第13章SQLServer2008的安全性管理

第13章SQLServer2008的安全性管理本章學習目標:登錄身份驗證

服務(wù)器登錄帳戶管理用戶帳戶管理角色管理權(quán)限管理架構(gòu)管理

開始第13章SQLServer2008的安全性管理13.1數(shù)據(jù)庫安全性管理概述

13.2登錄管理13.3用戶帳戶管理13.4角色管理13.5權(quán)限管理13.6架構(gòu)13.7本章小結(jié)13.1數(shù)據(jù)庫安全性管理概述對于任何數(shù)據(jù)庫系統(tǒng)而言，保證數(shù)據(jù)的安全都是最重要的問題之一。安全性包括什么樣的用戶能夠登錄到SQLServer，以及用戶登錄后所能進行的操作。SQLServer2008的安全性管理主要包括SQLServer登錄、數(shù)據(jù)庫用戶、角色、權(quán)限和架構(gòu)等方面。13.1數(shù)據(jù)庫安全性管理概述（1）SQLServer登錄要想連接到SQLServer服務(wù)器實例，必須擁有相應(yīng)的登錄賬戶和密碼。身份驗證系統(tǒng)驗證用戶是否擁有有效的登錄賬戶和密碼，從而決定是否允許該用戶連接到指定的SQLServer服務(wù)器實例。

13.1數(shù)據(jù)庫安全性管理概述（2）數(shù)據(jù)庫用戶通過身份驗證后，用戶可以連接到SQLServer服務(wù)器實例。但是，這并不意味著該用戶可以訪問到指定服務(wù)器上的所有數(shù)據(jù)庫。在每個SQLServer數(shù)據(jù)庫中，都存在一組SQLServer用戶賬戶。登錄賬戶要訪問指定數(shù)據(jù)庫，就要將自身映射到數(shù)據(jù)庫的一個用戶賬戶上，從而獲得訪問數(shù)據(jù)庫的權(quán)限。一個登錄賬戶可以對應(yīng)多個用戶帳戶。13.1數(shù)據(jù)庫安全性管理概述（3）角色

為便于管理數(shù)據(jù)庫中的權(quán)限，SQLServer提供了若干“角色”，這些角色是用于分組其他主體的安全主體。類似于MicrosoftWindows操作系統(tǒng)中的用戶組，可以對用戶進行分組管理?？梢詫巧x予數(shù)據(jù)庫訪問權(quán)限，此權(quán)限將應(yīng)用于角色中的每一個用戶。

（4）權(quán)限

權(quán)限是規(guī)定了用戶在指定數(shù)據(jù)庫中所能進行的操作。13.1數(shù)據(jù)庫安全性管理概述（5）架構(gòu)

架構(gòu)是指包含表、視圖、過程等的容器。它位于數(shù)據(jù)庫內(nèi)部，而數(shù)據(jù)庫位于服務(wù)器內(nèi)部。這些實體就像嵌套框放置在一起。服務(wù)器是最外面的框，而架構(gòu)是最里面的框。特定架構(gòu)中的每個安全對象都必須有唯一的名稱。架構(gòu)中安全對象的完全指定名稱包括此安全對象所在的架構(gòu)的名稱。因此，架構(gòu)也是命名空間。

13.2登錄管理

13.2.1身份驗證模式1．在安裝過程中，必須為數(shù)據(jù)庫引擎選擇身份驗證模式?？晒┻x擇的模式有兩種：Windows身份驗證模式和混合模式。Windows身份驗證模式會啟用Windows身份驗證并禁用SQLServer身份驗證?；旌夏Ｊ綍瑫r啟用Windows身份驗證和SQLServer身份驗證。Windows身份驗證始終可用，并且無法禁用。13.2登錄管理

13.2.1身份驗證模式

2．更改安全身份驗證模式

1）在SQLServerManagementStudio的對象資源管理器中，右鍵單擊服務(wù)器，再單擊“屬性”。如圖13-1所示。2）在“安全性”頁上的“服務(wù)器身份驗證”下，選擇新的服務(wù)器身份驗證模式，再單擊“確定”。如圖13-2所示。3）在SQLServerManagementStudio對話框中，單擊“確定”以確認需要重新啟動SQLServer。13.2登錄管理

