第 14章 安全管理
14.1 注册服务器
14.2 其它管理
14.1 注册服务器
所谓服务器注册是指将网络系统中的其它 SQL
Server服务器注册到企业管理器中, 以便于管理 。
注册过程
1,在企业管理器中,从操作( Action)菜单中选
择新建 SQL Server注册,或从工具菜单中选择
注册服务器向导选项,或从工具栏中选择图
标,就会出现如图 3-3所示的注册 SQL
Server向导对话框。
如果在对话框中选择“我希望今后在执行
该任务时不使用向导”复选框,按“下一步”
按钮就会转换到服务器注册属性对话框,如图
3-4所示。
图 3-3 注册服务器向导对话框
图 3-4 服务器注册属性对话框
2,在注册服务器向导对话框中不选择复选框,
单击“下一步”按钮,就会出现选择或创建
服务器名称对话框,如图 3-5所示。
图 3-5 选择或创建服务器名称
3,单击, 下一步, 按钮, 出现选择身份验证模式
对话框, 即选择 Windows NT身份验证或 SQL
Server身份验证 。 Windows NT身份验证可以使用
户只需维护, 使用一个 Windows NT登录帐户和口
令, 而使用 SQL Server身份验证, 则必须维护
Windows NT登录帐户和 SQL Server登录帐户及口
令 。 如图 3-6和图 3-7所示 。
图 3-6 选择身份验证模式
图 3-7 输入 SQL Server登录名和口令
4,单击“下一步”按钮,就会出现选择服务器
组或创建服务器组对话框,如图 3-8所示
图 3-8 选择服务器组或创建服务器组
5,服务器组确定后,单击“下一步”按钮,就会
出现确定注册对话框,单击“完成”按钮,则企
业管理器将注册服务器,如下图 3-9所示。
6,接着出现注册 SQL Server消息对话框,注册
成功后,按“关闭”按钮结束设置。
图
3-
10
注
册SQ
L Serv
er
消
息
一,SQL Server权限管理策略
二,用户权限管理
三,角色管理
14.2 其它管理
一,SQL Server权限管理策略
?1,安全帐户认证
?2,访问许可确认
1,安全帐户认证
? 安全帐户认证是用来确认登录 SQL Server的用
户的登录帐号和密码的正确性,由此来验证其
是否具有连接 SQL Server的权限。 SQL
Server 2000提供了两种确认用户的认证模式:
? (一) Windows NT认证模式。
? (二)混合认证模式。
(一) Windows NT认证模式
? SQL Server数据库系统通常运行在 Windows NT
服务器平台上, 而 NT作为网络操作系统, 本身
就具备管理登录, 验证用户合法性的能力, 因
此 Windows NT认证模式正是利用了这一用户安
全性和帐号管理的机制, 允许 SQL Server也可
以使用 NT的用户名和口令 。 在这种模式下, 用
户只需要通过 Windows NT的认证, 就可以连接
到 SQL Server,而 SQL Server本身也就不需要
管理一套登录数据 。
(二)混合认证模式
? 混合认证模式允许用户使用 Windows NT安全性
或 SQL Server安全性连接到 SQL Server,这就
意味着用户可以使用他的帐号登录到 Windows
NT,或者使用他的登录名登录到 SQL Server系
统。 NT的用户既可以使用 NT认证,也可以使用
SQL Server认证。
利用企业管理器进行认证模式的设置
? 其主要过程如下:
? 1,打开企业管理器, 用右键单击要设置认证模式的
服务器, 从快捷菜单中选择, 属性 ( properties),
选项, 则出现 SQL Server属性对话框 。
? 2,在 SQL Server属性对话框中选择安全性选项 。
? 3,在安全性选项栏中, 身份验证中可以选择要设置
的认证模式, 同时审核级别中还可以选择跟踪记录
用户登录时的哪种信息, 例如登录成功或登录失败
的信息等 。
? 4,在 启动 服务 帐户中 设置 当启 动并 运行 SQL
Server时默认的登录者中哪一位用户 。
2,访问许可确认
? 但是通过认证阶段并不代表用户能够访问 SQL
Server中的数据, 同时他还必须通过许可确认 。
