SQL Server 2005數(shù)據(jù)庫用戶和安全性管理

1、SQL Server 2005數(shù)據(jù)庫數(shù)據(jù)庫用戶用戶和安全性管理和安全性管理 要點nSQL SERVER登錄驗證n管理登錄n數(shù)據(jù)庫用戶n權(quán)限管理n角色管理內(nèi)容提要n數(shù)據(jù)的安全性是指保護(hù)數(shù)據(jù)以防止因不合法的使用而造成數(shù)據(jù)的泄密和破壞。n在數(shù)據(jù)庫管理系統(tǒng)中，用檢查口令等手段來檢查用戶身份，合法的用戶才能進(jìn)入數(shù)據(jù)庫系統(tǒng)。當(dāng)用戶對數(shù)據(jù)庫執(zhí)行操作時，系統(tǒng)自動檢查用戶是否有權(quán)限執(zhí)行這些操作。1 SQL Server的登錄認(rèn)證 nSQL Server 2005對用戶的訪問進(jìn)行兩個階段的驗證：n身份驗證（Authentication）階段和n權(quán)限驗證（Permission Validation）階段。 身份驗證

2、（Authentication）階段n用戶在SQL Server上獲得對任何數(shù)據(jù)庫的訪問權(quán)限之前，必須登錄到SQL Server實例上。身份驗證階段SQL Server或者Windows對用戶進(jìn)行身份驗證，如果身份驗證成功，用戶就可以連接到SQL Server實例；否則，服務(wù)器將拒絕用戶登錄，從而保證了系統(tǒng)的安全。nSQL Server 2005在身份驗證階段可采用兩種安全模式：Windows身份驗證模式和混合身份驗證模式，具體見11.2節(jié)。n無論采用哪種身份驗證，在SQL Server中必須創(chuàng)建對應(yīng)的登錄（Login）賬號，Windows身份驗證的登錄名需要與系統(tǒng)中的Windows用戶賬號聯(lián)

3、系，SQL Server身份驗證的登錄名需要提供賬號名和口令。權(quán)限驗證（Permission Validation）階段n用戶通過身份驗證階段的驗證，以某個登錄名身份連接上數(shù)據(jù)庫實例后，如果需要訪問某個數(shù)據(jù)庫中的數(shù)據(jù)對象（如表），就還需要通過權(quán)限驗證。首先在要訪問的數(shù)據(jù)庫中需要有與登錄名相對應(yīng)的用戶（User）賬號，其次該用戶賬號還需要擁有對要訪問的數(shù)據(jù)對象的訪問權(quán)限。n因此SQL Server中有兩種賬號，一種是登錄名（Login Name），另一種是使用數(shù)據(jù)庫的用戶賬號（User Name）。登錄名只是讓用戶登錄到SQL Server中，登錄名本身并不能讓用戶訪問服務(wù)器中的數(shù)據(jù)庫。要訪問特

4、定的數(shù)據(jù)庫，還必須具有用戶賬號。 n用戶賬號是在特定的數(shù)據(jù)庫內(nèi)創(chuàng)建的，并關(guān)聯(lián)一個登錄名（當(dāng)一個用戶賬號創(chuàng)建時，必須關(guān)聯(lián)一個登錄名）。用戶定義的信息存放在服務(wù)器上的每個數(shù)據(jù)庫的sysusers表中，用戶沒有密碼同它相關(guān)聯(lián)。通過授權(quán)給用戶來指定用戶可以訪問的數(shù)據(jù)庫對象的權(quán)限。n可以這樣想象，假設(shè)SQL Server是一個包含許多房間的大樓，每一個房間代表一個數(shù)據(jù)庫，房間里的資料可以表示數(shù)據(jù)庫對象，則登錄名就相當(dāng)于進(jìn)入大門，而每個房間的鑰匙就是用戶名。房間中的資料根據(jù)用戶名的不同而有不同的權(quán)限。 管理SQL Server登錄 n在SQL Server的身份驗證階段，有兩種安全模式可供選擇：nWind

