第10章 SQL Server 2005的安全管理

SQL Server 2005篇(徐守祥)邮电

第10章 SQL Server 2005的安全管理10.1

SQL Server 2005的安全特性

10.2

SQL Server 2005的安全模型

10.3

服务器的安全性

10.4

数据库的安全性

SQL Server 2005篇(徐守祥)邮电

10.5

数据库用户角色

10.6

架构管理

10.7

权限管理

SQL Server 2005篇(徐守祥)邮电

通过本章的学习，读者应该掌握以下 内容。 SQL Server 2005的安全特性以及安全模 型 使用SQL Server 2005的安全管理工具构 造灵活、安全的管理机制

SQL Server 2005篇(徐守祥)邮电

10.1 SQL Server 2005的安全特性SQL Server 2005在数据库平台的安全 模块方面做了重要的增强，在加强数据安 全性方面提供了更多精确、灵活的控制方 法。

SQL Server 2005篇(徐守祥)邮电

新增的安全特性主要有：

(1)默认关闭。 (2)细化的权限控制。 (3)用户和Schema(架构)分开。 (4)数据加密。 (5)本地加密。 (6)认证。

SQL Server 2005篇(徐守祥)邮电

10.2 SQL Server 2005的安全模型SQL Server 2005的安全模型分为3层 结构，分别为服务器安全管理、数据库安 全管理和数据库对象的访问权限管理。

SQL Server 2005篇(徐守祥)邮电

10.2.1 SQL Server 2005访问控制与SQL Server 2005安全模型的3层结 构相对应，SQL Server 2005的数据访问要 经过3关的访问控制。

SQL Server 2005篇(徐守祥)邮电

(1)第1关，用户必须登录到SQL Server 2005的服务器实例。 (2)第2关，在要访问的数据库中，用户 的登录名要有对应的用户帐号。 (3)第3关，数据库用户帐号要具有访问 相应数据对象的权限。

SQL Server 2005篇(徐守祥)邮电

10.2.2 SQL Server 2005身份验证模式SQL Server 2005有两种安全验证机制： Windows验证机制和SQL Server验证机制。 由这两种验证机制产生了两种身份验 证模式：仅Windows身份验证模式和混合 验证模式。

SQL Server 2005篇(徐守祥)邮电

图10-1

选择身份验证模式

SQL Server 2005篇(徐守祥)邮电

10.3 服务器的安全性

10.3.1 创建或修改登录帐户1.在SQL Server Management Studio下创建使用Windows身份验 证的登录帐户

SQL Server 2005篇(徐守祥)邮电

图10-2

选择Windows XP用户添加到SQL Server 登录中

SQL Server 2005篇(徐守祥)邮电

2.在SQL Server Management Studio下创建 使用SQL Server身份验证的登录帐户 SQL Server身份验证的登录帐户，是 由SQL Server 2005自身负责身份验证的， 不要求有对应的系统帐户，这也是许多大 型数据库所采用的方式，程序员通常更喜 欢采用这种方式。 通过登录名“登录属性”对话框，修 改两种登录帐户属性的方法基本一样。

SQL Server 2005篇(徐守祥)邮电

3.使用SQL语句创建两种登录帐户在查询设计器下，可以使用系统存储 过程sp_addlogin创建使用SQL Server身份 验证登录帐户。sp_addlogin的基本语法格 式如下。 EXECUTE sp_addlogin '登录名', '登录密 码', '默认数据库', '默认语言'

SQL Server 2005篇(徐守祥)邮电

使用系统存储过程sp_grantlogin将一 个Windows 操作系统客户映射为一个使用 Windows身份验证的SQL Server登录帐户。 sp_grantlogin的基本语法格式如下。 EXECUTE sp_grantlogin '登录名'

SQL Server 2005篇(徐守祥)邮电

10.3.2 禁止或删除登录帐户如果要暂时禁止一个使用SQL Server 身份验证的登录帐户，管理员只需

要修改 该帐户的登录密码就可以了。 如果要暂时禁止一个使用Windows身 份验证的登录帐户，则要使用SQL Server Management Studio或执行SQL语句来实现。 要删除任何一种登录帐户，都需要执 行相应的命令。

SQL Server 2005篇(徐守祥)邮电

1.使用SQL Server Management Studio禁 止Windows身份验证的登录帐户

图10-3

登录属性设置

SQL Server 2005篇(徐守祥)邮电

2 . 使 用 SQL Server Management Studio删除登录帐户 3.使用SQL语句禁止Windows身份 验证的登录帐户

SQL Server 2005篇(徐守祥)邮电

10.3.3 服务器角色固定的服务器角色是在服务器安全模 式中定义的管理员组，它们的管理工作与 数据库无关。 SQL Server 2005在安装后给定了几个 固定服务器角色，具有固定的权限，可以 在这些角色中添加登录帐户以获得相应的 管理权限。