第5章 項目數(shù)據(jù)庫安全管理

1、制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐第五章第五章 項目數(shù)據(jù)庫安全項目數(shù)據(jù)庫安全管理管理制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐本章目標(biāo)本章目標(biāo)1學(xué)習(xí)目標(biāo)了解SQL Server服務(wù)器安全特性； 掌握數(shù)據(jù)庫安全性管理掌握數(shù)據(jù)庫角色管理；掌握數(shù)據(jù)庫權(quán)限管理； 2. 學(xué)習(xí)要點用戶的種類及其創(chuàng)建方法；角色的種類及使用方法；權(quán)限的種類及操作方法；數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性 保護(hù)數(shù)據(jù)庫中的各種數(shù)據(jù)，以防止保護(hù)數(shù)據(jù)庫中的各種數(shù)據(jù)，以防止因非法使用而造成數(shù)據(jù)的泄密和破壞。因非法使用而造成數(shù)據(jù)的泄密和破壞。簡單的說就是保護(hù)數(shù)據(jù)庫以防止不合法簡單的說就是保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露。的使用所造成的數(shù)據(jù)泄露。 制作：荊州

2、職業(yè)技術(shù)學(xué)院 彭嵐5.1.1 SQL Server 2008安全管理新特性SQL Server 2008 提供了豐富的安全特性，用于保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)資源。它的安裝更輕松、更安全，除了最基本的特性之外，其他特性都不是默認(rèn)安裝的，即便安裝了也處于未啟用的狀態(tài)。SQL Server提供了豐富的服務(wù)器配置工具，特別值得關(guān)注的就是 SQL Server Surface Area Configuration Tool，它的身份驗證特性得到了增強(qiáng)， SQL Server 更加緊密地與Windows身份驗證相集成，并保護(hù)弱口令或陳舊的口令。有了細(xì)粒度授權(quán)、SQL Server Agent 代理和執(zhí)行上下文，在經(jīng)

3、過驗證之后，授權(quán)和控制用戶可以采取的操作將更加靈活。元數(shù)據(jù)也更加安全，因為系統(tǒng)元數(shù)據(jù)視圖僅返回關(guān)于用戶有權(quán)以某種形式使用的對象的信息。在數(shù)據(jù)庫級別，加密提供了最后一道安全防線，而用戶與架構(gòu)的分離使得用戶的管理更加輕松。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.1.2 SQL Server 2008安全性機(jī)制服務(wù)器級別的安全機(jī)制 這個級別的安全性主要通過登錄帳戶進(jìn)行控制，要想訪問一個數(shù)據(jù)庫服務(wù)器 ，必須擁有一個登錄帳戶。登錄帳戶可以是Windows賬戶或組，也可以是SQL Server的登錄賬戶。登錄賬戶可以屬于相應(yīng)的服務(wù)器角色。至于角色，可以理解為權(quán)限的組合。數(shù)據(jù)庫級別的安全機(jī)制 這個級別的安全性主要通

4、過用戶帳戶進(jìn)行控制，要想訪問一個數(shù)據(jù)庫，必須擁有該數(shù)據(jù)庫的一個用戶賬戶身份。用戶賬戶是通過登錄賬戶進(jìn)行映射的，可以屬于固定的數(shù)據(jù)庫角色或自定義數(shù)據(jù)庫角色。數(shù)據(jù)對象級別的安全機(jī)制 這個級別的安全性通過設(shè)置數(shù)據(jù)對象的訪問權(quán)限進(jìn)行控制。如果是使用圖形界面管理工具，可以在表上右擊，選擇“屬性”|“權(quán)限”選項，然后啟用相應(yīng)的權(quán)限復(fù)選框即可。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.1.3 SQL Server 2008安全主體主體級別主體對象Windows級別Windows域登錄、Windows本地登錄、Windows組SQL Server級別服務(wù)器角色、SQL Server登錄SQL Server登錄映射為非對