5、ows身份驗證模式n混合身份驗證模式。 Windows身份驗證模式n在Windows身份驗證模式下，SQL Server檢測當(dāng)前使用Windows的用戶賬號，并在系統(tǒng)注冊表中查找該用戶，以確定該用戶賬號是否有權(quán)限登錄。在這種方式下，用戶不必提交登錄名和密碼讓SQL Server驗證。nWindows身份驗證模式有以下主要優(yōu)點：n數(shù)據(jù)管理員的工作可以集中在管理數(shù)據(jù)庫上面，而不是管理用戶賬號。對用戶賬號的管理可以交給Windows去完成。nWindows有著更強的用戶賬號管理工具，可以設(shè)置賬號鎖定、密碼期限等。如果不是通過定制來擴(kuò)展SQL Server，SQL Server是不具備這些功能的。nW

6、indows的組策略支持多個用戶同時授權(quán)訪問SQL Server。 混合身份驗證模式n混合身份驗證模式允許以SQL Server驗證模式或者Windows驗證模式來進(jìn)行驗證。nSQL Server驗證模式處理登錄的過程：用戶在輸入登錄名和密碼后，SQL Server在系統(tǒng)注冊表中檢測輸入的登錄名和密碼，如果輸入的登錄名存在，而且密碼也正確，就可以登錄到SQL Server上。n混合驗證模式具有如下優(yōu)點：n創(chuàng)建了Windows之外的另一個安全層次。n支持更大范圍的用戶，例如不是Windows的用戶、而是Novell網(wǎng)絡(luò)用戶等。n一個應(yīng)用程序可以使用單個的SQL Server登錄名和密碼。設(shè)置身份

7、驗證模式n通過設(shè)置數(shù)據(jù)庫服務(wù)器的屬性可以設(shè)置服務(wù)器允許的身份驗證模式。n在管理器的服務(wù)器上右擊鼠標(biāo)，在彈出的菜單中選擇“屬性”命令，打開“服務(wù)器屬性”對話框。n單擊“安全性”標(biāo)簽，打開“安全性”選項卡，在此選項卡中可以選擇驗證模式。 管理登錄名n無論采用哪種身份驗證，用戶最終必須通過登錄名（Login Name）實現(xiàn)與數(shù)據(jù)庫實例的連接，Windows身份驗證的登錄名需要與系統(tǒng)中的Windows用戶賬號聯(lián)系，SQL Server身份驗證的登錄名則需要提供賬號名和密碼。查看登錄名n查看登錄名的步驟如下：n在“對象資源管理器”中選擇數(shù)據(jù)庫。n展開“安全性”和“登錄名”。n如果要查看某個賬號的具體內(nèi)容

8、，可以右擊要查看的登錄名后單擊屬性n可以看到兩個系統(tǒng)創(chuàng)建的默認(rèn)登錄名，其含義如下：nBUILTINAdministrators：默認(rèn)的Windows身份驗證的登錄名，凡是屬于Windows中Administrators（系統(tǒng)管理員）組的賬號都允許登錄SQL Server。nsa：默認(rèn)的SQL Server身份驗證的登錄名，又稱為超級管理員賬號，允許SQL Server的系統(tǒng)管理員登錄。該賬號的密碼在安裝SQL Server 2005時指定。n這兩個默認(rèn)登錄名都擁有對SQL Server服務(wù)器的系統(tǒng)管理權(quán)限。新建登錄名n要登錄到SQL Server，必須有一個登錄名。如果不希望用戶使用默認(rèn)的登錄

9、名，就必須為其創(chuàng)建一個新的登錄名。n創(chuàng)建一個登錄名的操作步驟如下。n打開“登錄名-新建”對話框n選擇身份驗證模式和登錄名n如果要新建一個Windows身份驗證的登錄名，則在身份驗證中選擇“Windows身份驗證”，然后單擊名稱文本框右側(cè)的“搜索”按鈕，選擇一個Windows用戶或組。n如果要新建一個SQL Server身份驗證的登錄名，則在身份驗證中選擇“SQL Server身份驗證”，然后分別輸入登錄名的名稱和密碼。n指定默認(rèn)數(shù)據(jù)庫n可以在“默認(rèn)數(shù)據(jù)庫”列表中選擇一個數(shù)據(jù)庫，以讓該登錄名默認(rèn)登錄到該數(shù)據(jù)庫中。例如，可以新建一個SQL Server登錄名LibAdmin，并設(shè)置其默認(rèn)數(shù)據(jù)庫為L

