第9章 SQL Server的權(quán)限管理與代理服務(wù)

1、第第9章章 SQL Server的權(quán)限管理與代理服務(wù)的權(quán)限管理與代理服務(wù)本章內(nèi)容：本章內(nèi)容：SQL Server 2000的安全機制的安全機制 ；創(chuàng)建和管理登錄賬戶；創(chuàng)建和管理登錄賬戶；數(shù)據(jù)庫用戶的管理；數(shù)據(jù)庫用戶的管理；權(quán)限的概念及管理；權(quán)限的概念及管理；角色的管理；角色的管理；SQL Server的的代理服務(wù)與作業(yè)；代理服務(wù)與作業(yè)；9.1 SQL Server 2000的安全機制的安全機制 SQL Server 2000 的安全性管理是建立在認(rèn)證（authentication）和訪問許可（permission）兩者機制上的。 在SQL Server 的安全模型中包括以下幾部分：SQL Se

2、rver 登錄數(shù)據(jù)庫用戶權(quán)限角色 9.1.1 SQL Server 登錄認(rèn)證簡介登錄認(rèn)證簡介 1.WINDOWS 認(rèn)證模式 2. NT 作為網(wǎng)絡(luò)操作系統(tǒng)本身就具備管理登錄驗證用戶合法性的能力，所以WINDOWS 認(rèn)證模式正是利用這一用戶安全性和賬號管理的機制允許SQLServer 也可以使用NT 的用戶名和口令。在該模式下，用戶只要通過WINDOWS 的認(rèn)證就可連接到SQL Server ，而SQL Server 本身也沒有必要管理一套登錄數(shù)據(jù)。 3.2. 混合認(rèn)證模式 4. 在混合認(rèn)證模式下WINDOWS 認(rèn)證和SQL Server 認(rèn)證這兩種認(rèn)證模式都是可用的，NT 的用戶既可以使用NT

3、認(rèn)證，也可以使用SQL Server 認(rèn)證 9.1.2 SQL Server認(rèn)證模式設(shè)置認(rèn)證模式設(shè)置 9.2 管理管理SQL Server 登錄登錄 9.2.1 用企業(yè)管理器管理用企業(yè)管理器管理SQL Server 登錄登錄 9.2.2 使用使用TSQL管理管理SQL Server登錄登錄 1 sp_addlogin創(chuàng)建新的使用SQL Server 認(rèn)證模式的登錄賬號，其語法格式為： sp_addlogin 登錄名稱登錄名稱，登錄密碼登錄密碼，默認(rèn)默認(rèn)數(shù)據(jù)庫數(shù)據(jù)庫，默認(rèn)語言默認(rèn)語言 2sp_droploginSQL Server 中刪除該登錄賬號，禁止其訪問SQL Server 其語法格式為：

4、 sp_droplogin 登錄名稱登錄名稱 3. sp_grantlogin設(shè)定一WINDOWS NT 用戶或用戶組為SQL Server 登錄者，其語法格式為: sp_grantlogin 登錄名稱登錄名稱 4. sp_denylogin拒絕某一NT 用戶或用戶組連接到SQL Server ,其命令格式為： sp_grantlogin 登錄名稱登錄名稱 5. sp_revokelogin用來刪除NT 用戶或用戶組在SQL Server 上的登錄信息，其語法格式為： sp_revokelogin 登錄名稱登錄名稱 6. sp_helploginssp_helplogins 用來顯示SQL S

5、erver 所有登錄者的信息，包括每一個數(shù)據(jù)庫里與該登錄者相對應(yīng)的用戶名稱。其語法格式為： sp_helplogins 登錄名稱登錄名稱 9.3 數(shù)據(jù)庫的用戶數(shù)據(jù)庫的用戶 9.3.1 數(shù)據(jù)庫用戶簡介數(shù)據(jù)庫用戶簡介 數(shù)據(jù)庫用戶用來指出哪一個人可以訪問哪一個數(shù)據(jù)庫。在一個數(shù)據(jù)庫中用戶ID惟一標(biāo)識一個用戶，用戶對數(shù)據(jù)的訪問權(quán)限以及對數(shù)據(jù)庫對象的所有關(guān)系都是通過用戶賬號來控制的。用戶賬號總是基于數(shù)據(jù)庫的，即兩個不同數(shù)據(jù)庫中可以有兩個相同的用戶賬號。 9.3.2 管理數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶 1利用企業(yè)管理器管理數(shù)據(jù)庫用戶 2利用系統(tǒng)過程管理數(shù)據(jù)庫用戶 （1） 創(chuàng)建新數(shù)據(jù)庫用戶 其語法格式為： sp_s