5、稱密鑰SQL Server登錄映射為證書SQL Server登錄映射為Windows登錄數(shù)據(jù)庫級別數(shù)據(jù)庫用戶、應(yīng)用程序角色、數(shù)據(jù)庫角色、公共數(shù)據(jù)庫角色數(shù)據(jù)庫映射為非對稱密鑰數(shù)據(jù)庫映射為證書數(shù)據(jù)庫映射為Windows登錄制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.2.1管理SQL Server服務(wù)器安全性內(nèi)容包括：內(nèi)容包括： 確認(rèn)用戶帳號是否有效；確認(rèn)用戶帳號是否有效； 能否訪問系統(tǒng)；能否訪問系統(tǒng)； 能訪問系統(tǒng)的哪些數(shù)據(jù)。能訪問系統(tǒng)的哪些數(shù)據(jù)。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐 身份驗證是指當(dāng)用戶訪問系統(tǒng)時，系身份驗證是指當(dāng)用戶訪問系統(tǒng)時，系統(tǒng)對該用戶的賬號和口令的確認(rèn)過程。統(tǒng)對該用戶的賬號和口令的確認(rèn)過程。S

6、QL SERVER能識別兩種類型的身份：能識別兩種類型的身份： WINDOWS身份；身份； SQL SERVER身份身份。 用戶和客戶機(jī)在連接用戶和客戶機(jī)在連接SQL時，可任選其時，可任選其一。一。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐 1、WINDOWS身份：身份： 在使用Windows身份驗證模式時，可以使用Windows域中有效的用戶和組賬戶來進(jìn)行身份驗證。這種模式下，域用戶不需要獨立的SQL Server用戶賬戶和密碼就可以訪問數(shù)據(jù)庫。 2、SQL SERVER身份：身份： 由由SQL SERVER系統(tǒng)管理員定義系統(tǒng)管理員定義SQL 的登錄帳號和密碼，用戶連接時必須提的登錄帳號和密碼，用戶連接

7、時必須提供帳號和口令。供帳號和口令。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐 1、WINDOWS身份驗證方式：身份驗證方式： 在使用Windows身份驗證模式時，可以使用Windows域中有效的用戶和組賬戶來進(jìn)行身份驗證。這種模式下，域用戶不需要獨立的SQL Server用戶賬戶和密碼就可以訪問數(shù)據(jù)庫。WindowsWindows身份驗證模式有以下主要優(yōu)點：身份驗證模式有以下主要優(yōu)點：數(shù)據(jù)庫管理員的工作可以集中在管理數(shù)據(jù)庫上面，而不是管理用戶賬戶。對用戶賬戶的管理可以交給Windows去完成。Windows有更強(qiáng)的用戶賬戶管理工具。可以設(shè)置賬戶鎖定、密碼期限等。如果不通過定制來擴(kuò)展SQL Server，S

8、QL Server則不具備這些功能。Windows的組策略支持多個用戶同時被授權(quán)訪問SQL Server。521身份驗證模式身份驗證模式制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐登錄過程：登錄過程：制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐2、混合安全模式、混合安全模式 功 能 ： 指 用 戶 登 錄 時 ， 其 身 份 由功 能 ： 指 用 戶 登 錄 時 ， 其 身 份 由WINDOWS NT和和SQL SERVER共同認(rèn)共同認(rèn)證。證。 適用對象：適合用于外界用戶訪問數(shù)據(jù)適用對象：適合用于外界用戶訪問數(shù)據(jù)庫或不能登錄到庫或不能登錄到WINDOWS域時使用。域時使用。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐登錄過程：登錄過程：制

9、作：荊州職業(yè)技術(shù)學(xué)院 彭嵐混合模式身份驗證的優(yōu)點如下：混合模式身份驗證的優(yōu)點如下：l允許SQL Server支持那些需要進(jìn)行SQL Server身份驗證的舊版應(yīng)用程序和由第三方提供的應(yīng)用程序。l允許SQL Server支持具有混合操作系統(tǒng)的環(huán)境，在這種環(huán)境中并不是所有用戶均由Windows域進(jìn)行驗證。l允許用戶從未知的或不可信的域進(jìn)行連接。例如，既定客戶使用指定的SQL Server登錄名進(jìn)行連接以接收其訂單狀態(tài)的應(yīng)用程序。l允許SQL Server支持基于Web的應(yīng)用程序，在這些應(yīng)用程序中用戶可創(chuàng)建自己的標(biāo)識。l允許軟件開發(fā)人員通過使用基于已知的預(yù)設(shè)SQL Server登錄名的復(fù)雜權(quán)限層次結(jié)

