《数据库的安全性..ppt》由会员分享,可在线阅读,更多相关《数据库的安全性..ppt(106页珍藏版)》请在课桌文档上搜索。
1、1,第9章 数据库的安全性,2,问题的提出,数据库的一大特点是数据可以共享数据共享必然带来数据库的安全性问题数据库系统中的数据共享不能是无条件的共享例:军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据,3,一、计算机安全性机制,数据安全性是指保护数据库以防止非法使用造成的数据泄露、更改或破坏。安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,且为许多最终用户直接共享,因而其安全性问题尤为突出。,4,计算机系统中,安全措施是一级一级层层设置,计算机系统的安全模型,5,在安全模型中,用户标识与
2、鉴定是系统提供的最外层安全保护措施。只有在DBMS成功注册了的人员才是该数据库的用户,才可以访问数据库。用户标识与鉴定解决了检查用户是否合法的问题,但是合法用户的存取权限不尽相同。数据安全性的核心问题是DBMS的存取控制机制,确保进入系统的用户只能进行合法的操作。,6,数据库中的用户按其操作权限可分为三类:,数据库系统管理员:在数据库中具有全部的权限,当用户以系统管理员身份登录进行操作时,系统不对其权限进行检查。数据库对象拥有者:创建数据库对象的用户即为数据库对象的拥有者。数据库对象拥有者对其所拥有的对象具有一切权限。普通用户:只具有授予用户的对数据库中数据的增加、删除、更改和查询的权限。操作
3、系统一级也有自己的保护措施。数据最后还可以以加密的形式存储到数据库中。,7,二、SQL Server 2005的安全策略,SQL Server 2005提供的安全策略可以划分为以下4个等级:客户机操作系统的安全性SQL Server的登录安全性数据库的安全性数据库对象的安全性,8,SQL Server认证模式,如果用户要访问SQL Server时,需要经过两个认证过程:一是身份验证,只验证用户是否有连接到SQL Server数据库服务器的资格;二是权限验证,检验用户是否有对指定数据库的访问权,并且当用户操作数据库中的数据或对象时验证用户是否有相应的操作权限。,9,两种验证模式:,在验证阶段,系
4、统对登录用户进行验证。SQL Server和Windows是结合在一起的,因此,产生了两种验证模式:Windows身份验证模式和混合验证模式。,10,Windows身份验证模式,在Windows身份验证模式下,用户必须首先登录到Windows中,然后再登录到SQL Server。而且用户登录到SQL Server时,只需选择Windows身份验证模式,而无需再提供登录帐号和密码,系统会从用户登录到Windows时提供的用户名和密码中查找当前用户的登录信息,以判断该用户是否是SQL Server的合法用户。,11,注意:,如果用户在登录SQL Server时未给出用户登录名,则SQL Serve
5、r将使用Windows验证模式。如果SQL Server被设置为Windows验证模式,则用户在登录时即使输入一个具体的登录名时,SQL Server也将忽略该登录名。,12,混合验证模式。,混合验证模式表示SQL Server接受Windows授权用户和SQL Server授权用户。在该认证模式下,用户在连接SQL Server时必须提供登录名和密码,然后系统确定用户帐号在Winwods操作系统下是否可信,对于可信连接用户,系统直接采用Windows身份验证机制,否则采用SQL Server验证机制。SQL Server验证机制是系统自己执行验证处理,它通过与系统表syslogins中信息比
6、较,检查输入的登录帐号是否已存在且密码是否正确。如果匹配,则表明登录成功,否则身份验证失败,用户将收到错误信息。,13,注意,Windows操作系统的用户既可以使用Windows认证,也可以使用SQL Server验证。若不是Windows操作系统的用户只能使用SQL Server验证。,14,验证模式的设置,步骤1:打开“SQL Server Management Studio”集成环境,在“对象资源管理器”窗口中用鼠标右击服务器,在弹出的快捷菜单中选择【属性】选项,打开【服务器属性】对话框;步骤2:在【服务器属性】对话框中,选择【安全性】选项。,15,16,三、登录帐号和用户帐号的管理,登