10、ibrary，這樣一旦用戶使用LibAdmin登錄服務(wù)器，系統(tǒng)會自動執(zhí)行USE Library的操作。n設(shè)定登錄名的權(quán)限n登錄名不具有訪問數(shù)據(jù)的權(quán)限，但可以通過將其加入某些“服務(wù)器角色”中以使之擁有某些SQL Server服務(wù)器的管理權(quán)限。單擊“服務(wù)器角色”標(biāo)簽，打開“服務(wù)器角色”選項卡，如圖11-4所示。在此選項卡中可以設(shè)置登錄名所屬的服務(wù)器角色。 角色n角色是一組用戶構(gòu)成的組，在SQL Server中有兩種角色：服務(wù)器角色和數(shù)據(jù)庫角色，分別對應(yīng)登錄名（Login Name）和用戶賬號（User Name）。n服務(wù)器角色是負(fù)責(zé)管理和維護(hù)SQL Server服務(wù)器的組，每個角色擁有的管理權(quán)限是

11、固定的，用戶不能修改，也不能新增和刪除服務(wù)器角色。 修改和刪除登錄名n修改登錄名n在“登錄名”中選擇要修改的賬號，單擊右鍵選擇“屬性”后打開“登錄屬性”對話框，就可以修改登錄名的內(nèi)容。具體操作和新建登錄名時類似。n刪除登錄名n在“登錄名”中選擇要刪除的登錄名，單擊右鍵選擇“刪除”后確認(rèn)，就可以刪除該登錄名。數(shù)據(jù)庫用戶 n要查看數(shù)據(jù)庫Northwind中的用戶，可以按照以下步驟操作：n在“對象資源管理器中”中選擇服務(wù)器，然后展開“數(shù)據(jù)庫”。n選擇數(shù)據(jù)庫“Northwind”，然后展開“用戶”。n瀏覽所有的數(shù)據(jù)庫用戶賬號，如圖11-6所示。如果要查看某個賬號的具體內(nèi)容，可以右擊要查看的用戶賬號后單

12、擊“屬性”菜單項。nSQL Server為每個數(shù)據(jù)庫自動創(chuàng)建dbo賬號，該賬號和所有屬于sysadmin服務(wù)器角色的登錄名（如sa）相關(guān)聯(lián)，并且dbo對所屬的數(shù)據(jù)庫擁有完全的權(quán)限。n除dbo外，系統(tǒng)還為默認(rèn)數(shù)據(jù)庫創(chuàng)建guest賬號，任何一個登錄名當(dāng)在數(shù)據(jù)庫中沒有用戶賬號與之關(guān)聯(lián)時均可通過數(shù)據(jù)庫中的guest賬號訪問數(shù)據(jù)庫。用戶新建的數(shù)據(jù)庫中則沒有g(shù)uest賬戶，是否需要建立由該數(shù)據(jù)庫的訪問需求決定。但有一點需要注意，master和tempdb數(shù)據(jù)庫中的guest賬號不能刪除，因為任何一個登錄名都需要訪問這兩個數(shù)據(jù)庫。 新增數(shù)據(jù)庫用戶n要查新增數(shù)據(jù)庫Northwind中的用戶，可以按照以下步驟操

