第12章 數(shù)據(jù)庫的安全性管理

1、第第12章章 數(shù)據(jù)庫的數(shù)據(jù)庫的安全性管理安全性管理河北工程大學(xué)河北工程大學(xué) 信電學(xué)院信電學(xué)院 崔冬崔冬數(shù)據(jù)庫原理與數(shù)據(jù)庫原理與SQL Server 2005應(yīng)用應(yīng)用SQL Server 2005SQL Server 2005教學(xué)目標(biāo)教學(xué)目標(biāo)了解了解SQL Server 2005的安全策略的安全策略掌握掌握SQL Server 2005的網(wǎng)絡(luò)配置的網(wǎng)絡(luò)配置掌握對掌握對Microsoft SQL Server實例、數(shù)據(jù)庫訪問的管理實例、數(shù)據(jù)庫訪問的管理掌握對實例、數(shù)據(jù)庫、應(yīng)用程序的角色管理掌握對實例、數(shù)據(jù)庫、應(yīng)用程序的角色管理了解數(shù)據(jù)庫架構(gòu)及其作用了解數(shù)據(jù)庫架構(gòu)及其作用掌握對掌握對SQL Serv

2、er實例、數(shù)據(jù)庫、表和列訪問的權(quán)限管實例、數(shù)據(jù)庫、表和列訪問的權(quán)限管理理掌握對可編程對象訪問的權(quán)限管理掌握對可編程對象訪問的權(quán)限管理 SQL Server 2005SQL Server 2005教學(xué)重點(diǎn)教學(xué)重點(diǎn)掌握掌握SQL Server 2005的網(wǎng)絡(luò)配置的網(wǎng)絡(luò)配置掌握對掌握對Microsoft SQL Server實例、數(shù)據(jù)庫訪問的管理實例、數(shù)據(jù)庫訪問的管理掌握對實例、數(shù)據(jù)庫、應(yīng)用程序的角色管理掌握對實例、數(shù)據(jù)庫、應(yīng)用程序的角色管理掌握對掌握對SQL Server實例、數(shù)據(jù)庫、表和列訪問的權(quán)限管實例、數(shù)據(jù)庫、表和列訪問的權(quán)限管理理掌握對可編程對象訪問的權(quán)限管理掌握對可編程對象訪問的權(quán)限管理

3、 SQL Server 2005SQL Server 2005教學(xué)過程教學(xué)過程 SQL Sever 的安全機(jī)制的安全機(jī)制 登錄和用戶登錄和用戶 角色管理角色管理 權(quán)限管理權(quán)限管理SQL Server 2005SQL Server 2005成功登錄客戶機(jī)成功登錄客戶機(jī)數(shù)據(jù)的加密和解密數(shù)據(jù)的加密和解密成功登錄服務(wù)器成功登錄服務(wù)器成功訪問數(shù)據(jù)庫成功訪問數(shù)據(jù)庫成功訪問數(shù)據(jù)對象成功訪問數(shù)據(jù)對象SQL Server 2005的安全機(jī)制的安全機(jī)制 客戶機(jī)客戶機(jī) 客戶機(jī)客戶機(jī) 客戶機(jī)客戶機(jī) Internet 或或LAN SQL Server 2005 服務(wù)器服務(wù)器 數(shù)據(jù)庫 數(shù)據(jù)庫 數(shù)據(jù)表、 報表、 查詢、數(shù)據(jù)

4、表、 報表、 查詢、存儲過程、 觸發(fā)器等存儲過程、 觸發(fā)器等數(shù)據(jù)對象數(shù)據(jù)對象 SQL Server 2005SQL Server 200512.1 SQL Server 2005安全機(jī)制安全的總體策略安全機(jī)制安全的總體策略 (1)遠(yuǎn)程網(wǎng)絡(luò)主機(jī)通過遠(yuǎn)程網(wǎng)絡(luò)主機(jī)通過I n t e r n e tI n t e r n e t 訪 問訪 問 S Q L S Q L Server 2005Server 2005服務(wù)器所在服務(wù)器所在的網(wǎng)絡(luò)的網(wǎng)絡(luò) (2)網(wǎng)絡(luò)中的主機(jī)訪問網(wǎng)絡(luò)中的主機(jī)訪問SQL Server 2005SQL Server 2005服務(wù)器服務(wù)器 (3)訪問訪問SQL Server SQL Se

5、rver 2005 2005 數(shù)據(jù)庫數(shù)據(jù)庫 (4)訪問訪問SQL Server SQL Server 20052005數(shù)據(jù)庫中的表和列數(shù)據(jù)庫中的表和列 SQL Server 2005SQL Server 200512.1 SQL Server 的安全性機(jī)制的安全性機(jī)制12.1.112.1.1權(quán)限層次機(jī)制權(quán)限層次機(jī)制SQL Server 2005的安全性管理可分為的安全性管理可分為3個等級：個等級：1、操作系統(tǒng)、操作系統(tǒng)級；級；2、 SQL Server級級 3、 數(shù)據(jù)庫級。數(shù)據(jù)庫級。12.1.212.1.2操作系統(tǒng)級的安全性操作系統(tǒng)級的安全性 在用戶使用安客戶計算機(jī)通過網(wǎng)絡(luò)實現(xiàn)在用戶使用安客戶

6、計算機(jī)通過網(wǎng)絡(luò)實現(xiàn)SQL Server 服務(wù)服務(wù)器的訪問時，用戶首先要獲得計算機(jī)操作系統(tǒng)的使用權(quán)。器的訪問時，用戶首先要獲得計算機(jī)操作系統(tǒng)的使用權(quán)。 12.1.3 SQL Server 12.1.3 SQL Server 級的安全性級的安全性 SQL Server 的服務(wù)器級安全性建立在控制服務(wù)器登錄帳號的服務(wù)器級安全性建立在控制服務(wù)器登錄帳號和口令的基礎(chǔ)上。和口令的基礎(chǔ)上。SQL Server 采用了標(biāo)準(zhǔn)采用了標(biāo)準(zhǔn)SQL Server 登錄和登錄和集成集成Windows NT登錄兩種方式。無論是使用那種登錄方式，登錄兩種方式。無論是使用那種登錄方式，用戶在登錄時提供的登錄帳號和口令用戶在登錄

7、時提供的登錄帳號和口令 。SQL Server 2005SQL Server 200512.1 SQL Server 的安全性機(jī)制的安全性機(jī)制12.1.412.1.4數(shù)據(jù)庫級的安全性數(shù)據(jù)庫級的安全性 在用戶通過在用戶通過SQL Server 服務(wù)器的安全性檢驗以后，將直接服務(wù)器的安全性檢驗以后，將直接面對不同的數(shù)據(jù)庫入口這是用戶將接受的第三次安全性檢驗。面對不同的數(shù)據(jù)庫入口這是用戶將接受的第三次安全性檢驗。 在建立用戶的登錄帳號信息時，在建立用戶的登錄帳號信息時，SQL Server 會提示用戶選會提示用戶選擇默認(rèn)的數(shù)據(jù)庫。以后用戶每次連接上服務(wù)器后，都會自動轉(zhuǎn)擇默認(rèn)的數(shù)據(jù)庫。以后用戶每次連接

