SQL-Server-2008角色與權(quán)限管理

數(shù)據(jù)庫(kù)根底與應(yīng)用-----SQLServer2008第9章SQLServer2008的平安機(jī)制創(chuàng)立登錄賬戶創(chuàng)立數(shù)據(jù)庫(kù)用戶角色本章主要內(nèi)容SQLServer2008的平安機(jī)制概述1234權(quán)限5哈爾濱師范大學(xué)恒星學(xué)院平安性是所有數(shù)據(jù)庫(kù)管理系統(tǒng)的一個(gè)重要特征。理解平安性問(wèn)題是理解數(shù)據(jù)庫(kù)管理系統(tǒng)平安性機(jī)制的前提。1.第一個(gè)平安性問(wèn)題：當(dāng)用戶登錄數(shù)據(jù)庫(kù)系統(tǒng)時(shí)，如何確保只有合法的用戶才能登錄到系統(tǒng)中？這是一個(gè)最根本的平安性問(wèn)題，也是數(shù)據(jù)庫(kù)管理系統(tǒng)提供的根本功能。在MicrosoftSQLServer2008系統(tǒng)中，通過(guò)身份驗(yàn)證模式和主體解決這個(gè)問(wèn)題。一.SQLServer2008的平安機(jī)制概述哈爾濱師范大學(xué)恒星學(xué)院1〕身份驗(yàn)證模式MicrosoftSQLServer2008系統(tǒng)提供了兩種身份驗(yàn)證模式：Windows身份驗(yàn)證模式和混合模式。Windows身份驗(yàn)證模式：在該模式中，用戶通過(guò)Windows用戶賬戶連接SQLServer時(shí)，使用Windows操作系統(tǒng)中的賬戶名和密碼?；旌夏Ｊ剑涸诨旌夏Ｊ街校?dāng)客戶端連接到效勞器時(shí)，既可能采取Windows身份驗(yàn)證，也可能采取SQLServer身份驗(yàn)證。哈爾濱師范大學(xué)恒星學(xué)院查看與更改身份驗(yàn)證模式哈爾濱師范大學(xué)恒星學(xué)院2〕主體主體是可以請(qǐng)求系統(tǒng)資源的個(gè)體或組合過(guò)程。例如，數(shù)據(jù)庫(kù)用戶是一種主體，可以按照自己的權(quán)限在數(shù)據(jù)庫(kù)中執(zhí)行操作和使用相應(yīng)的數(shù)據(jù)。MicrosoftSQLServer2008系統(tǒng)有多種不同的主體，不同主體之間的關(guān)系是典型的層次結(jié)構(gòu)關(guān)系，位于不同層次上的主體其在系統(tǒng)中影響的范圍也不同。位于層次比較高的主體，其作用范圍比較大；位于層次比較低的主體，其作用范圍比較小。哈爾濱師范大學(xué)恒星學(xué)院2.第二個(gè)平安性問(wèn)題：當(dāng)用戶登錄到系統(tǒng)中，他可以執(zhí)行哪些操作、使用哪些對(duì)象和資源？在MicrosoftSQLServer2008系統(tǒng)中，通過(guò)平安對(duì)象和權(quán)限設(shè)置來(lái)解決這個(gè)問(wèn)題。主體和平安對(duì)象的結(jié)構(gòu)示意圖哈爾濱師范大學(xué)恒星學(xué)院3.第三個(gè)平安性問(wèn)題：數(shù)據(jù)庫(kù)中的對(duì)象由誰(shuí)所有？如果是由用戶所有，那么當(dāng)用戶被刪除時(shí)，其所擁有的對(duì)象怎么辦，難道數(shù)據(jù)庫(kù)對(duì)象可以成為沒有所有者的“孤兒”嗎？在MicrosoftSQLServer2008系統(tǒng)中，這個(gè)問(wèn)題是通過(guò)用戶和架構(gòu)別離來(lái)解決的。數(shù)據(jù)庫(kù)對(duì)象、架構(gòu)和用戶之間的關(guān)系示意圖哈爾濱師范大學(xué)恒星學(xué)院平安機(jī)制的5個(gè)等級(jí)：客戶機(jī)平安機(jī)制網(wǎng)絡(luò)傳輸?shù)钠桨矙C(jī)制實(shí)例級(jí)別平安機(jī)制數(shù)據(jù)庫(kù)級(jí)別平安機(jī)制對(duì)象級(jí)別平安機(jī)制哈爾濱師范大學(xué)恒星學(xué)院二.