1、 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社第十一章第十一章 銷售管理數據庫安銷售管理數據庫安全性管理全性管理 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社技能目標技能目標u掌握掌握SQL Server 2005SQL Server 2005的安全機制的安全機制; ;u利用登錄名、用戶名、角色確保服務器、銷售管理數利用登錄名、用戶名、角色確保服務器、銷售管理數據庫和數據對象的安全性。據庫和數據對象的安全性。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社11.1

2、SQL Server200511.1 SQL Server2005的安全機制的安全機制 u數據庫安全：是指保護數據庫中的數據不被破壞、偷竊數據庫安全：是指保護數據庫中的數據不被破壞、偷竊和非法使用。和非法使用。1.1.在在SQL Server 2005SQL Server 2005中，數據的安全保護由中，數據的安全保護由4 4個層次構個層次構成成. . SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社2.2.從登錄的角度來看從登錄的角度來看 在在SQL Server SQL Server 系統中，安全性采用的是兩級權系統中，安全性采用的是兩級權限管理機制

3、：限管理機制：u第一級是服務器級的第一級是服務器級的“連接權連接權”；u第二級是數據庫級的第二級是數據庫級的“訪問權訪問權”。 SQL ServerSQL Server的安全性機制可以劃分為的安全性機制可以劃分為4 4個等級：個等級：u（1 1）客戶機操作系統的安全性；）客戶機操作系統的安全性；u（2 2）SQL ServerSQL Server的登錄安全性；的登錄安全性；u（3 3）數據庫的使用安全性；）數據庫的使用安全性；u（4 4）數據庫對象的使用安全性。）數據庫對象的使用安全性。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社例.授權遠程訪問

4、為了遠程訪問為了遠程訪問SQL ServerSQL Server實例，需要一個實例，需要一個網絡協議以建立到網絡協議以建立到SQL ServerSQL Server服務器的連接。為服務器的連接。為了避免系統資源的浪費，只需要激活自己需要的了避免系統資源的浪費，只需要激活自己需要的網絡連接協議。網絡連接協議。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社(1) 從從“開始開始”菜單中選擇菜單中選擇“所有程序所有程序”|“Microsoft SQL Server 2005”|“配置工具配置工具”|“SQL Server外圍應用配置器外圍應用配置器” 授權

5、遠程訪問方法 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社 (2)在窗口底部的在窗口底部的“配置外圍應用到配置外圍應用到Localhost”區域，單區域，單擊擊“服務和連接的外圍應用配置器服務和連接的外圍應用配置器” 授權遠程訪問方法 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社 (3) (3)隨后在彈出窗口的左半部分，顯示了可以進行配置隨后在彈出窗口的左半部分，顯示了可以進行配置的組件列表。在這個列表中，展開的組件列表。在這個列表中，展開“Database EngineDatabase Engine”圖圖

6、標并單擊標并單擊“遠程連接遠程連接” 。授權遠程訪問方法 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社 (4)在右側面板中選擇在右側面板中選擇“本地連接和遠程連接本地連接和遠程連接”，然后，然后選擇一個協議選項?；诎踩托阅艿目紤]，推薦使用選擇一個協議選項?；诎踩托阅艿目紤]，推薦使用TCP/IP協議協議 授權遠程訪問方法 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社11.2 11.2 服務器安全的管理服務器安全的管理 SQL Server 2005 SQL Server 2005服務器的安全建立在對服

7、務器服務器的安全建立在對服務器登錄名和密碼的控制基礎之上，用戶在登錄服務器時登錄名和密碼的控制基礎之上，用戶在登錄服務器時所采用的登錄名和密碼，決定了用戶在成功登錄服務所采用的登錄名和密碼，決定了用戶在成功登錄服務器后所擁有的訪問權限。器后所擁有的訪問權限。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社登錄模式登錄模式 uWindowsWindows身份驗證模式身份驗證模式u混合驗證模式混合驗證模式 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社身份驗證方式設置（身份驗證方式設置（1 1）u方法一：方法一：（