7、录服务器的登录帐号,也称登录名;操作数据库的用户帐号。登录帐号是指能登录到SQL Server服务器的帐号,属于服务器的层面,本身并不能让用户访问服务器中的数据库。如果登录服务器的用户要访问数据库时必须拥有用户帐号。,17,在安装SQL Server后,系统默认创建两个登录帐号,即sa帐号和服务器帐号。其中sa是超级管理员帐号,允许SQL Server的系统管理员登录。尽管如此,在实际的使用过程中还需要用户根据应用需要对登录帐户进行必要的管理。,18,1、创建登录帐号,(1)利用“对象资源管理器”创建登录帐号(2)利用T-SQL语句创建登录帐号,19,(1)利用“对象资源管理器”创建登录帐号,
8、在“对象资源管理器”中,逐级展开“服务器”【安全性】【登录名】,右击【登录名】选择新建登录名,20,例1,,利用“对象资源管理器”创建登录帐号tch_admin,密码为myteacher,默认数据库为teachingData步骤1:启动“Microsoft SQL Server Management Studio”集成环境,在“对象资源管理器”中,逐级展开“服务器”【安全性】【登录名】选项;步骤2:右击【登录】选项,在弹出的快捷菜单中选择【新建登录名】选项,打开【登录名新建】对话框。,21,22,步骤3:在【登录名】右侧的文本框中输入要创建的登录帐号(如stu_admin),若选择“Windo
9、ws身份验证”,可以通过单击右侧的【搜索】按钮来查找并添加Windows操作系统中的用户名称;若选择“SQL Server身份验证”,则需在【密码】和【确认密码】文本框中输入登录时采用的密码。步骤4:在【默认数据库】下拉列表中选择该登录帐号对应的默认使用的数据库,选择“TeachingData”;在【默认语言】下拉列表中选择登录后使用的默认语言,一般采用默认值。然后,单击【确定】按钮即可新建一个登录帐号。,23,(2)利用T-SQL语句创建登录帐号,CREATE LOGIN login_name WITH,|FROM,24,参数说明,login_name:指定创建的登录帐号。如果从Window
10、s域帐户映射login_name,则 login_name 必须用方括号 括起来。password:仅适用于SQL Server登录帐号,指定正在创建的登录帐号的密码。sid:仅适用于 SQL Server 登录帐号。指定新 SQL Server 登录帐号的 GUID。如果未选择此选项,则 SQL Server 将自动指派 GUID。database:指定将指派给登录帐号的默认数据库,若此项缺省,默认数据库将设置为 master。language:指定将指派给登录帐号的默认语言。若此选项缺省,则默认语言将设置为服务器的当前默认语言。WINDOWS:指定将登录帐号映射到 Windows 登录名。
11、,25,例2,,在SQL Server服务器上,创建stu_admin登录帐号,密码为123的,默认数据库为teachingData。CREATE LOGIN stu_admin WITH PASSWORD=123,DEFAULT_DATABASE=TeachingData,26,注意,虽然SQL Server 2005也提供了系统存储过程sp_grantlogin和sp_addlogin创建登录帐号,但由于后续的 SQL Server版本将取消此项功能。因此,应避免在新的开发工作中使用该功能。,27,2、创建数据库的用户帐号,(1)利用“对象资源管理器”创建用户帐号(2)利用T-SQL语句创
12、建数据库的用户帐号,28,(1)利用“对象资源管理器”创建用户帐号,在“对象资源管理器”窗口逐级展开“服务器”【数据库】“TeachingData”【安全性】【用户】,右击【用户】选择“新建用户”命令。,29,例3,,在“TeachingData”数据库中,创建一个stu_admin登录帐号下的“U1”用户,具体操作步骤为:步骤1:启动“Microsoft SQL Server Management Studio”管理器,在“对象资源管理器”窗口逐级展开“服务器”【数据库】“TeachingData”【安全性】【用户】。步骤2:在【用户】项右击鼠标,在弹出的快捷菜单中选择【新建用户】选项,打开
