第12章--數(shù)據(jù)庫的安全管理

1、1第第12章章 數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 2本章主要內(nèi)容本章主要內(nèi)容u理解理解SQL Sever 的安全機制的安全機制u了解登錄和用戶的概念了解登錄和用戶的概念u掌握權限管理策略掌握權限管理策略u掌握角色管理策略掌握角色管理策略31212.1 .1 SQL Server SQL Server 的安全性機制的安全性機制 在介紹安全管理之前，首先看一下在介紹安全管理之前，首先看一下SQL Server SQL Server 是如何保證數(shù)據(jù)庫安全性是如何保證數(shù)據(jù)庫安全性的，即了解的，即了解SQL Server SQL Server 安全機制。安全機制。41212.1.1.1.1安全性問題安全

2、性問題理解安全性問題是理解數(shù)據(jù)庫管理系統(tǒng)安全性機制的前提。下面結合理解安全性問題是理解數(shù)據(jù)庫管理系統(tǒng)安全性機制的前提。下面結合Microsoft SQL Server 2008 R2系統(tǒng)的安全特征，分析安全性問題和安系統(tǒng)的安全特征，分析安全性問題和安全性機制之間的關系。全性機制之間的關系。第一個安全性問題是：當用戶登錄數(shù)據(jù)庫系統(tǒng)時，如何確保只有合法第一個安全性問題是：當用戶登錄數(shù)據(jù)庫系統(tǒng)時，如何確保只有合法的用戶才能登錄到系統(tǒng)中呢？這是一個最基本的安全性問題，也是數(shù)的用戶才能登錄到系統(tǒng)中呢？這是一個最基本的安全性問題，也是數(shù)據(jù)庫管理系統(tǒng)提供的基本功能。在據(jù)庫管理系統(tǒng)提供的基本功能。在Micro

3、soft SQL Server 2008 R2系統(tǒng)系統(tǒng)中，這個問題是通過身份驗證模式解決的。中，這個問題是通過身份驗證模式解決的。 身份驗證模式是身份驗證模式是Microsoft SQL Server 2008 R2系統(tǒng)驗證客戶端和服系統(tǒng)驗證客戶端和服務器之間連接的方式。務器之間連接的方式。Microsoft SQL Server 2008 R2系統(tǒng)提供了兩種系統(tǒng)提供了兩種身份驗證模式，身份驗證模式，Windows身份驗證模式和混合模式身份驗證模式和混合模式5 兩種確認用戶的驗證模式。兩種確認用戶的驗證模式。vWindows驗證模式驗證模式：利用了利用了Windows本身具備的管理登錄、本身具

4、備的管理登錄、驗證用戶合法性的能力，允許驗證用戶合法性的能力，允許SQL Server用戶登錄時使用用戶登錄時使用Windows的用戶名和口令。的用戶名和口令。 v混合驗證模式混合驗證模式：混合驗證模式接受混合驗證模式接受Windows授權用戶和授權用戶和SQL授授權用戶。如果不是權用戶。如果不是Windows操作系統(tǒng)的用戶也希望使用操作系統(tǒng)的用戶也希望使用SQL Server，那么應該選擇混合驗證模式。，那么應該選擇混合驗證模式。SQL Server推薦使用推薦使用Windows驗證模式。驗證模式。6 第二個安全性問題是：當用戶登錄到系統(tǒng)中，可以執(zhí)行哪些第二個安全性問題是：當用戶登錄到系統(tǒng)中

5、，可以執(zhí)行哪些操操作，作，使用哪些對象和資源呢？這也是一個非?；镜陌踩珕栴}，在使用哪些對象和資源呢？這也是一個非常基本的安全問題，在Microsoft SQL Server 2008 R2Microsoft SQL Server 2008 R2系統(tǒng)中，這個問題是通過安全對象系統(tǒng)中，這個問題是通過安全對象和權限設置來實現(xiàn)的。和權限設置來實現(xiàn)的。 第三個安全性問題是：數(shù)據(jù)庫中的對象第三個安全性問題是：數(shù)據(jù)庫中的對象由誰所有？如果由用戶所有，那么當用由誰所有？如果由用戶所有，那么當用戶被刪除時，其所擁有的對象怎么辦呢？戶被刪除時，其所擁有的對象怎么辦呢？數(shù)據(jù)庫對象可以成為沒有所有者的數(shù)據(jù)庫對象可以