用户只有在具有访问数据库的权限之后, 才能
够对服务器上的数据库进行权限许可下的各种
操作, 这种用户访问数据库权限的设置是通过
用户帐号来实现的 。
二,用户权限管理
? 1 服务器登录帐号和用户帐号管理
? 2 许可(权限)管理
? 3 角色管理
1 服务器登录帐号和用户帐号管理
? ( 一 ), SQL Server服务器登录管理
? SQL Server有三个默认的用户登录帐号:
即 sa,administrators\builtin和 guest。
? ( 二 ), 用户帐号管理
(一) SQL Server服务器登录管理
利用企业管理器创建、管理 SQL Server登录帐号
? (1)打开企业管理器,单击需要登录的服务器左边的
,+” 号,然后展开安全性文件夹。
? ( 2 ) 用右键单击登录 ( login) 图标, 从快捷菜单中选
择新建登录 ( new login) 选项, 则出现 SQL Server登录
属性 — 新建登录对话框, 如图 6-2所示 。
? ( 3)在名称编辑框中输入登录名,在身份验证选项栏中
选择新建的用户帐号是 Windows NT认证模式,还是 SQL
Server认证模式。
? (4)选择服务器角色页框,如图 6-3所示。在
服务器角色列表框中,列出了系统的固定服务
器角色。
? (5)选择数据库访问页框,如图 6-4所示。上
面的列表框列出了该帐号可以访问的数据库,
单击数据库左边的复选框,表示该用户可以访
问相应的数据库以及该帐号在数据库中的用户
名。
? (6)设置完成后,单击“确定”按钮即可完
成登录帐号的创建。
图 6-2 新建登录帐号对话框
图 6-3 服务器角色对话框
图 6-4 数据库访问对话框
使用 SQL Server的创建登录向导工具创建登录帐号。
图 6-5 --图 6-11
图 6-5 欢迎使用创建登录向导对话框
图 6-6 选择身份验证模式对话框
图 6-7 选择对用户帐号的安全性设置对话框
图 6-8 输入登录信息对话框
图 6-9 选择安全性角色对话框
图 6-10 选择允许登录帐号访问的数据库对话框
图 6-11 完成创建登录向导对话框
(二) 用户帐号管理
? 在数据库中,一个用户或工作组取得合法的登
录帐号,只表明该帐号通过了 Windows NT认证
或者 SQL Server认证,但不能表明其可以对数
据库数据和数据库对象进行某种或者某些操作,
只有当他同时拥有了用户帐号后,才能够访问
数据库。
? 利用企业管理器可以授予 SQL Server登录访问
数据库的许可权限。使用它可创建一个新数据
库用户帐号 。
2,许可(权限)管理
? 许可用来指定授权用户可以使用的数据库对象和这
些授权用户可以对这些数据库对象执行的操作。用
户在登录到 SQL Server之后,其用户帐号所归属的
NT组或角色所被赋予的许可(权限)决定了该用户
能够对哪些数据库对象执行哪种操作以及能够访问、
修改哪些数据。在每个数据库中用户的许可独立于
用户帐号和用户在数据库中的角色,每个数据库都
有自己独立的许可系统,在 SQL Server中包括三种
类型的许可:即对象许可、语句许可和预定义许可。
三种许可类型
? 1、对象许可
表示对特定的数据库对象,即表、视图、字段和
存储过程的操作许可,它决定了能对表、视图等
数据库对象执行哪些操作。
? 2、语句许可
表示对数据库的操作许可,也就是说,创建数据
库或者创建数据库中的其它内容所需要的许可类
型称为语句许可。
? 3、预定义许可
是指系统安装以后有些用户和角色不必授权就有
的许可。
许可的管理
? ( 1), 使用 SQL Server 企业管理器管理许可
SQL Server 可通过两种途径:即面向单一用户
和面向数据库对象的许可设置,来实现对语句
许可和对象许可的管理,从而实现对用户许可
的设定。
? ( 2), 使用 Transaction_SQL 语句
Transaction_SQL 语句使用 grant,revoke两
种命令来实现管理权限。
?GRANT给用户或角色授予权限
用户权限包括,Create database,Create table、
Create view,Create rule,Create procedure、
Create index,Backup database,Backup log