8、上服務(wù)器后，都會自動轉(zhuǎn)到默認(rèn)的數(shù)據(jù)庫上。對任何用戶來說到默認(rèn)的數(shù)據(jù)庫上。對任何用戶來說master數(shù)據(jù)庫的門總是數(shù)據(jù)庫的門總是打開的，設(shè)置登錄賬號時沒有指定默認(rèn)的數(shù)據(jù)庫，則用戶的權(quán)打開的，設(shè)置登錄賬號時沒有指定默認(rèn)的數(shù)據(jù)庫，則用戶的權(quán)限將局限在限將局限在master 數(shù)據(jù)庫以內(nèi)。數(shù)據(jù)庫以內(nèi)。 SQL Server 2005SQL Server 2005授權(quán)遠(yuǎn)程訪問授權(quán)遠(yuǎn)程訪問 為了遠(yuǎn)程訪問為了遠(yuǎn)程訪問SQL ServerSQL Server實例，需要一個網(wǎng)絡(luò)協(xié)議以建立實例，需要一個網(wǎng)絡(luò)協(xié)議以建立到到SQL ServerSQL Server服務(wù)器的連接。為了避免系統(tǒng)資源的浪費(fèi)，只服務(wù)器的連接。為

9、了避免系統(tǒng)資源的浪費(fèi)，只需要激活自己需要的網(wǎng)絡(luò)連接協(xié)議。需要激活自己需要的網(wǎng)絡(luò)連接協(xié)議。 SQL Server 2005的網(wǎng)絡(luò)配置的網(wǎng)絡(luò)配置SQL Server 2005SQL Server 2005(1)從從“開始開始”菜單中選擇菜單中選擇“所有程序所有程序”|“Microsoft SQL Server 2005”|“配置工具配置工具”|“SQL Server外圍應(yīng)用配置器外圍應(yīng)用配置器” SQL Server 2005的網(wǎng)絡(luò)配置的網(wǎng)絡(luò)配置SQL Server 2005SQL Server 2005 (2)在窗口底部的在窗口底部的“配置外圍應(yīng)用到配置外圍應(yīng)用到Localhost”區(qū)域，單擊區(qū)

10、域，單擊“服務(wù)和連接的外圍應(yīng)用配置器服務(wù)和連接的外圍應(yīng)用配置器” SQL Server 2005的網(wǎng)絡(luò)配置的網(wǎng)絡(luò)配置SQL Server 2005SQL Server 2005SQL Server 2005的網(wǎng)絡(luò)配置的網(wǎng)絡(luò)配置(3)(3)隨后在彈出窗口的左半部分，顯示了可以進(jìn)行配置隨后在彈出窗口的左半部分，顯示了可以進(jìn)行配置的組件列表。在這個列表中，展開的組件列表。在這個列表中，展開“Database Engine”Database Engine”圖標(biāo)并單擊圖標(biāo)并單擊“遠(yuǎn)程連接遠(yuǎn)程連接” ” SQL Server 2005SQL Server 2005SQL Server 2005的網(wǎng)絡(luò)配置的

11、網(wǎng)絡(luò)配置(4)(4)在右側(cè)面板中選擇在右側(cè)面板中選擇“本地連接和遠(yuǎn)程連接本地連接和遠(yuǎn)程連接”，然后，然后選擇一個協(xié)議選項?；诎踩托阅艿目紤]，推薦使用選擇一個協(xié)議選項。基于安全和性能的考慮，推薦使用TCP/IPTCP/IP協(xié)議協(xié)議 SQL Server 2005SQL Server 2005 SQL Server 2005SQL Server 2005 SQL Server 2005SQL Server 2005SQL Server 2005SQL Server 2005 SQL Server 2005SQL Server 2005注意，當(dāng)采用混合模式安裝注意，當(dāng)采用混合模式安裝Micros

12、oft SQL ServerMicrosoft SQL Server系統(tǒng)系統(tǒng)之后，應(yīng)該為之后，應(yīng)該為sasa指定一個密碼。指定一個密碼。 SQL Server 2005SQL Server 2005安裝進(jìn)程在安裝進(jìn)程在SQL Server 2005SQL Server 2005安裝過安裝過程中創(chuàng)建了一個程中創(chuàng)建了一個SQL Server SQL Server 登錄名登錄名sasa。sasa登錄名始終登錄名始終都會創(chuàng)建，即使安裝時選擇的是都會創(chuàng)建，即使安裝時選擇的是WindowsWindows身份驗證模式。身份驗證模式。 sasa是一個默認(rèn)的是一個默認(rèn)的SQL ServerSQL Server登

13、錄名，擁有操作登錄名，擁有操作SQL SQL ServerServer系統(tǒng)的所有權(quán)限。該登錄名不能被刪除。系統(tǒng)的所有權(quán)限。該登錄名不能被刪除。SQL Server 2005SQL Server 2005設(shè)置身份驗證模式設(shè)置身份驗證模式下面看一看如何在下面看一看如何在Microsoft SQL Server Management Studio Microsoft SQL Server Management Studio 中設(shè)置中設(shè)置身份驗證模式身份驗證模式 （1）打開）打開Microsoft SQL Server Management Studio并連接到并連接到目標(biāo)服務(wù)器，在目標(biāo)服務(wù)器，在“資

14、源管理器資源管理器”窗口中，在目標(biāo)服務(wù)器上單擊鼠標(biāo)右窗口中，在目標(biāo)服務(wù)器上單擊鼠標(biāo)右鍵，彈出快捷菜單，從中選擇鍵，彈出快捷菜單，從中選擇“屬性屬性”命令。命令。 （2 2）出現(xiàn)）出現(xiàn)“服務(wù)器屬性服務(wù)器屬性”窗口，選擇窗口，選擇“選擇頁選擇頁”中的中的“安全性安全性”選項，進(jìn)入安全性設(shè)置頁面選項，進(jìn)入安全性設(shè)置頁面 。 （3 3）在）在“服務(wù)器身份驗證服務(wù)器身份驗證”選項級中選擇驗證模式前的單選按選項級中選擇驗證模式前的單選按鈕，選中需要的驗證模式。用戶還可以在鈕，選中需要的驗證模式。用戶還可以在“登錄審核登錄審核”選項級中設(shè)選項級中設(shè)置需要的審核方式。置需要的審核方式。 （4 4）最后單擊）最

15、后單擊“確定確定”按鈕，完成登錄驗證模式的設(shè)置。按鈕，完成登錄驗證模式的設(shè)置。SQL Server 2005SQL Server 2005 SQL Server 2005SQL Server 2005SQL Server 2005SQL Server 200512.3 登錄登錄12.3.112.3.1登錄身份驗證模式及其設(shè)置登錄身份驗證模式及其設(shè)置 本節(jié)主要講解登錄和用戶的基本概念、登錄驗證模式及本節(jié)主要講解登錄和用戶的基本概念、登錄驗證模式及其創(chuàng)建登錄和用戶的操作步驟。其創(chuàng)建登錄和用戶的操作步驟。 概念：概念：登錄登錄o 登錄：服務(wù)器級上的安全對象。登錄：服務(wù)器級上的安全對象。o 用于連接到

