2022年數(shù)據(jù)庫安全管理角色管理

第17講數(shù)據(jù)庫的安全管理數(shù)據(jù)庫技術(shù)

--SQLServer信息工程學(xué)院《數(shù)據(jù)庫技術(shù)》課程組教學(xué)任務(wù)發(fā)布任務(wù)背景描述：在“Exam”數(shù)據(jù)庫中，所有相關(guān)的數(shù)據(jù)均存放在7個(gè)不同的數(shù)據(jù)表中，表間的數(shù)據(jù)彼此關(guān)聯(lián)，用戶根據(jù)自己的數(shù)據(jù)需求在數(shù)據(jù)庫中可以進(jìn)行各種各樣的操作。數(shù)據(jù)庫的大門是向任何用戶敞開的嗎？用戶進(jìn)入到這個(gè)數(shù)據(jù)海洋能為所欲為嗎？工作任務(wù)之：身份驗(yàn)證模式（數(shù)據(jù)庫服務(wù)器登錄的安全性）用戶管理角色管理√（數(shù)據(jù)庫使用的安全性）權(quán)限管理17.3角色管理角色是一種權(quán)限機(jī)制。SQLServer管理員可以將某些用戶設(shè)置為某一角色，這樣只對角色進(jìn)行權(quán)限設(shè)置便可實(shí)現(xiàn)對多個(gè)用戶權(quán)限的設(shè)置，便于管理。在SQLServer中主要有兩種角色類型服務(wù)器級角色數(shù)據(jù)庫級角色17.3角色管理-服務(wù)器角色管理從最低級別的角色（bulkadmin）到最高級別的角色（sysadmin）的順序分析各角色權(quán)限：Bulkadmin：這個(gè)服務(wù)器角色的成員可以運(yùn)行BULK

INSERT語句。這條語句允許從文本文件中將數(shù)據(jù)導(dǎo)入到SQL

Server

2008數(shù)據(jù)庫中，為需要執(zhí)行大容量插入到數(shù)據(jù)庫的域賬戶而設(shè)計(jì)。

Dbcreator：這個(gè)服務(wù)器角色的成員可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫。這不僅是適合助理DBA的角色，也可能是適合開發(fā)人員的角色。Diskadmin：這個(gè)服務(wù)器角色用于管理磁盤文件，比如鏡像數(shù)據(jù)庫和添加備份設(shè)備。它適合助理DBA。17.3角色管理-服務(wù)器角色管理Processadmin：SQL

Server

2008能夠多任務(wù)化，也就是說可以通過執(zhí)行多個(gè)進(jìn)程做多個(gè)事件。例如，SQL

Server

2008可以生成一個(gè)進(jìn)程用于向高速緩存寫數(shù)據(jù)，同時(shí)生成另一個(gè)進(jìn)程用于從高速緩存中讀取數(shù)據(jù)。這個(gè)角色的成員可以結(jié)束（在SQLServer2008中稱為刪除）進(jìn)程。Securityadmin：這個(gè)服務(wù)器角色的成員將管理登錄名及其屬性。他們可以授權(quán)、拒絕和撤銷服務(wù)器級權(quán)限。也可以授權(quán)、拒絕和撤銷數(shù)據(jù)庫級權(quán)限。另外，它們可以重置SQLServer2008登錄名的密碼。Serveradmin：這個(gè)服務(wù)器角色的成員可以更改服務(wù)器范圍的配置選項(xiàng)和關(guān)閉服務(wù)器。例如SQLServer2008可以使用多大內(nèi)存或監(jiān)視通過網(wǎng)絡(luò)發(fā)送多少信息，或者關(guān)閉服務(wù)器，這個(gè)角色可以減輕管理員的一些管理負(fù)擔(dān)。17.3角色管理-服務(wù)器角色管理2.與服務(wù)器級角色相關(guān)的操作與命令瀏覽固定服務(wù)器角色的權(quán)限

execsp_srvrolepermission'sysadmin'注：sysadmin就是一種服務(wù)器角色將登錄名添加到某個(gè)固定服務(wù)器角色中

