1、第第9章章 SQL Server的權(quán)限管理與代理服務(wù)的權(quán)限管理與代理服務(wù)本章內(nèi)容：本章內(nèi)容：SQL Server 2000的安全機(jī)制的安全機(jī)制 ；創(chuàng)建和管理登錄賬戶；創(chuàng)建和管理登錄賬戶；數(shù)據(jù)庫(kù)用戶的管理；數(shù)據(jù)庫(kù)用戶的管理；權(quán)限的概念及管理；權(quán)限的概念及管理；角色的管理；角色的管理；SQL Server的的代理服務(wù)與作業(yè)；代理服務(wù)與作業(yè)；9.1 SQL Server 2000的安全機(jī)制的安全機(jī)制 SQL Server 2000 的安全性管理是建立在認(rèn)證（authentication）和訪問(wèn)許可（permission）兩者機(jī)制上的。 在SQL Server 的安全模型中包括以下幾部分：SQL Se

2、rver 登錄數(shù)據(jù)庫(kù)用戶權(quán)限角色 9.1.1 SQL Server 登錄認(rèn)證簡(jiǎn)介登錄認(rèn)證簡(jiǎn)介 1.WINDOWS 認(rèn)證模式 2. NT 作為網(wǎng)絡(luò)操作系統(tǒng)本身就具備管理登錄驗(yàn)證用戶合法性的能力，所以WINDOWS 認(rèn)證模式正是利用這一用戶安全性和賬號(hào)管理的機(jī)制允許SQLServer 也可以使用NT 的用戶名和口令。在該模式下，用戶只要通過(guò)WINDOWS 的認(rèn)證就可連接到SQL Server ，而SQL Server 本身也沒(méi)有必要管理一套登錄數(shù)據(jù)。 3.2. 混合認(rèn)證模式 4. 在混合認(rèn)證模式下WINDOWS 認(rèn)證和SQL Server 認(rèn)證這兩種認(rèn)證模式都是可用的，NT 的用戶既可以使用NT

3、認(rèn)證，也可以使用SQL Server 認(rèn)證 9.1.2 SQL Server認(rèn)證模式設(shè)置認(rèn)證模式設(shè)置 9.2 管理管理SQL Server 登錄登錄 9.2.1 用企業(yè)管理器管理用企業(yè)管理器管理SQL Server 登錄登錄 9.2.2 使用使用TSQL管理管理SQL Server登錄登錄 1 sp_addlogin創(chuàng)建新的使用SQL Server 認(rèn)證模式的登錄賬號(hào)，其語(yǔ)法格式為： sp_addlogin 登錄名稱登錄名稱，登錄密碼登錄密碼，默認(rèn)默認(rèn)數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)，默認(rèn)語(yǔ)言默認(rèn)語(yǔ)言 2sp_droploginSQL Server 中刪除該登錄賬號(hào)，禁止其訪問(wèn)SQL Server 其語(yǔ)法格式為：

4、 sp_droplogin 登錄名稱登錄名稱 3. sp_grantlogin設(shè)定一WINDOWS NT 用戶或用戶組為SQL Server 登錄者，其語(yǔ)法格式為: sp_grantlogin 登錄名稱登錄名稱 4. sp_denylogin拒絕某一NT 用戶或用戶組連接到SQL Server ,其命令格式為： sp_grantlogin 登錄名稱登錄名稱 5. sp_revokelogin用來(lái)刪除NT 用戶或用戶組在SQL Server 上的登錄信息，其語(yǔ)法格式為： sp_revokelogin 登錄名稱登錄名稱 6. sp_helploginssp_helplogins 用來(lái)顯示SQL S