16、用于連接到SQL Server 賬戶都稱賬戶都稱SQL Server 的的登錄登錄：用戶是為特定數(shù)據(jù)庫定義的，要創(chuàng)建用戶，你必須已經(jīng)定用戶是為特定數(shù)據(jù)庫定義的，要創(chuàng)建用戶，你必須已經(jīng)定義了該用戶的登錄，用戶義了該用戶的登錄，用戶ID同登錄類似，但是它的名稱不同登錄類似，但是它的名稱不需要與登錄相同。需要與登錄相同。SQL Server 2005SQL Server 200512.3.2創(chuàng)建登錄創(chuàng)建登錄登錄屬于服務(wù)器級的安全策略，要連接到數(shù)據(jù)庫，首先要存在一登錄屬于服務(wù)器級的安全策略，要連接到數(shù)據(jù)庫，首先要存在一個合法的登錄。在個合法的登錄。在Management StudioManagemen

17、t Studio中創(chuàng)建登錄的步驟如下：中創(chuàng)建登錄的步驟如下： （1 1）打開）打開Microsoft SQL Server Management StudioMicrosoft SQL Server Management Studio并連接到目標(biāo)服務(wù)并連接到目標(biāo)服務(wù)器，在器，在“對象資源管理器對象資源管理器”窗口中，單擊窗口中，單擊“安全性安全性”節(jié)點(diǎn)前的節(jié)點(diǎn)前的“”號，號，展開安全節(jié)點(diǎn)。在展開安全節(jié)點(diǎn)。在“登錄名登錄名”上單擊鼠標(biāo)右鍵，彈出快捷菜單，從中上單擊鼠標(biāo)右鍵，彈出快捷菜單，從中“新建登錄（新建登錄（N N）”命令命令 。（2 2）出現(xiàn)）出現(xiàn)“登錄名登錄名”對話框，單擊需要創(chuàng)建的登錄

18、模式前的單選按對話框，單擊需要創(chuàng)建的登錄模式前的單選按鈕，選定驗證方式。鈕，選定驗證方式。 （3 3）選擇）選擇“選擇頁選擇頁”中的服務(wù)器角色中的服務(wù)器角色“項，出現(xiàn)服務(wù)器角色設(shè)定頁面項，出現(xiàn)服務(wù)器角色設(shè)定頁面 （4 4）選擇）選擇“登錄名登錄名”對話框中的對話框中的“用戶映射用戶映射”項，進(jìn)入映射設(shè)置頁面，項，進(jìn)入映射設(shè)置頁面，可以為這個新建的登錄添加映射到此登錄名的用戶，并添加數(shù)據(jù)庫角色，可以為這個新建的登錄添加映射到此登錄名的用戶，并添加數(shù)據(jù)庫角色，從而使該用戶獲得數(shù)據(jù)庫的相應(yīng)角色對應(yīng)的數(shù)據(jù)庫權(quán)限。從而使該用戶獲得數(shù)據(jù)庫的相應(yīng)角色對應(yīng)的數(shù)據(jù)庫權(quán)限。 SQL Server 2005SQL

19、Server 2005創(chuàng)建和管理登錄名創(chuàng)建和管理登錄名 數(shù)據(jù)庫安全與角色管理數(shù)據(jù)庫安全與角色管理SQL Server 2005SQL Server 2005創(chuàng)建登錄創(chuàng)建登錄 SQL Server 2005SQL Server 2005創(chuàng)建登錄創(chuàng)建登錄2 2、使用、使用Transact-SQL創(chuàng)建登錄創(chuàng)建登錄CREATE LOGIN login_name (WITH | FROM ) := WINDOWS WITH , | CERTIFICAE certname |ASYMMETRIC KEY asym_key _name :=PASSWORD =password HASHED MUST_CHA

20、NGE, , , SID=sid |DEFAULT_DATABASE = database |DEFAULT_LANGUAGE = language |CHEECK_EXPIRATION = ON | OFF|CHECK_POLICY = ON | OFFCREDENTIAL = credential_name : : =DEFAULT_DATABASE = database| DEFAULT_LANGUAGE = languageSQL Server 2005SQL Server 2005SQL Server 2005SQL Server 2005密碼策略密碼策略 WindowsWindow

21、s的密碼策略包括了密碼復(fù)雜性和密碼過期兩大的密碼策略包括了密碼復(fù)雜性和密碼過期兩大特征。特征。 密碼的復(fù)雜性是指通過增加更多可能的密碼數(shù)量來阻止密碼的復(fù)雜性是指通過增加更多可能的密碼數(shù)量來阻止黑客的攻擊。黑客的攻擊。 密碼過期策略是指如何管理密碼的使用期限。密碼過期策略是指如何管理密碼的使用期限。 SQL Server 2005SQL Server 2005SQL Server 2005能夠?qū)δ軌驅(qū)QL Server 登錄名執(zhí)行操登錄名執(zhí)行操作系統(tǒng)的密碼實施策略。作系統(tǒng)的密碼實施策略。如果在如果在Windows 2003服務(wù)器版上運(yùn)行服務(wù)器版上運(yùn)行SQL Server，SQL Server將

22、使用將使用NetValidatePasswordPolicy API (應(yīng)應(yīng)用程序接口用程序接口)來控制以下三點(diǎn)：來控制以下三點(diǎn)： 密碼的復(fù)雜性密碼的復(fù)雜性 密碼的生存周期密碼的生存周期 帳戶鎖定帳戶鎖定 SQL Server 2005SQL Server 2005 如果在如果在Windows 2000服務(wù)器版上運(yùn)行服務(wù)器版上運(yùn)行SQL Server，SQL Server會使用會使用Microsoft Baseline Security Analyzer (MBSA)提供的本地密碼復(fù)雜性規(guī)則來執(zhí)行提供的本地密碼復(fù)雜性規(guī)則來執(zhí)行以下密碼規(guī)則：以下密碼規(guī)則： 密碼不能為空或者密碼不能為空或者NUL

23、L 密碼不能為登錄名密碼不能為登錄名 密碼不能為機(jī)器名密碼不能為機(jī)器名 密碼不能為密碼不能為“Password”，“Admin”，或者或者“Administrator” SQL Server 2005SQL Server 2005維護(hù)登錄維護(hù)登錄 登錄名創(chuàng)建之后，可以根據(jù)需要修改登錄名的名稱、密登錄名創(chuàng)建之后，可以根據(jù)需要修改登錄名的名稱、密碼、密碼策略、默認(rèn)的數(shù)據(jù)庫等信息，可以禁用或啟用碼、密碼策略、默認(rèn)的數(shù)據(jù)庫等信息，可以禁用或啟用該登錄名，甚至可以刪除不需要的登錄名。該登錄名，甚至可以刪除不需要的登錄名。ALTER LOGINALTER LOGIN語句用來修改登錄名的屬性信息。語句用來修

24、改登錄名的屬性信息。修改登錄名的名稱與刪除、重建該登錄名是不同的。修改登錄名的名稱與刪除、重建該登錄名是不同的。 SQL Server 2005SQL Server 2005管理服務(wù)器安全（管理服務(wù)器安全（服務(wù)器安全的第一道防線服務(wù)器安全的第一道防線）SQL Server 2005SQL Server 2005服務(wù)器的安全建立在對服務(wù)器登錄名和密碼的控服務(wù)器的安全建立在對服務(wù)器登錄名和密碼的控制基礎(chǔ)之上，用戶在登錄服務(wù)器時所采用的登錄名和密碼，決制基礎(chǔ)之上，用戶在登錄服務(wù)器時所采用的登錄名和密碼，決定了用戶在成功登錄服務(wù)器后所擁有的訪問權(quán)限。定了用戶在成功登錄服務(wù)器后所擁有的訪問權(quán)限。在在SQ

