《SQL Server数据库应用开发技术》课件第十一章

第11章数据库安全管理知识技能目标：1．理解SQLServer2005安全机制和身份验证模式2．掌握服务器登录帐号的创建和删除3．掌握数据库用户的创建和删除4．理解角色概念，掌握服务器角色和数据库角色的管理5．掌握权限的授予、拒绝和废除

1引导案例：教务管理数据库建立起来后，可供学生、教师和教务人员等不同用户来访问。现在的重要问题是，如何保证只有合法的学生、教师和教务人员才能访问教务管理数据库，并且不同的用户只能进行自己权限范围内的访问操作，比如学生只能查看成绩，不能修改成绩等。这就需要进行数据库安全管理，以保证数据库中数据的|安全。本章介绍实现数据安全保证的技术。第11章数据库安全管理

2第11章数据库安全管理11.1SQLServer2005的安全机制11.2SQLServer2005的身份验证模式11.3服务器登录管理11.4数据库用户管理11.5角色管理11.6权限管理小结

311.1SQLServer2005的安全机制数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄漏、更改或破坏。系统安全保护措施是否有效是数据库系统的主要指标之一。SQLServer2005按照访问的范围把访问实体化分为三大类的安全对象：服务器级数据库级模式级S|QLServer2005的安全是建立在权限和认证两种机制之上。每个用户在访问SQLServer数据库时，都必须经过两个安全验证阶段：第一阶段：身份验证第二阶段：权限验证。返回目录

411.2SQLServer2005的身份验证模式11.2.1验证模式安全身份验证用来确认登录SQLServer的用户的登录帐号和密码的正确性，由此来验证该用户是否具有连接SQLServer的权限。任何用户在使用SQLServer数据库之前，必须经过系统的安全身份验证。SQLServer2005的身份验证模式有两种：（1）Windows验证模式使用W|indows身份验证模式是默认的身份验证模式，在Windows验证模式下，用户只需要通过Windows的验证，就可以连接到SQLServer，而SQLServer本身也不需要管理这些登录数据，但需要在indows服务器中为使用者创建用户。返回目录

511.2SQLServer2005的身份验证模式11.2.1验证模式（2）混合验证模式使用混合模式时，无论是使用Windows身份验证方式的用户，还是使用SQLServer身份验证方式的用户，都可以连接到SQLServer系统上。使用混合验证模式中的SQLServer身份验证方式时|，系统管理员创建一个登录账户和口令，并将它们存储在SQLServer中，当用户连接到SQLServer上时，必须提供SQLServer登录账户和口令。返回目录

611.2SQLServer2005的身份验证模式11.2.2设置验证模式利用SQLServerManagementStudio可以进行认证模式的设置，步骤如下：（1）打开SQLServerManagementStudio，右击要设置验证模式的服务器，从弹出的快捷菜单中选择“属性”选项，则出现服务器属性对话框。（2）在服务器属性对话框中选择“安全性”选项页。（3）在“服|务器身份验证”选项栏中，可以选择要设置的验证模式，同时在“登录审核”中还可以选择跟踪记录用户登录时的哪种信息，例如登录成功或登录失败的信息等。返回目录

711.2SQLServer2005的身份验证模式11.2.2设置验证模式（4）在“服务器代理帐户”选项栏中设置当启动并运行SQLServer时，默认的登录者是哪一位用户。（5）单击“确定”按钮完成验证模式的设置返回目录

811.3服务器登录管理11.3.1系统管理员登录账户SQLServer有两个默认的系统管理员登录帐户：saBUILTINAdministrators这两个|登录帐户具有SQLServer系统和所有数据库的全部权限。sa是一个特殊的登录名，它代表混合验证机制下SQLServer的系统管理员，sa始终关联数据库用户dbo。BUILTINAdministrators是NT系统的系统管理员组。返回目录

911.3服务器登录管理11.3.1系统管理员登录账户系统管理员具有如下管理功能：创建登录账户；配置服务器；创建、删除数据库；无须考虑所有权和权限，可以操作各种数据库对象；停止、启动服务器；停止在服务器上运行的无效过程；某些权限只能被系统管理员拥有并且不能被授予其他用户；这些功能是管理存|储空间，管理用户进程及改变数据库选项。返回目录

1011.3服务器登录管理11.3.2Windows组或用户登录管理１．将Windows组或用户映射成SQLServer的登录帐户命令格式：sp_grantlogin<域名用户名>|<域名组名>说明：<域名用户名>：为WindowsNT用户创建一个登录账户。<域名组名>：为指定的组建立一个登录账户。该组中每个成员都能连接到SQLServer上。【例11.1】将WindowsXP中的本地组users映射成SQLServer的登录帐户。返回目录

1111.3服务器登录管理11.3|.2Windows组或用户登录管理2．禁止指定的WindowsNT用户或组连接SQLServer服务器命令格式：sp_denylogin<域名用户名>|<域名组名>【例11.2】禁止本地计算机中用户组Users中的用户登录权限。返回目录

1211.3服务器登录管理11.3.2Windows组或用户登录管理3.撤销WindowsNT用户或组和SQLServer帐户的映射命令格式：sp_revokelogin<域名用户名>|<域名组名>说明：撤销WindowsNT用户或组与SQLServer账户的映射，不会删除Windows|NT组或用户。【例11.3】撤销本地计算机中用户组Users与SQLServer账户的映射。返回目录

1311.3服务器登录管理11.3.3创建登录账户1．使用SQLServerManagementStudio创建