SQL2000安全性管理

1、服務(wù)器認(rèn)證服務(wù)器認(rèn)證是指每個(gè)用戶在通過網(wǎng)絡(luò)訪問SQL Server 2000數(shù)據(jù)庫之前，操作系統(tǒng)或數(shù)據(jù)庫服務(wù)器會(huì)對(duì)用戶進(jìn)行身份驗(yàn)證，以此來決定該用戶是否可以連接到服務(wù)器以及該用戶可以訪問哪些數(shù)據(jù)。沒有通過檢查的用戶，服務(wù)器將拒絕其對(duì)數(shù)據(jù)庫的連接請(qǐng)求。在服務(wù)器認(rèn)證階段，SQL Server提供了3種認(rèn)證模式：第一種是Windows認(rèn)證模式；第二種是SQL Server認(rèn)證模式；第三種是兩種認(rèn)證模式的有機(jī)結(jié)合，即混合認(rèn)證模式，它既支持Windows認(rèn)證，又支持SQL Server認(rèn)證。下面詳細(xì)介紹這3種認(rèn)證模式。（1）Windows認(rèn)證模式用戶在與SQL Server進(jìn)行連接時(shí)不需要提供SQL S

2、erver登錄賬號(hào)就可以直接與SQL Server 相連接，這種認(rèn)證模式就是Windows認(rèn)證模式。使用Windows認(rèn)證模式時(shí)，只要來訪用戶通過“服務(wù)器平臺(tái)”用戶的檢驗(yàn)，SQL Server就不再對(duì)該用戶進(jìn)行安全性檢驗(yàn)工作了，此用戶就可以成功地連接到SQL Server數(shù)據(jù)庫服務(wù)器。Windows認(rèn)證模式的優(yōu)點(diǎn)主要體現(xiàn)在以下幾點(diǎn)：l          Windows NT/2000有著更強(qiáng)的用戶賬戶管理工具。可以設(shè)置賬戶鎖定、密碼期限等，數(shù)據(jù)庫管理員可以把用戶賬戶交給Windows NT/2000去管理

3、，而把自己的工作主要集中在數(shù)據(jù)庫管理方面。l          Windows NT/2000的組策略支持多個(gè)用戶同時(shí)被授權(quán)訪問SQL Server。l          用戶只需使用一個(gè)用戶名和口令，就可以同時(shí)訪問Windows和SQL Server。如果在客戶和服務(wù)器間建立連接，使用該驗(yàn)證模式時(shí)，必須滿足的一個(gè)條件就是客戶端的用戶必須在服務(wù)器上有合法的Windows NT/2000賬戶，服務(wù)器能夠在自己的域中驗(yàn)證

4、該用戶。 注意：如果服務(wù)器啟動(dòng)了Guest賬戶，也可以使用該驗(yàn)證模式，但這種方法常常會(huì)帶來安全上的隱患。（2）SQL Server認(rèn)證模式當(dāng)用戶與SQL Server連接時(shí)，必須提供由SQL Server管理員為其設(shè)定的登錄賬號(hào)和口令，并指定SQL Server工作在SQL Server認(rèn)證模式下。經(jīng)過SQL Server安全系統(tǒng)對(duì)用戶的身份進(jìn)行驗(yàn)證合法后才能連接上數(shù)據(jù)庫服務(wù)。SQL Server認(rèn)證模式的優(yōu)點(diǎn)主要體現(xiàn)在以下幾點(diǎn)。l          創(chuàng)建了Windows NT/2000之上的另外一個(gè)安全

5、層次。l          支持更大范圍的用戶，如非Windows NT客戶、Novell網(wǎng)用戶等。l          一個(gè)應(yīng)用程序可以使用單個(gè)的SQL Server登錄賬號(hào)和口令。（3）混合認(rèn)證模式混合認(rèn)證模式是前兩種認(rèn)證模式的有機(jī)結(jié)合。用戶既能使用Windows認(rèn)證模式又能使用SQL Server認(rèn)證模式連接到SQL Server服務(wù)器。數(shù)據(jù)庫認(rèn)證用戶必須使用特定的登錄賬戶經(jīng)過驗(yàn)證才能登錄到SQL Server