25、L Server 2005SQL Server 2005中，具有以下幾種角色：中，具有以下幾種角色：(1) (1) publicpublic角色角色(2) (2) 固定服務(wù)器角色固定服務(wù)器角色(3) (3) 固定數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色(4) (4) 用戶定義的角色用戶定義的角色(5) (5) 應(yīng)用程序角色應(yīng)用程序角色服務(wù)器安全的第一道防線服務(wù)器安全的第一道防線SQL Server 2005SQL Server 2005固定服務(wù)器角色固定服務(wù)器角色 固定服務(wù)器角色也是服務(wù)器級別的主體，他們的作用范固定服務(wù)器角色也是服務(wù)器級別的主體，他們的作用范圍是整個服務(wù)器。圍是整個服務(wù)器。固定服務(wù)器角色已經(jīng)

26、具備了執(zhí)行指定操作的權(quán)限，可以固定服務(wù)器角色已經(jīng)具備了執(zhí)行指定操作的權(quán)限，可以把其他登錄名作為成員添加到固定服務(wù)器角色中，這樣把其他登錄名作為成員添加到固定服務(wù)器角色中，這樣該登錄名可以繼承固定服務(wù)器角色的權(quán)限。該登錄名可以繼承固定服務(wù)器角色的權(quán)限。Microsoft SQL Server 2005Microsoft SQL Server 2005系統(tǒng)提供了系統(tǒng)提供了8 8個固定服務(wù)個固定服務(wù)器角色。器角色。SQL Server 2005SQL Server 2005服務(wù)器角色管理服務(wù)器角色管理SQL Server 2005SQL Server 2005固定服務(wù)器角色固定服務(wù)器角色 服務(wù)器級權(quán)

27、限服務(wù)器級權(quán)限bulkadminbulkadmin 已授予：已授予：ADMINISTER ADMINISTER BULKBULK OPERATIONS OPERATIONSdbcreatordbcreator 已授予：已授予：CREATECREATE DATABASEDATABASE diskadmindiskadmin 已授予：已授予：ALTERALTER RESOURCES RESOURCES processadmin processadmin 已授予：已授予：ALTERALTER ANYANY CONNECTION CONNECTION、ALTERALTER SERVER STATE S

28、ERVER STATE securityadminsecurityadmin 已授予：已授予：ALTERALTER ANYANY LOGIN LOGIN serveradminserveradmin 已授予：已授予：ALTERALTER ANYANY ENDPOINT ENDPOINT、ALTERALTER RESOURCESRESOURCES、ALTERALTER SERVER STATE SERVER STATE、ALTERALTER SETTINGS SETTINGS、SHUTDOWNSHUTDOWN、VIEWVIEW SERVER STATE SERVER STATE setupadm

29、insetupadmin 已授予：已授予：ALTERALTER ANYANY LINKED SERVER LINKED SERVER sysadminsysadmin 已使用已使用 GRANTGRANT 選項授予：選項授予：CONTROL SERVER CONTROL SERVER SQL Server 2005SQL Server 2005固定服務(wù)器角色固定服務(wù)器角色在在Microsoft SQL Server Management Studio中，可以按一下步驟為用中，可以按一下步驟為用戶分配固定服務(wù)器角色，從而使該用戶獲取相應(yīng)的權(quán)限。戶分配固定服務(wù)器角色，從而使該用戶獲取相應(yīng)的權(quán)限。 （

30、1）在）在對象資源管理器對象資源管理器口中，但即服務(wù)器前的口中，但即服務(wù)器前的“+”號，展開服務(wù)器節(jié)點(diǎn)。號，展開服務(wù)器節(jié)點(diǎn)。但即但即安全性安全性節(jié)點(diǎn)前的節(jié)點(diǎn)前的“+”號，展開安全性節(jié)點(diǎn)。這是再次節(jié)點(diǎn)下面可以號，展開安全性節(jié)點(diǎn)。這是再次節(jié)點(diǎn)下面可以看到固定服務(wù)器角色，在要給用戶添加的目標(biāo)看到固定服務(wù)器角色，在要給用戶添加的目標(biāo)角色角色上單擊鼠標(biāo)右鍵，彈出上單擊鼠標(biāo)右鍵，彈出快捷菜單，從中選擇快捷菜單，從中選擇屬性（屬性（R）命令。命令。 （2）出現(xiàn)）出現(xiàn)服務(wù)器角色屬性服務(wù)器角色屬性對話框，單擊對話框，單擊添加（添加（A）按鈕。按鈕。 （3）出現(xiàn)）出現(xiàn)選擇登陸名選擇登陸名對話框單擊對話框單擊瀏覽（

31、瀏覽（B）按鈕。按鈕。 （4）出現(xiàn)）出現(xiàn)查找對象查找對象對話框，在該對話框中，選擇目標(biāo)用戶前的復(fù)選框，對話框，在該對話框中，選擇目標(biāo)用戶前的復(fù)選框，選中其用戶，最后單擊選中其用戶，最后單擊確定確定按鈕。按鈕。（5）回到）回到選擇登陸名選擇登陸名對話框，可以看到選中的目標(biāo)用戶已包含在對話框?qū)υ捒颍梢钥吹竭x中的目標(biāo)用戶已包含在對話框中，確定無誤后，單擊中，確定無誤后，單擊確定確定按鈕。按鈕。（6）回到）回到服務(wù)器角色屬性服務(wù)器角色屬性對話框，確定添加的用戶無誤后，單擊對話框，確定添加的用戶無誤后，單擊確定確定按鈕，完成為用戶分配角色的操作。按鈕，完成為用戶分配角色的操作。 SQL Server

32、2005SQL Server 2005固定服務(wù)器角色和登錄名固定服務(wù)器角色和登錄名 在在Microsoft SQL ServerMicrosoft SQL Server系統(tǒng)中，可以把登錄名添加到固定服務(wù)系統(tǒng)中，可以把登錄名添加到固定服務(wù)器角色中，使得登錄名作為固定服務(wù)器角色的成員繼承固定服務(wù)器角色中，使得登錄名作為固定服務(wù)器角色的成員繼承固定服務(wù)器角色的權(quán)限。對于登錄名來說，可以判斷其是否某個固定服務(wù)器角色的權(quán)限。對于登錄名來說，可以判斷其是否某個固定服務(wù)器角色的成員。器角色的成員。通過查詢系統(tǒng)函數(shù)通過查詢系統(tǒng)函數(shù)IS_SRVROLEMEMBER，可以查出當(dāng)前用戶可以查出當(dāng)前用戶是否屬于一個服

33、務(wù)器角色。是否屬于一個服務(wù)器角色?？梢允褂孟到y(tǒng)存儲過程可以使用系統(tǒng)存儲過程sp_addsrvrolemember為現(xiàn)有的服務(wù)器角為現(xiàn)有的服務(wù)器角色添加一個登錄名。色添加一個登錄名。 可以使用存儲過程可以使用存儲過程sp_dropsrvrolemember將一個登錄名從服務(wù)器將一個登錄名從服務(wù)器角色中刪除。角色中刪除。用戶可以使用用戶可以使用sp_helpsrvrolemembersp_helpsrvrolemember查看固定查看固定服務(wù)器角色中登錄服務(wù)器角色中登錄名信息。名信息。SQL Server 2005SQL Server 2005服務(wù)器安全的第二道防線服務(wù)器安全的第二道防線架構(gòu)、用戶