10、構(gòu)來分發(fā)應(yīng)用程序。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐3配置身份驗證模式配置身份驗證模式制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.2.2管理登錄帳號管理登錄帳號服務(wù)器登錄有兩種情況：l可用使用域賬號登錄使用域賬號登錄，域賬號可用是域或本地用戶賬號、本地組賬戶或通用的和全局的域組賬戶；l可用通過指定唯一的登錄指定唯一的登錄ID和密碼來創(chuàng)建和密碼來創(chuàng)建SQL Server 2008登錄登錄，默認(rèn)登錄包括本地管理員組、本地管理員、sa、Network Service和SYSTEM。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐默認(rèn)登錄帳號l系統(tǒng)管理員組系統(tǒng)管理員組 SQL Server 2008中管理員組在數(shù)據(jù)庫服務(wù)器上屬于本地組。這

11、個組的成員通常包括本地管理員用戶賬戶和任何設(shè)置為管理員本地系統(tǒng)的其他用戶。在SQL Server 2008中，此組默認(rèn)授予sysadmin服務(wù)器角色。l管理員用戶賬戶管理員用戶賬戶 管理員在SQL Server 2008服務(wù)器上的本地用戶賬戶。該賬戶提供對本地系統(tǒng)的管理權(quán)限，主要在安裝系統(tǒng)時使用它。如果計算機(jī)是Windows域的一部分，管理員賬戶通常也有域范圍的權(quán)限。在SQL Server 2008中，這個賬戶默認(rèn)授予sysadmin服務(wù)器角色。lSa登錄登錄 是SQL Server系統(tǒng)管理員的賬戶。而在SQL Server 2008中采用了新的集成和擴(kuò)展的安全模式，sa不再是必需的，提供此登

12、錄賬戶主要是為了針對以前SQL Server版本的向后兼容性。與其他管理員登錄一樣，sa默認(rèn)授予sysadmin服務(wù)器角色。在默認(rèn)安裝SQL Server 2008的時候，sa賬戶沒有被指派密碼。lNetwork Service和和SYSTEM登錄登錄 它是SQL Server 2008服務(wù)器上內(nèi)置的本地賬戶，而是否創(chuàng)建這些賬戶的服務(wù)器登錄，依賴于服務(wù)器的配置。例如，如果已經(jīng)將服務(wù)器配置為報表服務(wù)器，此時將有一個NETWORK SERVICE的登錄賬戶，這個登錄將是mester、msdb、ReportServer和ReportServerTempDB數(shù)據(jù)庫的特殊數(shù)據(jù)庫角色RSExceRole的

13、成員。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐登錄帳號的創(chuàng)建制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.2.3管理用戶 用戶名在特定的數(shù)據(jù)庫內(nèi)創(chuàng)建，并關(guān)聯(lián)一個登錄名（當(dāng)一個用戶創(chuàng)建時，必須關(guān)聯(lián)一個登錄名）。通過授權(quán)給用戶來指定用戶可以訪問的數(shù)據(jù)庫對象的權(quán)限。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐用戶的創(chuàng)建用戶的創(chuàng)建(一一)制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐用戶的創(chuàng)建用戶的創(chuàng)建(二二)制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐用戶的創(chuàng)建用戶的創(chuàng)建(三三)制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐登錄名和數(shù)據(jù)庫用戶名的關(guān)系：登錄名和數(shù)據(jù)庫用戶名的關(guān)系： 登錄名是訪問登錄名是訪問SQL SERVERSQL SERVER的通行證，其本身并不能證的通行證，其本身并不能證

14、用戶訪問服務(wù)器中的數(shù)據(jù)庫；用戶名是登錄名在數(shù)據(jù)用戶訪問服務(wù)器中的數(shù)據(jù)庫；用戶名是登錄名在數(shù)據(jù)庫中使用的名稱，一個用戶名必須和一個登錄名相關(guān)庫中使用的名稱，一個用戶名必須和一個登錄名相關(guān)聯(lián)；聯(lián)； 登錄帳戶和數(shù)據(jù)庫用戶是登錄帳戶和數(shù)據(jù)庫用戶是SQL SERVERSQL SERVER進(jìn)行權(quán)限管理的進(jìn)行權(quán)限管理的兩種不同的對象。兩種不同的對象。 一個登錄帳戶可與服務(wù)器上的所有數(shù)據(jù)庫進(jìn)行關(guān)聯(lián)，一個登錄帳戶可與服務(wù)器上的所有數(shù)據(jù)庫進(jìn)行關(guān)聯(lián)，產(chǎn)生多個數(shù)據(jù)庫用戶產(chǎn)生多個數(shù)據(jù)庫用戶, ,但在一個數(shù)據(jù)庫中只能擁有一個但在一個數(shù)據(jù)庫中只能擁有一個用戶；用戶； 而一個數(shù)據(jù)庫用戶只能映射到一個登錄帳戶。而一個數(shù)據(jù)庫用戶