13、【数据库用户】对话框,,30,步骤3:在【用户名】右侧文本框中输入新建的用户名U1;在【登录名】文本框中直接输入已存在的登录帐号stu_admin,或单击【登录名】文本框右侧的【】按钮,选择登录帐号stu_admin。步骤5:单击【确定】按钮即可完成用户帐号的创建。,31,32,(2)利用T-SQL语句创建数据库的用户帐号,向当前数据库添加新的用户帐号,也可使用CREATE USER语句来实现。其语法格式为:CREATE USER user_name FOR|FROM LOGIN login_name|WITHOUT LOGIN,33,参数说明,user_name:指定在此数据库中用于识别该用
14、户的名称。login_name:指定要创建数据库用户帐号的 SQL Server 登录帐号。login_name 必须是服务器中有效的登录帐号。WITHOUT LOGIN:指定不应将用户映射到现有登录帐号。,34,例4,,在TeachingData数据库中为登录帐号tch_admin创建用户帐号,并取名为U2。USE TeachingData;CREATE USER U2 FOR LOGIN tch_admin,35,注意:,(1)如果省略 FOR LOGIN,则新的数据库用户将被映射到同名的 SQL Server 登录名。(2)不能使用 CREATE USER 创建 guest 用户,因为每
15、个数据库中均已存在 guest 用户。可以通过授予guest 用户 CONNECT 权限来启用该用户。,36,3、管理登录帐号和用户帐号,利用“对象资源管理器”管理利用T-SQL语句管理,37,(1)利用“对象资源管理器”管理登录帐户,查看:启动“Microsoft SQL Server Management Studio”管理器,在“对象资源管理器”窗口逐级展开“服务器”【安全性】【登录名】。修改属性:在对象资源管理器中右击需要修改帐号属性的登录名。删除:右击登录名,选择【删除】命令。,38,(2)利用“对象资源管理器”查看和删除用户帐号,查看:启动“Microsoft SQL Server
16、 Management Studio”管理器,在“对象资源管理器”窗口逐级展开“服务器”【数据库】【用户数据库】(如TeachingData)【安全性】【用户】。即可看到当前数据库的所有用户帐号。步骤2:右击欲删除的用户名,在弹出的快捷菜单中选择【删除】选项,在打开的【删除对象】对话框中单击【确定】按钮即可。,39,(3)利用T-SQL语句管理,利用T-SQL语句查看服务器的登录帐号使用sp_helplogins系统存储过程可以查看指定的登录帐号信息和相关用户帐号的信息。其语法格式为:sp_helplogins login_name参数说明:login_name:指定要查看的登录名。login
17、_name的数据类型为 sysname,默认值为 NULL。如果指定该参数,则 login_name必须存在。如果未指定 login,则返回当前数据库的所有登录帐号的信息。,40,说明:,在该语句的结果集中将返回两个报告,第一个报告包含指定的登录帐号信息,第二个报告包含与登录帐号相关联的用户帐号信息。,41,利用T-SQL语句修改服务器的登录帐号,格式:ALTER LOGIN login_name ENABLE|DISABLE|WITH,.,42,参数说明,login_name:指定正在更改的 SQL Server 登录帐号。ENABLE|DISABLE:启用或禁用此登录帐号。password
18、:指定正在更改的登录帐号的密码,仅适用于SQL Server登录帐号。oldpassword:要指派新密码的登录帐号的当前密码,仅适用于SQL Server登录帐号。database:指定将指派给登录帐号的默认数据库。language:指定将指派给登录帐号的默认语言。login_name:正在重命名的登录帐号的新名称。SQL Server 登录的新名称不能包含反斜杠字符()。,43,例5,禁用stu_admin登录帐号。ALTER LOGIN stu_admin DISABLE,44,例6,启用stu_admin登录帐号,并将帐号的登录密码更改为111222。ALTER LOGIN stu_a
