第十一章銷售管理數(shù)據(jù)庫安全性管理

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社技能目標(biāo)掌握SQLServer2005的安全機制;利用登錄名、用戶名、角色確保服務(wù)器、銷售管理數(shù)據(jù)庫和數(shù)據(jù)對象的安全性。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社11.1SQLServer2005的安全機制數(shù)據(jù)庫安全：是指保護數(shù)據(jù)庫中的數(shù)據(jù)不被破壞、偷竊和非法使用。1.在SQLServer2005中，數(shù)據(jù)的安全保護由4個層次構(gòu)成.

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社2.從登錄的角度來看

在SQLServer系統(tǒng)中，安全性采用的是兩級權(quán)限管理機制：第一級是服務(wù)器級的“連接權(quán)”；第二級是數(shù)據(jù)庫級的“訪問權(quán)”。

SQLServer的安全性機制可以劃分為4個等級：（1）客戶機操作系統(tǒng)的安全性；（2）SQLServer的登錄安全性；（3）數(shù)據(jù)庫的使用安全性；（4）數(shù)據(jù)庫對象的使用安全性。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社例.授權(quán)遠程訪問

為了遠程訪問SQLServer實例，需要一個網(wǎng)絡(luò)協(xié)議以建立到SQLServer服務(wù)器的連接。為了避免系統(tǒng)資源的浪費，只需要激活自己需要的網(wǎng)絡(luò)連接協(xié)議。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社(1)從“開始”菜單中選擇“所有程序”|“MicrosoftSQLServer2005”|“配置工具”|“SQLServer外圍應(yīng)用配置器”

授權(quán)遠程訪問方法

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社

(2)在窗口底部的“配置外圍應(yīng)用到Localhost”區(qū)域，單擊“服務(wù)和連接的外圍應(yīng)用配置器”

授權(quán)遠程訪問方法

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社(3)隨后在彈出窗口的左半部分，顯示了可以進行配置的組件列表。在這個列表中，展開“DatabaseEngine”圖標(biāo)并單擊“遠程連接”。授權(quán)遠程訪問方法

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社(4)在右側(cè)面板中選擇“本地連接和遠程連接”，然后選擇一個協(xié)議選項?；诎踩托阅艿目紤]，推薦使用TCP/IP協(xié)議授權(quán)遠程訪問方法

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社11.2服務(wù)器安全的管理SQLServer2005服務(wù)器的安全建立在對服務(wù)器登錄名和密碼的控制基礎(chǔ)之上，用戶在登錄服務(wù)器時所采用的登錄名和密碼，決定了用戶在成功登錄服務(wù)器后所擁有的訪問權(quán)限。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社登錄模式Windows身份驗證模式混合驗證模式

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社身份驗證方式設(shè)置（1）方法一：（1）啟動SQLServerManagementStudio。（2）在左上角“已注冊服務(wù)器”組件中，打開其屬性窗口，在該窗口中可以查看和改變身份驗證方式。（3）用戶可以通過選擇身份驗證下拉列表框選擇服務(wù)器的身份驗證登錄方式。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社方法二(1)從“開始”菜單中選擇“所有程序”|“MicrosoftSQLServer2005”|“SQLServerManagementStudio”

(2)在“連接到服務(wù)器”對話框中，單擊“連接”按鈕

(3)在“對象資源管理器”中，右鍵單擊SQLServer實例名并在彈出菜單中選擇“屬性”

身份驗證方式設(shè)置(2)

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社(4)在“選擇頁”面板中，選擇“安全性”圖標(biāo)

(5)在“服務(wù)器身份驗證”區(qū)域，選擇自己想要的身份驗證模式,在更改身份驗證模式后，需要重新啟動SQLServer實例以使其生效。

身份驗證方式設(shè)置(3)

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社11.2登錄帳戶管理11.2.1標(biāo)準(zhǔn)的SQL帳戶管理1.帳戶的建立用戶建立標(biāo)準(zhǔn)登錄帳戶的方式有三種：使用SSMS管理登錄帳戶使用Transact-SQL管理登錄帳戶使用系統(tǒng)存儲過程；

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社使用SSMS管理登錄帳戶右擊，選擇“新建”