創(chuàng)立登錄賬戶1.創(chuàng)立Windows登錄賬戶哈爾濱師范大學(xué)恒星學(xué)院三.創(chuàng)立數(shù)據(jù)庫(kù)用戶哈爾濱師范大學(xué)恒星學(xué)院2.創(chuàng)立SQLServer登錄賬戶哈爾濱師范大學(xué)恒星學(xué)院3.啟用、禁用和解鎖登錄要啟用、禁用或解鎖一個(gè)登錄的操作步驟:(1)啟動(dòng)MicrosoftSQLServerManagementStudio，在“對(duì)象資源管理器”視圖中，連接到適當(dāng)?shù)男谄?，然后向下瀏覽至“平安性”文件夾。(2)展開“平安性”文件夾和“登錄名”文件夾以列出當(dāng)前的登錄。右擊一個(gè)登錄，然后從快捷菜單中選擇“屬性”以查看此登錄的屬性。這樣會(huì)翻開“登錄屬性”對(duì)話框。哈爾濱師范大學(xué)恒星學(xué)院(3)在“登錄屬性”對(duì)話框左側(cè)列表中選擇“狀態(tài)”選項(xiàng)，翻開“狀態(tài)”頁(yè)面哈爾濱師范大學(xué)恒星學(xué)院(4)然后可以進(jìn)行以下操作：要啟動(dòng)登錄，在“登錄”選項(xiàng)區(qū)下選擇“啟用”單項(xiàng)選擇按鈕。要禁用登錄，在“登錄”選項(xiàng)區(qū)下選擇“禁用”單項(xiàng)選擇按鈕。要解鎖登錄，去除“登錄已鎖定”復(fù)選框。(5)最后單擊“確定”按鈕，完成操作。哈爾濱師范大學(xué)恒星學(xué)院4.修改登錄具體操作步驟如下：〔1〕翻開“登錄屬性”對(duì)話框哈爾濱師范大學(xué)恒星學(xué)院〔2〕單擊“登錄屬性”對(duì)話框左側(cè)的“用戶映射”選項(xiàng)，可以為當(dāng)前用戶添加一個(gè)連接數(shù)據(jù)庫(kù)“msdb”哈爾濱師范大學(xué)恒星學(xué)院5.刪除登錄1)在MicrosoftSQLServerManagementStudio中刪除登錄賬戶啟動(dòng)MicrosoftSQLServerManagementStudio，然后訪問(wèn)適當(dāng)?shù)男谄鳌Ｔ谛谄鞯摹捌桨残浴蔽募A中展開“登錄名”文件夾。右擊想要?jiǎng)h除的登錄，然后從快捷菜單中選擇“刪除”，要開“刪除對(duì)象”對(duì)話框，2)使用Transact-SQL語(yǔ)句刪除登錄賬戶命令格式如下：DROPLOGINlogin_name【例9.1】刪除已經(jīng)創(chuàng)立好的“stu2”賬戶。DROPLOGINstu2哈爾濱師范大學(xué)恒星學(xué)院三.創(chuàng)立數(shù)據(jù)庫(kù)用戶1.通過(guò)設(shè)置“用戶映射”指明數(shù)據(jù)庫(kù)用戶哈爾濱師范大學(xué)恒星學(xué)院2.創(chuàng)立數(shù)據(jù)庫(kù)用戶哈爾濱師范大學(xué)恒星學(xué)院四.角色1.固定效勞器角色固定效勞器角色是效勞器級(jí)別的主體，它們的作用范圍是整個(gè)效勞器。固定效勞器角色已經(jīng)具備了執(zhí)行指定操作的權(quán)限，可以把其他登錄名作為成員添加到固定效勞器角色中，這樣該登錄名可以繼承固定效勞器角色的權(quán)限。固定效勞器角色的特點(diǎn)在MicrosoftSQLServer系統(tǒng)中，可以把登錄名添加到固定效勞器角色中，使登錄名作為固定效勞器角色的成員繼承固定效勞器角色的權(quán)限。對(duì)于登錄名來(lái)說(shuō)，可以選擇其是否成為某個(gè)固定效勞器角色的成員哈爾濱師范大學(xué)恒星學(xué)院效勞器角色哈爾濱師范大學(xué)恒星學(xué)院按照從最低級(jí)別的角色〔bulkadmin〕到最高級(jí)別的角色〔sysadmin〕的順序進(jìn)行描述：Bulkadmin：這個(gè)效勞器角色的成員可以運(yùn)行BULKINSERT語(yǔ)句。