角色权限包括,SELECT,INSERT,UPDATE,DELETE
命令格式:
GRANT ALL|部分权限 TO 用户 |角色
?REVOKE给用户或角色授予权限
命令格式:
revoke ALL|部分权限 FROM 用户 |角色
三,角色管理
? 角色是 SQL Server 7.0版本引进的新概念,它代
替了以前版本中组的概念。利用角色,SQL
Server管理者可以将某些用户设置为某一角色,
这样只对角色进行权限设置便可以实现对所有用
户权限的设置,大大减少了管理员的工作量。 SQL
Server提供了用户通常管理工作的预定义服务器
角色和数据库角色。
1、服务器角色
? 服务器角色是指根据 SQL Server的管理任务,
以及这些任务相对的重要性等级来把具有 SQL
Server管理职能的用户划分为不同的用户组,
每一组所具有的管理 SQL Server的权限都是
SQL Server内置的,即不能对其进行添加、修
改和删除,只能向其中加入用户或者其他角色。
七种常用的固定服务器角色
系统管理员:拥有 SQL Server所有的权限许可 。
服务器管理员:管理 SQL Server服务器端的设置 。
磁盘管理员:管理磁盘文件 。
进程管理员:管理 SQL Server系统进程 。
安全管理员:管理和审核 SQL Server系统登录 。
安装管理员:增加, 删除连接服务器, 建立数据
库复制以及管理扩展存储过程 。
数据库创建者:创建数据库, 并对数据库进行修
改 。
2、数据库角色
? 数据库角色是为某一用户或某一组用户授予不
同级别的管理或访问数据库以及数据库对象的
权限,这些权限是数据库专有的,并且还可以
使一个用户具有属于同一数据库的多个角色。
SQL Server提供了两种类型的数据库角色:即
固定的数据库角色和用户自定义的数据库角色。
(1)固定的数据库角色
public:维护全部默认许可 。
db_owner:数据库的所有者, 可以对所拥有的数
据库执行任何操作 。
db_accessadmin:可以增加或者删除数据库用户,
工作组和角色 。
db_addladmin:可以增加, 删除和修改数据库中
的任何对象 。
db_securityadmin:执行语句许可和对象许可 。
db_backupoperator:可以备份和恢复数据库 。
db_datareader:能且仅能对数据库中的任何表
执行 select操作, 从而读取所有表的信息 。
db_datawriter:能够增加, 修改和删除表中的
数据, 但不能进行 select操作 。
db_denydatareader:不能读取数据库中任何表
中的数据 。
db_denydatawriter:不能对数据库中的任何表
执行增加, 修改和删除数据操作 。
(2)用户自定义角色
? 创建用户定义的数据库角色就是创建一组用户,
这些用户具有相同的一组许可 。 如果一组用户需
要执行在 SQL Server中指定的一组操作并且不存
在对应的 Windows NT组, 或者没有管理 Windows
NT用户帐号的许可, 就可以在数据库中建立一个
用户自定义的数据库角色 。 用户自定义的数据库
角色有两种类型:即标准角色和应用程序角色 。
? 标准角色通过对用户权限等级的认定而将用户
划分为不用的用户组, 使用户总是相对于一个
或多个角色, 从而实现管理的安全性 。
? 应用程序角色是一种比较特殊的角色 。 当我们
打算让某些用户只能通过特定的应用程序间接
地存取数据库中的数据而不是直接地存取数据
库数据时, 就应该考虑使用应用程序角色 。 当
某一用户使用了应用程序角色时, 他便放弃了
已被赋予的所有数据库专有权限, 他所拥有的
只是应用程序角色被设置的角色 。
标准角色和应用程序角色
使用企业管理器管理角色
? ( 1 ) 管理服务器角色
? 打开企业管理器, 展开指定的服务器, 单击安全
性文件夹, 然后单击服务器角色图标, 选择需要
的选项, 根据提示操作 。
? ( 2 ) 管理数据库角色
? 在企业管理器中, 展开指定的服务器以及指定的
数据库, 然后用右键单击角色图标, 从快捷菜单
中选择新建数据库角色选项, 则出现数据库角色
属性 — 新建角色对话框, 根据提示即可新建角色 。
