資源描述:
《講義SQLServer2005的安全管理機(jī)制.doc》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�����。
1�、1.SQLServer2005的安全管理機(jī)制SQLServer2005的安全性是指保護(hù)數(shù)據(jù)庫(kù)中的各種數(shù)據(jù),以防止因非法使用而造成數(shù)據(jù)的泄密和破壞��。SQLServer2005的安全管理機(jī)制包括驗(yàn)證(authentication)和授權(quán)(authorization)兩種類(lèi)型��。驗(yàn)證是指檢驗(yàn)用戶的身份標(biāo)識(shí)�;授權(quán)是指允許用戶做些什么。驗(yàn)證過(guò)程在用戶登錄操作系統(tǒng)和SQLServer2005的時(shí)候出現(xiàn)����,授權(quán)過(guò)程在用戶試圖訪問(wèn)數(shù)據(jù)或執(zhí)行命令的時(shí)候出現(xiàn)。SQLServer2005的安全機(jī)制分為四級(jí)����,其中第一層和第二層屬于驗(yàn)證過(guò)程,第三層和第四層屬于授權(quán)過(guò)程�,如
2、Error!Referencesourcenotfound.所示����。圖Error!Notextofspecifiedstyleindocument.�1SQLServer的四級(jí)安全機(jī)制第一層次的安全權(quán)限是�,用戶必須登錄到操作系統(tǒng)�����,第二層次的安全權(quán)限控制用戶能否到登錄SQLServer�,SQLServer第三層次的安全權(quán)限允許用戶與一個(gè)特定的數(shù)據(jù)庫(kù)相連接,第四層次的安全權(quán)限允許用戶擁有對(duì)指定數(shù)據(jù)庫(kù)中一個(gè)對(duì)象的訪問(wèn)權(quán)限�。1)登錄登錄是賬戶標(biāo)識(shí)符,用于連接到SQLSERVER2005賬戶都稱(chēng)為登錄�。其作用是用來(lái)控制對(duì)SQLServer2005的訪問(wèn)權(quán)
3、限�����。SQLServer2005只有在首先驗(yàn)證了指定的登錄賬號(hào)有效后�,才完成連接。但登錄賬號(hào)沒(méi)有使用數(shù)據(jù)庫(kù)的權(quán)力�,即SQLServer2005登錄成功并不意味著用戶已經(jīng)可以訪問(wèn)SQLServer2005上的數(shù)據(jù)庫(kù)。SQLServer2005的登錄賬戶相應(yīng)有兩種:SQL賬戶和Windows賬戶例如��,添加Windows登錄帳戶EXECsp_grantlogin‘trainingS26301’--域名用戶名添加SQL登錄帳戶EXECsp_addlogin‘zhangsan’,‘1234’--用戶名�,密碼SQLServer2005中有兩個(gè)默認(rèn)的登錄
4���、賬戶:BUILTINAdministrators和sa����。BUILTINAdministrators提供了對(duì)所有Windows2005管理員的登錄權(quán)限,并且具有在所有數(shù)據(jù)庫(kù)中的所有權(quán)限����。系統(tǒng)管理員(sa)是一個(gè)特殊的登錄賬戶,只有在SQLServer2005使用混合驗(yàn)證模式時(shí)有效����,它也具有在所有數(shù)據(jù)庫(kù)中的所有權(quán)限。2)用戶在數(shù)據(jù)庫(kù)內(nèi)��,對(duì)象的全部權(quán)限和所有權(quán)由用戶賬戶控制�。在安裝SQLServer后,默認(rèn)數(shù)據(jù)庫(kù)中包含兩個(gè)用戶:dbo和guest�,即系統(tǒng)內(nèi)置的數(shù)據(jù)庫(kù)用戶dbo代表數(shù)據(jù)庫(kù)的擁有者(databaseowner)。每個(gè)數(shù)據(jù)庫(kù)都有dbo