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社創(chuàng)建登錄名【例】在銷售管理數(shù)據(jù)庫所在的服務(wù)器上，創(chuàng)建SQLServer身份驗證的登錄名。操作步驟如下。（1）在【對象資源管理器】窗口中，展開【安全性】|【登錄名】節(jié)點，右擊【登錄名】節(jié)點，在彈出的快捷菜單中，選擇【新建登錄名】選項。（2）打開【登錄名-新建】窗口，在左側(cè)窗格中，單擊【常規(guī)】選項，打開【常規(guī)】選項頁。（3）在【登錄名】文本框中輸入“SQL_User”。在下面選擇登錄方式，這里選中【SQLServer身份驗證】單選按鈕，在【密碼】文本框中，輸入“123456”，在【確認(rèn)密碼】的文本框中，輸入“123456”。（4）取消【強制實施密碼策略】的選中狀態(tài)。（5）在【選擇項】|【狀態(tài)】選項的右側(cè)窗格中，在【設(shè)置】-【是否允許接到數(shù)據(jù)庫引擎】為【授予】；將【登錄】設(shè)置為【啟用】。單擊【確定】按鈕，完成登錄名的創(chuàng)建。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社11.2.2與Windows集成的帳戶管理1.帳戶的建立所謂與Windows集成的登錄帳戶，實際上是將Windows的用戶和工作組映射為SQLServer的登錄帳戶。建立與Windows集成的登錄帳戶方式有三種：使用SSMS管理登錄帳戶使用Transact-SQL管理登錄帳戶使用系統(tǒng)存儲過程；注意:在創(chuàng)建Windows登錄賬戶之前,必須先建一個Windows操作系統(tǒng)用戶.

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社使用Transact-SQL或系統(tǒng)存儲過程管理登錄帳戶1.CREATELOGINlogin_name{with<option_list>|FROM<sources>}2.使用系統(tǒng)提供的存儲過程sp_addlogin建立標(biāo)準(zhǔn)登錄帳戶

sp_addlogin‘login’[,’password’][,’database’]3.使用系統(tǒng)存儲過程sp_grantlogin來使Windows的用戶或工作組映射成為SQLServer的登錄帳戶：

Sp_grantlogin‘login’

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社例1：創(chuàng)建一個SQLServer登錄賬戶createlogintestwithpassword='123456',default_database=master例2：創(chuàng)建一個Windows登錄賬戶createlogin[F72\lily]fromwindows使用Transact-SQL管理登錄帳戶

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社例1：使用系統(tǒng)提供的存儲過程sp_addlogin建立SQLServer標(biāo)準(zhǔn)登錄帳戶

sp_addloginsales,'abcdef',master例2：系統(tǒng)存儲過程sp_grantlogin來使Windows的用戶或工作組映射成為SQLServer的登錄帳戶：

Sp_grantlogin[F72\lucy]或

Sp_grantlogin'F72\lucy'使用系統(tǒng)存儲過程管理登錄帳戶

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社DROPLOGIN如：DROPLOGINtestALTERLOGIN如：ALTERLOGINtestWITHPASSWORD='<123www456>'如:如：ALTERLOGINtestWITHNAME=finish2.修改和刪除帳戶

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社2.修改和刪除帳戶1）使用系統(tǒng)存儲過程sp_defaultdb修改登錄帳戶的默認(rèn)數(shù)據(jù)庫

Sp_defaultdb‘login’[,’database’]2）使用系統(tǒng)存儲過程sp_dafaultlanguage修改登錄帳戶的默認(rèn)語言

Sp_defaultlanguage‘login’[,’language’]3）使用系統(tǒng)存儲過程sp_password修改登錄帳戶的密碼

Sp_password‘old_password’,’new_password’,’login’4）使用系統(tǒng)存儲過程sp_droplogin刪除SQLServer標(biāo)準(zhǔn)登錄帳戶

Sp_droplogin‘login’

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社注意：

（1）在SQLServer中刪除帳戶信息時，有如下限制：已經(jīng)映射到數(shù)據(jù)庫用戶的帳戶不允許刪除；系統(tǒng)帳戶sa不能被刪除，正在使用的帳戶不能被刪除；擁有數(shù)據(jù)庫的帳戶不能被刪除。（2）在進行修改和刪除操作時進行的有關(guān)帳戶、密碼、角色、權(quán)限的操作，都只有被賦予sysadmin或securityadmin固定服務(wù)器角色的用戶才可以使用。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社11.3數(shù)據(jù)庫用戶的管理在數(shù)據(jù)庫中，用戶帳號與登錄帳號是兩個不同的概念，一個合法的登錄帳號只表明該帳號通過了Windows認(rèn)證或SQLServer認(rèn)證，但不能表明其可以對數(shù)據(jù)庫數(shù)據(jù)和數(shù)據(jù)對象進行某種或某些操作。必須要先將創(chuàng)建的登錄賬戶映射為數(shù)據(jù)庫的用戶，才能訪問數(shù)據(jù)庫。默認(rèn)用戶1、dbodbo是特殊的數(shù)據(jù)庫用戶，它是數(shù)據(jù)庫所有者（databaseowner），dbo是具有隱式權(quán)限的用戶，可在數(shù)據(jù)庫中執(zhí)行所有的操作。2、guestguest也是一個特殊用戶，它與dbo一樣，創(chuàng)建數(shù)據(jù)庫之后會自動生成。自定義用戶