14.1 注册服务器
14.2 其它管理
14.1 注册服务器
所谓服务器注册是指将网络系统中的其它 SQL
Server服务器注册到企业管理器中, 以便于管理 。
注册过程
1,在企业管理器中,从操作( Action)菜单中选
择新建 SQL Server注册,或从工具菜单中选择
注册服务器向导选项,或从工具栏中选择图
标,就会出现如图 3-3所示的注册 SQL
Server向导对话框。
如果在对话框中选择“我希望今后在执行
该任务时不使用向导”复选框,按“下一步”
按钮就会转换到服务器注册属性对话框,如图
3-4所示。
图 3-3 注册服务器向导对话框
图 3-4 服务器注册属性对话框
2,在注册服务器向导对话框中不选择复选框,
单击“下一步”按钮,就会出现选择或创建
服务器名称对话框,如图 3-5所示。
图 3-5 选择或创建服务器名称
3,单击, 下一步, 按钮, 出现选择身份验证模式
对话框, 即选择 Windows NT身份验证或 SQL
Server身份验证 。 Windows NT身份验证可以使用
户只需维护, 使用一个 Windows NT登录帐户和口
令, 而使用 SQL Server身份验证, 则必须维护
Windows NT登录帐户和 SQL Server登录帐户及口
令 。 如图 3-6和图 3-7所示 。
图 3-6 选择身份验证模式
图 3-7 输入 SQL Server登录名和口令
4,单击“下一步”按钮,就会出现选择服务器
组或创建服务器组对话框,如图 3-8所示
图 3-8 选择服务器组或创建服务器组
5,服务器组确定后,单击“下一步”按钮,就会
出现确定注册对话框,单击“完成”按钮,则企
业管理器将注册服务器,如下图 3-9所示。
6,接着出现注册 SQL Server消息对话框,注册
成功后,按“关闭”按钮结束设置。
图
3-
10
注
册SQ
L Serv
er
消
息
一,SQL Server权限管理策略
二,用户权限管理
三,角色管理
14.2 其它管理
一,SQL Server权限管理策略
?1,安全帐户认证
?2,访问许可确认
1,安全帐户认证
? 安全帐户认证是用来确认登录 SQL Server的用
户的登录帐号和密码的正确性,由此来验证其
是否具有连接 SQL Server的权限。 SQL
Server 2000提供了两种确认用户的认证模式:
? (一) Windows NT认证模式。
? (二)混合认证模式。
(一) Windows NT认证模式
? SQL Server数据库系统通常运行在 Windows NT
服务器平台上, 而 NT作为网络操作系统, 本身
就具备管理登录, 验证用户合法性的能力, 因
此 Windows NT认证模式正是利用了这一用户安
全性和帐号管理的机制, 允许 SQL Server也可
以使用 NT的用户名和口令 。 在这种模式下, 用
户只需要通过 Windows NT的认证, 就可以连接
到 SQL Server,而 SQL Server本身也就不需要
管理一套登录数据 。
(二)混合认证模式
? 混合认证模式允许用户使用 Windows NT安全性
或 SQL Server安全性连接到 SQL Server,这就
意味着用户可以使用他的帐号登录到 Windows
NT,或者使用他的登录名登录到 SQL Server系
统。 NT的用户既可以使用 NT认证,也可以使用
SQL Server认证。
利用企业管理器进行认证模式的设置
? 其主要过程如下:
? 1,打开企业管理器, 用右键单击要设置认证模式的
服务器, 从快捷菜单中选择, 属性 ( properties),
选项, 则出现 SQL Server属性对话框 。
? 2,在 SQL Server属性对话框中选择安全性选项 。
? 3,在安全性选项栏中, 身份验证中可以选择要设置
的认证模式, 同时审核级别中还可以选择跟踪记录
用户登录时的哪种信息, 例如登录成功或登录失败
的信息等 。
? 4,在 启动 服务 帐户中 设置 当启 动并 运行 SQL
Server时默认的登录者中哪一位用户 。
2,访问许可确认
? 但是通过认证阶段并不代表用户能够访问 SQL
Server中的数据, 同时他还必须通过许可确认 。
