第11章 安全管理.ppt

第11章安全管理
安全认证模式
登录管理
用户管理
角色管理
权限管理
安全认证模式
在SQL Server系统中,安全性采用的是两级权限管理机制。第一级是服务器级的“连接权”,第二级是数据库的“访问权”。用户使用SQL Server时,需要通过两级权限的验证:
(1) 规定哪些用户能登录系统,即登录时的身份验证。
用户登录时,系统将首先检验用户是否有连接SQL Server实例的权力,如用户通过了身份验证,仅表示该用户可以连接SQL Server实例,而不是表示其对SQL Server实例中的数据库有进行操作的权力。
(2)这些用户对相应数据库中的对象有哪些访问权限,即权限论证。
通过了身份验证后,还必须在要访问的数据库中存在一个用户帐户,并将访问相应数据库的权限授予该登录用户。只有得到了访问数据库的权限,才能允许登录用户访问相关数据库中的数据。因此,权限论证可以控制用户对数据库中数据的操作。
第11章
安全管理
<
>
身份验证

SQL Server提供了两种身份验证模式:Windows身份验证模式和混合模式。
(1)  Windows身份验证模式
Windows身份验证模式使用Windows操作系统本身提供的安全机制验证用户的身份。只要用户能够通过Windows NT或Windows 2000的用户帐户验证,就可连接到SQL Server。
(2)  混合模式(Windows身份验证和SQL Server身份验证)
混合模式下,用户的身份验证由Windows和SQL Server共同承担,系统将确认连接用户在Windows操作系统下是否可信,对于可信的连接用户,系统直接采用Windows身份验证方式,当用户使用指定的登录账号和密码进行非信任连接时,SQL Server将检测登录账号的存在性和密码的匹配性,自行进行验证。
第11章
安全管理
<
>
身份验证

SQL Server的身份验证模式在安装时由管理员指定。
1) 启动企业管理器,展开相应的服务器组。
2)右击需更改身份验证模式的服务器节点,在弹出的快捷菜单中执行“属性”命令,出现如图11-1所示的“SQL Server属性(配置)”对话框。
3)单击“安全性”选项卡,进入“安全性”选项页。在“安全性”组框中提供了两个选项:
l “身份验证”单选按钮组中设置身份验证模式。
l “审核级别”单选按钮组中设置审核级别。
4)选择一种身份验证模式和审核级别。
5)单击“确定”按钮,关闭对话框。
6)重新启动SQL Server,以使修改生效。
第11章
安全管理
<
>
权限认证
当登录用户通过了身份验证并允许其登录到SQL Server实例之后,在用户必须访问的每个数据库中都要求有对应的用户帐户。在每个数据库中都要求用户帐户可防止用户访问服务器上的所有数据库,同时对于没有用户账号的数据库将无法访问。
默认情况下,数据库的所有者(dbo) 可以实现对该数据库的完全控制,还可以根据需要向其他用户授予或解除访问该数据库或对象的权限,以便让这些用户也拥有针对该数据库的访问权利或解除权力。
用户可向SQL Server发送各种T-SQL语句命令,用于完成相应的任务。但当SQL Server 实例接收到T-SQL语句时,将首先检查用户是否有在数据库中执行该语句的权限,如果用户没有执行语句的权限,或者没有访问该语句所使用对象的权限,则SQL Server将返回权限错误,命令执行将以失败告终。因此对于每个要求访问数据库的SQL Server登录用户,应将其SQL Server用户帐户添加到相应数据库,如果用户未在数据库中创建,则登录用户就无法访问数据库。
第11章
安全管理
<
>
登录管理
SQL Server的安全性

为登录和访问SQL Server,用户必须提供正确的登录账号。这些登录账号既可以是Windows中的登录账号,也可以是SQL Server登录账号。登录账号是系统信息,存储在master数据库的sysxlogins系统表中。
SQL Server安装完成后,系统中已存在两个登录帐户:系统管理员sa和临时账号guest。

每个用户必须通过登录帐户建立与SQL Server实例的连接(身份验证),以获得对SQL Server实例的访问权限。然后,该登录还必须将登录账号映射到需访问数据库中的一个SQL Server 用户帐户,通过该用户帐户取得对数据库的执行权限(权限验证)。
用户账号信息存储在需要访问数据库的系统表