6、成為沒有所有者的 孤兒孤兒 嗎？在嗎？在Microsoft SQL Server 2008 R2Microsoft SQL Server 2008 R2系統(tǒng)中，這個問題是通過用戶和架構分系統(tǒng)中，這個問題是通過用戶和架構分離來解決的。在該系統(tǒng)中，用戶并不擁離來解決的。在該系統(tǒng)中，用戶并不擁有數(shù)據(jù)庫對象，架構可以擁有數(shù)據(jù)庫對有數(shù)據(jù)庫對象，架構可以擁有數(shù)據(jù)庫對象。用戶通過架構來使用數(shù)據(jù)庫對象。象。用戶通過架構來使用數(shù)據(jù)庫對象。這種機制使得刪除用戶時不必修改數(shù)據(jù)這種機制使得刪除用戶時不必修改數(shù)據(jù)庫對象的所有者，提高了數(shù)據(jù)庫對象的庫對象的所有者，提高了數(shù)據(jù)庫對象的可管理性。數(shù)據(jù)庫對象、架構和用戶之可管理

7、性。數(shù)據(jù)庫對象、架構和用戶之間的這種關系如圖間的這種關系如圖12-112-1所示。所示。圖12-1數(shù)據(jù)庫對象、架構和用戶之間的關系7v1. 操作系統(tǒng)級的安全性操作系統(tǒng)級的安全性v2. SQL Server 級的安全性級的安全性v3. 數(shù)據(jù)庫級的安全性。數(shù)據(jù)庫級的安全性。12.1.2 12.1.2 安全性機制安全性機制SQL ServerSQL Server的安全性管理可分為的安全性管理可分為3 3個等級：個等級：8v用戶連接到用戶連接到SQL Server SQL Server 賬戶都稱賬戶都稱SQL Server SQL Server 的登錄。用戶可以防止數(shù)據(jù)庫被未授權的用戶故的登錄。用戶可

8、以防止數(shù)據(jù)庫被未授權的用戶故意或無意地修改。意或無意地修改。SQL ServerSQL Server為每一用戶分配了為每一用戶分配了唯一的用戶名和密碼。同時，可以為不同賬號授唯一的用戶名和密碼。同時，可以為不同賬號授予不同的安全級別。予不同的安全級別。v數(shù)據(jù)庫用戶是數(shù)據(jù)庫級的主體，是登錄名在數(shù)據(jù)數(shù)據(jù)庫用戶是數(shù)據(jù)庫級的主體，是登錄名在數(shù)據(jù)庫中的映射，是在數(shù)據(jù)庫中執(zhí)行操作和活動的執(zhí)庫中的映射，是在數(shù)據(jù)庫中執(zhí)行操作和活動的執(zhí)行者。行者。12.2 12.2 管理登錄和用戶管理登錄和用戶912.2.1創(chuàng)建登錄名創(chuàng)建登錄名v登錄屬于服務器級的安全策略，要連接到數(shù)據(jù)庫，首先要登錄屬于服務器級的安全策略，要連

9、接到數(shù)據(jù)庫，首先要存在一個合法的登錄。在存在一個合法的登錄。在Microsoft SQL Server 2008 R2系統(tǒng)中，許多操作都既可以通過系統(tǒng)中，許多操作都既可以通過Transact-SQL語句完語句完成，也可以通過成，也可以通過Microsoft SQL Server Management Studio工具來完成。下面主要介紹如何使用工具來完成。下面主要介紹如何使用Microsoft SQL Server Management Studio工具創(chuàng)建登錄名。工具創(chuàng)建登錄名。v在在SSMS中創(chuàng)建登錄的步驟如下。中創(chuàng)建登錄的步驟如下。10（1）打開）打開SSMS并連接到目標并連接到目標服務