execsp_addsrvrolemember'login',''role'從固定服務(wù)器角色中刪除登錄名

execsp_dropsrvrolemember'login','role'注意：不能添加、修改或刪除固定服務(wù)器角色。只有固定服務(wù)器角色的成員才能執(zhí)行上述兩個(gè)系統(tǒng)過程來從角色中添加或刪除登錄賬戶。17.3角色管理-數(shù)據(jù)庫角色管理3.數(shù)據(jù)庫級角色為便于管理數(shù)據(jù)庫中的權(quán)限，SQLServer提供了若干角色，這些角色是指對數(shù)據(jù)庫具有相同訪問權(quán)限的用戶和組的集合。數(shù)據(jù)庫級角色的權(quán)限作用域?yàn)閿?shù)據(jù)庫范圍。SQLServer中有兩種類型的數(shù)據(jù)庫級角色：數(shù)據(jù)庫中預(yù)定義的“固定數(shù)據(jù)庫角色”用戶可以創(chuàng)建的“靈活數(shù)據(jù)庫角色”17.3角色管理-數(shù)據(jù)庫角色管理固定數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色是指這些角色所具有的權(quán)限已被SQLServer定義，并且SQLServer管理員不能對其所具有的權(quán)限進(jìn)行任何修改。固定數(shù)據(jù)庫角色與相應(yīng)的權(quán)限如下表所示：17.3角色管理-數(shù)據(jù)庫角色管理微軟提供了9個(gè)內(nèi)置的角色，以便于在數(shù)據(jù)庫級別授予用戶特殊的權(quán)限集合：db_owner:該角色的用戶可以在數(shù)據(jù)庫中執(zhí)行任何操作。

db_accessadmin:該角色的成員可以從數(shù)據(jù)庫中增加或者刪除用戶。

db_backupopperator:該角色的成員允許備份數(shù)據(jù)庫。

db_datareader:該角色的成員允許從任何表讀取任何數(shù)據(jù)。

db_datawriter:該角色的成員允許往任何表寫入數(shù)據(jù)。

db_ddladmin：該角色的成員允許在數(shù)據(jù)庫中增加、修改或者刪除任何對象（即可以執(zhí)行任何DDL語句）。17.3角色管理-數(shù)據(jù)庫角色管理微軟提供了9個(gè)內(nèi)置的角色，以便于在數(shù)據(jù)庫級別授予用戶特殊的權(quán)限集合：db_denydatareader:該角色的成員被拒絕查看數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^存儲(chǔ)過程來查看。

db_denydatawriter:

像db_denydatareader角色，該角色的成員被拒絕修改數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^存儲(chǔ)過程來修改。

db_securityadmin:該角色的成員可以更改數(shù)據(jù)庫中的權(quán)限和角色。

public：在SQL

Server

2008中每個(gè)數(shù)據(jù)庫用戶都屬于public數(shù)據(jù)庫角色。當(dāng)尚未對某個(gè)用戶授予或者拒絕對安全對象的特定權(quán)限時(shí)，這該用戶將據(jù)稱授予該安全對象的public角色的權(quán)限，這個(gè)數(shù)據(jù)庫角色不能被刪除。身份驗(yàn)證模式（數(shù)據(jù)庫服務(wù)器登錄的安全性）db_datareader:該角色的成員允許從任何表讀取任何數(shù)據(jù)。與服務(wù)器級角色相關(guān)的操作與命令3角色管理-數(shù)據(jù)庫角色管理3角色管理-服務(wù)器角色管理3角色管理-數(shù)據(jù)庫角色管理3角色管理-數(shù)據(jù)庫角色管理用戶自定義的數(shù)據(jù)庫角色SQLServer2008共有9種預(yù)定義的服務(wù)器角色：在SQLServer中主要有兩種角色類型3角色管理-數(shù)據(jù)庫角色管理微軟提供了9個(gè)內(nèi)置的角色，以便于在數(shù)據(jù)庫級別授予用戶特殊的權(quán)限集合：他們可以授權(quán)、拒絕和撤銷服務(wù)器級權(quán)限。從最低級別的角色（bulkadmin）到最高級別的角色（sysadmin）的順序分析各角色權(quán)限：db_backupop