15、只能映射到一個登錄帳戶。 SQL SERVERSQL SERVER允許數(shù)據(jù)庫為每個用戶對象分配不同的權(quán)允許數(shù)據(jù)庫為每個用戶對象分配不同的權(quán)限，為數(shù)據(jù)庫用戶授權(quán)的過程也就是為登錄對象提供限，為數(shù)據(jù)庫用戶授權(quán)的過程也就是為登錄對象提供對數(shù)據(jù)庫的訪問權(quán)限的過程。對數(shù)據(jù)庫的訪問權(quán)限的過程。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐改變數(shù)據(jù)庫所有權(quán)改變數(shù)據(jù)庫所有權(quán) 一個數(shù)據(jù)庫只能有一個數(shù)據(jù)庫所有者，其不能一個數(shù)據(jù)庫只能有一個數(shù)據(jù)庫所有者，其不能被刪除，默認(rèn)情況下，被刪除，默認(rèn)情況下，sasa帳戶映射到庫中的用帳戶映射到庫中的用戶是戶是dbodbo，改變所有權(quán)步驟：，改變所有權(quán)步驟： 打開要更改所有權(quán)的數(shù)據(jù)庫：打開要更

16、改所有權(quán)的數(shù)據(jù)庫： 更改所有權(quán)：更改所有權(quán)：sp_changedbowner sp_changedbowner 登錄號登錄號注：若將所有權(quán)授予某個登錄時，該登錄不能在注：若將所有權(quán)授予某個登錄時，該登錄不能在數(shù)據(jù)庫中已存在用戶，若存在則先刪除用戶后數(shù)據(jù)庫中已存在用戶，若存在則先刪除用戶后授予所有權(quán)授予所有權(quán)。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐 例：將例：將cpmscpms的所有權(quán)授序的所有權(quán)授序login2login2帳號：帳號：use cpmsGoSp_revokedbaccess abcd 先刪除已有用戶名先刪除已有用戶名gogosp_changedbowner login2 -授予所有權(quán)給授予

17、所有權(quán)給LOGIN2帳號帳號制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐53管理角色 1 1、定義：角色類似于組，一般將具有相、定義：角色類似于組，一般將具有相同權(quán)限的一群用戶群添加為某角色成員，同權(quán)限的一群用戶群添加為某角色成員，然后給這個角色授予適當(dāng)?shù)臋?quán)限。這樣然后給這個角色授予適當(dāng)?shù)臋?quán)限。這樣該用戶群的所有用戶就都具有了該角色該用戶群的所有用戶就都具有了該角色的權(quán)限，而沒有必要逐個對每一個用戶的權(quán)限，而沒有必要逐個對每一個用戶去授予相同的權(quán)限去授予相同的權(quán)限 2、優(yōu)點：避免大量重復(fù)的工作，簡化和、優(yōu)點：避免大量重復(fù)的工作，簡化和方便對用戶的管理。方便對用戶的管理。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐3 3、分

18、類：、分類： 服務(wù)器角色服務(wù)器角色：是服務(wù)器級的一個對象，：是服務(wù)器級的一個對象，主要用于對登錄名設(shè)置其對服務(wù)器的管主要用于對登錄名設(shè)置其對服務(wù)器的管理權(quán)限理權(quán)限 數(shù)據(jù)庫角色數(shù)據(jù)庫角色：是數(shù)據(jù)庫級的一個對象，主：是數(shù)據(jù)庫級的一個對象，主要用于對數(shù)據(jù)庫用戶設(shè)置其對數(shù)據(jù)庫的要用于對數(shù)據(jù)庫用戶設(shè)置其對數(shù)據(jù)庫的管理權(quán)限管理權(quán)限 注：同一用戶可屬于多個角色。注：同一用戶可屬于多個角色。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.3.1固定服務(wù)器角色固定服務(wù)器角色 SQL安裝完成后，系統(tǒng)自動創(chuàng)建安裝完成后，系統(tǒng)自動創(chuàng)建8個固個固定的服務(wù)器角色，對于服務(wù)器角色來說，定的服務(wù)器角色，對于服務(wù)器角色來說，數(shù)據(jù)庫管理員只能