34、和角色架構(gòu)、用戶和角色SQL Server 2005SQL Server 2005對數(shù)據(jù)庫安全的管理，主要是通過對對數(shù)據(jù)庫安全的管理，主要是通過對數(shù)據(jù)庫的數(shù)據(jù)庫的架構(gòu)、用戶名和角色架構(gòu)、用戶名和角色的管理來實現(xiàn)，這是的管理來實現(xiàn)，這是SQL SQL Server 2005Server 2005服務(wù)器安全的第二道防線服務(wù)器安全的第二道防線SQL Server 2005SQL Server 200512.4 管理架構(gòu)管理架構(gòu)SQL Server 2005實現(xiàn)了實現(xiàn)了ANSI中有關(guān)架構(gòu)的概念。中有關(guān)架構(gòu)的概念。架構(gòu)是數(shù)據(jù)對象管理的邏輯單位，屬于數(shù)據(jù)庫級的安全對象，架構(gòu)是數(shù)據(jù)對象管理的邏輯單位，屬于數(shù)

35、據(jù)庫級的安全對象，也是也是SQL Server 2005SQL Server 2005系統(tǒng)強(qiáng)調(diào)的新特點(diǎn)，是數(shù)據(jù)庫對象的系統(tǒng)強(qiáng)調(diào)的新特點(diǎn)，是數(shù)據(jù)庫對象的容器。容器。在在SQL Server 2005中，一個數(shù)據(jù)庫對象通過由中，一個數(shù)據(jù)庫對象通過由4個命名部分個命名部分所組成的結(jié)構(gòu)來引用：所組成的結(jié)構(gòu)來引用： . 使用架構(gòu)的一個好處是它可以將數(shù)據(jù)庫對象與數(shù)據(jù)庫用戶分使用架構(gòu)的一個好處是它可以將數(shù)據(jù)庫對象與數(shù)據(jù)庫用戶分離，數(shù)據(jù)庫用戶從數(shù)據(jù)庫中刪除更快速。離，數(shù)據(jù)庫用戶從數(shù)據(jù)庫中刪除更快速。 管理架構(gòu)包括創(chuàng)建架構(gòu)、查看架構(gòu)的信息、修改架構(gòu)及刪除管理架構(gòu)包括創(chuàng)建架構(gòu)、查看架構(gòu)的信息、修改架構(gòu)及刪除架構(gòu)等

36、。架構(gòu)等。SQL Server 2005SQL Server 2005創(chuàng)建架構(gòu)創(chuàng)建架構(gòu) 創(chuàng)建架構(gòu)時，需要指定架構(gòu)的所有者，即登錄名；如果創(chuàng)建架構(gòu)時，需要指定架構(gòu)的所有者，即登錄名；如果僅指定架構(gòu)的名稱，沒有明確指定該架構(gòu)的所有者，這僅指定架構(gòu)的名稱，沒有明確指定該架構(gòu)的所有者，這時，該架構(gòu)的所有者為當(dāng)前執(zhí)行該項操作的用戶。另外，時，該架構(gòu)的所有者為當(dāng)前執(zhí)行該項操作的用戶。另外，還可為架構(gòu)設(shè)置數(shù)據(jù)庫的訪問權(quán)限。還可為架構(gòu)設(shè)置數(shù)據(jù)庫的訪問權(quán)限。使用使用CREATE SCHEMACREATE SCHEMA語句不僅可以創(chuàng)建架構(gòu)，而且在創(chuàng)語句不僅可以創(chuàng)建架構(gòu)，而且在創(chuàng)建架構(gòu)的同時還可以創(chuàng)建該架構(gòu)所擁有的

37、表、視圖并且建架構(gòu)的同時還可以創(chuàng)建該架構(gòu)所擁有的表、視圖并且可以對這些對象設(shè)置權(quán)限。可以對這些對象設(shè)置權(quán)限。SQL Server 2005SQL Server 2005修改和刪除架構(gòu)修改和刪除架構(gòu) 修改架構(gòu)是指將特定架構(gòu)中的對象轉(zhuǎn)移到其他架構(gòu)中?？梢孕薷募軜?gòu)是指將特定架構(gòu)中的對象轉(zhuǎn)移到其他架構(gòu)中?？梢允褂檬褂肁LTER SCHEMAALTER SCHEMA語句完成對架構(gòu)的修改。需要注意的是，語句完成對架構(gòu)的修改。需要注意的是，如果要更改對象本身的結(jié)構(gòu)，那么應(yīng)該使用針對該對象的如果要更改對象本身的結(jié)構(gòu)，那么應(yīng)該使用針對該對象的ALTERALTER語句。語句。可以使用可以使用DROP SCHEMA

38、DROP SCHEMA語句來刪除一個架構(gòu)。語句來刪除一個架構(gòu)。SQL SQL Server 2005Server 2005不允許刪除其中仍含有對象的架構(gòu)。不允許刪除其中仍含有對象的架構(gòu)。只有只有當(dāng)架構(gòu)中不再包含有對象時，才可以被刪除。當(dāng)架構(gòu)中不再包含有對象時，才可以被刪除?？梢酝ㄟ^目錄視圖可以通過目錄視圖sys.schemassys.schemas來獲取架構(gòu)的信息。來獲取架構(gòu)的信息。 SQL Server 2005SQL Server 2005當(dāng)一個應(yīng)用程序引用一個沒有限定架構(gòu)的數(shù)據(jù)庫對象當(dāng)一個應(yīng)用程序引用一個沒有限定架構(gòu)的數(shù)據(jù)庫對象時，時，SQL Server將嘗試在用戶的默認(rèn)架構(gòu)中找出這個

39、將嘗試在用戶的默認(rèn)架構(gòu)中找出這個對象。如果對象沒有在默認(rèn)架構(gòu)中，則對象。如果對象沒有在默認(rèn)架構(gòu)中，則SQL Server嘗嘗試在試在dbo架構(gòu)中尋找這個對象。架構(gòu)中尋找這個對象。 使用默認(rèn)架構(gòu)使用默認(rèn)架構(gòu)SQL Server 2005SQL Server 2005管理對SQL Server數(shù)據(jù)庫的訪問 對于需要進(jìn)行數(shù)據(jù)訪問的應(yīng)用程序來說，僅僅為其授權(quán)對于需要進(jìn)行數(shù)據(jù)訪問的應(yīng)用程序來說，僅僅為其授權(quán)訪問訪問SQL Server 實例是不夠的。在授權(quán)訪問實例是不夠的。在授權(quán)訪問SQL Server 實例之后，需要對特定的數(shù)據(jù)庫進(jìn)行訪問授權(quán)。實例之后，需要對特定的數(shù)據(jù)庫進(jìn)行訪問授權(quán)。為訪問數(shù)據(jù)庫，所