8、1 1）啟動）啟動SQL Server Management StudioSQL Server Management Studio。（2 2）在左上角）在左上角“已注冊服務器已注冊服務器”組件中，打開其屬性窗口，在組件中，打開其屬性窗口，在該窗口中可以查看和改變身份驗證方式。該窗口中可以查看和改變身份驗證方式。（3 3）用戶可以通過選擇身份驗證下拉列表框選擇服務器的身份）用戶可以通過選擇身份驗證下拉列表框選擇服務器的身份驗證登錄方式。驗證登錄方式。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社u方法二方法二(1)從從“開始開始”菜單中選擇菜單中選擇“

9、所有程序所有程序”|“Microsoft SQL Server 2005”|“SQL Server Management Studio” (2)在在“連接到服務器連接到服務器”對話框中，單擊對話框中，單擊“連接連接”按鈕按鈕 (3)在在“對象資源管理器對象資源管理器”中，右鍵單擊中，右鍵單擊SQL Server實例名實例名并在彈出菜單中選擇并在彈出菜單中選擇“屬性屬性” 身份驗證方式設置身份驗證方式設置(2)(2) SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社(4)在在“選擇頁選擇頁”面板中，選擇面板中，選擇“安全性安全性”圖標圖標 (5)在在“服務

10、器身份驗證服務器身份驗證”區域，選擇自己想要的身份驗證區域，選擇自己想要的身份驗證模式模式,在更改身份驗證模式后，需要重新啟動在更改身份驗證模式后，需要重新啟動SQL Server實例以使其生效。實例以使其生效。 身份驗證方式設置身份驗證方式設置(3)(3) SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社11.2 11.2 登錄帳戶管理登錄帳戶管理u11.2.1 11.2.1 標準的標準的SQLSQL帳戶管理帳戶管理u1. 1. 帳戶的建立帳戶的建立 用戶建立標準登錄帳戶的方式有三種：用戶建立標準登錄帳戶的方式有三種：u使用使用SSMSSSMS管理登錄

11、帳戶管理登錄帳戶 u使用使用Transact-SQLTransact-SQL管理登錄帳戶管理登錄帳戶 u使用系統存儲過程；使用系統存儲過程； SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社使用使用SSMSSSMS管理登錄帳戶管理登錄帳戶右擊，選擇“新建” SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社創建登錄名創建登錄名 【例例】在銷售管理數據庫所在的服務器上，創建在銷售管理數據庫所在的服務器上，創建SQL ServerSQL Server身份身份驗證的登錄名。驗證的登錄名。操作步驟如下。操作步驟如下。（1 1

12、）在）在【對象資源管理器對象資源管理器】窗口中，展開窗口中，展開【安全性安全性】| |【登錄名登錄名】節點，右擊節點，右擊【登錄名登錄名】節點，在彈出的快捷菜單中，選擇節點，在彈出的快捷菜單中，選擇【新新建登錄名建登錄名】選項。選項。（2 2）打開）打開【登錄名登錄名- -新建新建】窗口，在左側窗格中，單擊窗口，在左側窗格中，單擊【常規常規】選項，打開選項，打開【常規常規】選項頁選項頁 。（3 3）在）在【登錄名登錄名】文本框中輸入文本框中輸入“SQL_User”SQL_User”。在下面選擇登。在下面選擇登錄方式，這里選中錄方式，這里選中【SQL ServerSQL Server身份驗證身份

13、驗證】單選按鈕，在單選按鈕，在【密密碼碼】文本框中，輸入文本框中，輸入“123456”123456”，在，在【確認密碼確認密碼】的文本框中，的文本框中，輸入輸入“123456”123456”。（4 4）取消）取消【強制實施密碼策略強制實施密碼策略】的選中狀態。的選中狀態。 （5 5）在）在【選擇項選擇項】| |【狀態狀態】選項的右側窗格中，在選項的右側窗格中，在【設置設置】- -【是否允許接到數據庫引擎是否允許接到數據庫引擎】為為【授予授予】；將；將【登錄登錄】設置為設置為【啟用啟用】。單擊。單擊【確定確定】按鈕，完成登錄名的創建。按鈕，完成登錄名的創建。 SQL Server 2005數據庫

