第17講數據庫的安全管理數據庫技術

--SQLServer信息工程學院《數據庫技術》課程組教學任務發布任務背景描述：在“Exam”數據庫中，所有相關的數據均存放在7個不同的數據表中，表間的數據彼此關聯，用戶根據自己的數據需求在數據庫中可以進行各種各樣的操作。數據庫的大門是向任何用戶敞開的嗎？用戶進入到這個數據海洋能為所欲為嗎？工作任務之：身份驗證模式（數據庫服務器登錄的安全性）用戶管理角色管理√（數據庫使用的安全性）權限管理17.3角色管理角色是一種權限機制。SQLServer管理員可以將某些用戶設置為某一角色，這樣只對角色進行權限設置便可實現對多個用戶權限的設置，便于管理。在SQLServer中主要有兩種角色類型服務器級角色數據庫級角色17.3角色管理-服務器角色管理從最低級別的角色（bulkadmin）到最高級別的角色（sysadmin）的順序分析各角色權限：Bulkadmin：這個服務器角色的成員可以運行BULK

INSERT語句。這條語句允許從文本文件中將數據導入到SQL

Server

2008數據庫中，為需要執行大容量插入到數據庫的域賬戶而設計。

Dbcreator：這個服務器角色的成員可以創建、更改、刪除和還原任何數據庫。這不僅是適合助理DBA的角色，也可能是適合開發人員的角色。Diskadmin：這個服務器角色用于管理磁盤文件，比如鏡像數據庫和添加備份設備。它適合助理DBA。17.3角色管理-服務器角色管理Processadmin：SQL

Server

2008能夠多任務化，也就是說可以通過執行多個進程做多個事件。例如，SQL

Server

2008可以生成一個進程用于向高速緩存寫數據，同時生成另一個進程用于從高速緩存中讀取數據。這個角色的成員可以結束（在SQLServer2008中稱為刪除）進程。Securityadmin：這個服務器角色的成員將管理登錄名及其屬性。他們可以授權、拒絕和撤銷服務器級權限。也可以授權、拒絕和撤銷數據庫級權限。另外，它們可以重置SQLServer2008登錄名的密碼。Serveradmin：這個服務器角色的成員可以更改服務器范圍的配置選項和關閉服務器。例如SQLServer2008可以使用多大內存或監視通過網絡發送多少信息，或者關閉服務器，這個角色可以減輕管理員的一些管理負擔。17.3角色管理-服務器角色管理2.與服務器級角色相關的操作與命令瀏覽固定服務器角色的權限

execsp_srvrolepermission'sysadmin'注：sysadmin就是一種服務器角色將登錄名添加到某個固定服務器角色中

execsp_addsrvrolemember'login',''role'從固定服務器角色中刪除登錄名

execsp_dropsrvrolemember'login','role'注意：不能添加、修改或刪除固定服務器角色。只有固定服務器角色的成員才能執行上述兩個系統過程來從角色中添加或刪除登錄賬戶。17.3角色管理-數據庫角色管理3.數據庫級角色為便于管理數據庫中的權限，SQLServer提供了若干角色，這些角色是指對數據庫具有相同訪問權限的用戶和組的集合。數據庫級角色的權限作用域為數據庫范圍。SQLServer中有兩種類型的數據庫級角色：數據庫中預定義的“固定數據庫角色”用戶可以創建的“靈活數據庫角色”17.3角色管理-數據庫角色管理固定數據庫角色固定數據庫角色是指這些角色所具有的權限已被SQLServer定義，并且SQLServer管理員不能對其所具有的權限進行任何修改。固定數據庫角色與相應的權限如下表所示：17.3角色管理-數據庫角色管理微軟提供了9個內置的角色，以便于在數據庫級別授予用戶特殊的權限集合：db_owner:該角色的用戶可以在數據庫中執行任何操作。

db_accessadmin:該角色的成員可以從數據庫中增加或者刪除用戶。

db_backupopperator:該角色的成員允許備份數據庫。

db_datareader:該角色的成員允許從任何表讀取任何數據。

db_datawriter:該角色的成員允許往任何表寫入數據。

db_ddladmin：該角色的成員允許在數據庫中增加、修改或者刪除任何對象（即可以執行任何DDL語句）。17.3角色管理-數據庫角色管理微軟提供了9個內置的角色，以便于在數據庫級別授予用戶特殊的權限集合：db_denydatareader:該角色的成員被拒絕查看數據庫中的任何數據，但是他們仍然可以通過存儲過程來查看。

db_denydatawriter:

像db_denydatareader角色，該角色的成員被拒絕修改數據庫中的任何數據，但是他們仍然可以通過存儲過程來修改。

db_securityadmin:該角色的成員可以更改數據庫中的權限和角色。

public：在SQL

Server

2008中每個數據庫用戶都屬于public數據庫角色。當尚未對某個用戶授予或者拒絕對安全對象的特定權限時，這該用戶將據稱授予該安全對象的public角色的權限，這個數據庫角色不能被刪除。身份驗證模式（數據庫服務器登錄的安全性）db_datareader:該角色的成員允許從任何表讀取任何數據。與服務器級角色相關的操作與命令3角色管理-數據庫角色管理3角色管理-服務器角色管理3角色管理-數據庫角色管理3角色管理-數據庫角色管理用戶自定義的數據庫角色SQLServer2008共有9種預定義的服務器角色：在SQLServer中主要有兩種角色類型3角色管理-數據庫角色管理微軟提供了9個內置的角色，以便于在數據庫級別授予用戶特殊的權限集合：他們可以授權、拒絕和撤銷服務器級權限。從最低級別的角色（bulkadmin）到最高級別的角色（sysadmin）的順序分析各角色權限：db_backupop