6、。登錄以后，用戶在訪問每個(gè)數(shù)據(jù)庫時(shí)也必須使用特定的用戶賬號(hào)才能對(duì)數(shù)據(jù)庫進(jìn)行訪問，而且只能查看經(jīng)授權(quán)可以查看的表和視圖，只能執(zhí)行經(jīng)授權(quán)可以執(zhí)行的存儲(chǔ)過程和管理功能，這樣可以有效地控制用戶訪問數(shù)據(jù)庫的權(quán)限，防止一個(gè)用戶在連接SQL Server以后，對(duì)服務(wù)器上的所有數(shù)據(jù)庫進(jìn)行訪問。用戶賬戶的數(shù)據(jù)庫訪問權(quán)限決定了用戶在數(shù)據(jù)庫中可以進(jìn)行哪些操作。 注意：安裝系統(tǒng)時(shí)，Guest用戶自動(dòng)加入到master、pubs、tempdb和Northwind數(shù)據(jù)庫中，當(dāng)SQL Server數(shù)據(jù)庫用戶沒有用戶賬號(hào)時(shí)可以使用Guest用戶賬號(hào)登錄，以匿名的方式查看數(shù)據(jù)庫中的數(shù)據(jù)。 管理服務(wù)器角色服務(wù)器角色是指

7、根據(jù)SQL Server的管理任務(wù)以及這些任務(wù)相對(duì)的重要性等級(jí)，把具有SQL Server管理職能的用戶劃分為不同的角色來管理SQL Server的權(quán)限。服務(wù)器角色適用于服務(wù)器范圍內(nèi)，其權(quán)限不能被修改。啟動(dòng)企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器，展開“安全性”節(jié)點(diǎn)，單擊“服務(wù)器角色”選項(xiàng)，右側(cè)列表框內(nèi)自動(dòng)顯示存在的服務(wù)器角色，如圖1所示。圖1 服務(wù)器角色SQL Server共有8種預(yù)定義的服務(wù)器角色，各角色的具體含義如表1所示。表1服務(wù)器角色服務(wù)器角色角 色 描 述Sysadmin（系統(tǒng)管理員）可以在SQL Server中做任何事情Serveradmin（服務(wù)器管理員）設(shè)置SQL Server

8、服務(wù)器范圍內(nèi)的配置選項(xiàng)，可以關(guān)閉服務(wù)器Setupadmin（安裝管理員）可以管理擴(kuò)展的存儲(chǔ)過程Securityadmin（安全管理員）管理數(shù)據(jù)庫登錄Processadmin（進(jìn)程管理員）管理運(yùn)行在SQL Server中的進(jìn)程Dbcreator（數(shù)據(jù)庫創(chuàng)建者）可以創(chuàng)建和更改數(shù)據(jù)庫Diskadmin（磁盤管理員）管理磁盤文件Bulkadmin（批量管理員）可以執(zhí)行大容量數(shù)據(jù)插入操作 下面介紹如何使用企業(yè)管理器來管理服務(wù)器角色。操作步驟如下：（1）啟動(dòng)企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2） 展開“安全性”節(jié)點(diǎn)，單擊“服務(wù)器角色”選項(xiàng)，右側(cè)列表框內(nèi)自動(dòng)顯示當(dāng)前SQL Ser

9、ver服務(wù)器的角色，如圖2所示。（3）在企業(yè)管理器右邊的角色列表框中右鍵單擊要查看信息的服務(wù)器角色“processadmin”，在彈出的快捷菜單中選擇“屬性”命令，彈出“服務(wù)器角色屬性”對(duì)話框，如圖3所示。在這個(gè)對(duì)話框中，可以看到該角色的成員。（4）在“服務(wù)器角色屬性”對(duì)話框中單擊“添加”按鈕，在彈出的“添加成員”對(duì)話框中選擇登錄賬號(hào)“mrsoft”，即可向該角色中添加成員。如果想刪除用戶，只要選中該用戶，單擊“刪除”按鈕即可，如圖4所示。圖2服務(wù)器角色列表圖3 服務(wù)器角色屬性 圖4 向服務(wù)器角色添加用戶（5）最后單擊“確定”按鈕即可完成添加操作。管理數(shù)據(jù)庫角色數(shù)據(jù)庫角色是對(duì)數(shù)據(jù)庫對(duì)象操作的權(quán)

