1、服務器認證服務器認證是指每個用戶在通過網絡訪問SQL Server 2000數據庫之前，操作系統或數據庫服務器會對用戶進行身份驗證，以此來決定該用戶是否可以連接到服務器以及該用戶可以訪問哪些數據。沒有通過檢查的用戶，服務器將拒絕其對數據庫的連接請求。在服務器認證階段，SQL Server提供了3種認證模式：第一種是Windows認證模式；第二種是SQL Server認證模式；第三種是兩種認證模式的有機結合，即混合認證模式，它既支持Windows認證，又支持SQL Server認證。下面詳細介紹這3種認證模式。（1）Windows認證模式用戶在與SQL Server進行連接時不需要提供SQL S

2、erver登錄賬號就可以直接與SQL Server 相連接，這種認證模式就是Windows認證模式。使用Windows認證模式時，只要來訪用戶通過“服務器平臺”用戶的檢驗，SQL Server就不再對該用戶進行安全性檢驗工作了，此用戶就可以成功地連接到SQL Server數據庫服務器。Windows認證模式的優點主要體現在以下幾點：l          Windows NT/2000有著更強的用戶賬戶管理工具。可以設置賬戶鎖定、密碼期限等，數據庫管理員可以把用戶賬戶交給Windows NT/2000去管理

3、，而把自己的工作主要集中在數據庫管理方面。l          Windows NT/2000的組策略支持多個用戶同時被授權訪問SQL Server。l          用戶只需使用一個用戶名和口令，就可以同時訪問Windows和SQL Server。如果在客戶和服務器間建立連接，使用該驗證模式時，必須滿足的一個條件就是客戶端的用戶必須在服務器上有合法的Windows NT/2000賬戶，服務器能夠在自己的域中驗證

4、該用戶。 注意：如果服務器啟動了Guest賬戶，也可以使用該驗證模式，但這種方法常常會帶來安全上的隱患。（2）SQL Server認證模式當用戶與SQL Server連接時，必須提供由SQL Server管理員為其設定的登錄賬號和口令，并指定SQL Server工作在SQL Server認證模式下。經過SQL Server安全系統對用戶的身份進行驗證合法后才能連接上數據庫服務。SQL Server認證模式的優點主要體現在以下幾點。l          創建了Windows NT/2000之上的另外一個安全

5、層次。l          支持更大范圍的用戶，如非Windows NT客戶、Novell網用戶等。l          一個應用程序可以使用單個的SQL Server登錄賬號和口令。（3）混合認證模式混合認證模式是前兩種認證模式的有機結合。用戶既能使用Windows認證模式又能使用SQL Server認證模式連接到SQL Server服務器。數據庫認證用戶必須使用特定的登錄賬戶經過驗證才能登錄到SQL Server

6、。登錄以后，用戶在訪問每個數據庫時也必須使用特定的用戶賬號才能對數據庫進行訪問，而且只能查看經授權可以查看的表和視圖，只能執行經授權可以執行的存儲過程和管理功能，這樣可以有效地控制用戶訪問數據庫的權限，防止一個用戶在連接SQL Server以后，對服務器上的所有數據庫進行訪問。用戶賬戶的數據庫訪問權限決定了用戶在數據庫中可以進行哪些操作。 注意：安裝系統時，Guest用戶自動加入到master、pubs、tempdb和Northwind數據庫中，當SQL Server數據庫用戶沒有用戶賬號時可以使用Guest用戶賬號登錄，以匿名的方式查看數據庫中的數據。 管理服務器角色服務器角色是指

7、根據SQL Server的管理任務以及這些任務相對的重要性等級，把具有SQL Server管理職能的用戶劃分為不同的角色來管理SQL Server的權限。服務器角色適用于服務器范圍內，其權限不能被修改。啟動企業管理器，展開服務器組及指定的服務器，展開“安全性”節點，單擊“服務器角色”選項，右側列表框內自動顯示存在的服務器角色，如圖1所示。圖1 服務器角色SQL Server共有8種預定義的服務器角色，各角色的具體含義如表1所示。表1服務器角色服務器角色角 色 描 述Sysadmin（系統管理員）可以在SQL Server中做任何事情Serveradmin（服務器管理員）設置SQL Server

