第12章数据安全性控制.pdf

12.1 SQL Server 2014安全体系结构 1. 主体 主体是可以请求SQL Server资源的实体，它实际上是拥有一定权 限的特定的数据库对象。每个主体都具有一个唯一的安全标识符(SID)。 按影响范围的不同，主体可以分为Windows级主体、服务器级主体和 数据库级主体。 1. Windows级主体 ➢Windows级主体包括Windows域登录名和Windows本地登录名。 此类主体只限于服务器级操作，而不能将其他安全对象的操作权 限授予给此类主体。在Windows认证模式下使用的就是这种 Windows级主体。 2021/10/2 3 12.1 SQL Server 2014安全体系结构 2. 服务器级主体 ➢服务器级主体包括SQL Server登录名以及服务器角色。 ➢ SQL Server sa登录名是具有最大权限的服务器级主体。默认情况下，该登 录名是在安装实例时创建的。在SQL Server 2014中，sa的默认数据库为 master。利用sa登录名可以创建其他的SQL Server登录名。 ➢服务器角色是一组服务器级的操作权限的集合，其作用域为服务器范围。 服务器角色是 “固定”在SQL Server中，用户对其不能创建或删除，因而 也称为 “固定服务器角色”。 ➢ 角色是若干种权限的集合。当将一种角色赋给某一个主体时，该主体即享 有该角色包含的所有权限。不难发现，角色的主要作用是简化权限的管理。 “角色”类似于 Windows操作系统中的 “组”。 2021/10/2 4 12.1 SQL Server 2014安全体系结构 图12.1 主体、权限和安全对象之间的关系 服务器角色的名称 服务器级权限 说明 其成员可以在服务器上执行任何活动。默认情况下， sysadmin 已使用GRANT选项授予：CONTROL SERVER WindowsBUILTIN\Administrators组 （本地管理员组）的所 有成员都是sysadmin固定服务器角色的成员。 已授予：AL NY ENDPOINT、ALTER RESOURCES、 serveradmin ALTER SERVER STATE、ALTER SETTINGS、 其成员可以更改服务器范围的配置选项和关闭服务器。 SHUTDOWN、VIEW SERVER STATE 其成员可以管理登录名及其属性。他们可以GRANT、DENY 和REVOKE服务器级别的权限。他们还可以GRANT、 securityadmin 已授予：AL NY LOGIN DENY和REVOKE数据库级别的权限。此外，他们还可以重 置SQL Server登录名的 。 已授予：AL NY CONNECTION、ALTER SERVER processadmin STATE