14、應用技術數據庫應用技術 清華大學出版社清華大學出版社11.2.2 11.2.2 與與WindowsWindows集成的帳戶管理集成的帳戶管理u1. 1. 帳戶的建立帳戶的建立u所謂與所謂與WindowsWindows集成的登錄帳戶，實際上是將集成的登錄帳戶，實際上是將WindowsWindows的用戶和工作組映射為的用戶和工作組映射為SQL ServerSQL Server的登錄帳戶。的登錄帳戶。u建立與建立與WindowsWindows集成的登錄帳戶方式有三種：集成的登錄帳戶方式有三種：u使用使用SSMSSSMS管理登錄帳戶管理登錄帳戶 u使用使用Transact-SQLTransact-S

15、QL管理登錄帳戶管理登錄帳戶 u使用系統存儲過程；使用系統存儲過程；u注意注意: :在創建在創建WindowsWindows登錄賬戶之前登錄賬戶之前, ,必須先建必須先建一個一個WindowsWindows操作系統用戶操作系統用戶. . SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社使用使用Transact-SQLTransact-SQL或系統存儲過程管理登錄帳戶或系統存儲過程管理登錄帳戶 u1.CREATE LOGIN login_name 1.CREATE LOGIN login_name uwith |FROM with |FROM u2.2.使

16、用系統提供的存儲過程使用系統提供的存儲過程sp_addloginsp_addlogin建立標準建立標準登錄帳戶登錄帳戶 sp_addlogin sp_addlogin login,password,databaselogin,password,databaseu3.3.使用系統存儲過程使用系統存儲過程sp_grantloginsp_grantlogin來使來使WindowsWindows的用戶或工作組映射成為的用戶或工作組映射成為SQL ServerSQL Server的登錄帳戶：的登錄帳戶： Sp_grantlogin loginSp_grantlogin login SQL Server

17、2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社u例例1 1：創建一個：創建一個SQL ServerSQL Server登錄賬戶登錄賬戶ucreate login testcreate login testuwith password=123456,with password=123456,udefault_database=masterdefault_database=masteru例例2 2：創建一個：創建一個WindowsWindows登錄賬戶登錄賬戶ucreate login F72lilycreate login F72lilyufrom windowsfrom w

18、indows使用使用Transact-SQLTransact-SQL管理登錄帳戶管理登錄帳戶 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社u例例1 1：使用系統提供的存儲過程：使用系統提供的存儲過程sp_addloginsp_addlogin建立建立SQL SQL ServerServer標準登錄帳戶標準登錄帳戶 sp_addlogin sales,abcdef,mastersp_addlogin sales,abcdef,master例例2 2：系統存儲過程：系統存儲過程sp_grantloginsp_grantlogin來使來使WindowsWi

19、ndows的用戶的用戶或工作組映射成為或工作組映射成為SQL ServerSQL Server的登錄帳戶：的登錄帳戶：u Sp_grantlogin F72lucySp_grantlogin F72lucyu或或u Sp_grantlogin F72lucySp_grantlogin F72lucy使用系統存儲過程管理登錄帳戶使用系統存儲過程管理登錄帳戶 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社uDROP LOGINDROP LOGINu如：如：DROP LOGIN test uALTER LOGIN ALTER LOGIN u如：如：ALTER

20、 LOGIN test WITH PASSWORD = u如如:如：如：ALTER LOGIN test WITH NAME= finish2.修改和刪除帳戶修改和刪除帳戶 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社2.2.修改和刪除帳戶修改和刪除帳戶u1 1）使用系統存儲過程）使用系統存儲過程sp_defaultdbsp_defaultdb修改登錄帳戶的默認修改登錄帳戶的默認數據庫數據庫 Sp_defaultdb login,databaseSp_defaultdb login,databaseu2 2）使用系統存儲過程）使用系統存儲過程sp_d

21、afaultlanguagesp_dafaultlanguage修改登錄帳戶修改登錄帳戶的默認語言的默認語言 Sp_defaultlanguage login,languageSp_defaultlanguage login,languageu3 3）使用系統存儲過程）使用系統存儲過程sp_passwordsp_password修改登錄帳戶的密碼修改登錄帳戶的密碼 Sp_password Sp_password old_password,new_password,loginold_password,new_password,loginu4 4）使用系統存儲過程）使用系統存儲過程sp_dropl