13.2.1身份驗證模式

3．通過Windows身份驗證進行連接

當用戶通過Windows用戶帳戶連接時，如圖13-3所示，SQLServer使用操作系統(tǒng)中的Windows主體標記驗證帳戶名和密碼。也就是說，用戶身份由Windows進行確認。SQLServer不要求提供密碼，也不執(zhí)行身份驗證。Windows身份驗證是默認身份驗證模式，并且比SQLServer身份驗證更為安全。Windows身份驗證使用Kerberos安全協(xié)議，提供有關(guān)強密碼復雜性驗證的密碼策略強制，還提供帳戶鎖定支持，并且支持密碼過期。通過Windows身份驗證完成的連接有時也稱為可信連接，這是因為SQLServer信任由Windows提供的憑據(jù)。13.2登錄管理

13.2.1身份驗證模式

4．通過SQLServer身份驗證進行連接當使用SQLServer身份驗證時，如圖13-4所示，在SQLServer中創(chuàng)建的登錄名并不基于Windows用戶帳戶。用戶名和密碼均通過使用SQLServer創(chuàng)建并存儲在SQLServer中。通過SQLServer身份驗證進行連接的用戶每次連接時必須提供其憑據(jù)（登錄名和密碼）。當使用SQLServer身份驗證時，必須為所有SQLServer帳戶設(shè)置強密碼。13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

1．創(chuàng)建使用Windows身份驗證的SQLServer登錄名（1）在SQLServerManagementStudio中創(chuàng)建登錄名1）在SQLServerManagementStudio中，打開對象資源管理器并展開要在其中創(chuàng)建新登錄名的服務(wù)器實例的文件夾。2）右鍵單擊“安全性”文件夾，指向“新建”，然后單擊“登錄名”。如圖13-5所示。13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

1．創(chuàng)建使用Windows身份驗證的SQLServer登錄名（1）在SQLServerManagementStudio中創(chuàng)建登錄名3）在“常規(guī)”頁上的“登錄名”框中輸入一個Windows用戶名。如圖13-6所示。4）選擇“Windows身份驗證”。5）單擊“確定”。

13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

1．創(chuàng)建使用Windows身份驗證的SQLServer登錄名（2）通過Transact-SQL語句創(chuàng)建登錄名CREATELOGIN<nameofWindowsUser>FROMWINDOWS;GO【例13-1】在查詢編輯器中，輸入以下Transact-SQL命令：如圖13-7所示。CREATELOGIN[C18CABF5E4EE466\gdm]FROMWINDOWS;GO13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

2.

創(chuàng)建使用SQLServer身份驗證的SQLServer登錄名

（1）

在SQLServerManagementStudio中創(chuàng)建登錄名1）在SQLServerManagementStudio中，打開對象資源管理器并展開要在其中創(chuàng)建新登錄名的服務(wù)器實例的文件夾。2）右鍵單擊“安全性”文件夾，指向“新建”，然后單擊“登錄名”。3）在“常規(guī)”頁上的“登錄名”框中輸入一個新登錄名的名稱。如圖13-8所示。13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

2.

創(chuàng)建使用SQLServer身份驗證的SQLServer登錄名

4）選擇“SQLServer身份驗證”。Windows身份驗證是更安全的選擇。5）輸入登錄名的密碼。6）選擇應(yīng)當應(yīng)用于新登錄名的密碼策略選項。通常，強制密碼策略是更安全的選擇。7）單擊“確定”。

13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

2.