10、器，在服務器，在【對象資源管理對象資源管理器器】窗口中，單擊窗口中，單擊“安全性安全性”節(jié)點前的節(jié)點前的“”號，展開安號，展開安全節(jié)點。在全節(jié)點。在“登錄名登錄名”上單上單擊鼠標右鍵，彈出快捷菜單，擊鼠標右鍵，彈出快捷菜單，從中選擇從中選擇“新建登錄新建登錄（N）”命令，如圖命令，如圖12-2所示。所示。圖圖12-2 利用對象資源管理器創(chuàng)建登錄利用對象資源管理器創(chuàng)建登錄11v（2）出現(xiàn)）出現(xiàn)【登錄登錄名名】對話框，單對話框，單擊需要創(chuàng)建的登擊需要創(chuàng)建的登錄模式前的單選錄模式前的單選按鈕，選定驗證按鈕，選定驗證方式。如方式。如圖圖12-3所所示，并完成示，并完成“登登錄名錄名”、“密密碼碼”、“

11、確認密確認密碼碼”和其他參數(shù)和其他參數(shù)的設置。的設置。圖圖12-3 登錄名對話框登錄名對話框12圖12-4登錄名對話框的服務器角色頁面13v（4）選擇）選擇【登錄名登錄名】對對話框中的話框中的“用戶映射用戶映射”項，進入映射設置頁面，項，進入映射設置頁面，可以為這個新建的登錄可以為這個新建的登錄添加映射到此登錄名的添加映射到此登錄名的用戶，并添加數(shù)據(jù)庫角用戶，并添加數(shù)據(jù)庫角色，從而使該用戶獲得色，從而使該用戶獲得數(shù)據(jù)庫的相應角色對應數(shù)據(jù)庫的相應角色對應的數(shù)據(jù)庫權限。如的數(shù)據(jù)庫權限。如圖圖12-5所示。所示。圖圖12-5 登錄名對話框的用戶映射頁面登錄名對話框的用戶映射頁面 1412.2.2創(chuàng)建

12、創(chuàng)建用戶用戶v使用使用 Microsoft SQL Server Management Studio創(chuàng)建用戶的具體步驟如下。創(chuàng)建用戶的具體步驟如下。（1）打開SSMS并連接到目標服務器，在【對象資源管理器】窗口中，單擊“數(shù)據(jù)庫”節(jié)點前的“”號，展開數(shù)據(jù)庫節(jié)點。單擊要創(chuàng)建用戶的目標數(shù)據(jù)節(jié)點前的“”號，展開目標數(shù)據(jù)庫節(jié)點Northwind。單擊“安全性”節(jié)點前的“”號，展開“安全性”節(jié)點。在“用戶”上單擊鼠標右鍵，彈出快捷菜單，從中選擇“新建用戶（N）”命令，如圖12-6所示。圖 12-6利用對象資源管理器創(chuàng)建用戶15v（2）出現(xiàn)）出現(xiàn)【數(shù)據(jù)庫數(shù)據(jù)庫用戶新建用戶新建】對話框，對話框，在在“常規(guī)常規(guī)

13、”頁面中，頁面中，填寫填寫“用戶名用戶名”，選，選擇擇“登錄名登錄名”和和“默默認架構認架構”名稱。添加名稱。添加此用戶擁有的架構，此用戶擁有的架構，添加此用戶的數(shù)據(jù)庫添加此用戶的數(shù)據(jù)庫角色。如圖角色。如圖12-7所示所示。圖圖12-7 新建數(shù)據(jù)庫用戶新建數(shù)據(jù)庫用戶16v（3）在）在【數(shù)據(jù)庫用戶新建數(shù)據(jù)庫用戶新建】對話框的對話框的“選擇頁選擇頁”中選擇中選擇“安全對象安全對象”，進入權限設，進入權限設置頁面（即置頁面（即“安全對象安全對象”頁頁面），如圖面），如圖9-8所示。所示。“安全安全對象頁面對象頁面”主要用于設置數(shù)主要用于設置數(shù)據(jù)庫用戶擁有的能夠訪問的據(jù)庫用戶擁有的能夠訪問的數(shù)據(jù)庫對象

14、以及相應的訪問數(shù)據(jù)庫對象以及相應的訪問權限。單擊權限。單擊“添加添加”按鈕為按鈕為該用戶添加數(shù)據(jù)庫對象，并該用戶添加數(shù)據(jù)庫對象，并為添加的對象添加顯示權為添加的對象添加顯示權限。限。圖圖 12-8 數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶-新建對話框中的安全對象頁面新建對話框中的安全對象頁面最后，單擊【數(shù)據(jù)庫用戶新建】對話框底最后，單擊【數(shù)據(jù)庫用戶新建】對話框底部的部的“確定確定”，完成用戶創(chuàng)建。，完成用戶創(chuàng)建。1712.2.3設置登錄驗證模式設置登錄驗證模式v如果連接來自一個不安全的系統(tǒng)，我們可以使用身份驗證，如果連接來自一個不安全的系統(tǒng)，我們可以使用身份驗證，SQL Server 將驗證登錄將驗證登錄的身份，

