第章安全管理.ppt

大型数据库——SQL Server 2000程序设计 第9章 安全管理 安全认证模式 登录管理 数据库用户管理 角色 权限管理 第一页，共二十七页。 三个概念：登录、用户、角色 登录帐号：用来和SQL SERVER连接 有了登录号才能连接上SQL SERVER，才有使用SQL SERVER的入门资格，但登录帐号没有使用数据库对象的权力 数据库用户：简称用户，作为数据库对象，SQL SERVER用它来设定数据库存取的许可权。 所以为了要存取SQL SERVER内的某一数据库的数据库对象，每一登录帐号必须对应一个用户名。 角色：也称为安全性角色，对数据具有相同的访问权限。包括系统内建角色和自建角色二类角色，其中，系统内建角色又分为服务器角色和数据库角色，数据库角色也是一个数据库对象 第二页，共二十七页。 登录、用户的关系 1、登录帐号是用来连接SQL SERVER的，但登录帐号没有使用数据库对象的权力，SQL SERVER是以用户名来设定数据库存取的许可权。所以，为了要存取SQL SERVER内某一数据库内的数据库对象，每一登录帐号必须在该数据库对应一个用户名 2、用户是数据库对象，定义和修改时必须选择对应的数据库，而登录不是数据库对象，它的定义和修改在SQL SERVER服务器下的安全性里进行。 3、用户的定义必须指定对应的登录名，一个登录名可以对应多个用户，但一个登录名在一个数据库内只能有一个用户。 4、用户名与数据库相关。sales 数据库中的 xyz 用户帐户不同于 inventory 数据库中的 xyz 用户帐户，即使这两个帐户有相同的用户名。用户名由 db_owner 固定数据库角色成员定义。 第三页，共二十七页。 用户、角色的关系 1、角色在权限管理方面是一个强有力的工具，是具有相同权限的用户的集合，角色分为系统内建角色和自建角色，同时系统内建角色分为服务器角色和数据库角色，自建角色都是数据库角色。 2、服务器角色和登录名相对应；而数据库角色是和用户对应的，数据库角色和用户都是数据库对象，定义和删除的时候必须选择所属的数据库 3、一个数据库角色中可以有多个用户，一个用户也可以属于多个数据库角色 第四页，共二十七页。 SQL SERVER 2000工作时，用户需要经过两个安全性阶段：身份验证、授权（权限验证） 9.1.1 身份验证 又叫认证，是使用SQL SERVER 2000的第一道管制关卡，用户必须使用登录帐号和密码来登录SQL SERVER ，当登录成功后才拥有使用SQL SERVER 的入门资格。 但是，即使你通过了第一道认证关卡并不表示你对SQL SERVER内的数据有存取的权限。 9.1 安全认证模式 第五页，共二十七页。 SQL SERVER 2000可以通过两种方式来进行身份验证：Windows身份验证、 SQL SERVER身份验证。 Windows身份验证：由Windows系统确认用户的登录帐号和密码， Windows系统的登录帐号可以直接访问SQL SERVER系统，不必提供SQL SERVER的登录帐号和密码。 SQL SERVER身份验证：由Windows系统确认用户的登录帐号和口令。 相应的，SQL SERVER 2000可以在两种安全模式（身份验证）下工作： Windows身份验证模式：用Windows用户帐号进行连接 混合模式：用Windows身份验证或SQL SERVER身份验证与SQL SERVER实例连接。 9.1.1 身份验证 第六页，共二十七页。 9.1.2 授权 又叫权限验证，数据库中的所有对象的存取权限还必须通过授权（即存取许可）的设定来决定该登录者是否拥有某一对象的存取权限。 第七页，共二十七页。 9.2 登录管理 登录帐号是基于服务器使用的用户名。为了访问SQL Server系统，用户必须提供正确的登录帐号。这些登录帐号既可以是Windows登录帐号，也可以是SQL Server登录帐号。 登录帐号的信息是系统级信息，存储在master数据库中的syslogins系统表中。 第八页，共二十七页。 增加登录帐号可以有两种方法： 使用企业管理器 1、选择要建立登录的SQL SERVER服务器 2、展开安全性，选择登录 使用系统存储过程 1、SQL SERVER登录(sp_AddLogin，sp_DropLogin) sp_addlogin ‘登陆名’， ‘密码’，‘默认数据库’ 2、Windows NT用户或组登录(机器名\用户或工作组名) (sp_GrantLogin、 sp_DenyLogin、 sp_Re