創(chuàng)建使用SQLServer身份驗證的SQLServer登錄名

（2）通過Transact-SQL創(chuàng)建登錄名

CREATELOGIN<loginname>WITHPASSWORD='<password>';GO【例13-2】在查詢編輯器中，輸入以下Transact-SQL命令：如圖13-9所示。

CREATELOGINgdm_sqlWITHPASSWORD=‘gdm1234';GO

13.3用戶帳戶管理

擁有登錄賬戶的用戶通過SQLServer身份驗證后，就獲得了對SQLServer實例的訪問權(quán)限，但是如果要訪問某個具體的數(shù)據(jù)庫，還必須有一個用于控制在數(shù)據(jù)庫中所執(zhí)行的活動的SQLServer用戶賬戶。登錄賬戶映射到SQLServer用戶賬戶，就可以實現(xiàn)對數(shù)據(jù)庫的訪問了。如果數(shù)據(jù)庫中沒有用戶帳戶，那么即使用戶能夠連接到SQLServer實例，也無法訪問該數(shù)據(jù)庫。數(shù)據(jù)庫用戶是數(shù)據(jù)庫級別上的主體。每個數(shù)據(jù)庫用戶都是public角色的成員。

13.3用戶帳戶管理

13.3.1系統(tǒng)用戶

在數(shù)據(jù)庫內(nèi)使用用戶標識符（ID）標識用戶。在數(shù)據(jù)庫內(nèi)，對象的全部權(quán)限和所有權(quán)由用戶賬戶控制。用戶賬戶與數(shù)據(jù)庫相關(guān)。創(chuàng)建數(shù)據(jù)庫對象（表、索引、視圖、觸發(fā)器、函數(shù)或存儲過程）的用戶稱為數(shù)據(jù)庫對象所有者。創(chuàng)建數(shù)據(jù)庫對象的權(quán)限必須由數(shù)據(jù)庫所有者或系統(tǒng)管理員授予。數(shù)據(jù)庫對象所有者沒有特殊的登錄ID或密碼。對象創(chuàng)建者被隱性授予數(shù)據(jù)庫的所有權(quán)限，但其他用戶必須被顯式授予權(quán)限后才能訪問該對象。

13.3用戶帳戶管理

13.3.1系統(tǒng)用戶

1.dbodbo是具有在數(shù)據(jù)庫中執(zhí)行所有活動權(quán)限的用戶。將固定服務(wù)器角色sysadmin的任何成員都映射到每個數(shù)據(jù)庫內(nèi)稱為dbo的一個特殊用戶上。另外，由固定服務(wù)器角色sysadmin的任何成員創(chuàng)建的任何對象都自動屬于dbo。

13.3用戶帳戶管理

13.3.1系統(tǒng)用戶

2.guestguest用戶賬戶沒有相關(guān)聯(lián)的登錄賬戶，它允許沒有用戶賬戶的登錄訪問數(shù)據(jù)庫。當滿足下列所有條件時，登錄采用guest用戶的標識：（1）登錄有訪問SQLServer實例的權(quán)限，但沒有通過自己的用戶賬戶訪問數(shù)據(jù)庫的權(quán)限。（2）數(shù)據(jù)庫中含有g(shù)uest用戶賬戶

13.3用戶帳戶管理

13.3.1系統(tǒng)用戶2.guest創(chuàng)建數(shù)據(jù)庫時，該數(shù)據(jù)庫默認包含guest用戶。授予guest用戶的權(quán)限由在數(shù)據(jù)庫中沒有用戶帳戶的用戶繼承。不能刪除guest用戶，但可通過撤消該用戶的CONNECT權(quán)限將其禁用?？梢酝ㄟ^在master或tempdb以外的任何數(shù)據(jù)庫中執(zhí)行REVOKECONNECTFROMGUEST來撤消CONNECT權(quán)限。

13.3用戶帳戶管理

13.3.2創(chuàng)建數(shù)據(jù)庫用戶（1）

使用SQLServerManagementStudio創(chuàng)建數(shù)據(jù)庫用戶1）打開對象資源管理器，然后展開“數(shù)據(jù)庫”文件夾。2）展開要在其中創(chuàng)建新數(shù)據(jù)庫用戶的數(shù)據(jù)庫。3）右鍵單擊“安全性”文件夾，指向“新建”，再單擊“新建用戶”。如圖13-10所示。4）在“常規(guī)”頁的“用戶名”框中輸入新用戶的名稱。5）在“登錄名”框中，輸入要映射到數(shù)據(jù)庫用戶的SQLServer登錄名的名稱。6）單擊“確定”。如圖13-11所示。