5����、用戶,創(chuàng)建數(shù)據(jù)庫(kù)的用戶是該數(shù)據(jù)庫(kù)的dbo�,系統(tǒng)管理員也自動(dòng)被映射成dbo。guest用戶帳號(hào)在安裝完SQLServer系統(tǒng)后被自動(dòng)被加入到master��、pubs、tempdb��、和northwind數(shù)據(jù)庫(kù)中�����,且不能被刪除�。用戶自己創(chuàng)建的數(shù)據(jù)庫(kù)默認(rèn)情況下不會(huì)自動(dòng)加入guest帳號(hào),但可以手工創(chuàng)建���。guest用戶也可以像其他用戶一樣設(shè)置權(quán)限�。當(dāng)一個(gè)數(shù)據(jù)庫(kù)具有g(shù)uest用戶帳號(hào)時(shí)�,允許沒(méi)有用戶帳號(hào)的登錄者訪問(wèn)該數(shù)據(jù)庫(kù)。所以guest帳號(hào)的設(shè)立方便了用戶的使用���,但如使用不當(dāng)也可能成為系統(tǒng)安全隱患����。1)角色在SQLServer中�����,角色是管理權(quán)限的有力工具
6����、���。將一些用戶添加到具體某種權(quán)限的角色中�����,權(quán)限在用戶成為角色成員時(shí)自動(dòng)生效�����?��!敖巧备拍畹囊敕奖懔藱?quán)限的管理�,也使權(quán)限的分配更加靈活�����。角色分為服務(wù)器角色和數(shù)據(jù)庫(kù)角色兩種�����。服務(wù)器角色具有一組固定的權(quán)限��,并且適用于整個(gè)服務(wù)器范圍。它們專(zhuān)門(mén)用于管理SQLServer����,且不能更改分配給它們的權(quán)限?��?梢栽跀?shù)據(jù)庫(kù)中不存在用戶帳戶的情況下向固定服務(wù)器角色分配登錄��。數(shù)據(jù)庫(kù)角色與本地組有點(diǎn)類(lèi)似����,它也有一系列預(yù)定義的權(quán)限�,你可以直接給用戶指派權(quán)限,但在大多數(shù)情況下����,只要把用戶放在正確的角色中就會(huì)給予它們所需要的權(quán)限。一個(gè)用戶可以是多個(gè)角色中的成員�,其權(quán)限等于多個(gè)
7、角色權(quán)限的“和”�,任何一個(gè)角色中的拒絕訪問(wèn)權(quán)限會(huì)覆蓋這個(gè)用戶所有的其他權(quán)限。2)登錄���、用戶���、角色三者聯(lián)系登錄�����、用戶��、角色是SQLServer2005安全機(jī)制的基礎(chǔ)。(1)服務(wù)器角色和登錄名相對(duì)應(yīng)�����。(2)數(shù)據(jù)庫(kù)角色是和用戶對(duì)應(yīng)的��,數(shù)據(jù)庫(kù)角色和用戶都是數(shù)據(jù)庫(kù)對(duì)象�����,定義和刪除的時(shí)候必須選擇所屬的數(shù)據(jù)庫(kù)�。(3)一個(gè)數(shù)據(jù)庫(kù)角色中可以有多個(gè)用戶,一個(gè)用戶也可以屬于多個(gè)數(shù)據(jù)庫(kù)角色���。1.SQLServer2005的權(quán)限管理1)用戶的權(quán)限分類(lèi)SQLServer中的權(quán)限可以分為以下三種:對(duì)象權(quán)限�����、語(yǔ)句權(quán)限和隱含權(quán)限��。2)對(duì)象權(quán)限對(duì)象權(quán)限是指用戶在數(shù)據(jù)庫(kù)中執(zhí)行與表
8����、、視圖����、存儲(chǔ)過(guò)程等數(shù)據(jù)庫(kù)對(duì)象有關(guān)的操作的權(quán)限。例如���,是否可以查詢表或視圖����,是否允許向表中插入記錄或修改�、刪除記錄,是否可以執(zhí)行存儲(chǔ)過(guò)程等�。對(duì)象權(quán)限的主要內(nèi)容有:對(duì)表