10、限的集合。在SQL Server中，數(shù)據(jù)庫角色可以新建，也可以使用已存在的數(shù)據(jù)庫角色。數(shù)據(jù)庫角色能為某一用戶或一組用戶授予不同級(jí)別的管理、訪問數(shù)據(jù)庫或數(shù)據(jù)庫對(duì)象的權(quán)限，這些權(quán)限是SQL Server數(shù)據(jù)庫專有的。啟動(dòng)企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。展開指定的數(shù)據(jù)庫“model”節(jié)點(diǎn)，單擊“角色”選項(xiàng)，右側(cè)列表框內(nèi)自動(dòng)顯示存在的數(shù)據(jù)庫角色，如圖1所示。圖1 數(shù)據(jù)庫角色數(shù)據(jù)庫角色角 色 描 述db_accessadmin可以增加或刪除Windows NT認(rèn)證模式下用戶或用戶組以及SQL Server用戶db_backupoperator可以備份數(shù)據(jù)庫db_datareader能且僅能對(duì)數(shù)據(jù)

11、庫中任何表執(zhí)行select操作，從而讀取所有表的信息db_datawriter能對(duì)數(shù)據(jù)庫中任何表執(zhí)行insert、delete、update操作，但不能進(jìn)行select操作db_ddladmin可以新建、刪除、修改數(shù)據(jù)庫中任何對(duì)象db_denydatareader不能對(duì)數(shù)據(jù)庫中任何表進(jìn)行select操作db_denydatawriter不能對(duì)數(shù)據(jù)庫中任何表進(jìn)行insert、delete、update操作db_owner數(shù)據(jù)庫的所有者，可以執(zhí)行任何數(shù)據(jù)庫管理工作，可以對(duì)數(shù)據(jù)庫內(nèi)的任何對(duì)象進(jìn)行任何操作db_securityadmin管理數(shù)據(jù)庫內(nèi)權(quán)限的grant、deny、revoke操作，即對(duì)語句

12、、對(duì)象、角色權(quán)限的管理public是一個(gè)特殊的角色，它包含所有數(shù)據(jù)庫用戶賬戶和角色所擁有的訪問權(quán)限，這種權(quán)限的繼承關(guān)系不能改變。管理員應(yīng)該特別注意給該角色賦權(quán)限在SQL Server中，數(shù)據(jù)庫角色分為兩種類型：一種是預(yù)定義數(shù)據(jù)庫角色，另一種是自定義數(shù)據(jù)庫角色。（1）預(yù)定義數(shù)據(jù)庫角色預(yù)定義數(shù)據(jù)庫角色是在SQL Server中已經(jīng)定義好的，具有管理、訪問數(shù)據(jù)庫權(quán)限的角色。有一點(diǎn)需要注意的是數(shù)據(jù)庫管理員不可以對(duì)預(yù)定義數(shù)據(jù)庫角色進(jìn)行任何權(quán)限修改，也不可以刪除這些角色。（2）自定義數(shù)據(jù)庫角色自定義數(shù)據(jù)庫角色可以使用戶在數(shù)據(jù)庫中實(shí)現(xiàn)某一種特定功能。其優(yōu)點(diǎn)主要體現(xiàn)在以下幾點(diǎn)：l  

13、60;       SQL Server數(shù)據(jù)庫角色可以包含多個(gè)用戶。l          在同一個(gè)數(shù)據(jù)庫中用戶可以有不同的自定義角色，這種角色的組合是自由的。l          角色可以進(jìn)行嵌套，從而在數(shù)據(jù)庫中實(shí)現(xiàn)不同級(jí)別的安全性。用戶自定義數(shù)據(jù)庫角色還可以分為兩種類型：標(biāo)準(zhǔn)角色和應(yīng)用角色。標(biāo)準(zhǔn)角色通過對(duì)用戶權(quán)限等級(jí)的認(rèn)定將用戶分為不同的用戶組，使用戶相對(duì)