這條語(yǔ)句允許從文本文件中將數(shù)據(jù)導(dǎo)入到SQLServer2008數(shù)據(jù)庫(kù)中，為需要執(zhí)行大容量插入到數(shù)據(jù)庫(kù)的域賬戶而設(shè)計(jì)。Dbcreator：這個(gè)效勞器角色的成員可以創(chuàng)立、更改、刪除和復(fù)原任何數(shù)據(jù)庫(kù)。這不僅是適合助理DBA的角色，也可能是適合開發(fā)人員的角色。Diskadmin：這個(gè)效勞器角色用于管理磁盤文件，比方鏡像數(shù)據(jù)庫(kù)和添加備份設(shè)備。它適合助理DBA。Processadmin：SQLServer2008能夠多任務(wù)化，也就是說(shuō)可以通過(guò)執(zhí)行多個(gè)進(jìn)程做多個(gè)事件。例如，SQLServer2008可以生成一個(gè)進(jìn)程用于向高速緩存寫數(shù)據(jù)，同時(shí)生成另一個(gè)進(jìn)程用于從高速緩存中讀取數(shù)據(jù)。這個(gè)角色的成員可以結(jié)束〔在SQLServer2008中稱為刪除〕進(jìn)程。哈爾濱師范大學(xué)恒星學(xué)院Securityadmin：這個(gè)效勞器角色的成員將管理登錄名及其屬性。他們可以授權(quán)、拒絕和撤銷效勞器級(jí)權(quán)限。也可以授權(quán)、拒絕和撤銷數(shù)據(jù)庫(kù)級(jí)權(quán)限。另外，它們可以重置SQLServer2008登錄名的密碼。Serveradmin：這個(gè)效勞器角色的成員可以更改效勞器范圍的配置選項(xiàng)和關(guān)閉效勞器。例如SQLServer2008可以使用多大內(nèi)存或監(jiān)視通過(guò)網(wǎng)絡(luò)發(fā)送多少信息，或者關(guān)閉效勞器，這個(gè)角色可以減輕管理員的一些管理負(fù)擔(dān)。Setupadmin：為需要管理鏈接效勞器和控制啟動(dòng)的存儲(chǔ)過(guò)程的用戶而設(shè)計(jì)。這個(gè)角色的成員能添加到setupadmin，能增加、刪除和配置鏈接效勞器，并能控制啟動(dòng)過(guò)程。Sysadmin：這個(gè)效勞器角色的成員有權(quán)在SQLServer2008中執(zhí)行任何任務(wù)。Public:有兩大特點(diǎn)，第一，初始狀態(tài)時(shí)沒有權(quán)限；第二，所有的數(shù)據(jù)庫(kù)用戶都是它的成員。哈爾濱師范大學(xué)恒星學(xué)院使用操作平臺(tái)管理效勞器角色〔1〕查看效勞器角色的屬性①啟動(dòng)MicrosoftSQLServerManagementStudio，在“對(duì)象資源管理器”中依次展開“平安性|效勞器角色”節(jié)點(diǎn)哈爾濱師范大學(xué)恒星學(xué)院②選擇其中的一個(gè)效勞器，在其上單擊右鍵，在彈出的快捷菜單中選擇“屬性”選項(xiàng)。例如選擇sysadmin這個(gè)效勞器并右擊，在快捷菜單中單擊“屬性”選項(xiàng)，翻開如下圖“效勞器角色屬性”對(duì)話框，在該對(duì)話框中就可以查看sysadmin這個(gè)效勞器角色的屬性了。哈爾濱師范大學(xué)恒星學(xué)院〔2〕添加效勞器角色的角色成員①為效勞器角色添加“角色成員”，可以在效勞器角色的“效勞器角色屬性”對(duì)話框中單擊“添加”按鈕。②單擊“瀏覽”按鈕，彈出“查找對(duì)象”對(duì)話框，單擊要添加的登錄名左邊的復(fù)選框，單擊“確定”按鈕即可將選中的角色成員添加進(jìn)來(lái)。哈爾濱師范大學(xué)恒星學(xué)院〔3〕刪除效勞器角色的角色成員要?jiǎng)h除一個(gè)已經(jīng)存在的角色成員，只需要選中該角色成員并在其上單擊鼠標(biāo)右鍵，然后在彈出的快捷菜單中選擇“刪除”選項(xiàng)，即可刪除效勞器角色。