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社添加數(shù)據(jù)庫用戶（1）【例】將在創(chuàng)建的登錄名SQL_user映射到銷售管理數(shù)據(jù)庫的用戶。操作步驟如下。（1）啟動【SQLServerManagementStudio】，以sa賬戶或超級用戶身份連上數(shù)據(jù)庫實例。（2）在【對象資源管理器】中，展開【數(shù)據(jù)庫】|【CompanySales】|【安全性】|【用戶】節(jié)點。右擊【用戶】，在彈出的快捷菜單中，選擇【新建用戶】。（3）出現(xiàn)的【數(shù)據(jù)庫用戶—新建】窗體，在【用戶名】文本框中輸入用戶名“first_user”，再單擊【登錄名】右側(cè)按鈕。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社添加數(shù)據(jù)庫用戶（2）（4）出現(xiàn)的【選擇登錄名】窗體。單擊【瀏覽】按鈕，出現(xiàn)的【查找對象】窗體，瀏覽已有的登錄名，選擇【[SQL_User]登錄名】。（5）單擊【確定】按鈕，返回到的【選擇登錄名】窗體。（6）單擊【確定】按鈕，返回到的【新建數(shù)據(jù)庫-用戶】窗體。（7）單擊【確定】按鈕，完成登錄名“SQL_User”到銷售管理數(shù)據(jù)庫Companysales用戶名的映射設(shè)置。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社使用Tractans-SQL管理用戶1.創(chuàng)建數(shù)據(jù)庫用戶CREATEUSERuser_name{[FOR|FROM]LOGINlogin_name[WITHDEFAULT_SCHEMA=schema_name]}2.修改數(shù)據(jù)庫用戶ALTERUSERuser_nameWITHNAME=new_user_name|DEFAULT_SCHEMA=schema_name3.刪除數(shù)據(jù)庫用戶DROPUSERuser_name

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社例：創(chuàng)建數(shù)據(jù)庫用戶CreateusertestCreateusercherryforlogin[F72\lily]create

user

maywithout

login例：更改數(shù)據(jù)庫用戶的名稱ALTERUSERtestWITHNAME=finish例：刪除用戶testDROPUSERtest使用Tractans-SQL管理用戶

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社11.4SQLServer2005權(quán)限權(quán)限管理指將安全對象的權(quán)限授予主體，取消或禁止主體對安全對象的權(quán)限。主體“主體”是可以請求SQLServer資源的個體、組和過程安全對象安全對象是授權(quán)系統(tǒng)控制對其進行訪問的資源。架構(gòu)架構(gòu)是形成單個命名空間的數(shù)據(jù)庫實體的集合，完全限定的對象名稱現(xiàn)在包含四部分：server.database.schema.object。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社主體主體內(nèi)容Windows級別的主體Windows域登錄名、Windows本地登錄名SQLServer級別的主體SQLServer登錄名數(shù)據(jù)庫級別的主體數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色、應(yīng)用程序角色

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社安全對象安全對象內(nèi)容服務(wù)器端點、登錄帳戶、數(shù)據(jù)庫數(shù)據(jù)庫用戶、角色、應(yīng)用程序角色、程序集、消息類型、路由、服務(wù)、遠程服務(wù)綁定、全文目錄、證書、非對稱密鑰、對稱密鑰、約定、架構(gòu)架構(gòu)類型、XML架構(gòu)集合、對象對象聚合、約束、函數(shù)、過程、隊列、統(tǒng)計信息、同義詞、表、視圖

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社權(quán)限的管理權(quán)限管理指將安全對象的權(quán)限授予主體、取消或禁止主體對安全對象的權(quán)限。SQLServer通過驗證主體是否已獲得適當(dāng)?shù)臋?quán)限來控制主體對安全對象執(zhí)行的操作。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社權(quán)限類別權(quán)限描述CONTROL授予類似所有權(quán)的能力授予被授予者。被授權(quán)者實際上對安全對象具有所定義的所有權(quán)限。TAKEOWNERSHIP允許被授權(quán)者獲取所授予的安全對象的所有權(quán)。VIEWDEFINITION允許定義視圖。如果用戶具有該權(quán)限，就利用表或函數(shù)定義視圖CREATE允許創(chuàng)建對象ALTER允許創(chuàng)建（CREATE）、更改（ALTER）或刪除（DELETE）受保護的對象及其下層所有的對象SELECT 允許“看”數(shù)據(jù)。如果用戶具有該權(quán)限，就可以在授權(quán)的表或視圖上運行SELECT語句INSERT允許插入新行。UPDATE允許修改表中現(xiàn)有的數(shù)據(jù)。但不允許添加或刪除表中的行。當(dāng)用戶在某一列上獲得這個權(quán)限時，只能修改該列的數(shù)據(jù)DELETE允許刪除數(shù)據(jù)行。REFERENCE允許插入行，這里被插入的表具有外鍵約束，參照了用戶SELECT權(quán)限的另一張表EXECUTE允許執(zhí)行一個特定存儲過程