13.3用戶帳戶管理

13.3.2創(chuàng)建數(shù)據(jù)庫用戶（2）使用Transact-SQL創(chuàng)建數(shù)據(jù)庫用戶

1）在查詢編輯器中，通過執(zhí)行以下Transact-SQL命令連接至要在其中創(chuàng)建新數(shù)據(jù)庫用戶的數(shù)據(jù)庫：USE<databasename>;GO2）通過執(zhí)行以下Transact-SQL命令創(chuàng)建用戶：CREATEUSER<newusername>FORLOGIN<loginname>;GO

13.3用戶帳戶管理

13.3.2創(chuàng)建數(shù)據(jù)庫用戶（2）使用Transact-SQL創(chuàng)建數(shù)據(jù)庫用戶

【例13-3】在查詢編輯器中，輸入以下Transact-SQL命令：如圖13-12所示。USECJMSGOCREATEUSERgdm_sqlFROMLOGINgdm_sql

13.4角色管理

在SQLServer中，可以通過定義角色對用戶進行分組，規(guī)范用戶的權(quán)限。角色是一個強大的工具，它可以將用戶集中到一個單元中，然后對該單元應(yīng)用權(quán)限。對一個角色授予、拒絕或廢除的權(quán)限也適用于該角色的任何成員。權(quán)限在用戶成為角色成員時自動生效。角色分為服務(wù)器角色、數(shù)據(jù)庫角色和應(yīng)用程序角色。服務(wù)器角色是服務(wù)器級的一個對象，只能包含登錄名。數(shù)據(jù)庫角色是數(shù)據(jù)庫級的一個對象，只能包含數(shù)據(jù)庫用戶名。

13.4角色管理

13.4.1服務(wù)器級別角色為便于管理服務(wù)器上的權(quán)限，SQLServer提供了若干“角色”——服務(wù)器級角色，也稱為“固定服務(wù)器角色”，用戶不能創(chuàng)建新的服務(wù)器級角色。服務(wù)器級角色的權(quán)限作用域為服務(wù)器范圍。服務(wù)器級角色及其能夠執(zhí)行的操作見表13-1所示。

13.4角色管理

13.4.1服務(wù)器級別角色（1）可以向服務(wù)器級角色中添加SQLServer登錄名、Windows帳戶和Windows組。固定服務(wù)器角色的每個成員都可以向其所屬角色添加其他登錄名。

可以使用SQLServerManagementStudio將登錄名添加到固定服務(wù)器角色

13.4角色管理

13.4.1服務(wù)器級別角色具體操作步驟如下：1）在SQLServerManagementStudio中，打開對象資源管理器，然后展開“服務(wù)器”文件夾。2）展開“安全性”文件夾，然后展開“服務(wù)器角色”文件夾。如圖13-13所示。3）雙擊需要添加登錄賬戶的服務(wù)器角色，彈出“服務(wù)器角色屬性”對話框。如圖13-14所示。4）單擊“添加”按鈕，然后選擇要添加的登錄名。5）單擊“確定”按鈕，完成操作。

13.4角色管理

13.4.1服務(wù)器級別角色（2）可以在登錄賬戶的“屬性”對話框中，如圖13-15所示，在彈出的“登錄屬性”對話框中，如圖13-16所示，選擇“服務(wù)器角色”選項卡，選中相應(yīng)的服務(wù)器角色的復選框，將登錄賬戶添加到該服務(wù)器角色中，如圖13-17所示。

13.4角色管理

13.4.2數(shù)據(jù)庫級別的角色為便于管理數(shù)據(jù)庫中的權(quán)限，SQLServer提供了若干“角色”——數(shù)據(jù)庫級角色，數(shù)據(jù)庫級角色的權(quán)限作用域為數(shù)據(jù)庫范圍。SQLServer中有兩種類型的數(shù)據(jù)庫級角色：數(shù)據(jù)庫中預(yù)定義的“固定數(shù)據(jù)庫角色”和用戶創(chuàng)建的“靈活數(shù)據(jù)庫角色”。固定數(shù)據(jù)庫角色是在數(shù)據(jù)庫級別定義的，并且存在于每個數(shù)據(jù)庫中。固定數(shù)據(jù)庫角色及其能夠執(zhí)行的操作見表13-2所示。