40、有數(shù)據(jù)庫登錄名，除了服務(wù)器角色為訪問數(shù)據(jù)庫，所有數(shù)據(jù)庫登錄名，除了服務(wù)器角色sysadmin的成員，都要在自己要訪問的數(shù)據(jù)庫中與一的成員，都要在自己要訪問的數(shù)據(jù)庫中與一個數(shù)據(jù)庫用戶建立映射。個數(shù)據(jù)庫用戶建立映射。 12.5 管理數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶SQL Server 2005SQL Server 200512.5 管理數(shù)據(jù)庫用戶管理數(shù)據(jù)庫用戶 數(shù)據(jù)庫用戶是數(shù)據(jù)庫級的主體，是登錄名在數(shù)據(jù)庫中的數(shù)據(jù)庫用戶是數(shù)據(jù)庫級的主體，是登錄名在數(shù)據(jù)庫中的映射，是在數(shù)據(jù)庫中執(zhí)行操作和活動行動者。映射，是在數(shù)據(jù)庫中執(zhí)行操作和活動行動者。o 用戶用戶可以防止數(shù)據(jù)庫被末授權(quán)的用戶故意或無意地修改?？梢苑乐箶?shù)據(jù)庫

41、被末授權(quán)的用戶故意或無意地修改。SQL Server 為一用戶分配了唯一的用戶名和密碼?？梢詾闉橐挥脩舴峙淞宋ㄒ坏挠脩裘兔艽a?？梢詾椴煌~號授予不同的安全級別。不同賬號授予不同的安全級別。在在Microsoft SQL Server 2005Microsoft SQL Server 2005系統(tǒng)中，數(shù)據(jù)庫用戶不系統(tǒng)中，數(shù)據(jù)庫用戶不能直接擁有表、視圖等數(shù)據(jù)庫對象，而是通過架構(gòu)擁有能直接擁有表、視圖等數(shù)據(jù)庫對象，而是通過架構(gòu)擁有這些對象。這些對象。數(shù)據(jù)庫用戶管理包括創(chuàng)建用戶、查看用戶信息、修改用數(shù)據(jù)庫用戶管理包括創(chuàng)建用戶、查看用戶信息、修改用戶、刪除用戶等操作。戶、刪除用戶等操作。SQL Ser

42、ver 2005SQL Server 2005創(chuàng)建用戶創(chuàng)建用戶1 1使用使用Management Studio創(chuàng)建用戶創(chuàng)建用戶 （1）、打開）、打開Microsoft SQL Server Management Studio并連接到目標(biāo)服并連接到目標(biāo)服務(wù)器，在務(wù)器，在“對象資源管理器對象資源管理器”窗口中，單擊窗口中，單擊“數(shù)據(jù)庫數(shù)據(jù)庫”節(jié)點(diǎn)前的節(jié)點(diǎn)前的“”號，號，展開數(shù)據(jù)庫節(jié)點(diǎn)。單擊要創(chuàng)建用戶的目標(biāo)數(shù)據(jù)節(jié)點(diǎn)前的展開數(shù)據(jù)庫節(jié)點(diǎn)。單擊要創(chuàng)建用戶的目標(biāo)數(shù)據(jù)節(jié)點(diǎn)前的“”號，展開目標(biāo)號，展開目標(biāo)數(shù)據(jù)庫節(jié)點(diǎn)數(shù)據(jù)庫節(jié)點(diǎn)Northwind。單擊。單擊“安全性安全性”節(jié)點(diǎn)前的節(jié)點(diǎn)前的“”號，展開號，展開“安全

43、性安全性”節(jié)點(diǎn)。在節(jié)點(diǎn)。在“用戶用戶”上單擊鼠標(biāo)右鍵，彈出快捷菜單，從中選擇上單擊鼠標(biāo)右鍵，彈出快捷菜單，從中選擇“新建用戶新建用戶（N）”命令命令 （2）出現(xiàn)）出現(xiàn)“數(shù)據(jù)庫用戶新建數(shù)據(jù)庫用戶新建”對話框，在對話框，在“常規(guī)常規(guī)”頁面中，填寫頁面中，填寫“用戶用戶名名”，選擇，選擇“登錄名登錄名”和和“默認(rèn)架構(gòu)默認(rèn)架構(gòu)”名稱。添加此用戶擁有的架構(gòu)，添加名稱。添加此用戶擁有的架構(gòu)，添加此用戶的數(shù)據(jù)庫角色。此用戶的數(shù)據(jù)庫角色。 （3）在）在“數(shù)據(jù)庫用戶新建數(shù)據(jù)庫用戶新建”對話框的對話框的“選擇頁選擇頁”中選擇中選擇“安全對象安全對象”，進(jìn)入權(quán)限設(shè)置頁面（即進(jìn)入權(quán)限設(shè)置頁面（即“安全對象安全對象”頁

44、面）頁面） 最后，單擊最后，單擊“數(shù)據(jù)庫用戶新建數(shù)據(jù)庫用戶新建”對話框底部的對話框底部的“確定確定”，完成用戶創(chuàng)建。，完成用戶創(chuàng)建。 SQL Server 2005SQL Server 20051創(chuàng)建數(shù)據(jù)庫用戶可以使用可以使用CREATE USER語句創(chuàng)建數(shù)據(jù)庫用戶。語句創(chuàng)建數(shù)據(jù)庫用戶。2管理數(shù)據(jù)庫用戶可以通過語句來檢查當(dāng)前的登錄名是否可以登錄到某可以通過語句來檢查當(dāng)前的登錄名是否可以登錄到某個數(shù)據(jù)庫：個數(shù)據(jù)庫：可以通過查詢目錄視圖可以通過查詢目錄視圖sys.database_principals來獲取來獲取數(shù)據(jù)庫用戶的信息。數(shù)據(jù)庫用戶的信息?？梢允褂每梢允褂肈ROP USER語句刪除一個數(shù)據(jù)

45、庫用戶。語句刪除一個數(shù)據(jù)庫用戶。SQL Server 2005SQL Server 20053管理孤立用戶孤立用戶指當(dāng)前孤立用戶指當(dāng)前SQL Server實例中沒有映射到登錄名實例中沒有映射到登錄名的數(shù)據(jù)庫用戶。的數(shù)據(jù)庫用戶?？梢垣@取孤立用戶的信息可以獲取孤立用戶的信息SQL Server 2005允許我們使用允許我們使用WITHOUT LOGIN子子句來創(chuàng)建一個沒有映射到登錄名的用戶。句來創(chuàng)建一個沒有映射到登錄名的用戶。SQL Server 2005SQL Server 20054啟用Guest用戶一個沒有映射到用戶的登錄名試圖登錄到數(shù)據(jù)庫的時一個沒有映射到用戶的登錄名試圖登錄到數(shù)據(jù)庫的時候

46、，候，SQL Server將嘗試使用將嘗試使用Guest用戶進(jìn)行連接。用戶進(jìn)行連接。SQL Server 2005SQL Server 200512.6 數(shù)據(jù)庫角色數(shù)據(jù)庫角色數(shù)據(jù)庫角色是數(shù)據(jù)庫級別的主體，也是數(shù)據(jù)庫用戶的集數(shù)據(jù)庫角色是數(shù)據(jù)庫級別的主體，也是數(shù)據(jù)庫用戶的集合。數(shù)據(jù)庫用戶可以作為數(shù)據(jù)庫角色的成員，繼承數(shù)據(jù)合。數(shù)據(jù)庫用戶可以作為數(shù)據(jù)庫角色的成員，繼承數(shù)據(jù)庫角色的權(quán)限。庫角色的權(quán)限。數(shù)據(jù)庫管理人員可以通過管理角色的權(quán)限來管理數(shù)據(jù)庫數(shù)據(jù)庫管理人員可以通過管理角色的權(quán)限來管理數(shù)據(jù)庫用戶的權(quán)限。用戶的權(quán)限。Microsoft SQL Server 2005Microsoft SQL Serv