19、dmin ENABLE;ALTER LOGIN stu_admin WITH PASSWORD=111222,45,例7,将stu_admin登录帐号称更改为user1。ALTER LOGIN stu_admin WITH NAME=user1,46,利用T-SQL语句删除服务器的登录帐号,语法格式:DROP LOGIN login_name其中,login_name 是指定要删除的登录帐号。,47,例8,,将user1登录帐号删除。DROP LOGIN user1注意:不能删除正在使用的登录名,也不能删除拥有任何安全对象、服务器级别对象或 SQL 代理作业的登录名。,48,利用T-SQL语句
20、查看数据库的用户帐号,使用sp_helpuser系统存储过程可以查看有关当前数据库中的用户帐号信息。其语法格式为:sp_helpuser security_account 参数说明:security_account:当前数据库中数据库用户帐号或数据库角色的名称。security_account 必须存在于当前数据库中。security_account 的数据类型为 sysname,默认值为 NULL。如果未指定 security_account,则 sp_helpuser返回当前数据库主体的信息。,49,利用T-SQL语句修改数据库的用户帐号,语法格式:ALTER USER user_name
21、 WITH,.n 参数说明:user_name:指定在此数据库中用于识别该用户的名称。new_user_name:指定此用户的新名称,且不存在于在当前数据库。schema_name:指定服务器在解析此用户的对象名称时将搜索的第一个架构。,50,例9,,将数据库登录用户U1的名称更改为user_stu。ALTER USER U1 WITH NAME=user_stu,51,利用T-SQL语句删除数据库的用户帐号,语法格式:DROP USER user_name,52,比较登录帐户管理,53,四、权限管理,当用户成为指定数据库中的合法用户之后,除了具有一些系统表的查询权之外,对数据库中的数据和对象
22、并不具有任何操作权限,因此,接下来就需要为数据库中的用户帐号授予数据库数据及对象的操作权限。,54,(一)SQL Server权限分类,对象权限语句权限,55,1、对象权限,对象权限是针对表、视图和存储过程而言的,是指用户对数据库对象中的数据能够执行哪些操作。例如当用户U1要成功修改StuInfo表中的数据,前提是用户U1已获得StuInfo表的UPDATE权限。,56,对象权限表,57,其中SELECT、INSERT、UPDATE和DELETE权限可以应用到整个表或视图中;SELECT和UPDATE权限还可以有选择地应用到表或视图中的指定列上。,58,2.语句权限,语句权限是指用户是否具有权
23、限来执行某一语句,这些语句通常是一些具有管理性的操作,例如创建表。这类语句的特点是在语句执行前操作的对象并不存在于数据库中,所以将其归为语句权限。,59,语句权限表,60,4.5.2权限管理操作:,授予收回拒绝访问,61,(二)权限管理的操作方法,利用“对象资源管理器”使用T-SQL命令语句,62,1、利用“对象资源管理器”-以给“U1”用户授予StuInfo表的SELECT、UPDATE或REFERENCE权限为例。,步骤1:启动“Microsoft SQL Server Management Studio”管理器,在“对象资源管理器”窗口逐级展开“服务器”【数据库】【用户数据库】(如Tea
24、chingData)【安全性】【用户】,列出当前数据库的所有用户。步骤2:右击要设置权限的用户帐号,在弹出的快捷菜单中选择【属性】选项,打开【数据库用户】对话框。步骤3:在上述对话框的【选择页】中单击【安全对象】。步骤4:单击【添加】按钮,打开【添加对象】对话框。在对话框中选取“特定对象”单选按钮。,63,步骤5:单击【确定】按钮,打开【选择对象】对话框。单击【对象类型】按钮选择操作的对象类型“表”,单击【浏览】按钮选择操作对象的名称“StuInfo”。,64,步骤6:单击【确定】按钮后,返回到【数据库用户-安全对象】对话框,在该对话框的“授予”列中选取SELECT、UPDATE或REFERE