22、oginsp_droplogin刪除刪除SQL ServerSQL Server標準標準登錄帳戶登錄帳戶 Sp_droplogin login Sp_droplogin login SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社注意：注意： （1 1） 在在SQL ServerSQL Server中刪除帳戶信息時，有如中刪除帳戶信息時，有如下限制：下限制：u已經映射到數據庫用戶的帳戶不允許刪除；已經映射到數據庫用戶的帳戶不允許刪除；u系統帳戶系統帳戶sasa不能被刪除，正在使用的帳戶不不能被刪除，正在使用的帳戶不能被刪除；能被刪除；u擁有數據庫的帳戶不

23、能被刪除。擁有數據庫的帳戶不能被刪除。 （2 2）在進行修改和刪除操作時進行的有關帳戶、）在進行修改和刪除操作時進行的有關帳戶、密碼、角色、權限的操作，都只有被賦予密碼、角色、權限的操作，都只有被賦予sysadminsysadmin或或securityadminsecurityadmin固定服務器角色的固定服務器角色的用戶才可以使用。用戶才可以使用。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社11.3 11.3 數據庫用戶的管理數據庫用戶的管理 u在數據庫中，用戶帳號與登錄帳號是兩個不同的概念，一個合在數據庫中，用戶帳號與登錄帳號是兩個不同的概念，

24、一個合法的登錄帳號只表明該帳號通過了法的登錄帳號只表明該帳號通過了WindowsWindows認證或認證或SQL ServerSQL Server認證，但不能表明其可以對數據庫數據和數據對象進行某種或認證，但不能表明其可以對數據庫數據和數據對象進行某種或某些操作。必須要先將創建的登錄賬戶映射為數據庫的用戶，某些操作。必須要先將創建的登錄賬戶映射為數據庫的用戶，才能訪問數據庫。才能訪問數據庫。u默認用戶默認用戶 1、dbo dbo是特殊的數據庫用戶，它是數據庫所有者（是特殊的數據庫用戶，它是數據庫所有者（database owner），），dbo是具有隱式權限的用戶，可在數據庫中執行所有的是具有

25、隱式權限的用戶，可在數據庫中執行所有的操作。操作。 2、guest guest也是一個特殊用戶，它與也是一個特殊用戶，它與dbo一樣，創建數據庫之后會自動一樣，創建數據庫之后會自動生成。生成。u自定義用戶自定義用戶 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社添加數據庫用戶（添加數據庫用戶（1 1） 【例例】將在創建的登錄名將在創建的登錄名SQL_userSQL_user映射到銷售管理數據映射到銷售管理數據庫的用戶。庫的用戶。操作步驟如下。操作步驟如下。（1）啟動）啟動【SQL Server Management Studio】，以，以sa賬戶或超級

26、用戶身份連上數據庫實例。賬戶或超級用戶身份連上數據庫實例。 （2）在）在【對象資源管理器對象資源管理器】中，展開中，展開【數據庫數據庫】|【CompanySales】|【安全性安全性】|【用戶用戶】節點。右節點。右擊擊【用戶用戶】，在彈出的快捷菜單中，選擇，在彈出的快捷菜單中，選擇【新建用新建用戶戶】。（3）出現的）出現的【數據庫用戶數據庫用戶新建新建】窗體，在窗體，在【用戶名用戶名】文本框中輸入用戶名文本框中輸入用戶名“first_user”，再單擊，再單擊【登錄登錄名名】右側按鈕。右側按鈕。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社添加數據庫

27、用戶（添加數據庫用戶（2 2）（4）出現）出現 的的【選擇登錄名選擇登錄名】窗體。單擊窗體。單擊【瀏覽瀏覽】按按鈕，出現鈕，出現 的的【查找對象查找對象】窗體，瀏覽已有的登錄窗體，瀏覽已有的登錄名，選擇名，選擇【SQL_User登錄名登錄名】。 （5）單擊）單擊【確定確定】按鈕，返回到按鈕，返回到 的的【選擇登錄名選擇登錄名】窗體。窗體。（6）單擊）單擊【確定確定】按鈕，返回到按鈕，返回到 的的【新建數據庫新建數據庫-用戶用戶】窗體。窗體。（7）單擊）單擊【確定確定】按鈕，完成登錄名按鈕，完成登錄名“SQL_User”到銷售管理數據庫到銷售管理數據庫Companysales用戶名的映射設用戶名