47、er 2005系統(tǒng)提供了系統(tǒng)提供了9 9個固定數(shù)據(jù)個固定數(shù)據(jù)庫角色和庫角色和publicpublic特殊角色。特殊角色。固定數(shù)據(jù)庫角色也具有了預(yù)先定義好的權(quán)限。使用固定固定數(shù)據(jù)庫角色也具有了預(yù)先定義好的權(quán)限。使用固定數(shù)據(jù)庫角色可以大大簡化數(shù)據(jù)庫角色權(quán)限管理工作。數(shù)據(jù)庫角色可以大大簡化數(shù)據(jù)庫角色權(quán)限管理工作。SQL Server 2005SQL Server 2005 public角色角色 publicpublic角色有兩大特點(diǎn)：角色有兩大特點(diǎn)：第一，初始狀態(tài)時沒有權(quán)限；第一，初始狀態(tài)時沒有權(quán)限；第二，所有的數(shù)據(jù)庫用戶都是他的成員。第二，所有的數(shù)據(jù)庫用戶都是他的成員。SQL Server 200

48、5SQL Server 2005數(shù)據(jù)庫角色數(shù)據(jù)庫角色 在在Microsoft SQL Server Management Studio創(chuàng)建新創(chuàng)建新的數(shù)據(jù)庫角色操作的具體步驟如下的數(shù)據(jù)庫角色操作的具體步驟如下 （1）、展開要添加新角色的目標(biāo)數(shù)據(jù)庫，但及目標(biāo)數(shù)據(jù)庫節(jié)）、展開要添加新角色的目標(biāo)數(shù)據(jù)庫，但及目標(biāo)數(shù)據(jù)庫節(jié)點(diǎn)下的點(diǎn)下的安全性安全性節(jié)點(diǎn)前的節(jié)點(diǎn)前的“+”號，展開此節(jié)點(diǎn)。然后在號，展開此節(jié)點(diǎn)。然后在角色角色節(jié)點(diǎn)上單機(jī)右鍵，彈出快捷菜單，選擇快捷菜單中的節(jié)點(diǎn)上單機(jī)右鍵，彈出快捷菜單，選擇快捷菜單中的新新建建|新建數(shù)據(jù)庫角色新建數(shù)據(jù)庫角色命令命令 。（2）出現(xiàn)）出現(xiàn)數(shù)據(jù)庫角色數(shù)據(jù)庫角色-新建新建對

49、話框，在對話框，在常規(guī)常規(guī)頁面中，添加頁面中，添加角色名稱角色名稱和和所有者所有者，并選擇此角色所擁有的架構(gòu)。在此對，并選擇此角色所擁有的架構(gòu)。在此對話框中也可以單擊話框中也可以單擊添加添加按鈕威信創(chuàng)建的角色添加用戶按鈕威信創(chuàng)建的角色添加用戶 。（3）選擇）選擇選擇頁選擇頁中的中的安全對象安全對象項，進(jìn)入權(quán)限設(shè)置頁面項，進(jìn)入權(quán)限設(shè)置頁面 。SQL Server 2005SQL Server 2005管理數(shù)據(jù)庫角色管理數(shù)據(jù)庫角色 管理數(shù)據(jù)庫角色包括創(chuàng)建數(shù)據(jù)庫角色、添加和刪除數(shù)據(jù)庫角管理數(shù)據(jù)庫角色包括創(chuàng)建數(shù)據(jù)庫角色、添加和刪除數(shù)據(jù)庫角色成員、查看數(shù)據(jù)庫角色信息、修改和刪除角色等。色成員、查看數(shù)據(jù)庫

50、角色信息、修改和刪除角色等?？梢允褂每梢允褂肅REATE ROLECREATE ROLE語句語句創(chuàng)建角色創(chuàng)建角色。為角色添加成員為角色添加成員可使用可使用sp_sp_addrolememberaddrolemember存儲過程。存儲過程。 修改數(shù)據(jù)庫角色修改數(shù)據(jù)庫角色的名稱的名稱可使用可使用ALTER ROLEALTER ROLE語句。語句。某個角色確實不再需要了某個角色確實不再需要了可使用可使用DROP ROLEDROP ROLE語句或者語句或者使使用用sp_droprolemember系統(tǒng)存儲過程系統(tǒng)存儲過程 刪除指定的角色刪除指定的角色。 可以通過查詢可以通過查詢IS_MEMBER系統(tǒng)函

51、數(shù)來判斷當(dāng)前數(shù)據(jù)庫用戶系統(tǒng)函數(shù)來判斷當(dāng)前數(shù)據(jù)庫用戶是否屬于某個數(shù)據(jù)庫角色。是否屬于某個數(shù)據(jù)庫角色。SQL Server 2005SQL Server 200512.7 管理應(yīng)用程序角色管理應(yīng)用程序角色應(yīng)用程序角色是特殊的數(shù)據(jù)庫角色，應(yīng)用程序角色是特殊的數(shù)據(jù)庫角色，它可以使應(yīng)用程序能夠用它可以使應(yīng)用程序能夠用其自身的、類似用戶的權(quán)限來運(yùn)行。在使用應(yīng)用程序時，可以其自身的、類似用戶的權(quán)限來運(yùn)行。在使用應(yīng)用程序時，可以僅僅允許那些經(jīng)過特定應(yīng)用程序連接的用戶來訪問數(shù)據(jù)庫中的僅僅允許那些經(jīng)過特定應(yīng)用程序連接的用戶來訪問數(shù)據(jù)庫中的特定數(shù)據(jù)，如果不通過這些特定的應(yīng)用程序連接，那么無法訪特定數(shù)據(jù)，如果不通過這

52、些特定的應(yīng)用程序連接，那么無法訪問這些數(shù)據(jù)。這是使用應(yīng)用程序角色實現(xiàn)安全管理的目的。問這些數(shù)據(jù)。這是使用應(yīng)用程序角色實現(xiàn)安全管理的目的。與數(shù)據(jù)庫角色相比來說，應(yīng)用程序角色有三個特點(diǎn)：與數(shù)據(jù)庫角色相比來說，應(yīng)用程序角色有三個特點(diǎn)：第一，在默認(rèn)情況下該角色不包含任何成員；第一，在默認(rèn)情況下該角色不包含任何成員；第二，在默認(rèn)情況下該角色是非活動的，必須激活之后才第二，在默認(rèn)情況下該角色是非活動的，必須激活之后才能發(fā)揮作用；能發(fā)揮作用；第三，該角色有密碼，只有擁有應(yīng)用程序角色正確密碼的第三，該角色有密碼，只有擁有應(yīng)用程序角色正確密碼的用戶才可以激活該角色。激活一個應(yīng)用程序角色后，當(dāng)前用戶才可以激活該角

53、色。激活一個應(yīng)用程序角色后，當(dāng)前連接將喪失它所具備的特定用戶權(quán)限，只獲得應(yīng)用程序角連接將喪失它所具備的特定用戶權(quán)限，只獲得應(yīng)用程序角色所擁有的權(quán)限。色所擁有的權(quán)限。 SQL Server 2005SQL Server 2005創(chuàng)建應(yīng)用程序角色創(chuàng)建應(yīng)用程序角色在在Microsoft SQL Server 2005Microsoft SQL Server 2005系統(tǒng)中，可以使用系統(tǒng)中，可以使用CREATE APPLICATION ROLECREATE APPLICATION ROLE語句創(chuàng)建應(yīng)用程序角色。該語句創(chuàng)建應(yīng)用程序角色。該語句的語法形式如下所示：語句的語法形式如下所示：CREATE AP