13、作。n打開“新建用戶”對話框n在“對象資源管理器”中展開數(shù)據(jù)庫Northwind文件夾，右擊“用戶”選項，選擇“新建用戶”命令，打開“新建用戶”對話框。n輸入用戶名，并選擇相關(guān)聯(lián)的登錄名n單擊“登錄名”文本框右端的按鈕，選擇要關(guān)聯(lián)的登錄名。 修改和刪除數(shù)據(jù)庫用戶n通過管理器可以很方便地修改和刪除一個數(shù)據(jù)庫用戶。n修改數(shù)據(jù)庫用戶n在“用戶”中選擇要修改的賬號，單擊右鍵選擇“屬性”后打開“數(shù)據(jù)庫用戶”對話框，就可以修改用戶賬號的屬性。除了新建賬號時的內(nèi)容外，在“數(shù)據(jù)庫用戶”對話框中還可以設(shè)置用戶的權(quán)限。n刪除數(shù)據(jù)庫用戶n在“用戶”中選擇要刪除的賬號，單擊右鍵選擇“刪除”后確認(rèn)，就可以刪除該數(shù)據(jù)庫用

14、戶。權(quán)限管理 n一旦創(chuàng)建了數(shù)據(jù)庫用戶，隨之而來的便是管理這些用戶權(quán)限。可以通過將用戶加入一個數(shù)據(jù)庫角色或者為其賦予更細(xì)的權(quán)限來管理用戶。設(shè)置權(quán)限操作步驟如下：n在新建數(shù)據(jù)庫用戶或修改數(shù)據(jù)庫用戶屬性時，打開“數(shù)據(jù)庫用戶”對話框。n在“數(shù)據(jù)庫用戶”對話框中，選擇“安全對象”選項，單擊“添加”按鈕，打開“添加對象”對話框。例如，選擇“特定類型的所有對象”，單擊“確定”按鈕，則打開“選擇對象類型”對話框。n特定對象。打開“特定對象”對話框，可以進(jìn)一步定義對象搜索。n特定類型的所有對象。打開“特定類型的所有對象”，可以指定應(yīng)包含在基礎(chǔ)列表中的對象的類型。n屬于該架構(gòu)的所有對象。添加由“架構(gòu)名稱”框中指定

15、架構(gòu)擁有的所有對象。只出現(xiàn)在“數(shù)據(jù)庫用戶 - 新建”等數(shù)據(jù)庫作用域?qū)υ捒蛑?。n在“選擇對象類型”對話框中，如圖11-9所示，選擇“表”后單擊“確定”按鈕，選擇所有的表為安全對象。n如果要設(shè)置對某一數(shù)據(jù)庫對象的操作權(quán)限，可以通過對應(yīng)的復(fù)選框設(shè)置，可以將各類權(quán)限設(shè)置為“授予”、“具有授予權(quán)限”或“拒絕”，或者不進(jìn)行任何設(shè)置。選中“拒絕”將覆蓋其他所有設(shè)置。如果未進(jìn)行任何設(shè)置，將從其他組成員身份中繼承權(quán)限（如果有的話）。 權(quán)限類型n對象權(quán)限n對象權(quán)限是指處理數(shù)據(jù)或執(zhí)行過程時需要稱為對象權(quán)限的權(quán)限類別。nSELECT、INSERT、UPDATE和DELETE語句權(quán)限可以應(yīng)用到整個表或視圖中。nSELE

16、CT和UPDATE語句權(quán)限可以有選擇性地應(yīng)用到表或視圖中的單個列上。nSELECT權(quán)限可以應(yīng)用到用戶定義函數(shù)。nINSERT和DELETE語句權(quán)限會影響整行，因此只可以應(yīng)用到表或視圖中，而不能應(yīng)用到單個列上。nEXECUTE語句權(quán)限可以影響存儲過程和函數(shù)。 n語句權(quán)限n語句權(quán)限是指創(chuàng)建數(shù)據(jù)庫或數(shù)據(jù)庫中的項（如表或存儲過程）所涉及的活動要求的另一類稱為語句權(quán)限的權(quán)限。例如，如果用戶必須能夠在數(shù)據(jù)庫中創(chuàng)建表，則應(yīng)該向該用戶授予CREATE TABLE語句權(quán)限。n語句權(quán)限（如CREATE DATABASE）適用于語句自身，而不適用于數(shù)據(jù)庫中定義的特定對象 n暗示性權(quán)限n暗示性權(quán)限控制那些只能由預(yù)定義