19、完成以下兩個操作：數(shù)據(jù)庫管理員只能完成以下兩個操作：添加和刪除服務(wù)器角色中的成員，而不添加和刪除服務(wù)器角色中的成員，而不能刪除服務(wù)預(yù)定義的角色。能刪除服務(wù)預(yù)定義的角色。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐固定服務(wù)器角色及功能（一）：固定服務(wù)器角色及功能（一）：sysadmin 這個服務(wù)器角色的成員有權(quán)在SQL Server 2008中執(zhí)行任何任務(wù)。不熟悉SQL Server 2008的用戶可能會意外地造成嚴(yán)重問題，所以給這個角色批派用戶時應(yīng)該特別小心。通常情況下，這個角色僅適合數(shù)據(jù)庫管理員（DBA）。securityadmin 這個服務(wù)器角色的成員將管理登錄名及其屬性。他們可以GRANT、DENY和

20、REVOKE服務(wù)器級權(quán)限。也可以GRANT、DENY和REVOKE數(shù)據(jù)庫級權(quán)限。另外，他們可以重置SQL Server 2008登錄名的密碼。serveradmin 這個服務(wù)器角色的成員可以更改服務(wù)器范圍的配置選項和關(guān)閉服務(wù)器。比如SQL Server 2008可以使用多大內(nèi)存或者關(guān)閉服務(wù)器，這個角色可以減輕管理員的一些管理負(fù)擔(dān)。setupadmin 這個服務(wù)器角色的成員可以添加和刪除鏈接服務(wù)器，并且也可以執(zhí)行某些系統(tǒng)存儲過程。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐固定服務(wù)器角色及功能（二）：固定服務(wù)器角色及功能（二）：lprocessadmin SQL Server 2008能夠多任務(wù)化，也就是說，

21、他可以通過執(zhí)行多個進(jìn)程做多件事件。例如，SQL Server 2008可以生成一個進(jìn)程用于向高速緩存寫數(shù)據(jù)，同時生成另一個進(jìn)程用于從高速緩存中讀取數(shù)據(jù)。這個角色的成員可以結(jié)束（在SQL Server 2008中稱為刪除）進(jìn)程。ldiskadmin 這個服務(wù)器角色用于管理磁盤文件，比臺鏡像數(shù)據(jù)庫和添加備份設(shè)備。這適合于助理DBA。ldbcreator 這個服務(wù)器角色的成員可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫。這不僅是適合助理DBA的角色，也可能是個適合開發(fā)人員的角色。lbulkadmin 這個服務(wù)器角色的成員可以運行BULK INSERT語句。這條語句允許他們從文本文件中將數(shù)據(jù)導(dǎo)入到SQL Se

22、rver 2008數(shù)據(jù)庫中。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐系統(tǒng)存儲過程對固定服務(wù)器角色的操作功能類型說明sp_helpsrvrole元數(shù)據(jù)返回服務(wù)器級角色的列表sp_helpsrvrolemember元數(shù)據(jù)返回有關(guān)服務(wù)器級角色成員的信息sp_srvrolepermission元數(shù)據(jù)顯示服務(wù)器級角色的權(quán)限IS_SRVROLEMEMBER元數(shù)據(jù)指示SQL Server登錄名是否為指定服務(wù)器級角色的成員sys.server_role_members元數(shù)據(jù)為每個服務(wù)器級角色的每個成員返回一行sp_addsrvrolemember命令將登錄名添加為某個服務(wù)器級角色的成員sp_dropsrvrolemem