13.4角色管理

13.4.2數(shù)據(jù)庫級別的角色db_owner和db_securityadmin數(shù)據(jù)庫角色的成員可以管理固定數(shù)據(jù)庫角色成員身份。但是，只有db_owner數(shù)據(jù)庫角色的成員能夠向db_owner固定數(shù)據(jù)庫角色中添加成員。msdb數(shù)據(jù)庫中還有一些特殊用途的固定數(shù)據(jù)庫角色。

13.4角色管理

13.4.2數(shù)據(jù)庫級別的角色（1）可以向數(shù)據(jù)庫級角色中添加任何數(shù)據(jù)庫帳戶和其他SQLServer角色。固定數(shù)據(jù)庫角色的每個成員都可向同一個角色添加其他登錄名?？梢允褂肧QLServerManagementStudio將用戶添加到固定數(shù)據(jù)庫角色具體操作步驟如下:

13.4角色管理

13.4.2數(shù)據(jù)庫級別的角色1）在SQLServerManagementStudio中，打開對象資源管理器，然后展開“服務(wù)器”文件夾。2）展開“數(shù)據(jù)庫”文件夾，展開要添加用戶的數(shù)據(jù)庫，展開“安全性”文件夾，然后展開“數(shù)據(jù)庫角色”文件夾。如圖13-18所示。3）雙擊需要添加用戶登錄賬戶的數(shù)據(jù)庫角色，彈出“數(shù)據(jù)庫角色屬性”對話框。如圖13-19所示。4）單擊“添加”按鈕，然后選擇要添加的登錄名。5）單擊“確定”按鈕，完成操作。

13.4角色管理

13.4.2數(shù)據(jù)庫級別的角色（2）可以在用戶的“屬性”對話框中，選中相應(yīng)的數(shù)據(jù)庫角色的復選框，將用戶添加到該數(shù)據(jù)庫角色中，如圖13-20所示。

13.4角色管理

13.4.3應(yīng)用程序角色應(yīng)用程序角色使應(yīng)用程序能夠以其自身的、類似用戶的權(quán)限來運行。使用應(yīng)用程序角色，可以只允許應(yīng)用程序連接的用戶訪問特定數(shù)據(jù)。與數(shù)據(jù)庫角色不同的是，應(yīng)用程序角色默認情況下不包含任何成員，而且是非活動的。應(yīng)用程序角色使用兩種身份驗證模式，可以使用sp_setapprole來激活，并且需要密碼。在SQLServerManagementStudio中，打開對象資源管理器，然后展開“數(shù)據(jù)庫”—“安全性”—“角色”，可以看到指定數(shù)據(jù)庫中的角色信息。每個數(shù)據(jù)庫內(nèi)都包含數(shù)據(jù)庫角色和應(yīng)用程序角色。

13.5權(quán)限管理

13.5.1權(quán)限的類型可以對SQLServer2008中的各種數(shù)據(jù)庫對象設(shè)置權(quán)限，包括數(shù)據(jù)庫、表、視圖、存儲過程、架構(gòu)等。權(quán)限用來控制用戶如何訪問數(shù)據(jù)庫對象。一個用戶可以直接分配到權(quán)限，以可以作為一個角色的成員來間接的得到權(quán)限。一個用戶可以同時屬于具有不同權(quán)限的多個角色。權(quán)限分為：對象權(quán)限、語句權(quán)限、暗示性權(quán)限。

13.5權(quán)限管理

13.5.1權(quán)限的類型1．對象權(quán)限對象權(quán)限是指用戶訪問和操作數(shù)據(jù)庫中表、視圖、存儲過程等對象的權(quán)限。有五個不同的權(quán)限：查詢（select）插入（insert）更新（update）刪除（delete）執(zhí)行（execute）前四個權(quán)限用于表和視圖，執(zhí)行只用于存儲過程。

13.5權(quán)限管理

13.5.1權(quán)限的類型2．語句權(quán)限

語句權(quán)限是指用戶創(chuàng)建數(shù)據(jù)庫或在數(shù)據(jù)庫中創(chuàng)建或修改對象、執(zhí)行數(shù)據(jù)庫或事務(wù)日志備份的權(quán)限。語句權(quán)限有：BACKUPDATABASEBACKUPLOGCREATEDATABASEDEFAULT