哈爾濱師范大學(xué)恒星學(xué)院2.數(shù)據(jù)庫(kù)角色三種類型的數(shù)據(jù)庫(kù)角色:固定數(shù)據(jù)庫(kù)角色：微軟提供的作為系統(tǒng)一局部的角色；用戶定義的標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)角色：你自己定義的角色，將Windows用戶以一組自定義的權(quán)限分組；應(yīng)用程序角色：用來(lái)授予應(yīng)用程序?qū)ｉT的權(quán)限，而非授予用戶組或者單獨(dú)用戶。哈爾濱師范大學(xué)恒星學(xué)院1〕固定數(shù)據(jù)庫(kù)角色微軟提供了9個(gè)內(nèi)置的角色，以便于在數(shù)據(jù)庫(kù)級(jí)別授予用戶特殊的權(quán)限集合db_owner:該角色的用戶可以在數(shù)據(jù)庫(kù)中執(zhí)行任何操作。db_accessadmin:該角色的成員可以從數(shù)據(jù)庫(kù)中增加或者刪除用戶。db_backupopperator:該角色的成員允許備份數(shù)據(jù)庫(kù)。db_datareader:該角色的成員允許從任何表讀取任何數(shù)據(jù)。db_datawriter:該角色的成員允許往任何表寫入數(shù)據(jù)。db_ddladmin：該角色的成員允許在數(shù)據(jù)庫(kù)中增加、修改或者刪除任何對(duì)象〔即可以執(zhí)行任何DDL語(yǔ)句〕。哈爾濱師范大學(xué)恒星學(xué)院db_denydatareader:該角色的成員被拒絕查看數(shù)據(jù)庫(kù)中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^(guò)存儲(chǔ)過(guò)程來(lái)查看。db_denydatawriter:像db_denydatareader角色，該角色的成員被拒絕修改數(shù)據(jù)庫(kù)中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^(guò)存儲(chǔ)過(guò)程來(lái)修改。db_securityadmin:該角色的成員可以更改數(shù)據(jù)庫(kù)中的權(quán)限和角色。public：在SQLServer2008中每個(gè)數(shù)據(jù)庫(kù)用戶都屬于public數(shù)據(jù)庫(kù)角色。當(dāng)尚未對(duì)某個(gè)用戶授予或者拒絕對(duì)平安對(duì)象的特定權(quán)限時(shí)，這該用戶將據(jù)稱授予該平安對(duì)象的public角色的權(quán)限，這個(gè)數(shù)據(jù)庫(kù)角色不能被刪除哈爾濱師范大學(xué)恒星學(xué)院2〕用戶自定義數(shù)據(jù)庫(kù)角色哈爾濱師范大學(xué)恒星學(xué)院3〕應(yīng)用程序角色應(yīng)用程序角色允許用戶為特定的應(yīng)用程序創(chuàng)立密碼保護(hù)的角色。哈爾濱師范大學(xué)恒星學(xué)院1.常用的權(quán)限安全對(duì)象常用權(quán)限數(shù)據(jù)庫(kù)CREATEDATABASE、CREATEDEFAULT、CREATEFUNCTION、CREATEPROCEDURE、CREATEVIEW、CREATETABLE、CREATERULE、BACKUPDATABASE、BACKUPLOG表SELECT、DELETE、INSERT、UPDATE、REFERENCES表值函數(shù)SELECT、DELETE、INSERT、UPDATE、REFERENCES視圖SELECT、DELETE、INSERT、UPDATE、REFERENCES存儲(chǔ)過(guò)程EXECUTE、SYNONYM標(biāo)量函數(shù)EXECUTE、REFERENCES五.