第10章 SQL Server的安全管理.ppt

第10章 SQL Server的安全管理
本章学习目标
l 理解身份验证模式、安全账户管理、角色管理、权限管理的基本概念
l 熟练使用和管理用户账号、角色并授予相应权限
身份验证模式 SQL Server 2000的安全机制是基于用户、角色、对象和权限的基础上建立的。系统可以将用户加入角色,也可以为它们指定对象权限。每个对象都有所有者,所有权也影响到权限。数据库对象(表、索引、视图、触发器、函数或存储过程)的用户称为数据库对象的所有者。创建数据库对象的权限必须由数据库所有者或系统管理员授予。但是,在授予数据库对象这些权限后,数据库对象所有者就可以创建对象并授予其他用户使用该对象的权限。
SQL Server 2000安全系统的构架建立在用户和用户组的基础上,也就是说Windows的用户和用户组可以映射到SQL Server 2000中的安全账户,而SQL Server 2000也可以独自建立安全账户。对于安全账户SQL Server 2000可以对其分配权限,也可以将其加入到角色中,从而获得相应的权限。如图10-1所示。 在SQL Server 2000工作时,用户要经过两个安全性阶段: 第一阶段:身份验证。如果身份验证成功,用户可连接到SQL Server实例。 第二阶段:授权(权限验证)。授权阶段又分为验证用户连接到SQL Server实例的权限和访问服务器上数据库的权限。为此,需授予每个数据库中映射到用户登录的账号访问权限。权限验证阶段则控制用户在SQL Server数据库中所允许进行的活动。
SQL Server 指定登录
用户和角色
数据库用户
数据库角色
Windows 2000
组用户
SQL Server
登录账户
SQLServer 验证信任联结
SQL Server
验证用户名和口令
SQL
Server
Windows
2000
或
图10-1 SQL Server 2000的安全架构
SQL Server的身份验证模式 在SQL Server2000中,必须以合法的登录身份注册本地或远程服务器后,才能与服务器建立连接并获得对SQL Server的访问权。系统提供了2种登录身份验证模式:(Windows身份验证) Windows身份验证模式使用户得以通过WindowsNT或Windows2000用户账号进行登录连接,并获得对SQL Server的访问权限。(Windows身份验证和SQL Server2000身份验证) 混合模式使用户得以使用Windows身份验证或SQL Server 2000身份验证的用户账号进行登录连接。 在Windows身份验证模式或混合模式下,通过Windows用户账号连接的用户可以使用信任连接。
身份验证模式的选择选择身份验证模式,可按以下步骤操作:①在企业管理器中展开【SQL Server组】,选择目前连接的服务器。②单击【菜单】中的【属性】命令,打开【SQL Server属性】对话框,选择【安全性】标签,即可打开如图10-2所示的对话框。③可在【安全性】选项组中设置身份验证模式。如图10-2所示。
图10-2 设置身份验证模式对话框
安全账户管理 创建安全账户在SQL Server 2000中,可以使用两种方法添加登录账号:使用企业管理器添加登录账号;使用系统存储过程添加登录账号。(1)sa系统管理员(sa)是为向后兼容而提供的特殊登录账号,拥有最高管理权限,可以执行服务器范围内的所有操作。默认情况下,它指派给固定服务器角色sysadmin,并不能进行更改。虽然是内置了管理员登录账号,但不应例行公事地使用它。相反,应使其他的系统管理员账号都成为sysadmin固定服务器角色的成员,并让他们使用自己的登录名登录。只有当没有其它方法登录到SQL Server实例(例如:当其它系统管理员不可用或忘记了密码)时才使用sa。(2)Builtin\administrators本地管理员组,默认加入sysadmin角色中,因此具有管理员权限。
具体操作步骤如下: 在企业管理器中展开服务器组,然后展开服务器。②展开【安全性】,右击【登录】,然后单击【新建登录】命令,系统打开如图10-3所示【SQL Server登录属性-新建登录】对话框。
图10-3【SQL Server登录属性-新建登录】对话框
①