，并不针对某个数据库对象，而仅仅针对语句而言。 语 句 作 用 CREATE DATABASE 创建数据库 CREATE TABLE 在数据库中创建表 CREATE VIEW 在数据库中创建视图 CREATE FUNCTION 在数据库中创建函数 CREATE PROCEDURE 在数据库中创建存储过程 CREATE RULE 在数据库中创建规则 CREATE DEFAULT 在数据库中创建默认值对象 BACKUP DATABASE 备份数据库 BACKUP LOG 备份日志 表10-4 语句权限 语法： 授予执行T-SQL语句的权限 GRANT {ALL | statement[,…]} TO security_account[,…n] 禁止执行T-SQL语句的权限 DENY {ALL | statement[,…]} TO security_account[,…n] 取消执行T-SQL语句的权限 REVOKE {ALL | statement[,…]} FROM security_account[,…n] 参数说明： ① 授予执行T-SQL语句的权限的GRANT语句的参数意义如下： 1）ALL：表示授予所有可用的权限。对于sysadmin角色成员可以使用ALL。 2）statement：指被授予权限的语句。可以选以下语句：CREATE DATABASE、CREATE TABLE、CREATE VIEW、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE DEFAULT、BACKUP DATABASE、BACKUP LOG。 ② 禁止语句权限的DENY和取消语句权限的REVOKE的参数意义如上述所示。 第三种：隐含权限。 隐含权限指系统预定义而不需要授予就可以拥有的权限，包括固定服务器角色、固定数据库角色和数据库对象所有者所拥有的权限。 10.3.3 用户自定义数据库角色 如果很多用户拥有大致相同的对象权限或语句权限，那么可以将这些权限定义为数据库角色，然后使这些用户成为角色的成员。这样做利于管理和修改。 语法： sp_addrole [@rolename=]role [,[@ownername=]owner] sp_droprole [@rolename=]role 参数说明： ① sp_addrole是用于在当前数据库创建用户自定义数据库角色的系统存储过程。role指新角色的名称。owner指新角色的所有者，默认是dbo，owner必须是当前数据库中的某个用户或角色。 ② sp_droprole是用于在当前数据库删除用户自定义数据库角色的系统存储过程。 ③ 当用sp_addrole创建好数据库角色后，还要使用GRANT和DENY给该角色授予或禁止权限，再使用sp_addrolemember添加数据库成员。当然从用户自定义数据库角色中删除某个成员就应该用sp_droprolemember。 Use Student Exec sp_addlogin wei Exec sp_addlogin zhao Go Exec sp_grantdbaccess wei,w Exec sp_grantdbaccess zhao,zh Go Exec sp_addrole DB_role1 GRANT SELECT(student_Name,born_Date) ON student_Info TO DB_role1 Exec sp_addrolemember DB_role1,w Exec sp_addrolemember DB_role1,zh Go 参数说明： ① sp_addsrvrolemember：系统存储过程，