15、即通過用戶提供的登錄名和與預先存儲在數(shù)據(jù)庫中的登錄名和密碼進行比的身份，即通過用戶提供的登錄名和與預先存儲在數(shù)據(jù)庫中的登錄名和密碼進行比較來完成身份驗證。較來完成身份驗證。v下面介紹如何在下面介紹如何在Microsoft SQL Server Management Studio工具中設置身份驗證模工具中設置身份驗證模式。式。（1）打開SSMS并連接到目標服務器，在【資源管理器】窗口中，在目標服務器上單擊鼠標右鍵，彈出快捷菜單，從中選擇“屬性”命令，如圖12-9所示。圖 12-9利用對象資源管理器設置身份驗證模式18v（2）出現(xiàn)）出現(xiàn)【服務服務器屬性器屬性】窗口，窗口，選擇選擇【選擇頁選擇頁】中

16、的中的“安全性安全性”選項，進入安全選項，進入安全性設置頁面，如性設置頁面，如圖圖12-10所示所示圖圖12-10 服務器屬性窗口的安全性頁面服務器屬性窗口的安全性頁面19v（3）在）在“服務器身份驗證服務器身份驗證”選選項級中選擇驗證模式前的單選項級中選擇驗證模式前的單選按鈕，選中需要的驗證模式。按鈕，選中需要的驗證模式。用戶還可以在用戶還可以在“登錄審核登錄審核”選選項級中設置需要的審核方式，項級中設置需要的審核方式，如如圖圖12-11所示。所示。圖圖12-11 服務器屬性服務器屬性審核方式取決于安全性要求，這四種審核級別的含義如下?！盁o”：不使用登錄審核?！皟H限失敗的登錄”：記錄所有的失

17、敗登錄。“僅限成功的登錄”：記錄所有的成功登錄。“失敗和成功的登錄”：記錄所有的登錄。最后單擊最后單擊“確定確定”按鈕，完成登錄驗證模式的設按鈕，完成登錄驗證模式的設置。置。20 角色用來簡化將很多權限分配給用戶這一復雜任務的管理。角色角色用來簡化將很多權限分配給用戶這一復雜任務的管理。角色允許用戶分組接受同樣的數(shù)據(jù)庫權限，而不用單獨給每一個用戶分配允許用戶分組接受同樣的數(shù)據(jù)庫權限，而不用單獨給每一個用戶分配這些權限。用戶可以使用系統(tǒng)自帶的角色，也可以創(chuàng)建一個代表一組這些權限。用戶可以使用系統(tǒng)自帶的角色，也可以創(chuàng)建一個代表一組用戶使用的權限角色，然后把這個角色分配給這個工作組的用戶。用戶使用的

18、權限角色，然后把這個角色分配給這個工作組的用戶。 一般而言，角色是為特定的工作組或者任務分類而設置的，用戶一般而言，角色是為特定的工作組或者任務分類而設置的，用戶可以根據(jù)自己所執(zhí)行的任務成為一個或多個角色的成員。當然用戶可可以根據(jù)自己所執(zhí)行的任務成為一個或多個角色的成員。當然用戶可以不必是任何角色的成員，也可以為用戶分配個人權限。以不必是任何角色的成員，也可以為用戶分配個人權限。21v在在SQL Server安裝時，數(shù)據(jù)庫級別上也有一些預定義的角色，在創(chuàng)建每安裝時，數(shù)據(jù)庫級別上也有一些預定義的角色，在創(chuàng)建每個數(shù)據(jù)庫時都會添加這些角色到新創(chuàng)建的數(shù)據(jù)庫中，每個角色對應著相個數(shù)據(jù)庫時都會添加這些角色