28、的映射設置。置。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社使用使用Tractans-SQLTractans-SQL管理用戶管理用戶 u1.1.創建數據庫用戶創建數據庫用戶uCREATE USER user_name CREATE USER user_name uFOR|FROM LOGIN login_nameFOR|FROM LOGIN login_nameuWITH DEFAULT_SCHEMA=schema_nameWITH DEFAULT_SCHEMA=schema_nameu2.2.修改數據庫用戶修改數據庫用戶uALTER USER u

29、ser_nameALTER USER user_nameuWITH NAME=new_user_name|WITH NAME=new_user_name|u DEFAULT_SCHEMA=schema_name DEFAULT_SCHEMA=schema_nameu3.3.刪除數據庫用戶刪除數據庫用戶uDROP USER user_nameDROP USER user_name SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社u例：創建數據庫用戶例：創建數據庫用戶uCreate user testCreate user testuCreate user

30、cherry for login Create user cherry for login F72lilyF72lilyucreatecreate useruser may withoutmay without login login 例：更改數據庫用戶的名稱例：更改數據庫用戶的名稱ALTER USER test WITH NAME = finishALTER USER test WITH NAME = finish例：刪除用戶例：刪除用戶testtestDROP USER testDROP USER test使用使用Tractans-SQLTractans-SQL管理用戶管理用戶 SQL S

31、erver 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社11.4 SQL Server200511.4 SQL Server2005權限權限 u權限管理指將安全對象的權限授予主體，取消或禁止權限管理指將安全對象的權限授予主體，取消或禁止主體對安全對象的權限。主體對安全對象的權限。u主體主體u“主體主體”是可以請求是可以請求SQL Server資源的個體、組資源的個體、組和過程和過程 u安全對象安全對象 u安全對象是授權系統控制對其進行訪問的資源。安全對象是授權系統控制對其進行訪問的資源。 u架構架構u架構是形成單個命名空間的數據庫實體的集合，架構是形成單個命名空間的數據庫

32、實體的集合， 完全限定的對象名稱現在包含四部分：完全限定的對象名稱現在包含四部分：server.database.schema.object。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社主體主體主體內容Windows 級別級別的主體的主體Windows 域登錄名、域登錄名、Windows 本地登錄名本地登錄名SQL Server 級級別的主體別的主體SQL Server 登錄名登錄名數據庫級別的數據庫級別的主體主體數據庫用戶、數據庫角色、應用數據庫用戶、數據庫角色、應用程序角色程序角色 SQL Server 2005數據庫應用技術數據庫應用技術 清

33、華大學出版社清華大學出版社安全對象安全對象 安全對象內容服務器服務器端點、登錄帳戶、數據庫端點、登錄帳戶、數據庫數據庫數據庫用戶、角色、應用程序角色、程序集、用戶、角色、應用程序角色、程序集、消息類型、路由、服務、遠程服務綁消息類型、路由、服務、遠程服務綁定、全文目錄、證書、非對稱密鑰、定、全文目錄、證書、非對稱密鑰、對稱密鑰、約定、架構對稱密鑰、約定、架構架構架構類型、類型、XML 架構集合、對象架構集合、對象對象對象聚合、約束、函數、過程、隊列、統計聚合、約束、函數、過程、隊列、統計信息、同義詞、表、視圖信息、同義詞、表、視圖 SQL Server 2005數據庫應用技術數據庫應用技術 清

34、華大學出版社清華大學出版社權限的管理權限的管理 權限管理指將安全對象的權限授予主體、取消或禁止主體對安全對象的權限。 SQL Server通過驗證主體是否已獲得適當的權限來控制主體對安全對象執行的操作。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社權限類別權限類別 權限權限描描 述述CONTROL授予類似所有權的能力授予被授予者。被授權者實際上對安全對象具有所定義授予類似所有權的能力授予被授予者。被授權者實際上對安全對象具有所定義的所有權限。的所有權限。 TAKE OWNERSHIP允許被授權者獲取所授予的安全對象的所有權。允許被授權者獲取所授予的安