23、ber命令從 服 務(wù) 器 級 角 色 中 刪 除 S Q L Server登錄名或者Windows用戶或者組制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐管理服務(wù)器角色( 一)制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐管理服務(wù)器角色（二）制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.3.2固定數(shù)據(jù)庫角色 固定數(shù)據(jù)庫角色存在于每個數(shù)據(jù)庫中，在數(shù)據(jù)庫級別提供管理特權(quán)分組。管理員可將任何有效的數(shù)據(jù)庫用戶添加為固定數(shù)據(jù)庫角色成員。每個成員都獲得應(yīng)用于固定數(shù)據(jù)庫角色的權(quán)限。用戶不能增加、修改和刪除固定數(shù)據(jù)庫角色。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐固定數(shù)據(jù)庫角色db_owner 進(jìn)行所有數(shù)據(jù)庫角色的活動，以及數(shù)據(jù)庫中的其他維護(hù)和配置活動。該角色的權(quán)限跨越所

24、有其他的固定數(shù)據(jù)庫角色。db_accessadmin 這些用戶有權(quán)通過添加或者刪除用戶來指定誰可以訪問數(shù)據(jù)庫。db_securityadmin 這個數(shù)據(jù)庫角色的成員可以修改角色成員身份和管理權(quán)限。db_ddladmin 這個數(shù)據(jù)庫角色的成員可以在數(shù)據(jù)庫中運行任何數(shù)據(jù)定義語言(DDL)命令。這個角色允許他們創(chuàng)建、修改或者刪除數(shù)據(jù)庫對象，而不必瀏覽里面的數(shù)據(jù)。db_backupoperator 這個數(shù)據(jù)庫角色的成員可以備份該數(shù)據(jù)庫。db_datareader 這個數(shù)據(jù)庫角色的成員可以讀取所有用戶表中的所有數(shù)據(jù)。db_datawriter 這個數(shù)據(jù)庫角色的成員可以在所有用戶表中添加、刪除或者更改數(shù)據(jù)

25、。db_denydatareader 這個服務(wù)器角色的成員不能讀取數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù)，但可以執(zhí)行架構(gòu)修改（比如在表中添加列）。db_denydatawriter 這個服務(wù)器角色的成員不能添加、修改或者刪除數(shù)據(jù)庫內(nèi)用戶表中的任何數(shù)據(jù)。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐固定數(shù)據(jù)庫角色的操作代碼功能功能類型類型說明說明sp_helpdbfixedrole元數(shù)據(jù)返回固定數(shù)據(jù)庫角色的列表sp_dbfixedrolepermission元數(shù)據(jù)顯示固定數(shù)據(jù)庫角色的權(quán)限sp_helprole元數(shù)據(jù)返回當(dāng)前數(shù)據(jù)庫中有關(guān)角色的信息sp_helprolemember元數(shù)據(jù)返回有關(guān)當(dāng)前數(shù)據(jù)庫中某個角色的成員的信息s

26、ys.database_role_members元數(shù)據(jù)為每個數(shù)據(jù)庫角色的每個成員返回一行IS_MEMBER元數(shù)據(jù)指示當(dāng)前用戶是否為指定Microsoft Windows組或者M(jìn)icrosoft SQL Server數(shù)據(jù)庫角色的成員CREATE ROLE命令在當(dāng)前數(shù)據(jù)庫中創(chuàng)建新的數(shù)據(jù)庫角色ALTER ROLE命令更改數(shù)據(jù)庫角色的名稱DROP ROLE命令從數(shù)據(jù)庫中刪除角色sp_addrole命令在當(dāng)前數(shù)據(jù)庫中創(chuàng)建新的數(shù)據(jù)庫角色sp_droprole命令從當(dāng)前數(shù)據(jù)庫中刪除數(shù)據(jù)庫角色sp_addrolemember命令為當(dāng)前數(shù)據(jù)庫中的數(shù)據(jù)庫角色添加數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色、Windows登錄名或者Wi

27、ndows組sp_droprolemember命令從當(dāng)前數(shù)據(jù)庫的SQL Server角色中刪除安全賬戶制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.3.3應(yīng)用程序角色 應(yīng)用程序角色是一個數(shù)據(jù)庫主體，他使應(yīng)用程序能夠用其自身的、類似用戶的特權(quán)來運行。使用應(yīng)用程序角色，可以只允許通過特定應(yīng)用程序連接的用戶訪問特定數(shù)據(jù)。與數(shù)據(jù)庫角色不同的是，應(yīng)用程序角色默認(rèn)情況下不包含任何成員，而且不活動。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐應(yīng)用程序角色的創(chuàng)建制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐應(yīng)用程序角色和固定數(shù)據(jù)庫角色的區(qū)別 應(yīng)用程序角色不包含任何成員。不能將Windows組、用戶和角色添加到應(yīng)用程序角色。 當(dāng)應(yīng)用程序角色被激活以后，這次服