13.5權(quán)限管理

13.5.1權(quán)限的類型2．語句權(quán)限

CREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEW

13.5權(quán)限管理

13.5.1權(quán)限的類型3．暗示性權(quán)限暗示性權(quán)限是指系統(tǒng)預(yù)定義角色的成員或數(shù)據(jù)庫對象所有者所擁有的權(quán)限。例如，sysadmin固定服務(wù)器角色成員自動繼承在SQLServer安裝中進行操作或查看的全部權(quán)限。數(shù)據(jù)庫對象所有者還有暗示性權(quán)限，可以對所擁有的對象執(zhí)行一切活動。

13.5權(quán)限管理

13.5.2權(quán)限的管理暗示性權(quán)限不需要設(shè)置，它是數(shù)據(jù)庫角色和用戶默認擁有的權(quán)限。可以對對象權(quán)限和語句權(quán)限進行設(shè)置。設(shè)置權(quán)限包括授予權(quán)限（GRANT）：賦予用戶某權(quán)限、拒絕權(quán)限（DENY）：禁止用戶的某權(quán)限、廢除權(quán)限（REVOKE）：撤銷以前授予或拒絕的權(quán)限等。

13.5權(quán)限管理

13.5.2權(quán)限的管理(1)

使用SQLServerManagementStudio管理權(quán)限

在SQLServerManagementStudio中，右鍵單擊一個表、視圖或存儲過程，在快捷菜單中選擇“屬性”，打開表屬性窗口。在“選擇項”列表中選擇“權(quán)限”，可以設(shè)置權(quán)限。如圖13-21所示。

13.5權(quán)限管理

13.5.2權(quán)限的管理(2)使用Transact-SQL語句管理權(quán)限1)語句權(quán)限GRANT/DENY/REVOKE{ALL|statement[,...n]}TOsecurity_account[,...n]【例13-4】給用戶gdm創(chuàng)建表的權(quán)限。USECJMSGOGRANTCREATETABLETOgdm

13.5權(quán)限管理

13.5.2權(quán)限的管理(2)使用Transact-SQL語句管理權(quán)限2)對象權(quán)限GRANT/DENY/REVOKE

{ALL[PRIVILEGES]|permission[,...n]}

{

[(column[,...n])]ON{table|view}

|ON{table|view}[(column[,...n])]

|ON{stored_procedure|extended_procedure}

}

13.5權(quán)限管理

13.5.2權(quán)限的管理(2)使用Transact-SQL語句管理權(quán)限【例13-5】授予用戶gdm在tblStudents表上的SELECT、UPDATE和INSERT權(quán)限。USECJMSGOGRANTSELECT,UPDATE,INSERTONtblStudentsTOgdm

13.5權(quán)限管理

13.5.2權(quán)限的管理(2)使用Transact-SQL語句管理權(quán)限【例13-6】拒絕用戶gdm創(chuàng)建視圖的權(quán)限。【例13-7】廢除用戶gdm創(chuàng)建表和視圖的權(quán)限。DENYCREATEVIEWTOgdmREVOKECREATETABLE，CREATEVIEWTOgdm

13.6架構(gòu)

架構(gòu)是形成單個命名空間的數(shù)據(jù)庫實體的集合。命名空間是一個集合，其中每個元素的名稱都是唯一的。為了避免名稱沖突，同一架構(gòu)中不能有兩個同名的表。

13.6架構(gòu)

（1）使用SQLServerManagementStudio創(chuàng)建架構(gòu)1）在SQLServerManagementStudio的對象資源管理器中，展開“數(shù)據(jù)庫”文件夾，展開“安全性”文件夾，展開“架構(gòu)”文件夾，如圖13-22所示。2）右鍵單擊“架構(gòu)”，在彈出菜單中選擇“新建架構(gòu)”，打開“新建架構(gòu)”窗口，如圖13-23所示。填寫架構(gòu)名稱和架構(gòu)的所有者，然后單擊“確定”按鈕。新建的架構(gòu)會出現(xiàn)在對象資源管理器中。

13.6架構(gòu)

（2）使用Transact-SQ