17、系統(tǒng)角色的成員或數(shù)據(jù)對象所有者執(zhí)行的活動。例如，sysadmin固定服務(wù)器角色成員自動繼承在SQL Server安裝中進(jìn)行操作或查詢的全部權(quán)限。n數(shù)據(jù)庫對象所有者（dbo）還有暗示性權(quán)限，可以對所擁有的對象執(zhí)行一切活動。例如，擁有表的用戶可以查看、添加或刪除數(shù)據(jù)、更改表定義或控制允許其他用戶對表進(jìn)行操作的權(quán)限。權(quán)限設(shè)置n數(shù)據(jù)庫對象的操作權(quán)限有三種設(shè)置狀態(tài)，如下：n授予：表示具有該權(quán)限。n具有授予權(quán)限：表示具有該權(quán)限，并可以將該權(quán)限授予其他用戶。n拒絕：表示不具有該權(quán)限。角色管理 n角色是一個強大的工具，可以將用戶集中到一個單元中，然后對該單元設(shè)置權(quán)限。對一個角色授予、拒絕或廢除的權(quán)限也適用于該

18、角色的任何成員?？梢越⒁粋€角色來代表單位中一類工作人員所執(zhí)行的工作，然后給這個角色授予適當(dāng)?shù)臋?quán)限。當(dāng)工作人員開始工作時，只需將他們添加為該角色成員，當(dāng)他們離開工作時，將他們從該角色中刪除；而不必在每個人接受或離開工作時，反復(fù)授予、拒絕和廢除其權(quán)限。權(quán)限在用戶成為角色成員時自動生效。n和登錄名類似，用戶賬號也可以分成組，稱為數(shù)據(jù)庫角色（Database Roles）。數(shù)據(jù)庫角色應(yīng)用于單個數(shù)據(jù)庫，它包括該數(shù)據(jù)庫中的一些數(shù)據(jù)庫用戶。n在SQL Server中，數(shù)據(jù)庫角色可分為以下兩種。n數(shù)據(jù)庫角色：由數(shù)據(jù)庫成員所組成的組，此成員可以是用戶或者其他的數(shù)據(jù)庫角色。n應(yīng)用程序角色：用來控制應(yīng)用程序存取數(shù)

19、據(jù)庫的，本身并不包含任何成員。數(shù)據(jù)庫角色n固定角色n在數(shù)據(jù)庫創(chuàng)建時，系統(tǒng)默認(rèn)創(chuàng)建10個固定的數(shù)據(jù)庫角色。先展開Northwind數(shù)據(jù)庫，再展開“數(shù)據(jù)庫角色”選項，即可看到默認(rèn)的固定角色。npublic角色是最基本的數(shù)據(jù)庫角色，任何新建數(shù)據(jù)庫用戶默認(rèn)都會屬于該角色。 使用角色n可以查看角色的屬性，也可以將一個用戶添加到角色中。下面以db_owner數(shù)據(jù)庫角色為例，來查看它的屬性，并將用戶li加入該角色中。n操作步驟如下：n選擇數(shù)據(jù)庫Northwind，展開“數(shù)據(jù)庫角色”選項。n右擊db_owner角色，然后選擇“屬性”命令，打開“此角色的成員”對話框。單擊“添加”按鈕，打開“選擇數(shù)據(jù)庫用戶或角色

20、”對話框。n在“選擇數(shù)據(jù)庫用戶或角色”對話框中，輸入用戶名“l(fā)i”，可以通過“檢查名稱”按鈕檢查用戶名的有效性，然后單擊“確定”按鈕。新建角色n建立一個數(shù)據(jù)庫角色的操作步驟如下：n在“對象資源管理器”中右擊“數(shù)據(jù)庫角色”選項，選擇“新建數(shù)據(jù)庫角色”，彈出“數(shù)據(jù)庫角色-新建”對話框，如圖11-14所示。n設(shè)置完成后，單擊“確定”按鈕即可創(chuàng)建新角色。n該對話框和“數(shù)據(jù)庫用戶”對話框類似，其中各項含義也和用戶權(quán)限設(shè)置時相同。 應(yīng)用程序角色 nSQL Server中的安全系統(tǒng)在最低級別，即數(shù)據(jù)庫本身上實現(xiàn)。無論使用什么應(yīng)用程序與SQL Server通信，這都是控制用戶活動的最佳方法。但是，有時必須自定