28、務(wù)器連接將暫時失去所有應(yīng)用于登錄賬戶、數(shù)據(jù)庫用戶等的權(quán)限，而只擁有與應(yīng)用程序相關(guān)的權(quán)限。在斷開本次連接以后，應(yīng)用程序失去作用。 默認(rèn)情況下，應(yīng)用程序角色非活動，需要密碼激活。 應(yīng)用程序角色不使用標(biāo)準(zhǔn)權(quán)限。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.3.4用戶自定義角色 自定義數(shù)據(jù)角色當(dāng)打算為某些數(shù)據(jù)庫用戶設(shè)置自定義數(shù)據(jù)角色當(dāng)打算為某些數(shù)據(jù)庫用戶設(shè)置相同的權(quán)限但預(yù)定義的數(shù)據(jù)庫角色不能滿足所相同的權(quán)限但預(yù)定義的數(shù)據(jù)庫角色不能滿足所實際要求的權(quán)限時，就通過自定義新數(shù)據(jù)庫角實際要求的權(quán)限時，就通過自定義新數(shù)據(jù)庫角色來滿足這一要求，從而使這些用戶能夠在數(shù)色來滿足這一要求，從而使這些用戶能夠在數(shù)據(jù)庫中實現(xiàn)某一特定功能

29、。據(jù)庫中實現(xiàn)某一特定功能。制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐用戶自定義角色的創(chuàng)建（一）制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐用戶自定義角色的創(chuàng)建（二）制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐用戶自定義角色的創(chuàng)建（三）制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐54管理權(quán)限 數(shù)據(jù)庫權(quán)限指明用戶獲得哪些數(shù)據(jù)庫對象的使用權(quán)，以及用戶能夠?qū)@些對象執(zhí)行何種操作。用戶在數(shù)據(jù)庫中擁有的權(quán)限取決于以下兩方面的因素： 用戶賬戶的數(shù)據(jù)庫權(quán)限 用戶所在角色的類型制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐權(quán)限的種類權(quán)限的種類 在在SQL Server SQL Server 中，權(quán)限分為三類：中，權(quán)限分為三類： 對象權(quán)限對象權(quán)限（Object PermissionObjec

30、t Permission）；）； 語句權(quán)限語句權(quán)限（Statement Permission Statement Permission ）；）； 隱含權(quán)限隱含權(quán)限（Implied Permission ） 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.4.1對象權(quán)限 是指用戶對數(shù)據(jù)庫中的表、視圖、存儲過程等是指用戶對數(shù)據(jù)庫中的表、視圖、存儲過程等對象的操作權(quán)限，相當(dāng)于數(shù)據(jù)庫操作語言對象的操作權(quán)限，相當(dāng)于數(shù)據(jù)庫操作語言（DMLDML）的語句權(quán)限，例如是否允許查詢、添）的語句權(quán)限，例如是否允許查詢、添加、刪除和修改數(shù)據(jù)等。對象權(quán)限的具體內(nèi)容加、刪除和修改數(shù)據(jù)等。對象權(quán)限的具體內(nèi)容包括以下包括以下3 3個方面：個

31、方面： a.a.對于表和視圖：是否允許執(zhí)行對于表和視圖：是否允許執(zhí)行SelectSelect、InsertInsert、UpdateUpdate、DeleteDelete語句。語句。 b.b.對于表和視圖的字段：是否允許執(zhí)行對于表和視圖的字段：是否允許執(zhí)行SelectSelect和和UpdateUpdate語句。語句。 c.對于存儲過程：是否允許執(zhí)行對于存儲過程：是否允許執(zhí)行Execute語句。語句。 下一頁上一頁總目錄本次課目錄制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.4.2語句權(quán)限語句權(quán)限 相當(dāng)于數(shù)據(jù)定義語言（相當(dāng)于數(shù)據(jù)定義語言（DLLDLL）的語句權(quán)限，這）的語句權(quán)限，這種權(quán)限專指是否允許執(zhí)行下列