6、p_grantdbaccessgrantdbaccess 登錄賬號名稱登錄賬號名稱， 用戶賬號用戶賬號名稱名稱 （2） 刪除數(shù)據(jù)庫用戶 語法格式為： sp_sp_revokedbaccessrevokedbaccess 用戶賬號名稱用戶賬號名稱 （3） 查看數(shù)據(jù)庫用戶信息語法格式為： sp_sp_helpuserhelpuser 用戶賬號名稱用戶賬號名稱 9.4 權(quán)限管理權(quán)限管理 9.4.1 權(quán)限管理簡介權(quán)限管理簡介 1對象權(quán)限 對 象操 作表SELECT INSERT UPDATE DELETE REFERENCE視圖SELECT UPDATE INSERT DELETE存儲過程EXECUT

7、E列SELECT UPDATE2語句權(quán)限 語句權(quán)限主要指用戶是否具有權(quán)限來執(zhí)行某一語句，這些語句通常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫、表、存儲過程等。l GRANT 用來把權(quán)限授予某一用戶，以允許該用戶執(zhí)行針對該對象的操作（如UPDATE、SELECT、DELETE、EXECUTE）或允許其運行某些語句（如CREATE TABLE、CRETAE DATABASE）；l REVOKE 取消用戶對某一對象或語句的權(quán)限，這些權(quán)限是經(jīng)過GRANT 語句授予的不允許該用戶執(zhí)行針對數(shù)據(jù)庫對象的某些操作（如UPDATE、SELECT、DELETE、EXECUTE）或不允許其運行某些語句（如CREATE

8、TABLE、CREATE DATABASE DENY 用來禁止用戶對某一對象或語句的權(quán)限，明確禁止其對某一用戶對象執(zhí)行某些操作（如UPDATE、SELECT、DELETE、EXECUTE）或運行某些語句（如CREATE TABLE、CREATE DATABASE）。 管理語句權(quán)限命令的語法規(guī)則如下： GRANT GRANT 語句名稱語句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬戶名稱 , ,nn DENY DENY 語句名稱語句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬戶名稱 , ,nn REVOKE REVOKE 語句名稱語句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬

9、戶名稱 , ,nn 管理對象權(quán)限的語法命令如下 ： GRANT GRANT 權(quán)限名稱權(quán)限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲過程名存儲過程名 TO TO 用戶賬戶名稱用戶賬戶名稱 DENY DENY 權(quán)限名稱權(quán)限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲過程名存儲過程名 TO TO 用戶賬戶名稱用戶賬戶名稱 REVOKE REVOKE 權(quán)限名稱權(quán)限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲過程存儲過程名名 FROM FROM 用戶賬戶名稱用戶賬戶名稱 9.4.2 利用企業(yè)管理器管理權(quán)限利用企業(yè)管理器管理權(quán)限 1

10、面向單一用戶的權(quán)限設(shè)置 2面向數(shù)據(jù)庫對象的權(quán)限設(shè)置 9.5角色管理角色管理 9.5.1 角色管理簡介角色管理簡介 在SQL Server 中主要有兩種角色類型：服務(wù)器角色與數(shù)據(jù)庫角色。 1服務(wù)器角色 服務(wù)器角色是指根據(jù)SQL Server 的管理任務(wù)，以及這些任務(wù)相對的重要性等級，來把具有SQL Server 管理職能的用戶劃分成不同的用戶組，每一組所具有管理SQL Server的權(quán)限已被預(yù)定義服務(wù)器角色，適用在服務(wù)器范圍內(nèi)并且其權(quán)限不能被修改。 2數(shù)據(jù)庫角色 SQL Server 提供了兩種數(shù)據(jù)庫角色：類型預(yù)定義的數(shù)據(jù)庫角色；用戶自定義的數(shù)據(jù)庫角色。 1）預(yù)定義數(shù)據(jù)庫角色 預(yù)定義數(shù)據(jù)庫角色是

11、指這些角色所有具有的管理、訪問數(shù)據(jù)庫權(quán)限已被SQL Server定義，并且SQL Server 管理者不能對其所具有的權(quán)限進行任何修改。 2）用戶自定義的數(shù)據(jù)庫角色 9.5.2 角色的管理角色的管理 1管理服務(wù)器角色 使用企業(yè)管理器查看服務(wù)器角色 使用存儲過程管理服務(wù)器角色 sp_sp_addsrvrolememberaddsrvrolemember 是將某一登錄加入到服務(wù)器角色內(nèi)，使其成為該角色的成員。其語法格式為： sp_sp_addsrvrolememberaddsrvrolemember 登錄者名稱登錄者名稱 ， 服務(wù)器角色服務(wù)器角色 sp_sp_dropsrvrrolememberd