14、于一個(gè)或多個(gè)角色，進(jìn)而實(shí)現(xiàn)管理的安全性。應(yīng)用角色使用戶只能通過特定的應(yīng)用程序間接地存取數(shù)據(jù)庫中的數(shù)據(jù)。二者的區(qū)別主要體現(xiàn)在以下幾點(diǎn)。l          應(yīng)用程序角色不包含成員。l          默認(rèn)情況下，應(yīng)用程序角色是非活動(dòng)的，需要用密碼激活。l          應(yīng)用程序角色不使用標(biāo)準(zhǔn)權(quán)限。SQL Server中還有一

15、個(gè)特殊的數(shù)據(jù)庫角色public，它存在于每一個(gè)數(shù)據(jù)庫中，包括系統(tǒng)數(shù)據(jù)庫，如master、msdb、model和用戶數(shù)據(jù)庫，數(shù)據(jù)庫的所有用戶都屬于public角色，并且不能從public角色中刪除。1創(chuàng)建數(shù)據(jù)庫角色下面以在數(shù)據(jù)庫“db-kcgl”中創(chuàng)建數(shù)據(jù)庫角色“kcgl”為例，介紹如何在企業(yè)管理器中創(chuàng)建數(shù)據(jù)庫角色。操作步驟如下：（1）啟動(dòng)企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2）展開“數(shù)據(jù)庫”選項(xiàng)，展開指定的數(shù)據(jù)庫“db-kcgl”節(jié)點(diǎn)，右鍵單擊“角色”選項(xiàng)，在彈出的快捷菜單中選擇“新建數(shù)據(jù)庫角色”命令，如圖2所示。（3）進(jìn)入如圖3所示的“數(shù)據(jù)庫角色屬性”對(duì)話框。在“名稱”文本框中輸入名稱

16、“kcgl”，選擇數(shù)據(jù)庫角色類型為“標(biāo)準(zhǔn)角色”，單擊“添加”按鈕選擇要添加的用戶。設(shè)置完成后單擊“確定”按鈕即可創(chuàng)建新的數(shù)據(jù)庫角色“kcgl”。 注意：列權(quán)限、用戶權(quán)限、角色權(quán)限發(fā)生沖突時(shí)，列權(quán)限優(yōu)先于用戶權(quán)限，用戶權(quán)限優(yōu)先于角色權(quán)限。2刪除數(shù)據(jù)庫角色下面使用企業(yè)管理器刪除數(shù)據(jù)庫角色。操作步驟如下： 圖2 建立數(shù)據(jù)庫角色 圖3 數(shù)據(jù)庫角色屬性（1）啟動(dòng)企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2）展開指定的數(shù)據(jù)庫“db-kcgl”結(jié)點(diǎn)，選中“角色”選項(xiàng)，企業(yè)管理器右邊的角色列表框中顯示相應(yīng)的角色，鼠標(biāo)右鍵單擊要?jiǎng)h除的角色“kcgl”，在彈出的快捷菜單中選擇“刪除”命令，SQL Server會(huì)出

17、現(xiàn)確認(rèn)刪除的對(duì)話框，選擇“確定”按鈕即可以刪除數(shù)據(jù)庫角色，如圖4所示。 圖4 刪除數(shù)據(jù)庫角色 注意：在SQL Server中不能刪除預(yù)定義的數(shù)據(jù)庫角色。下面使用T-SQL命令刪除數(shù)據(jù)庫角色。使用sp_droprole命令可以刪除數(shù)據(jù)庫角色。語法：Sp_sp_droprolerolename='role'參數(shù)說明：rolename：指自定義的數(shù)據(jù)庫角色。示例：本示例使用sp_droprole命令刪除數(shù)據(jù)庫“db-kcgl”中的數(shù)據(jù)庫角色“kcgl”。SQL語句如下：USE db-kcglGOEXEC sp_droprole'kcgl'GO 注意：如果該數(shù)據(jù)庫角色中

18、還有成員或仍擁有數(shù)據(jù)庫對(duì)象，則無法刪除該角色，必須首先刪除其中的成員或數(shù)據(jù)庫對(duì)象。查看登錄賬號(hào)啟動(dòng)企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器，展開“安全性”節(jié)點(diǎn)，單擊“登錄”選項(xiàng)，可看到系統(tǒng)創(chuàng)建的默認(rèn)登錄賬號(hào)及已建立的登錄賬號(hào)，如圖1所示。 圖1 查看服務(wù)器登錄賬號(hào)其中BUILTINAdministrators和sa是系統(tǒng)默認(rèn)創(chuàng)建的兩個(gè)登錄賬號(hào)。l          BUILTINAdministrators：凡是Windows NT Server/2000中的Administrators組的賬號(hào)都允許作為S