25、NCE权限,,65,66,注意:,如果只允许用户查询StuInfo表的SID和Sname两列,可以单击上图所示对话框底部的【列权限】按钮,可以进一步设置用户对其中的哪些列具有操作权限。,67,2、使用T-SQL命令语句进行权限管理,GRANT语句REVOKE语句DENY语句,68,(1)GRANT语句,GRANT ALL PRIVILEGES|permission,.n(column,.n)ON table_name|view_name|ON table_name|view_name(column,.n)TO security_account,.n WITH GRANT OPTION,69,参
26、数说明:,ALL:表示具有所有的语句权限或所有的对象权限;permission:是指相应对象的有效权限的组合;column:指定表、视图中要授予对其权限的列名称,且只能授予对列的 SELECT、REFERENCES 及 UPDATE 权限。列名需要使用括号()括起来。security_account:表示被授权的一个或多个用户帐号;WITH GRANT OPTION:表示获得某种权限的用户还可以将此权限再授予其他用户;若无此短语,表示该用户只能使用被授予的权限,不能传播权限。,70,例10,将StuInfo表的查询权限授予用户user_stu。GRANT SELECT ON StuInfo T
27、O user_stu说明:执行此操作后,stu_admin登录SQL Server后,可以对StuInfo表进行SELECT的操作,但它不能将此权限授予其他用户。,71,例11,将表ScoreInfo的查询权授予全体用户。GRANT SELECT ON ScoreInfo TO PUBLIC执行此操作后,每个用户登录SQL Server后都可以对ScoreInfo表进行SELECT操作。,72,例12,将表StuInfo的插入权和修改sname的权限授予用户U2。GRANT SELECT,UPDATE(Sname)ON StuInfoTO U2,73,例13,将表TchInfo的查询权授予用户
28、U3,并允许它将此权限再授予其他用户。GRANT SELECT ON TchInfoTO U3WITH GRANT OPTION执行此操作后,U3用户登录SQL Server后不仅可以对TchInfo表可以进行SELECT操作,同时还可以使用GRANT语句给其他用户授权。,74,(2)REVOKE语句,REVOKE GRANT OPTION FOR ALL PRIVILEGES|permission(column,.n),.n TO|FROM security_account,.n CASCADE参数说明:GRANT OPTION FOR:指示将撤消授予指定权限的能力。CASCADE:指示当前
29、正在撤消的权限也将从其他被该主体授权的主体中撤消。,75,例14,撤销用户U2在StuInfo表上sname的修改权。REVOKE UPDATE(Sname)ON StuInfoFROM U2,76,例15,撤销用户U3对TchInfo表的查询权限。REVOKE SELECT ON TchInfoFROM U3CASCADE教材P219 例9-12-例9-14由于前面操作中U3在获得了对TchInfo表的SELECT权限后,又将该操作权授予了U4,U4又授予了U5。在执行上例的REVOKE语句后,将U3用户对TchInfo表的SELECT权限收回的同时,采用级联收回的方式自动收回U4和U5对T
30、chInfo表的SELECT权限。如果省略CASCADE,系统将拒绝执行该命令。,77,注意:,如果用户U4和U5还从其他用户那里获得了对TchInfo表的SELECT权限,执行上例的REVOKE语句后,系统只收回直接或间接从U3处获得的权限,并没有收回从其他用户处获得的权限,因此他们仍具有此权限。,78,(3)DENY语句,使用DENY语句可以拒绝对授予用户或角色的权限,防止用户通过其组或角色成员身份继承权限。其语法格式为:DENY ALL PRIVILEGES|permission(column,.n),.n TO security_account,.n CASCADE,79,例16,拒绝