21、義安全控制以適應(yīng)個別應(yīng)用程序的特殊需要，尤其是當(dāng)處理復(fù)雜數(shù)據(jù)庫和含有大表的數(shù)據(jù)庫時。n此外，可能希望限制用戶只能通過特定應(yīng)用程序（如使用SQL查詢分析器或Microsoft Excel）來訪問數(shù)據(jù)或防止用戶直接訪問數(shù)據(jù)。限制用戶的這種訪問方式將禁止用戶使用應(yīng)用程序（如SQL查詢分析器）連接到SQL Server實例并執(zhí)行編寫質(zhì)量差的查詢，以免對整個服務(wù)器的性能造成負(fù)面影響。 應(yīng)用程序角色和數(shù)據(jù)庫角色的區(qū)別n應(yīng)用程序角色不包含成員。不能將Windows組、用戶和角色添加到應(yīng)用程序角色；當(dāng)通過特定的應(yīng)用程序為用戶連接激活應(yīng)用程序角色時，將獲得該應(yīng)用程序角色的權(quán)限。用戶之所以與應(yīng)用程序角色關(guān)聯(lián)，是由

22、于用戶能夠運行激活該角色的應(yīng)用程序，而不是因為其是角色成員。n默認(rèn)情況下，應(yīng)用程序角色是非活動的，需要用密碼激活。n應(yīng)用程序角色不使用標(biāo)準(zhǔn)權(quán)限。當(dāng)一個應(yīng)用程序角色被該應(yīng)用程序激活以用于連接時，連接會在連接期間永久地失去數(shù)據(jù)庫中所有用來登錄的權(quán)限、用戶賬戶、其他組或數(shù)據(jù)庫角色。連接獲得與數(shù)據(jù)庫的應(yīng)用程序角色相關(guān)聯(lián)的權(quán)限，應(yīng)用程序角色存在于該數(shù)據(jù)庫中。因為應(yīng)用程序角色只能應(yīng)用于它們所存在的數(shù)據(jù)庫中，所以連接只能通過授予其他數(shù)據(jù)庫中g(shù)uest用戶賬戶的權(quán)限，獲得對另一個數(shù)據(jù)庫的訪問。因此，如果數(shù)據(jù)庫中沒有g(shù)uest用戶賬戶，則連接無法獲得對該數(shù)據(jù)庫的訪問。如果guest用戶賬戶確實存在于數(shù)據(jù)庫中，但

23、是訪問對象的權(quán)限沒有顯式地授予guest，則無論是誰創(chuàng)建了對象，連接都不能訪問該對象。用戶從應(yīng)用程序角色中獲得的權(quán)限一直有效，直到連接從SQL Server退出為止。 n若要確?？梢詧?zhí)行應(yīng)用程序的所有函數(shù)，連接必須在連接期間失去應(yīng)用于登錄和用戶賬戶或所有數(shù)據(jù)庫中的其他組或數(shù)據(jù)庫角色的默認(rèn)權(quán)限，并獲得與應(yīng)用程序角色相關(guān)聯(lián)的權(quán)限。例如，如果應(yīng)用程序必須訪問通常拒絕用戶訪問的表，則應(yīng)廢除對該用戶拒絕的訪問權(quán)限，以使用戶能夠成功使用該應(yīng)用程序。應(yīng)用程序角色通過臨時掛起用戶的默認(rèn)權(quán)限并只對其指派應(yīng)用程序角色的權(quán)限而克服任何與用戶的默認(rèn)權(quán)限發(fā)生的沖突。n假設(shè)用戶Tom運行統(tǒng)計應(yīng)用程序。該應(yīng)用程序要求在數(shù)據(jù)庫library中的表copy和title上有SELECT、UPDATE和INSERT權(quán)限，但Tom在使用SQL查詢分析器或任何其他工具訪問copy或title表時不應(yīng)有SELECT、INSERT或U