32、語句：種權(quán)限專指是否允許執(zhí)行下列語句： Create Table Create DefaultCreate Table Create Default Create Procedure Create RuleCreate Procedure Create Rule Create View Backup DatabaseCreate View Backup Database Backup LogBackup Log制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐5.4.3隱含權(quán)限隱含權(quán)限 是指由是指由SQL Server SQL Server 預(yù)定義的服務(wù)器角預(yù)定義的服務(wù)器角色、數(shù)據(jù)庫所有者（色、數(shù)據(jù)庫所有者（dbo

33、dbo）和數(shù)據(jù)庫對象）和數(shù)據(jù)庫對象所有者（所有者（dboodboo）所擁有的權(quán)限，隱含權(quán)）所擁有的權(quán)限，隱含權(quán)限相當(dāng)于內(nèi)置權(quán)限，并不需要明確地授限相當(dāng)于內(nèi)置權(quán)限，并不需要明確地授予這些權(quán)限。予這些權(quán)限。 例如，服務(wù)器角色例如，服務(wù)器角色Sysadmin的成員可在的成員可在整個服務(wù)器范圍內(nèi)從事任何操作，數(shù)據(jù)整個服務(wù)器范圍內(nèi)從事任何操作，數(shù)據(jù)庫所有者庫所有者dbo可對本數(shù)據(jù)庫進(jìn)行任何操作可對本數(shù)據(jù)庫進(jìn)行任何操作 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐2 2、權(quán)限的管理、權(quán)限的管理 在上述三種權(quán)限中，隱含權(quán)限是由系統(tǒng)在上述三種權(quán)限中，隱含權(quán)限是由系統(tǒng)預(yù)定義的，這類權(quán)限是不需要、也不能預(yù)定義的，這類權(quán)限是不需要

34、、也不能夠進(jìn)行設(shè)置的。因此，權(quán)限的設(shè)置實際夠進(jìn)行設(shè)置的。因此，權(quán)限的設(shè)置實際上就是指上就是指對象權(quán)限和語句權(quán)限的設(shè)置對象權(quán)限和語句權(quán)限的設(shè)置。權(quán)限可由數(shù)據(jù)庫所有者和角色進(jìn)行管理。權(quán)限可由數(shù)據(jù)庫所有者和角色進(jìn)行管理。 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐權(quán)限管理的內(nèi)容包括以下權(quán)限管理的內(nèi)容包括以下3 3個方面的內(nèi)容個方面的內(nèi)容 a.a.授予權(quán)限（授予權(quán)限（GrantGrant）：）：即允許某個用戶或角即允許某個用戶或角色對一個對象執(zhí)行某種操作或某種語句。色對一個對象執(zhí)行某種操作或某種語句。 b.b.剝奪權(quán)限（剝奪權(quán)限（RevokeRevoke）：）：即不允許某個用戶或即不允許某個用戶或角色對一個對象執(zhí)行

35、某種操作或某種語句，或角色對一個對象執(zhí)行某種操作或某種語句，或者收回曾經(jīng)授予的某種權(quán)限，這與授予權(quán)限正者收回曾經(jīng)授予的某種權(quán)限，這與授予權(quán)限正好相反。好相反。 c.拒絕訪問（拒絕訪問（Deny）：）：即拒絕某個用戶或角色即拒絕某個用戶或角色訪問某個對象，即使該用戶或角色被授予這種訪問某個對象，即使該用戶或角色被授予這種權(quán)限，或者由于繼承而獲得這種權(quán)限，仍然不權(quán)限，或者由于繼承而獲得這種權(quán)限，仍然不允許執(zhí)行相應(yīng)的操作允許執(zhí)行相應(yīng)的操作 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐3 3）使用）使用T-SQLT-SQL語句管理語句的權(quán)限語句管理語句的權(quán)限 在在T-SQLT-SQL語言中，與權(quán)限管理有關(guān)的語語言中，與權(quán)限管理有關(guān)的語句有以下三個：句有以下三個： Grant語句：用于授予權(quán)限語句：用于授予權(quán)限； Revoke語句：用于剝奪權(quán)限語句：用于剝奪權(quán)限； Deny語句：用于禁止權(quán)限語句：用于禁止權(quán)限 制作：荊州職業(yè)技術(shù)學(xué)院 彭嵐