5、erver 所有登錄者的信息，包括每一個(gè)數(shù)據(jù)庫(kù)里與該登錄者相對(duì)應(yīng)的用戶名稱。其語(yǔ)法格式為： sp_helplogins 登錄名稱登錄名稱 9.3 數(shù)據(jù)庫(kù)的用戶數(shù)據(jù)庫(kù)的用戶 9.3.1 數(shù)據(jù)庫(kù)用戶簡(jiǎn)介數(shù)據(jù)庫(kù)用戶簡(jiǎn)介 數(shù)據(jù)庫(kù)用戶用來(lái)指出哪一個(gè)人可以訪問(wèn)哪一個(gè)數(shù)據(jù)庫(kù)。在一個(gè)數(shù)據(jù)庫(kù)中用戶ID惟一標(biāo)識(shí)一個(gè)用戶，用戶對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限以及對(duì)數(shù)據(jù)庫(kù)對(duì)象的所有關(guān)系都是通過(guò)用戶賬號(hào)來(lái)控制的。用戶賬號(hào)總是基于數(shù)據(jù)庫(kù)的，即兩個(gè)不同數(shù)據(jù)庫(kù)中可以有兩個(gè)相同的用戶賬號(hào)。 9.3.2 管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶 1利用企業(yè)管理器管理數(shù)據(jù)庫(kù)用戶 2利用系統(tǒng)過(guò)程管理數(shù)據(jù)庫(kù)用戶 （1） 創(chuàng)建新數(shù)據(jù)庫(kù)用戶 其語(yǔ)法格式為： sp_s

6、p_grantdbaccessgrantdbaccess 登錄賬號(hào)名稱登錄賬號(hào)名稱， 用戶賬號(hào)用戶賬號(hào)名稱名稱 （2） 刪除數(shù)據(jù)庫(kù)用戶 語(yǔ)法格式為： sp_sp_revokedbaccessrevokedbaccess 用戶賬號(hào)名稱用戶賬號(hào)名稱 （3） 查看數(shù)據(jù)庫(kù)用戶信息語(yǔ)法格式為： sp_sp_helpuserhelpuser 用戶賬號(hào)名稱用戶賬號(hào)名稱 9.4 權(quán)限管理權(quán)限管理 9.4.1 權(quán)限管理簡(jiǎn)介權(quán)限管理簡(jiǎn)介 1對(duì)象權(quán)限 對(duì) 象操 作表SELECT INSERT UPDATE DELETE REFERENCE視圖SELECT UPDATE INSERT DELETE存儲(chǔ)過(guò)程EXECUT

7、E列SELECT UPDATE2語(yǔ)句權(quán)限 語(yǔ)句權(quán)限主要指用戶是否具有權(quán)限來(lái)執(zhí)行某一語(yǔ)句，這些語(yǔ)句通常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫(kù)、表、存儲(chǔ)過(guò)程等。l GRANT 用來(lái)把權(quán)限授予某一用戶，以允許該用戶執(zhí)行針對(duì)該對(duì)象的操作（如UPDATE、SELECT、DELETE、EXECUTE）或允許其運(yùn)行某些語(yǔ)句（如CREATE TABLE、CRETAE DATABASE）；l REVOKE 取消用戶對(duì)某一對(duì)象或語(yǔ)句的權(quán)限，這些權(quán)限是經(jīng)過(guò)GRANT 語(yǔ)句授予的不允許該用戶執(zhí)行針對(duì)數(shù)據(jù)庫(kù)對(duì)象的某些操作（如UPDATE、SELECT、DELETE、EXECUTE）或不允許其運(yùn)行某些語(yǔ)句（如CREATE

8、TABLE、CREATE DATABASE DENY 用來(lái)禁止用戶對(duì)某一對(duì)象或語(yǔ)句的權(quán)限，明確禁止其對(duì)某一用戶對(duì)象執(zhí)行某些操作（如UPDATE、SELECT、DELETE、EXECUTE）或運(yùn)行某些語(yǔ)句（如CREATE TABLE、CREATE DATABASE）。 管理語(yǔ)句權(quán)限命令的語(yǔ)法規(guī)則如下： GRANT GRANT 語(yǔ)句名稱語(yǔ)句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬戶名稱 , ,nn DENY DENY 語(yǔ)句名稱語(yǔ)句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬戶名稱 , ,nn REVOKE REVOKE 語(yǔ)句名稱語(yǔ)句名稱 , ,n TO n TO 用戶賬戶名稱用戶賬