19、QL Server登錄賬號(hào)使用。l          sa：SQL Server系統(tǒng)管理員登錄賬號(hào)，該賬號(hào)擁有最高的管理權(quán)限，可以執(zhí)行服務(wù)器范圍內(nèi)的所有操作。通常SQL Server管理員也是Windows NT或Windows Server 2000的管理員。特殊數(shù)據(jù)庫用戶SQL Server的數(shù)據(jù)庫級(jí)別上也存在著兩個(gè)特殊的數(shù)據(jù)庫用戶：dbo和guest。它們具有特殊的權(quán)限和作用。1dbodbo是數(shù)據(jù)庫的最高權(quán)利擁有者，可以在數(shù)據(jù)庫范圍內(nèi)執(zhí)行一切操作。在安裝SQL Server時(shí)，被設(shè)置到model數(shù)據(jù)

20、庫中，它的用戶ID（uid）總是1，并且永遠(yuǎn)無法從數(shù)據(jù)庫中將其刪除。2guestguest是SQL Server數(shù)據(jù)庫中的一個(gè)特殊用戶，它可以使任何已經(jīng)登錄到SQL Server服務(wù)器的用戶都可以訪問數(shù)據(jù)庫。在系統(tǒng)數(shù)據(jù)庫中除model以外都有g(shù)uest用戶。而且master和tempdb系統(tǒng)數(shù)據(jù)庫中的guest用戶不能被刪除，其他數(shù)據(jù)庫中的guest用戶都可以被創(chuàng)建或刪除。但創(chuàng)建時(shí)必須使用sp_grantdbaccess命令建立guest用戶。示例：本示例使用sp_grantdbaccess命令為數(shù)據(jù)庫“db_kcgl”建立guest用戶。SQL語句如下：USE db_kcglEXEC sp_

21、grantdbaccess guestGO使用企業(yè)管理器管理權(quán)限1設(shè)置數(shù)據(jù)庫訪問權(quán)限下面以設(shè)置數(shù)據(jù)庫“kfgl”的訪問權(quán)限為例介紹如何通過企業(yè)管理器設(shè)置數(shù)據(jù)庫的訪問權(quán)限。操作步驟如下：（1）啟動(dòng)企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2）展開“數(shù)據(jù)庫”節(jié)點(diǎn)，鼠標(biāo)右鍵單擊數(shù)據(jù)庫“kfgl”，在彈出的快捷菜單中選擇“屬性”命令，打開數(shù)據(jù)庫屬性對(duì)話框，如圖1所示。圖1 選擇“屬性”命令（3）在彈出的數(shù)據(jù)庫屬性對(duì)話框中單擊“權(quán)限”選項(xiàng)卡，如圖2所示，選擇數(shù)據(jù)庫用戶“mrsoft”的“創(chuàng)建表”和“創(chuàng)建視圖”復(fù)選框，即允許創(chuàng)建表及視圖。（4）單擊“確定”按鈕完成權(quán)限的設(shè)置。圖2 數(shù)據(jù)庫屬性2設(shè)置數(shù)據(jù)庫對(duì)象的訪問權(quán)限用戶在具有了訪問數(shù)據(jù)庫的權(quán)限之后，就可以授予其訪問數(shù)據(jù)庫對(duì)象的權(quán)限了。下面設(shè)置允許數(shù)據(jù)庫用戶“mrsoft”對(duì)數(shù)據(jù)庫“kfgl”中的員工信息表“ygxx”中的數(shù)據(jù)進(jìn)行查詢、插入、修改和刪除操作。操作步驟如下：（1）啟動(dòng)企業(yè)管理器，展開服務(wù)器組及指定的服務(wù)器。（2）展開指定的數(shù)據(jù)庫“kfgl”節(jié)點(diǎn)，單擊“表”選項(xiàng)，在右側(cè)的列表中右鍵單擊表“ygxx”選項(xiàng)，在彈出的快捷菜單中選擇“