54、PLICATION ROLE application_role_name WITH PASSWORD = password, DEFAULT_SCHEMA = schema_nameSQL Server 2005SQL Server 2005應(yīng)用程序角色在使用之前必須激活?？梢酝ㄟ^執(zhí)行應(yīng)用程序角色在使用之前必須激活。可以通過執(zhí)行sp_setapprole系統(tǒng)存儲過程來激活應(yīng)用程序角色。在系統(tǒng)存儲過程來激活應(yīng)用程序角色。在連接關(guān)閉或執(zhí)行系統(tǒng)存儲過程連接關(guān)閉或執(zhí)行系統(tǒng)存儲過程sp_unsetapprole之前，之前，被激活的應(yīng)用程序角色都將保持激活狀態(tài)。應(yīng)用程序被激活的應(yīng)用程序角色都將保持激活狀態(tài)

55、。應(yīng)用程序角色旨在由客戶的應(yīng)用程序使用，但同樣可以在即篩角色旨在由客戶的應(yīng)用程序使用，但同樣可以在即篩T-SQL批處理中使用它們。批處理中使用它們。使用應(yīng)用程序角色SQL Server 2005SQL Server 2005如果需要刪除應(yīng)用程序角色，可以使用如果需要刪除應(yīng)用程序角色，可以使用DROP APPLICATION ROLE語句。語句。刪除應(yīng)用程序角色SQL Server 2005SQL Server 200512.8 管理權(quán)限管理權(quán)限權(quán)限是執(zhí)行操作、訪問數(shù)據(jù)的通行證。只有擁有了針對權(quán)限是執(zhí)行操作、訪問數(shù)據(jù)的通行證。只有擁有了針對某種安全對象的指定權(quán)限，才能對該對象執(zhí)行相應(yīng)的操某種安全

56、對象的指定權(quán)限，才能對該對象執(zhí)行相應(yīng)的操作。作。在在Microsoft SQL Server 2005Microsoft SQL Server 2005系統(tǒng)中，不同的對象有系統(tǒng)中，不同的對象有不同的權(quán)限。不同的權(quán)限。SQL Server 2005SQL Server 2005 如果用戶想要操作數(shù)據(jù)庫，如果用戶想要操作數(shù)據(jù)庫，必須設(shè)置其他角色。例如設(shè)置必須設(shè)置其他角色。例如設(shè)置db_owner角色，該帳號就角色，該帳號就擁有擁有SELECT、INSERT、DELETE、UPDATE等權(quán)限，即等權(quán)限，即可以象創(chuàng)建數(shù)據(jù)庫的所有者一樣操作數(shù)據(jù)庫。可以象創(chuàng)建數(shù)據(jù)庫的所有者一樣操作數(shù)據(jù)庫。 SQL Ser

57、ver 2005SQL Server 200512.8權(quán)限管理權(quán)限管理12.8.112.8.1服務(wù)器權(quán)限服務(wù)器權(quán)限一般只把服務(wù)器權(quán)限授給一般只把服務(wù)器權(quán)限授給DBA(數(shù)據(jù)庫管理員數(shù)據(jù)庫管理員)，他不需要修改或者授權(quán)給別，他不需要修改或者授權(quán)給別的用戶登錄的用戶登錄。 12.8.212.8.2數(shù)據(jù)庫對象權(quán)限數(shù)據(jù)庫對象權(quán)限（1）依次單擊）依次單擊“對象資源管理器對象資源管理器”窗口中樹型節(jié)點(diǎn)前的窗口中樹型節(jié)點(diǎn)前的“”號，直到展號，直到展開目標(biāo)數(shù)據(jù)庫的開目標(biāo)數(shù)據(jù)庫的“用戶用戶”節(jié)點(diǎn)為止，在節(jié)點(diǎn)為止，在“用戶用戶”節(jié)點(diǎn)下面的目標(biāo)用戶上單擊節(jié)點(diǎn)下面的目標(biāo)用戶上單擊鼠標(biāo)右鍵，彈出快捷菜單，從中選擇鼠標(biāo)右鍵

58、，彈出快捷菜單，從中選擇“屬性（屬性（R）”命令。命令。 （2）出現(xiàn)）出現(xiàn)“數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶”對話框，選擇對話框，選擇“選擇頁選擇頁”窗口中的窗口中的“安全對象安全對象”項，進(jìn)入權(quán)限設(shè)置頁面，單擊項，進(jìn)入權(quán)限設(shè)置頁面，單擊“添加（添加（A）”按鈕按鈕 。（3）出現(xiàn)）出現(xiàn)“添加對象添加對象”對話框，單擊要添加的對象類別前的單選按鈕，添對話框，單擊要添加的對象類別前的單選按鈕，添加權(quán)限的對象類別，然后單擊加權(quán)限的對象類別，然后單擊“確定確定”按鈕。按鈕。（4）出現(xiàn)）出現(xiàn)“選擇對象選擇對象”對話框，單擊對話框，單擊“對象類型對象類型”按鈕。按鈕。（5）出現(xiàn)）出現(xiàn)“選擇對象類型選擇對象類型”對話框

59、，依次選擇需要添加權(quán)限的對象類型前對話框，依次選擇需要添加權(quán)限的對象類型前的復(fù)選框，選中其對象，最后單擊的復(fù)選框，選中其對象，最后單擊“確定確定”按鈕。按鈕。 SQL Server 2005SQL Server 200512.8.2數(shù)據(jù)庫對象權(quán)限數(shù)據(jù)庫對象權(quán)限12.8.212.8.2數(shù)據(jù)庫對象權(quán)限數(shù)據(jù)庫對象權(quán)限（6）回到）回到“選擇對象選擇對象”對話框，此時在該對話框中出現(xiàn)了剛才選擇的對象對話框，此時在該對話框中出現(xiàn)了剛才選擇的對象類型，單擊該對話框中的類型，單擊該對話框中的“瀏覽（瀏覽（B）”按鈕。按鈕。 （7）出現(xiàn)）出現(xiàn)“查找對象查找對象”對話框，依次選擇要添加權(quán)限的對象前的復(fù)選框，對話框

60、，依次選擇要添加權(quán)限的對象前的復(fù)選框，選中其對象，最后單擊選中其對象，最后單擊“確定確定”按鈕按鈕 （8）又回到）又回到“選擇對象選擇對象”對話框，并且已包含了選擇的對象，確定無誤后，對話框，并且已包含了選擇的對象，確定無誤后，單擊該對話框中的單擊該對話框中的“確定確定”按鈕，完成對象選擇操作。按鈕，完成對象選擇操作。（9）又回到）又回到“數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶”對話框窗口，此窗口中已包含用戶添加的對象，對話框窗口，此窗口中已包含用戶添加的對象，依次選擇每一個對象，并在下面的該對象的依次選擇每一個對象，并在下面的該對象的“顯示權(quán)限顯示權(quán)限”窗口中根據(jù)需要窗口中根據(jù)需要選擇選擇“授予授予”/“拒絕