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社主要安全對象權(quán)限安全對象權(quán)限數(shù)據(jù)庫BACKUPDATABASE、BACKUPLOG、CREATEDATABASE、CREATEDEFAULT、CREATEFUNCTION、CREATEPROCEDURE、CREATERULE、CREATETABLE和CREATEVIEW標(biāo)量函數(shù)EXECUTE和REFERENCES表值函數(shù)、表、視圖DELETE、INSERT、REFERENCES、SELECT和UPDATE存儲過程DELETE、EXECUTE、INSERT、SELECT和UPDATE

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社架構(gòu)每個用戶都有一個默認(rèn)架構(gòu)如果未定義默認(rèn)架構(gòu)，則數(shù)據(jù)庫用戶將把DBO作為其默認(rèn)架構(gòu)。完全限定的對象名稱現(xiàn)在包含四部分：server.database.schema.object。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社使用ManagementStudio管理權(quán)限

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社使用Tractans-SQL管理權(quán)限GRANT用來把權(quán)限授予某一用戶，以允許該用戶執(zhí)行針對該對象的操作。REVOKE：取消用戶對某一對象或語句的權(quán)限，這些權(quán)限是經(jīng)過GRANT語句授予的。DENY用來禁止用戶對某一對象或語句的權(quán)限，明確禁止其對某一用戶對象，執(zhí)行某些操作。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社例子授予用戶test對數(shù)據(jù)庫的CREATETABLE權(quán)限。GRANTCREATETABLETOtest撤銷用戶test對客戶表的SELECT權(quán)限。REVOKESELECTONOBJECT::客戶FROMtest拒絕用戶test對數(shù)據(jù)庫中客戶表的SELECT權(quán)限。DENYSELECTONOBJECT::客戶TOtest

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社11.5SQLServer2005角色角色是引進的用來集中管理數(shù)據(jù)庫或服務(wù)器權(quán)限的概念。角色等價于Windows的工作組，將登錄名或用戶賦予一個角色，將權(quán)限給予角色，登錄名或用戶作為角色成員，繼承了所屬角色的權(quán)限。SQLServer2005中角色分為三類：服務(wù)器角色數(shù)據(jù)庫角色固有數(shù)據(jù)庫角色用戶自定義數(shù)據(jù)庫角色應(yīng)用程序角色

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社服務(wù)器角色SQLServer在服務(wù)器級提供了固定服務(wù)器角色，用戶不能增加、修改和刪除服務(wù)器角色。1.固定服務(wù)器角色固定服務(wù)器角色是一些系統(tǒng)定義好操作權(quán)限的用戶組，其中的成員是登錄帳戶。服務(wù)器角色不能增加或刪除，只能對其中的成員進行修改。常用的固定服務(wù)器角色有：sysadmin、serveradmin、securityadmin、dbcreator、diskadmin、processadmin、setupadmin和bulkadmin

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社固定服務(wù)器角色的權(quán)限（1）sysadmin擁有最高的權(quán)限，可以執(zhí)行服務(wù)器范圍內(nèi)的一切操作。（2）Securityadmin可以在服務(wù)器范圍內(nèi)進行有關(guān)權(quán)限的一切管理操作。如管理登錄帳戶，管理數(shù)據(jù)庫對象權(quán)限，閱讀日志文件等。（3）serveradmin可以設(shè)置服務(wù)器范圍的配置選項，關(guān)閉服務(wù)器。（4）Dbcreator可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫。（5）setupadmin可以管理連接服務(wù)器和執(zhí)行某些系統(tǒng)存儲過程。（6）processadmin可以管理在SQLServer中運行的進程。（7）diskadmin可以管理數(shù)據(jù)庫在磁盤的文件。（8）bulKadmin可以執(zhí)行大容量插入操作，指以用戶指定的個數(shù)將數(shù)據(jù)文件加載到數(shù)據(jù)表或視圖。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社2.數(shù)據(jù)庫角色數(shù)據(jù)庫角色是用來管理數(shù)據(jù)庫用戶的權(quán)限。SQLServer在數(shù)據(jù)庫級提供了固定的數(shù)據(jù)庫級角色。用戶不能修改固定數(shù)據(jù)庫級角色的權(quán)限，也不能刪除固定數(shù)據(jù)庫級角色。但用戶可以自己創(chuàng)建新的數(shù)據(jù)庫角色，再分配權(quán)限給新建的角色。

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社

SQLServer2005數(shù)據(jù)庫應(yīng)用技術(shù)清華大學(xué)出版社固定數(shù)據(jù)庫角色的權(quán)