31、用户user_stu拥有ScoreInfo表的查询权限。DENY SELECT ON ScoreInfoTO user_stu执行此操作后,user_stu用户登录SQL Server不能对ScoreInfo表进行SELECT操作,即使该用户被明确授予或继承得到对ScoreInfo表进行SELECT权限,仍然不允许执行相应的操作。,80,五、角色管理,在数据库中,为了简化对用户操作权限的管理,可以将具有相同权限的一组用户组织在一起,形成数据库中的角色(Role)。对一个角色授予、撤销和拒绝的权限也适用于该角色的任何成员。使用角色来管理数据库权限可以简化授权过程。,81,角色,角色系统预定义的固
32、定角色用户自定义角色。,82,(一)系统预定义角色,固定服务器角色固定数据库角色,83,1、固定服务器角色,服务器角色是负责管理和维护SQL Server的组,一般只是设置需要管理服务器的登录帐号属于服务器角色。,84,固定服务器角色及权限描述,85,利用对象资源管理器将登录帐号tch_admin添加到固定服务器角色dbcreate中,步骤1:启动“Microsoft SQL Server Management Studio”管理器,在“对象资源管理器”窗口逐级展开“服务器”【安全性】【服务器角色】,显示预定义的固定服务器角色。步骤2:右击添加登录帐号的服务器角色dbcreate,在弹出的快捷
33、菜单中选择【属性】选项,打开【服务器角色属性】对话框。步骤3:单击【添加】按钮,出现【添加成员】对话框。在该对话框中选择相应的登录帐号tch_admin。单击【确定】按钮即可选定的登录添加到服务器角色中。,86,利用T-SQL语句为登录帐号指定和删除服务器角色,格式sp_addsrvrolemember login_name,role_name参数说明:login_name:指定添加到服务器角色中的登录帐号。role_name:指定服务器角色的名称。SQL Server还提供了系统存储过程sp_dropsrvrolemember为服务器角色删除登录帐户,其语法格式为:sp_dropsrvrol
34、emember login_name,role_name,87,例17,为登录帐号tch_admin添加到固定服务器角色sysadmin中。sp_addsrvrolemember tch_admin,sysadmin,88,2.固定数据库角色,固定数据库角色是数据库级别上的一些预定义的角色。在创建每个数据库时,都会自动添加这些角色到新创建的数据库中,每个角色对应着相应的权限。固定的数据库角色为管理数据库一级的权限提供了方便,它的成员是来自每个数据库的用户。用户不能被添加、更改和删除固定数据库角色,但是可以将用户帐号添加到固定的数据库角色中。,89,(1)固定数据库角色与权限,90,public
35、角色,public角色是一个特殊的数据库角色,每个数据库的用户都自动是public数据库角色的成员。用户无法在public角色中添加和删除成员,但是用户可以对这个角色进行授权,而其他的固定数据库角色的权限是固定的,用户不可改变。如果想让数据库的所有用户都具有某个权限,则可以将该权限授予public。同时,如果没有给用户专门授予某个对象的权限,他们就只能使用授public角色的权限。,91,(2)为固定数据库角色添加用户帐号,对象资源管理器T-SQL命令,92,利用对象资源管理器为固定数据库角色db_owner添加用户帐号U1,步骤1:启动“Microsoft SQL Server Manage
36、ment Studio”管理器,在“对象资源管理器”窗口逐级展开“服务器”【数据库】用户数据库TeachingData【安全性】【角色】【数据库角色】,这时可以看到10个默认的数据库角色。步骤2:右击添加用户帐号的数据库角色db_owner,在弹出的快捷菜单中选择【属性】选项,打开【数据库角色属性】对话框,显示db_owner角色拥有的框架和成员。步骤3:单击【添加】按钮,出现【选择数据库用户或角色】对话框,在此选择用户U1并单击【确定】按钮返回。步骤4:在完成用户帐号的添加后,单击【确定】按钮即可将所选用户帐号添加到db_owner数据库角色中。,93,利用T-SQL语句为数据库角色添加用户