9、戶名稱 , ,nn 管理對(duì)象權(quán)限的語(yǔ)法命令如下 ： GRANT GRANT 權(quán)限名稱權(quán)限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲(chǔ)過(guò)程名存儲(chǔ)過(guò)程名 TO TO 用戶賬戶名稱用戶賬戶名稱 DENY DENY 權(quán)限名稱權(quán)限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲(chǔ)過(guò)程名存儲(chǔ)過(guò)程名 TO TO 用戶賬戶名稱用戶賬戶名稱 REVOKE REVOKE 權(quán)限名稱權(quán)限名稱 , ,n ON n ON 表名表名| |視圖名視圖名| |存儲(chǔ)過(guò)程存儲(chǔ)過(guò)程名名 FROM FROM 用戶賬戶名稱用戶賬戶名稱 9.4.2 利用企業(yè)管理器管理權(quán)限利用企業(yè)管理器管理權(quán)限 1

10、面向單一用戶的權(quán)限設(shè)置 2面向數(shù)據(jù)庫(kù)對(duì)象的權(quán)限設(shè)置 9.5角色管理角色管理 9.5.1 角色管理簡(jiǎn)介角色管理簡(jiǎn)介 在SQL Server 中主要有兩種角色類型：服務(wù)器角色與數(shù)據(jù)庫(kù)角色。 1服務(wù)器角色 服務(wù)器角色是指根據(jù)SQL Server 的管理任務(wù)，以及這些任務(wù)相對(duì)的重要性等級(jí)，來(lái)把具有SQL Server 管理職能的用戶劃分成不同的用戶組，每一組所具有管理SQL Server的權(quán)限已被預(yù)定義服務(wù)器角色，適用在服務(wù)器范圍內(nèi)并且其權(quán)限不能被修改。 2數(shù)據(jù)庫(kù)角色 SQL Server 提供了兩種數(shù)據(jù)庫(kù)角色：類型預(yù)定義的數(shù)據(jù)庫(kù)角色；用戶自定義的數(shù)據(jù)庫(kù)角色。 1）預(yù)定義數(shù)據(jù)庫(kù)角色 預(yù)定義數(shù)據(jù)庫(kù)角色是

11、指這些角色所有具有的管理、訪問(wèn)數(shù)據(jù)庫(kù)權(quán)限已被SQL Server定義，并且SQL Server 管理者不能對(duì)其所具有的權(quán)限進(jìn)行任何修改。 2）用戶自定義的數(shù)據(jù)庫(kù)角色 9.5.2 角色的管理角色的管理 1管理服務(wù)器角色 使用企業(yè)管理器查看服務(wù)器角色 使用存儲(chǔ)過(guò)程管理服務(wù)器角色 sp_sp_addsrvrolememberaddsrvrolemember 是將某一登錄加入到服務(wù)器角色內(nèi)，使其成為該角色的成員。其語(yǔ)法格式為： sp_sp_addsrvrolememberaddsrvrolemember 登錄者名稱登錄者名稱 ， 服務(wù)器角色服務(wù)器角色 sp_sp_dropsrvrrolememberd

12、ropsrvrrolemember 用來(lái)將某一登錄者從某一服務(wù)器角色中刪除，當(dāng)該成員從服務(wù)器角色中被刪除后，便不再具有該服務(wù)器角色所設(shè)置的權(quán)限。其語(yǔ)法格式為： sp_sp_dropsrvrolememberdropsrvrolemember 登錄者名稱登錄者名稱 ， 服務(wù)器角色服務(wù)器角色 2、管理數(shù)據(jù)庫(kù)角色 使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫(kù)角色 使用存儲(chǔ)過(guò)程管理數(shù)據(jù)庫(kù)角色使用存儲(chǔ)過(guò)程管理數(shù)據(jù)庫(kù)角色 sp_sp_addrole addrole 系統(tǒng)存儲(chǔ)過(guò)程是用來(lái)創(chuàng)建新數(shù)據(jù)庫(kù)角色。語(yǔ)法格式為：系統(tǒng)存儲(chǔ)過(guò)程是用來(lái)創(chuàng)建新數(shù)據(jù)庫(kù)角色。語(yǔ)法格式為： sp_sp_addroleaddrole 要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)角色名稱