35、全對象的所有權。VIEW DEFINITION允許定義視圖。如果用戶具有該權限，就利用表或函數定義視圖允許定義視圖。如果用戶具有該權限，就利用表或函數定義視圖CREATE允許創建對象允許創建對象ALTER允許創建（允許創建（CREATE）、更改（）、更改（ALTER）或刪除（）或刪除（DELETE）受保護的對象）受保護的對象及其下層所有的對象及其下層所有的對象 SELECT允許允許“看看”數據。如果用戶具有該權限，就可以在授權的表或視圖上運行數據。如果用戶具有該權限，就可以在授權的表或視圖上運行SELECT語句語句INSERT允許插入新行。允許插入新行。UPDATE允許修改表中現有的數據。允許

36、修改表中現有的數據。 但不允許添加或刪除表中的行。當用戶在某一列上但不允許添加或刪除表中的行。當用戶在某一列上獲得這個權限時，只能修改該列的數據獲得這個權限時，只能修改該列的數據DELETE允許刪除數據行。允許刪除數據行。 REFERENCE允許插入行，這里被插入的表具有外鍵約束，參照了用戶允許插入行，這里被插入的表具有外鍵約束，參照了用戶SELECT權限的另一權限的另一張表張表EXECUTE允許執行一個特定存儲過程允許執行一個特定存儲過程 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社主要安全對象權限主要安全對象權限 安全對象權限數據庫數據庫BACK

37、UP DATABASE、BACKUP LOG、CREATE DATABASE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE 和和 CREATE VIEW標量函數標量函數EXECUTE 和和 REFERENCES表值函數、表值函數、表、視圖表、視圖DELETE、INSERT、REFERENCES、SELECT 和和 UPDATE存儲過程存儲過程DELETE、EXECUTE、INSERT、SELECT 和和 UPDATE SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華

38、大學出版社架構架構u每個用戶都有一個默認架構每個用戶都有一個默認架構 u如果未定義默認架構，則數據庫用戶將把如果未定義默認架構，則數據庫用戶將把 DBODBO作為其作為其默認架構。默認架構。 u完全限定的對象名稱現在包含四部分：完全限定的對象名稱現在包含四部分：server.database.schema.objectserver.database.schema.object。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社使用使用Management StudioManagement Studio管理權限管理權限 SQL Server 2005數據庫

39、應用技術數據庫應用技術 清華大學出版社清華大學出版社使用使用Tractans-SQLTractans-SQL管理權限管理權限 uGRANTGRANT用來把權限授予某一用戶，以允許用來把權限授予某一用戶，以允許該用戶執行針對該對象的操作。該用戶執行針對該對象的操作。 uREVOKEREVOKE：取消用戶對某一對象或語句的：取消用戶對某一對象或語句的權限，這些權限是經過權限，這些權限是經過GRANTGRANT語句授予的。語句授予的。 uDENYDENY用來禁止用戶對某一對象或語句的用來禁止用戶對某一對象或語句的權限，明確禁止其對某一用戶對象，執權限，明確禁止其對某一用戶對象，執行某些操作行某些操作

40、。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社例子例子u授予用戶授予用戶 test test 對數據庫的對數據庫的 CREATE TABLE CREATE TABLE 權限。權限。uGRANT CREATE TABLE TO testu撤銷用戶撤銷用戶test test 對客戶表的對客戶表的SELECTSELECT權限。權限。uREVOKE SELECT ON OBJECT:客戶客戶 FROM testu拒絕用戶拒絕用戶 test test 對數據庫中客戶表的對數據庫中客戶表的 SELECT SELECT 權限。權限。uDENY SELECT ON

41、 OBJECT:客戶客戶 TO test SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社11.5 SQL Server200511.5 SQL Server2005角色角色u角色是引進的用來集中管理數據庫或服務器權限的概角色是引進的用來集中管理數據庫或服務器權限的概念。角色等價于念。角色等價于WindowsWindows的工作組，將登錄名或用戶的工作組，將登錄名或用戶賦予一個角色，將權限給予角色，登錄名或用戶作為賦予一個角色，將權限給予角色，登錄名或用戶作為角色成員，繼承了所屬角色的權限。角色成員，繼承了所屬角色的權限。uSQL Server2005S