用户只有在具有访问数据库的权限之后, 才能
够对服务器上的数据库进行权限许可下的各种
操作, 这种用户访问数据库权限的设置是通过
用户帐号来实现的 。
二,用户权限管理
? 1 服务器登录帐号和用户帐号管理
? 2 许可(权限)管理
? 3 角色管理
1 服务器登录帐号和用户帐号管理
? ( 一 ), SQL Server服务器登录管理
? SQL Server有三个默认的用户登录帐号:
即 sa,administrators\builtin和 guest。
? ( 二 ), 用户帐号管理
(一) SQL Server服务器登录管理
利用企业管理器创建、管理 SQL Server登录帐号
? (1)打开企业管理器,单击需要登录的服务器左边的
,+” 号,然后展开安全性文件夹。
? ( 2 ) 用右键单击登录 ( login) 图标, 从快捷菜单中选
择新建登录 ( new login) 选项, 则出现 SQL Server登录
属性 — 新建登录对话框, 如图 6-2所示 。
? ( 3)在名称编辑框中输入登录名,在身份验证选项栏中
选择新建的用户帐号是 Windows NT认证模式,还是 SQL
Server认证模式。
? (4)选择服务器角色页框,如图 6-3所示。在
服务器角色列表框中,列出了系统的固定服务
器角色。
? (5)选择数据库访问页框,如图 6-4所示。上
面的列表框列出了该帐号可以访问的数据库,
单击数据库左边的复选框,表示该用户可以访
问相应的数据库以及该帐号在数据库中的用户
名。
? (6)设置完成后,单击“确定”按钮即可完
成登录帐号的创建。
图 6-2 新建登录帐号对话框
图 6-3 服务器角色对话框
图 6-4 数据库访问对话框
使用 SQL Server的创建登录向导工具创建登录帐号。
图 6-5 --图 6-11
图 6-5 欢迎使用创建登录向导对话框
图 6-6 选择身份验证模式对话框
图 6-7 选择对用户帐号的安全性设置对话框
图 6-8 输入登录信息对话框
图 6-9 选择安全性角色对话框
图 6-10 选择允许登录帐号访问的数据库对话框
图 6-11 完成创建登录向导对话框
(二) 用户帐号管理
? 在数据库中,一个用户或工作组取得合法的登
录帐号,只表明该帐号通过了 Windows NT认证
或者 SQL Server认证,但不能表明其可以对数
据库数据和数据库对象进行某种或者某些操作,
只有当他同时拥有了用户帐号后,才能够访问
数据库。
? 利用企业管理器可以授予 SQL Server登录访问
数据库的许可权限。使用它可创建一个新数据
库用户帐号 。
2,许可(权限)管理
? 许可用来指定授权用户可以使用的数据库对象和这
些授权用户可以对这些数据库对象执行的操作。用
户在登录到 SQL Server之后,其用户帐号所归属的
NT组或角色所被赋予的许可(权限)决定了该用户
能够对哪些数据库对象执行哪种操作以及能够访问、
修改哪些数据。在每个数据库中用户的许可独立于
用户帐号和用户在数据库中的角色,每个数据库都
有自己独立的许可系统,在 SQL Server中包括三种
类型的许可:即对象许可、语句许可和预定义许可。
三种许可类型
? 1、对象许可
表示对特定的数据库对象,即表、视图、字段和
存储过程的操作许可,它决定了能对表、视图等
数据库对象执行哪些操作。
? 2、语句许可
表示对数据库的操作许可,也就是说,创建数据
库或者创建数据库中的其它内容所需要的许可类
型称为语句许可。
? 3、预定义许可
是指系统安装以后有些用户和角色不必授权就有
的许可。
许可的管理
? ( 1), 使用 SQL Server 企业管理器管理许可
SQL Server 可通过两种途径:即面向单一用户
和面向数据库对象的许可设置,来实现对语句
许可和对象许可的管理,从而实现对用户许可
的设定。
? ( 2), 使用 Transaction_SQL 语句
Transaction_SQL 语句使用 grant,revoke两
种命令来实现管理权限。
?GRANT给用户或角色授予权限
用户权限包括,Create database,Create table、
Create view,Create rule,Create procedure、
Create index,Backup database,Backup log