13、要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)角色名稱 ， 數(shù)據(jù)庫(kù)角色的所有者數(shù)據(jù)庫(kù)角色的所有者 sp_sp_droprole droprole 用來(lái)刪除數(shù)據(jù)庫(kù)中某一自定義的數(shù)據(jù)庫(kù)角色，其語(yǔ)法用來(lái)刪除數(shù)據(jù)庫(kù)中某一自定義的數(shù)據(jù)庫(kù)角色，其語(yǔ)法格式為：格式為： sp_sp_droproledroprole 要?jiǎng)h除的數(shù)據(jù)庫(kù)角色名稱要?jiǎng)h除的數(shù)據(jù)庫(kù)角色名稱 sp_sp_helprole helprole 用來(lái)顯示當(dāng)前數(shù)據(jù)庫(kù)所有的數(shù)據(jù)庫(kù)角色的全部信息，用來(lái)顯示當(dāng)前數(shù)據(jù)庫(kù)所有的數(shù)據(jù)庫(kù)角色的全部信息，其語(yǔ)法格式為：其語(yǔ)法格式為： sp_sp_helprolehelprole 預(yù)定義的數(shù)據(jù)庫(kù)角色預(yù)定義的數(shù)據(jù)庫(kù)角色 sp_sp_addroleme

14、mber addrolemember 用來(lái)向數(shù)據(jù)庫(kù)某一角色中添加數(shù)據(jù)庫(kù)用戶，這些用來(lái)向數(shù)據(jù)庫(kù)某一角色中添加數(shù)據(jù)庫(kù)用戶，這些角色可是用戶自定義的標(biāo)準(zhǔn)角色，也可以是預(yù)定義的數(shù)據(jù)庫(kù)角色，角色可是用戶自定義的標(biāo)準(zhǔn)角色，也可以是預(yù)定義的數(shù)據(jù)庫(kù)角色，但不能是應(yīng)用角色。其語(yǔ)法格式為：但不能是應(yīng)用角色。其語(yǔ)法格式為： sp_sp_addrolememberaddrolemember 數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色 ， 數(shù)據(jù)庫(kù)用戶角色或數(shù)據(jù)庫(kù)用戶角色或NT NT 用戶用戶或用戶組或用戶組 9.6 配置配置SQL Server代理服務(wù)代理服務(wù) SQL Server 代理服務(wù)是一個(gè)任務(wù)規(guī)劃器和警報(bào)管理器，負(fù)責(zé)SQL Serv

15、er中的自動(dòng)化工作。代理以Windows服務(wù)形式運(yùn)行，負(fù)責(zé)執(zhí)行安排的任務(wù)。在實(shí)際應(yīng)用環(huán)境下，通過(guò)它可以將那些周期性的活動(dòng)定義成一個(gè)任務(wù)，而讓其在SQLServer 代理幫助下自動(dòng)運(yùn)行。系統(tǒng)管理員還可以利用SQL Server 代理通知一些警告信息來(lái)定位出現(xiàn)的問(wèn)題，從而提高管理效率。SQL Server Agent 主要包括以下幾個(gè)組件：作業(yè)、警報(bào)和操作。 9.7 定義操作員 操作員是指接收由SQL Server 代理發(fā)送來(lái)的消息的對(duì)象。在SQL Server 中可以通過(guò)郵件尋呼或網(wǎng)絡(luò)傳送來(lái)把警報(bào)消息通知給操作員，從而讓其了解系統(tǒng)處于哪種狀態(tài)或發(fā)生了什么事件。 9.8 作業(yè)作業(yè) 作業(yè)是指被定義的多步執(zhí)行的任務(wù)，每一步都是可能執(zhí)行的T-SQL 語(yǔ)句代表一個(gè)任務(wù)作業(yè)。是典型的規(guī)劃任務(wù)和自動(dòng)執(zhí)行任務(wù)，數(shù)據(jù)庫(kù)的備份和恢復(fù)，數(shù)據(jù)的復(fù)制，數(shù)據(jù)的導(dǎo)入/導(dǎo)出等都可以被定義成作業(yè)，然后在規(guī)劃的時(shí)間由SQL Server 代理來(lái)自動(dòng)完成。 9.9 警報(bào)警報(bào) 在SQL Server 中通過(guò)警報(bào)管理器定義警報(bào)，當(dāng)某些特定的事件發(fā)生時(shí)會(huì)自動(dòng)報(bào)警。當(dāng)警報(bào)被觸發(fā)時(shí)，通過(guò)電子郵件或?qū)ず敉ㄖ僮鲉T，從而讓操作員了解系統(tǒng)中發(fā)生了什么事件，比如，數(shù)據(jù)庫(kù)使用空間不夠了，或