12、ropsrvrrolemember 用來將某一登錄者從某一服務(wù)器角色中刪除，當(dāng)該成員從服務(wù)器角色中被刪除后，便不再具有該服務(wù)器角色所設(shè)置的權(quán)限。其語法格式為： sp_sp_dropsrvrolememberdropsrvrolemember 登錄者名稱登錄者名稱 ， 服務(wù)器角色服務(wù)器角色 2、管理數(shù)據(jù)庫角色 使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫角色 使用存儲過程管理數(shù)據(jù)庫角色使用存儲過程管理數(shù)據(jù)庫角色 sp_sp_addrole addrole 系統(tǒng)存儲過程是用來創(chuàng)建新數(shù)據(jù)庫角色。語法格式為：系統(tǒng)存儲過程是用來創(chuàng)建新數(shù)據(jù)庫角色。語法格式為： sp_sp_addroleaddrole 要創(chuàng)建的數(shù)據(jù)庫角色名稱

13、要創(chuàng)建的數(shù)據(jù)庫角色名稱 ， 數(shù)據(jù)庫角色的所有者數(shù)據(jù)庫角色的所有者 sp_sp_droprole droprole 用來刪除數(shù)據(jù)庫中某一自定義的數(shù)據(jù)庫角色，其語法用來刪除數(shù)據(jù)庫中某一自定義的數(shù)據(jù)庫角色，其語法格式為：格式為： sp_sp_droproledroprole 要刪除的數(shù)據(jù)庫角色名稱要刪除的數(shù)據(jù)庫角色名稱 sp_sp_helprole helprole 用來顯示當(dāng)前數(shù)據(jù)庫所有的數(shù)據(jù)庫角色的全部信息，用來顯示當(dāng)前數(shù)據(jù)庫所有的數(shù)據(jù)庫角色的全部信息，其語法格式為：其語法格式為： sp_sp_helprolehelprole 預(yù)定義的數(shù)據(jù)庫角色預(yù)定義的數(shù)據(jù)庫角色 sp_sp_addroleme

14、mber addrolemember 用來向數(shù)據(jù)庫某一角色中添加數(shù)據(jù)庫用戶，這些用來向數(shù)據(jù)庫某一角色中添加數(shù)據(jù)庫用戶，這些角色可是用戶自定義的標(biāo)準(zhǔn)角色，也可以是預(yù)定義的數(shù)據(jù)庫角色，角色可是用戶自定義的標(biāo)準(zhǔn)角色，也可以是預(yù)定義的數(shù)據(jù)庫角色，但不能是應(yīng)用角色。其語法格式為：但不能是應(yīng)用角色。其語法格式為： sp_sp_addrolememberaddrolemember 數(shù)據(jù)庫角色數(shù)據(jù)庫角色 ， 數(shù)據(jù)庫用戶角色或數(shù)據(jù)庫用戶角色或NT NT 用戶用戶或用戶組或用戶組 9.6 配置配置SQL Server代理服務(wù)代理服務(wù) SQL Server 代理服務(wù)是一個任務(wù)規(guī)劃器和警報管理器，負(fù)責(zé)SQL Serv

15、er中的自動化工作。代理以Windows服務(wù)形式運行，負(fù)責(zé)執(zhí)行安排的任務(wù)。在實際應(yīng)用環(huán)境下，通過它可以將那些周期性的活動定義成一個任務(wù)，而讓其在SQLServer 代理幫助下自動運行。系統(tǒng)管理員還可以利用SQL Server 代理通知一些警告信息來定位出現(xiàn)的問題，從而提高管理效率。SQL Server Agent 主要包括以下幾個組件：作業(yè)、警報和操作。 9.7 定義操作員 操作員是指接收由SQL Server 代理發(fā)送來的消息的對象。在SQL Server 中可以通過郵件尋呼或網(wǎng)絡(luò)傳送來把警報消息通知給操作員，從而讓其了解系統(tǒng)處于哪種狀態(tài)或發(fā)生了什么事件。 9.8 作業(yè)作業(yè) 作業(yè)是指被定義的多步執(zhí)行的任務(wù)，每一步都是可能執(zhí)行的T-SQL 語句代表一個任務(wù)作業(yè)。是典型的規(guī)劃任務(wù)和自動執(zhí)行任務(wù)，數(shù)據(jù)庫的備份和恢復(fù)，數(shù)據(jù)的復(fù)制，數(shù)據(jù)的導(dǎo)入/導(dǎo)出等都可以被定義成作業(yè)，然后在規(guī)劃的時間由SQL Server 代理來自動完成。 9.9 警報警報 在SQL Server 中通過警報管理器定義警報，當(dāng)某些特定的事件發(fā)生時會自動報警。當(dāng)警報被觸發(fā)時，通過電子郵件或?qū)ず敉ㄖ僮鲉T，從而讓操作員了解系統(tǒng)中發(fā)生了什么事件，比如，數(shù)據(jù)庫使用空間不夠了，或