權(quán)限哈爾濱師范大學(xué)恒星學(xué)院9.6.4操作權(quán)限權(quán)限分為3種狀態(tài)：授予、拒絕、撤銷，可以使用如下的語(yǔ)句來(lái)修改權(quán)限的狀態(tài)。授予權(quán)限〔GRANT〕：授予權(quán)限以執(zhí)行相關(guān)的操作。通過(guò)角色，所有該角色的成員繼承此權(quán)限。撤銷權(quán)限〔REVOKE〕：撤銷授予的權(quán)限，但不會(huì)顯示阻止用戶或角色執(zhí)行操作。用戶或角色仍然能繼承其他角色的GRANT權(quán)限。拒絕權(quán)限〔DENY〕：顯式拒絕執(zhí)行操作的權(quán)限，并阻止用戶或角色繼承權(quán)限，該語(yǔ)句優(yōu)先于其他授予的權(quán)限。哈爾濱師范大學(xué)恒星學(xué)院1.授予權(quán)限

本語(yǔ)法格式：GRANT{ALL|statement[,..n]}TOsecurity_account[,..n]哈爾濱師范大學(xué)恒星學(xué)院相關(guān)參數(shù)據(jù)說(shuō)明如下：ALL：表示希望給該類型的對(duì)象授予所有可用的權(quán)限。不推薦使用此選項(xiàng)，保存些選項(xiàng)僅用于向后兼容。授予ALL參數(shù)相當(dāng)于授予以下權(quán)限：如果平安對(duì)象為數(shù)據(jù)庫(kù)，那么ALL表示CREATEDATABASE、CREATEDEFAULT、CREATEFUNCTION、CREATEPROCEDURE、CREATEVIEW、CREATETABLE、CREATERULE等權(quán)限。如果平安對(duì)象為標(biāo)量函數(shù)，那么ALL表示EXECUTE和REFERENCES。如果平安對(duì)象為表值函數(shù)，那么ALL表示SELECT、DELETE、INSERT、UPDATE、REFERENCES。如果平安對(duì)象為存儲(chǔ)過(guò)程，那么ALL表示EXECUTE、SYNONYM。哈爾濱師范大學(xué)恒星學(xué)院如果平安對(duì)象為表，那么ALL表示SELECT、DELETE、INSERT、UPDATE、REFERENCES。如果平安對(duì)象為視圖，那么ALL表示SELECT、DELETE、INSERT、UPDATE、REFERENCES。Statement:表示可以授予權(quán)限的命令，例如，CREATEDATABASE。security_account:表示定義被授予權(quán)限的用戶單位。security_account可以是SQLServer的數(shù)據(jù)庫(kù)用戶，可以是SQLServer的角色，也可以是Windows的用戶或工作組哈爾濱師范大學(xué)恒星學(xué)院【例9.2】使用GRANT命令授予角色“students_mag”對(duì)”students”數(shù)據(jù)庫(kù)中“stu”表的DELETE、INSERT、UPDATE權(quán)限。

USEstudentsGoGRANTDELETE,INSERT,UPDATEONstuTOstudents_magGO哈爾濱師范大學(xué)恒星學(xué)院2.撤銷權(quán)限語(yǔ)法格式：REVOKE{ALL|statement[,..n]}FROMsecurity_account[,..n]【例9.3】使用REVOKE語(yǔ)句撤銷“students_mag”角色對(duì)“stu”表所擁有的DELETE、INSERT、UPDATE權(quán)限。USEstudentsGoREVOKEDELETE,INSERT,UPDATEONstuFROMstudents_magCASCADE哈爾濱師范大學(xué)恒星學(xué)院3.拒絕權(quán)限根本語(yǔ)法：DENY{ALL|statement[,..n]}TOsecurity_account[,..n]【