数据库基础第10章SQLServer的安全管理.pptx

第10章SQLServer的

安全管理

本章学习目标l理解身份验证模式、安全账户管理、角色管理、权限管理的基本概念l熟练使用和管理用户账号、角色并授予相应权限

1身份验证模式

SQLServer2000的安全机制是基于用户、角色、对象和权限的基础上建立的。系统可以将用户加入角色，也可以为它们指定对象权限。每个对象都有所有者，所有权也影响到权限。数据库对象（表、索引、视图、触发器、函数或存储过程）的用户称为数据库对象的所有者。创建数据库对象的权限必须由数据库所有者或系统管理员授予。但是，在授予数据库对象这些权限后，数据库对象所有者就可以创建对象并授予其他用户使用该对象的权限。

SQLServer2000安全系统的构架建立在用户和用户组的基础上，也就是说Windows的用户和用户组可以映射到SQLServer2000中的安全账户，而SQLServer2000也可以独自建立安全账户。对于安全账户SQLServer2000可以对其分配权限，也可以将其加入到角色中，从而获得相应的权限。如图10-1所示。1在SQLServer2000工作时，用户要经过两个安全性阶段：2身份验证。如果身份验证成功，用户可连接到SQLServer实例。3授权（权限验证）。授权阶段又分为验证用户连接到SQLServer实例的权限和访问服务器上数据库的权限。为此，需授予每个数据库中映射到用户登录的账号访问权限。权限验证阶段则控制用户在SQLServer数据库中所允许进行的活动。4

SQLServer指定登录用户和角色数据库用户数据库角色Windows2000组用户SQLServer登录账户SQLServer

验证信任联结SQLServer验证用户名和口令SQLServerWindows2000或图10-1SQLServer2000的安全架构

10.1.1SQLServer的身份验证模式

在SQLServer2000中，必须以合法的登录身份注册本地或远程服务器后，才能与服务器建立连接并获得对SQLServer的访问权。系统提供了2种登录身份验证模式：

1．Windows身份验证模式（Windows身份验证）

Windows身份验证模式使用户得以通过WindowsNT或Windows2000用户账号进行登录连接，并获得对SQLServer的访问权限。

2．混合模式（Windows身份验证和SQLServer2000身份验证）

混合模式使用户得以使用Windows身份验证或SQLServer2000身份验证的用户账号进行登录连接。

在Windows身份验证模式或混合模式下，通过Windows用户账号连接的用户可以使用信任连接。

1.2身份验证模式的选择

选择身份验证模式，可按以下步骤操作：

在企业管理器中展开【SQLServer组】，选择目前连接的服务器。

单击【菜单】中的【属性】命令，打开【SQLServer属性】对话框，选择【安全性】标签，即可打开如图10-2所示的对话框。

可在【安全性】选项组中设置身份验证模式。如图10-2所示。

图10-2设置身份验证模式对话框

10.2安全账户管理

10.2.1创建安全账户

在SQLServer2000中，可以使用两种方法添加登录账号：使用企业管理器添加登录账号；使用系统存储过程添加登录账号。

1．系统安装时建立的账号

（1）sa

系统管理员（sa）是为向后兼容而提供的特殊登录账号，拥有最高管理权限，可以执行服务器范围内的所有操作。默认情况下，它指派给固定服务器角色sysadmin，并不能进行更改。虽然是内置了管理员登录账号，但不应例行公事地使用它。相反，应使其他的系统管理员账号都成为sysadmin固定服务器角色的成员，并让他们使用自己的登录名登录。只有当没有其它方法登录到SQLServer实例（例如：当其它系统管理员不可用或忘记了密码）时才使用sa。

（2）Builtin\administrators

本地管理员组，默认加入sysadmin角色中，因此具有管理员权限。

2．使用企业管理器添加登录账号

具体操作步骤如下：

在企业管理器中展开服务器组，然后展开服务器。

②展开【安全性】，右击【登录】，然后单击【新建登录】命令，系统打开如图10-3所示【SQLServer登录属性-新建登录】对话框。图10-3【SQLServer登录属性-新建登录】对话框①

③在【身份验证】下，单击【Windows身份验证】,在【名称】框中，输入要被授权访问MicrosoftSQLServerTM的MicrosoftWindowsNT4.0或Wi