19、到新創(chuàng)建的數(shù)據(jù)庫中，每個角色對應著相應的權限。這些數(shù)據(jù)庫角色用于授權給數(shù)據(jù)庫用戶，擁有某種或某些角應的權限。這些數(shù)據(jù)庫角色用于授權給數(shù)據(jù)庫用戶，擁有某種或某些角色的用戶會獲得相應角色對應的權限。色的用戶會獲得相應角色對應的權限。12.3.112.3.1管理數(shù)據(jù)庫角色管理數(shù)據(jù)庫角色 在Microsoft SQL Server Management Studio中創(chuàng)建新的數(shù)據(jù)庫角色操作的具體步驟如下。22（1 1）展開要添加新角色）展開要添加新角色的目標數(shù)據(jù)庫，單擊的目標數(shù)據(jù)庫，單擊目標數(shù)據(jù)庫節(jié)點下的目標數(shù)據(jù)庫節(jié)點下的“安全性安全性”節(jié)點前的節(jié)點前的“+”+”號，展開此節(jié)號，展開此節(jié)點。然后在點。

20、然后在“角色角色”節(jié)點上單擊右鍵，彈節(jié)點上單擊右鍵，彈出快捷菜單，選擇快出快捷菜單，選擇快捷菜單中的捷菜單中的“新建新建”下下“ “ 新建數(shù)據(jù)庫角色新建數(shù)據(jù)庫角色”命令，出現(xiàn)命令，出現(xiàn)“數(shù)據(jù)庫數(shù)據(jù)庫角色角色- -新建新建”對話框，對話框，如圖如圖12-1212-12所示。所示。 圖圖12-12數(shù)據(jù)庫角色數(shù)據(jù)庫角色-新建對話框新建對話框23v（2 2）在）在“常規(guī)常規(guī)”選擇頁地選擇頁地“角色名稱角色名稱”框中框中輸入新角色的名稱。若不指定輸入新角色的名稱。若不指定“所有者所有者”，則創(chuàng)，則創(chuàng)建此角色的用戶是其所有者。建此角色的用戶是其所有者。v（3 3）單擊）單擊“添加添加”按鈕，選擇數(shù)據(jù)庫用戶

21、或按鈕，選擇數(shù)據(jù)庫用戶或者角色為此角色的成員。者角色為此角色的成員。（4 4）單擊）單擊“確定確定”按鈕，完成操作。按鈕，完成操作。 24v在在SQL ServerSQL Server安裝時就創(chuàng)建了在服務器級別上安裝時就創(chuàng)建了在服務器級別上應用的大量預定義的角色，每個角色對應著相應用的大量預定義的角色，每個角色對應著相應的管理權限。應的管理權限。Microsoft SQL Server 2008 R2Microsoft SQL Server 2008 R2系統(tǒng)提供了系統(tǒng)提供了9 9個固定服務器角色，這些角色及個固定服務器角色，這些角色及其功能如表其功能如表12-212-2所示。所示。12.3.

22、212.3.2固定服務器角色固定服務器角色25v表表12-2 固定服務器角色固定服務器角色26 在SSMS中，可以按以下步驟為用戶分配固定服務器角色，從而使該用戶獲取相應的權限。27（1 1）在）在【對象資源管理器對象資源管理器】中，單擊服務器前的中，單擊服務器前的“+”+”號，展開服務器節(jié)點。單號，展開服務器節(jié)點。單擊擊“安全性安全性”節(jié)點前的節(jié)點前的“+”+”號，展開安全性節(jié)號，展開安全性節(jié)點。這時在次節(jié)點下面可點。這時在次節(jié)點下面可以看到固定服務器角色，以看到固定服務器角色，如圖如圖9-139-13所示，在要給用所示，在要給用戶添加的目標角色上單擊戶添加的目標角色上單擊鼠標右鍵，彈出快捷

23、菜單，鼠標右鍵，彈出快捷菜單，從中選擇從中選擇“屬性（屬性（R R）”命令。命令。圖 12-13 利用對象資源管理器為用戶分配固定服務器角色28（2）出現(xiàn)【服務器角色屬性】對話框，如圖）出現(xiàn)【服務器角色屬性】對話框，如圖12-14所示，所示， 單擊單擊“添加（添加（A）”按鈕。按鈕。圖 12-14 服務器角色屬性對話框29v（3）出現(xiàn)）出現(xiàn)【選擇登陸名選擇登陸名】對話框，如對話框，如圖圖12-15所示，所示，單擊單擊“瀏覽（瀏覽（B）”按鈕。按鈕。圖 12-15 選擇登錄名對話框30 （4）出現(xiàn)）出現(xiàn)“查找對象查找對象”對話框，在該對話框中，選對話框，在該對話框中，選擇目標用戶前的復選框，選中