42、QL Server2005中角色分為三類：中角色分為三類：u服務器角色服務器角色u數據庫角色數據庫角色u固有數據庫角色固有數據庫角色u用戶自定義數據庫角色用戶自定義數據庫角色u應用程序角色應用程序角色 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社服務器角色uSQL Server SQL Server 在服務器級提供了固定服務器角色，用在服務器級提供了固定服務器角色，用戶不能增加、修改和刪除服務器角色。戶不能增加、修改和刪除服務器角色。u1.1.固定服務器角色固定服務器角色u固定服務器角色是一些系統定義好操作權限的用戶組，固定服務器角色是一些系統定義好

43、操作權限的用戶組，其中的成員是登錄帳戶。服務器角色不能增加或刪除，其中的成員是登錄帳戶。服務器角色不能增加或刪除，只能對其中的成員進行修改。只能對其中的成員進行修改。u常用的固定服務器角色有：常用的固定服務器角色有：sysadminsysadmin、serveradminserveradmin、securityadminsecurityadmin、 dbcreatordbcreator、diskadmindiskadmin、processadminprocessadmin、setupadminsetupadmin和和bulkadminbulkadmin SQL Server 2005數據庫應用

44、技術數據庫應用技術 清華大學出版社清華大學出版社固定服務器角色的權限固定服務器角色的權限u（1 1）sysadminsysadmin擁有最高的權限，可以執行服務器范圍內的一切擁有最高的權限，可以執行服務器范圍內的一切操作。操作。u（2 2）SecurityadminSecurityadmin可以在服務器范圍內進行有關權限的一切管可以在服務器范圍內進行有關權限的一切管理操作。如管理登錄帳戶，管理數據庫對象權限，閱讀日志文件理操作。如管理登錄帳戶，管理數據庫對象權限，閱讀日志文件等。等。u（3 3）serveradminserveradmin可以設置服務器范圍的配置選項，關閉服務器。可以設置服務器

45、范圍的配置選項，關閉服務器。u（4 4）DbcreatorDbcreator可以創建、更改、刪除和還原任何數據庫。可以創建、更改、刪除和還原任何數據庫。u（5 5）setupadminsetupadmin可以管理連接服務器和執行某些系統存儲過程。可以管理連接服務器和執行某些系統存儲過程。u（6 6）processadminprocessadmin可以管理在可以管理在SQL ServerSQL Server中運行的進程。中運行的進程。u（7 7）diskadmindiskadmin可以管理數據庫在磁盤的文件?？梢怨芾頂祿煸诖疟P的文件。u（8 8）bulKadminbulKadmin可以執行大容

46、量插入操作，可以執行大容量插入操作，指以用戶指定的個數指以用戶指定的個數將數據文件加載到數據表或視圖將數據文件加載到數據表或視圖。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社2. 2. 數據庫角色數據庫角色u數據庫角色是用來管理數據庫用戶的權限。數據庫角色是用來管理數據庫用戶的權限。SQL SQL ServerServer在數據庫級提供了固定的數據庫級角色。用戶在數據庫級提供了固定的數據庫級角色。用戶不能修改固定數據庫級角色的權限，也不能刪除固定不能修改固定數據庫級角色的權限，也不能刪除固定數據庫級角色。但用戶可以自己創建新的數據庫角色，數據庫級角

47、色。但用戶可以自己創建新的數據庫角色，再分配權限給新建的角色。再分配權限給新建的角色。 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社 SQL Server 2005數據庫應用技術數據庫應用技術 清華大學出版社清華大學出版社固定數據庫角色的權限固定數據庫角色的權限uPublicPublic：維持所有的默認權限。：維持所有的默認權限。uDb_owerDb_ower：可以執行所有數據庫角色的活動。：可以執行所有數據庫角色的活動。uDb_accessadminDb_accessadmin：可以加入或刪除數據庫用戶、組和：可以加入或刪除數據庫用戶、組和角色。角色。uDb_ddladminDb_ddladmin：可以加入、修改或刪除數據庫對象。：可以加入、修改或刪除數據庫對象。u