37、帐号,语法格式为:sp_addrolemember role,security_account 参数说明:role:当前数据库中的数据库角色的名称。role数据类型为sysname,无默认值。security_account:是添加到该角色的安全用户帐户。security_account 可以是数据库用户、数据库角色、Windows 登录或 Windows 组。,94,例18,为数据库角色db_accessadmin添加用户帐号U1.sp_addrolemember db_accessadmin,U1,95,(二)用户自定义角色,当为一组数据库用户在SQL Server中设置相同的一组权限时,
38、但这些权限的集合不等同于固定数据库角色所具有的权限时,可以通过用户自定义角色来满足这一要求,轻松地管理数据库中的权限。,96,1、创建用户自定义角色,使用对象资源管理器创建使用T-SQL语句创建,97,(1)使用对象资源管理器创建用户自定义角色,步骤1:启动“SQL Server Management Studio”管理器,在对象资源管理器中,逐级展开【服务器】【数据库】【TeachingData】【安全性】【角色】;步骤2:右击“角色”项,在弹出的快捷菜单中选择【新建角色】命令.步骤3:单击对话框的【常规】标签,在【角色名称】对应的文本框中输入创建的数据库角色的名称R1;在“此角色拥有的架构
39、”列表框中也可以选择当前新创建的角色要添加到哪个固定数据库角色。步骤4:单击对话框底部的【添加】按钮,直接为此角色添加成员用户帐号U1,返回【数据库角色】对话框后,单击【确定】按钮即可;也可以不添加成员,直接单击【确定】按钮完成角色的创建,此时创建的角色时无成员的,可以在以后的应用中添加。,98,99,(2)使用T-SQL语句创建用户自定义角色,语法格式:sp_addrole role,owner参数说明:role:要创建的数据库角色的名称。owner:数据库角色的拥有者,默认值为dbo。,100,例19,,在TeachingData数据库中创建新的数据库角色Teacher。sp_addrol
40、e Teacher,101,3、为用户定义的角色授权,步骤1:在对象资源管理器中,右击要授权的用户自定义角色的名称,在弹出的快捷菜单中选择【属性】选项;步骤2:在出现的对话框中选择【安全对象】标签,在此界面下即可实现对角色的授权。,102,4.为用户自定义角色添加/删除成员,步骤1:启动“SQL Server Management Studio”管理器,在对象资源管理器中,逐级展开【服务器】【数据库】【TeachingData】【安全性】【角色】【数据角色】;步骤2:右击要添加成员的用户自定义角色名,在弹出的快捷菜单中选择【属性】选项,在打开对话框中,单击【常规】标签界面底部的【添加】按钮,打
41、开【选择数据库用户或角色】对话框;步骤3:在对话框中单击【浏览】按钮,打开【查找对象】对话框,步骤4:在对话框中,单击用户名左侧的复选框来确定添加和删除的用户。最后单击【确定】按钮完成操作。,103,使用系统存储过程来添加删除成员与为固定数据库角色添加删除成员相同.,104,小结,一、安全机制安全模型(用户、存取控制、操作系统安全保护、加密存储)操作权限(系统管理员、对象拥有者、普通用户)二、SQL Server认证模式Windows身份验证模式混合验证模式。,105,三、登录帐号和用户帐号的管理创建、修改、删除四、权限管理对象权限语句权限权限管理命令(GRANT、REVOKE、DENY)五、角色管理固定服务器角色(sp_addsrvrolemember,sp_dropsrvrolemember)固定数据库角色(sp_addrolemember,sp_droprolemember)用户自定义角色(sp_addrole,sp_droprole),106,习题,完成PPT中的实验,