24、其用戶，如圖所示，擇目標用戶前的復選框，選中其用戶，如圖所示，最后單擊最后單擊“確定確定”按鈕。按鈕。圖12-15 查找對象對話框31（5）回到）回到【選擇登陸名選擇登陸名】對話框，可以看到選中的對話框，可以看到選中的目標用戶已包含在對話框中，確定無誤后，如圖所目標用戶已包含在對話框中，確定無誤后，如圖所示，單擊示，單擊“確定確定”按鈕。按鈕。圖12-16選擇登錄名對話框32 （6）回到）回到【服務器角色屬性服務器角色屬性】對話框，如圖對話框，如圖12-17所示。確定添加的用戶無誤后，單擊所示。確定添加的用戶無誤后，單擊“確定確定”按按鈕，完成為用戶分配角色的操作。鈕，完成為用戶分配角色的操作

25、。圖12-17 服務器角色屬性對話框3312.4 管理權限管理權限v12.4.1 數(shù)據(jù)庫的兩類權限數(shù)據(jù)庫的兩類權限v預先定義的權限和預先未定義的權限；預先定義的權限和預先未定義的權限；v針對所有對象的權限和針對特殊對象的權限。針對所有對象的權限和針對特殊對象的權限。 v針對所有對象的權限表示這種權限可以針對針對所有對象的權限表示這種權限可以針對SQL SQL ServerServer系統(tǒng)中所有的對象：系統(tǒng)中所有的對象：CONTROLCONTROL權限是所有對象權限是所有對象都有的權限。都有的權限。針對特殊對象的權限針對特殊對象的權限：是指某些權限只能在指定的是指某些權限只能在指定的對象上起作用

26、對象上起作用，例如例如INSERTINSERT可以是表的權限，但是可以是表的權限，但是不能是存儲過程的權限；而不能是存儲過程的權限；而EXECUTEEXECUTE可以是存儲過程可以是存儲過程的權限，但是不能是表的權限。的權限，但是不能是表的權限。34 ALTER ANY權限與ALTER權限是不同的。ALTER權限需要指定具體的安全對象，但是ALTER ANY權限則是與特定安全對象類型相關的權限，不針對某個具體的安全對象。例如，如果某個用戶擁有ALTER ANY LOGIN權限，那么表示其可以執(zhí)行創(chuàng)建、更改、刪除SQL Server實例中任何登錄名的權限。如果該用戶擁有ALTER ANY SCH

27、EMA權限，那么可以執(zhí)行創(chuàng)建、更改、刪除數(shù)據(jù)庫中任何架構的權限。CONTROL權限為被授權者授予類似所有權的功能，被授權者擁有對安全對象所定義的所有權限。在SQL Server系統(tǒng)中，由于安全模型是分層的，因此CONTROL權限在特定范圍內(nèi)隱含著對該范圍內(nèi)的所有安全對象的CONTROL權限。例如，如果ABCSERVERBobbie登錄名擁有對某個數(shù)據(jù)庫的CONTROL權限，那么該登錄名就會擁有對該數(shù)據(jù)庫的所有權限、所有架構的所有權限、架構內(nèi)所有對象的所有權限等。 ALTER權限為被授權者授予更改特定安全對象的屬性的權限，實際上這些權限可以包括該對象除所有權之外的權限。實際上，當授予對某個范圍內(nèi)

28、的ALTER權限時，也授予了更改、刪除或創(chuàng)建該范圍內(nèi)包含的任何安全對象的權限。例如，如果Tomson_HRM用戶擁有了對companyGManager架構的ALTER權限，那么該用戶擁有在該架構內(nèi)創(chuàng)建、更改、刪除對象的權限。35v數(shù)據(jù)庫對象是授予用戶以允許他們訪數(shù)據(jù)庫對象是授予用戶以允許他們訪問數(shù)據(jù)庫中對象的一類權限，對象權問數(shù)據(jù)庫中對象的一類權限，對象權限對于使用限對于使用SQL語句訪問表或者視圖語句訪問表或者視圖是必須的。是必須的。v在在Microsoft SQL Server Management中給用戶添加對象權限的具體步驟如中給用戶添加對象權限的具體步驟如下下 。12.4.2 12.

