数据库权限.pptx

数据库权限
利用CREATE LOGIN创建SQL Server登录账号。
创建带密码的 PassUser 登录名。DEFAULT_DATABASE指定将指派给登录的默认数据库。
CREATE LOGIN PassUser
WITH PASSWORD = 'PassWord123456',
DEFAULT_DATABASE=StudentCourse ;

SQL Server登录账号的取消。
同样可以通过ALTER LOGIN来启用或禁用SQL Server登录账号,也可以通过DROP LOGIN来删除SQL Server登录账号。
ALTER LOGIN PassUser DISABLE --禁用登录名PassUser
ALTER LOGIN PassUser ENABLE --启用登录名PassUser
DROP LOGIN PassUser --删除登录名PassUser
登录身份管理
当前大型的DBMS一般都支持自主存取控制(DAC),有些DBMS同时还支持强制存取控制(MAC)。
这两类方法的简单定义是:
(1)在自主存取控制方法中,用户对于不同的数据对象有不同的存取权限,不同的用户对同一对象也有不同的权限,而且用户还可以将其拥有的存取权限转授给其他用户。因此自主存取控制非常灵活。
(2)在强制存取控制方法中,每一个数据对象被标以一定的密级,每一个用户也被授予某一个级别的许可证。对于任意一个对象,只有具有合法许可证的用户才可以存取。强制存取控制因此相对比较严格。
存取控制
数据库角色是为某一用户或某一组用户授予不同级别的管理或访问数据库以及数据库对象的权限,这些权限是数据库专有的,并且还可以使一个用户具有属于同一数据库的多个角色。
SQL Server提供了两种类型的数据库角色:
(1)固定的数据库角色;
(2)用户自定义的数据库角色。
数据库角色
固定服务器角色
表8-1 SQL Server 固定服务器角色
角色管理
角色名称
权限说明
bulkadmin
可执行BULKINSERT语句,但是这些成员对要插入数据的表必须有INSERT权限。
dbcreator
可以创建、更改、删除和还原任何数据库。
diskadmin
用于管理磁盘文件。
processadmin
可以终止 SQL Server 实例中运行的进程。
securityadmin
管理登录名及其属性。它们可以 GRANT、DENY 和 REVOKE 服务器级权限。也可以 GRANT、DENY 和 REVOKE 数据库级权限。另外,它们可以重置 SQL Server 登录名的密码。
serveradmin
可以更改服务器范围的配置选项和关闭服务器。
setupadmin
可以添加和删除链接服务器,并且也可以执行某些系统存储过程。
sysadmin
可以在服务器中执行任何活动。默认情况下,Windows BUILTIN\Administrators 组(本地管理员组)的所有成员都是 sysadmin 固定服务器角色的成员。
create role:用来创建一个新的数据库角色,create role语法形式如下:
create role <角色名>
drop role:用于从当前数据库角色中删除一个数据
库角色,Drop role的语法形式如下:
drop role <角色名>
为角色授权, grant语法形式如下:
GRANT <权限>[,<权限>]…
ON <对象类型>对象名
TO <角色>[,<角色>]…
收回角色权限,revoke语法形式如下:
REVOKE <权限>[,<权限>]…
ON <对象类型> <对象名>
FROM <角色>[,<角色>]…
创建并管理角色Role1,并管理角色Role1中的成员。
建立用户定义数据库角色Role1。
CREATE ROLE Role1
向Role1中添加用户成员admin和user。
EXEC sp_addrolemember 'Role1','admin'
EXEC sp_addrolemember ‘Role1','user'
从用户定义数据库角色Role1中删除的成员admin和user。
EXEC sp_droprolemember 'Role1','admin'
EXEC sp_droprolemember 'Role1','user'
删除上例中用户定义数据库角色Role1
DROP ROLE Role1
进行存取权限控制时可以为不同的用户定义不同的视图,把数据对象限制在一定的范围内,也就是说,通过视图机制把要保密的数据对无权存取的用户隐藏起来,从而自动地对数据提供一定程序的安全保护。