角色权限包括,SELECT,INSERT,UPDATE,DELETE
命令格式:
GRANT ALL|部分权限 TO 用户 |角色
?REVOKE给用户或角色授予权限
命令格式:
revoke ALL|部分权限 FROM 用户 |角色
三,角色管理
? 角色是 SQL Server 7.0版本引进的新概念,它代
替了以前版本中组的概念。利用角色,SQL
Server管理者可以将某些用户设置为某一角色,
这样只对角色进行权限设置便可以实现对所有用
户权限的设置,大大减少了管理员的工作量。 SQL
Server提供了用户通常管理工作的预定义服务器
角色和数据库角色。
1、服务器角色
? 服务器角色是指根据 SQL Server的管理任务,
以及这些任务相对的重要性等级来把具有 SQL
Server管理职能的用户划分为不同的用户组,
每一组所具有的管理 SQL Server的权限都是
SQL Server内置的,即不能对其进行添加、修
改和删除,只能向其中加入用户或者其他角色。
七种常用的固定服务器角色
系统管理员:拥有 SQL Server所有的权限许可 。
服务器管理员:管理 SQL Server服务器端的设置 。
磁盘管理员:管理磁盘文件 。
进程管理员:管理 SQL Server系统进程 。
安全管理员:管理和审核 SQL Server系统登录 。
安装管理员:增加, 删除连接服务器, 建立数据
库复制以及管理扩展存储过程 。
数据库创建者:创建数据库, 并对数据库进行修
改 。
2、数据库角色
? 数据库角色是为某一用户或某一组用户授予不
同级别的管理或访问数据库以及数据库对象的
权限,这些权限是数据库专有的,并且还可以
使一个用户具有属于同一数据库的多个角色。
SQL Server提供了两种类型的数据库角色:即
固定的数据库角色和用户自定义的数据库角色。
(1)固定的数据库角色
public:维护全部默认许可 。
db_owner:数据库的所有者, 可以对所拥有的数
据库执行任何操作 。
db_accessadmin:可以增加或者删除数据库用户,
工作组和角色 。
db_addladmin:可以增加, 删除和修改数据库中
的任何对象 。
db_securityadmin:执行语句许可和对象许可 。
db_backupoperator:可以备份和恢复数据库 。
db_datareader:能且仅能对数据库中的任何表
执行 select操作, 从而读取所有表的信息 。
db_datawriter:能够增加, 修改和删除表中的
数据, 但不能进行 select操作 。
db_denydatareader:不能读取数据库中任何表
中的数据 。
db_denydatawriter:不能对数据库中的任何表
执行增加, 修改和删除数据操作 。
(2)用户自定义角色
? 创建用户定义的数据库角色就是创建一组用户,
这些用户具有相同的一组许可 。 如果一组用户需
要执行在 SQL Server中指定的一组操作并且不存
在对应的 Windows NT组, 或者没有管理 Windows
NT用户帐号的许可, 就可以在数据库中建立一个
用户自定义的数据库角色 。 用户自定义的数据库
角色有两种类型:即标准角色和应用程序角色 。
? 标准角色通过对用户权限等级的认定而将用户
划分为不用的用户组, 使用户总是相对于一个
或多个角色, 从而实现管理的安全性 。
? 应用程序角色是一种比较特殊的角色 。 当我们
打算让某些用户只能通过特定的应用程序间接
地存取数据库中的数据而不是直接地存取数据
库数据时, 就应该考虑使用应用程序角色 。 当
某一用户使用了应用程序角色时, 他便放弃了
已被赋予的所有数据库专有权限, 他所拥有的
只是应用程序角色被设置的角色 。
标准角色和应用程序角色
使用企业管理器管理角色
? ( 1 ) 管理服务器角色
? 打开企业管理器, 展开指定的服务器, 单击安全
性文件夹, 然后单击服务器角色图标, 选择需要
的选项, 根据提示操作 。
? ( 2 ) 管理数据库角色
? 在企业管理器中, 展开指定的服务器以及指定的
数据库, 然后用右键单击角色图标, 从快捷菜单
中选择新建数据库角色选项, 则出现数据库角色
属性 — 新建角色对话框, 根据提示即可新建角色 。