29、4.2 權限權限 管理操作管理操作圖圖12-18利用對象資源管理器為用戶添加對利用對象資源管理器為用戶添加對象權限象權限（1）依次單擊【對象資源管理器】窗口中樹型節(jié)點前的“”號，直到展開目標數(shù)據(jù)庫的“用戶”節(jié)點為止，如圖12-18所示。在“用戶”節(jié)點下面的目標用戶上單擊鼠標右鍵，彈出快捷菜單，從中選擇“屬性（R）”命令。36v（2）出現(xiàn)）出現(xiàn)【數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶】對話框，選擇對話框，選擇“選擇頁選擇頁”窗窗口中的口中的“安全對象安全對象”項，進項，進入權限設置頁面，單擊入權限設置頁面，單擊“添添加（加（A）”按鈕按鈕圖圖12-19數(shù)據(jù)庫用戶對話框數(shù)據(jù)庫用戶對話框 37v（3）出現(xiàn)）出現(xiàn)【添加

30、對象添加對象】對對話框，如圖話框，如圖12-20所示，單所示，單擊要添加的對象類別前的單擊要添加的對象類別前的單選按鈕，添加權限的對象類選按鈕，添加權限的對象類別，然后單擊別，然后單擊“確定確定”按鈕。按鈕。圖圖12-20添加對象對話添加對象對話框框38v（4）出現(xiàn)）出現(xiàn)【選擇對象選擇對象】對話框，如圖對話框，如圖12-21所所示，從中單擊示，從中單擊“對象對象類型類型”按鈕。按鈕。 圖圖12-21選擇對象對選擇對象對話框話框 39v（5）出現(xiàn)【選擇對象）出現(xiàn)【選擇對象類型】對話框，依次選類型】對話框，依次選擇需要添加權限的對象擇需要添加權限的對象類型前的復選框，選中類型前的復選框，選中其對象

31、，如圖其對象，如圖12-22所所示。最后單擊示。最后單擊“確定確定”按按鈕。鈕。圖圖12-22選擇對象類型對話框選擇對象類型對話框40v（6）回到【選擇對象】）回到【選擇對象】對話框，此時在該對話對話框，此時在該對話框中出現(xiàn)了剛才選擇的框中出現(xiàn)了剛才選擇的對象類型，如圖對象類型，如圖12-23所示，單擊該對話框中所示，單擊該對話框中的的“瀏覽（瀏覽（B）”按鈕。按鈕。圖圖12-23選擇對象對話選擇對象對話框框 41v（7）出現(xiàn)【查找對象】）出現(xiàn)【查找對象】對話框，依次選擇要添對話框，依次選擇要添加權限的對象前的復選加權限的對象前的復選框，選中其對象，如圖框，選中其對象，如圖12-24所示。最后

32、單擊所示。最后單擊“確定確定”按鈕。按鈕。圖圖12-24查找對象對話查找對象對話框框42v（8）又回到）又回到【選擇對選擇對象象】對話框，并且已包對話框，并且已包含了選擇的對象，如圖含了選擇的對象，如圖12-25所示。確定無誤所示。確定無誤后，單擊該對話框中的后，單擊該對話框中的“確定確定”按鈕，完成對按鈕，完成對象選擇操作。象選擇操作。圖圖12-25選擇對象對話選擇對象對話框框 43v（9）又回到）又回到【數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶】對對話框窗口，此窗口中已包含用戶話框窗口，此窗口中已包含用戶添加的對象，依次選擇每一個對添加的對象，依次選擇每一個對象，并在下面的該對象的象，并在下面的該對象的“顯示顯示權限權限”窗口中根據(jù)需要選擇窗口中根據(jù)需要選擇“授授予予/拒絕拒絕”列的復選框，添加或禁列的復選框，添加或禁止對該（表）對象的相應訪問權止對該（表）對象的相應訪問權限。設置完每一個對象的訪問權限。設置完每一個對象的訪問權限后，單擊限后，單擊“確定確定”按鈕，完成按鈕，完成給用戶添加數(shù)據(jù)庫對象權限所有給用