8、服務器范圍內的配置選項，可以關閉服務器Setupadmin（安裝管理員）可以管理擴展的存儲過程Securityadmin（安全管理員）管理數據庫登錄Processadmin（進程管理員）管理運行在SQL Server中的進程Dbcreator（數據庫創建者）可以創建和更改數據庫Diskadmin（磁盤管理員）管理磁盤文件Bulkadmin（批量管理員）可以執行大容量數據插入操作 下面介紹如何使用企業管理器來管理服務器角色。操作步驟如下：（1）啟動企業管理器，展開服務器組及指定的服務器。（2） 展開“安全性”節點，單擊“服務器角色”選項，右側列表框內自動顯示當前SQL Ser

9、ver服務器的角色，如圖2所示。（3）在企業管理器右邊的角色列表框中右鍵單擊要查看信息的服務器角色“processadmin”，在彈出的快捷菜單中選擇“屬性”命令，彈出“服務器角色屬性”對話框，如圖3所示。在這個對話框中，可以看到該角色的成員。（4）在“服務器角色屬性”對話框中單擊“添加”按鈕，在彈出的“添加成員”對話框中選擇登錄賬號“mrsoft”，即可向該角色中添加成員。如果想刪除用戶，只要選中該用戶，單擊“刪除”按鈕即可，如圖4所示。圖2服務器角色列表圖3 服務器角色屬性 圖4 向服務器角色添加用戶（5）最后單擊“確定”按鈕即可完成添加操作。管理數據庫角色數據庫角色是對數據庫對象操作的權

10、限的集合。在SQL Server中，數據庫角色可以新建，也可以使用已存在的數據庫角色。數據庫角色能為某一用戶或一組用戶授予不同級別的管理、訪問數據庫或數據庫對象的權限，這些權限是SQL Server數據庫專有的。啟動企業管理器，展開服務器組及指定的服務器。展開指定的數據庫“model”節點，單擊“角色”選項，右側列表框內自動顯示存在的數據庫角色，如圖1所示。圖1 數據庫角色數據庫角色角 色 描 述db_accessadmin可以增加或刪除Windows NT認證模式下用戶或用戶組以及SQL Server用戶db_backupoperator可以備份數據庫db_datareader能且僅能對數據

11、庫中任何表執行select操作，從而讀取所有表的信息db_datawriter能對數據庫中任何表執行insert、delete、update操作，但不能進行select操作db_ddladmin可以新建、刪除、修改數據庫中任何對象db_denydatareader不能對數據庫中任何表進行select操作db_denydatawriter不能對數據庫中任何表進行insert、delete、update操作db_owner數據庫的所有者，可以執行任何數據庫管理工作，可以對數據庫內的任何對象進行任何操作db_securityadmin管理數據庫內權限的grant、deny、revoke操作，即對語句

12、、對象、角色權限的管理public是一個特殊的角色，它包含所有數據庫用戶賬戶和角色所擁有的訪問權限，這種權限的繼承關系不能改變。管理員應該特別注意給該角色賦權限在SQL Server中，數據庫角色分為兩種類型：一種是預定義數據庫角色，另一種是自定義數據庫角色。（1）預定義數據庫角色預定義數據庫角色是在SQL Server中已經定義好的，具有管理、訪問數據庫權限的角色。有一點需要注意的是數據庫管理員不可以對預定義數據庫角色進行任何權限修改，也不可以刪除這些角色。（2）自定義數據庫角色自定義數據庫角色可以使用戶在數據庫中實現某一種特定功能。其優點主要體現在以下幾點：l  

13、60;       SQL Server數據庫角色可以包含多個用戶。l          在同一個數據庫中用戶可以有不同的自定義角色，這種角色的組合是自由的。l          角色可以進行嵌套，從而在數據庫中實現不同級別的安全性。用戶自定義數據庫角色還可以分為兩種類型：標準角色和應用角色。標準角色通過對用戶權限等級的認定將用戶分為不同的用戶組，使用戶相對

14、于一個或多個角色，進而實現管理的安全性。應用角色使用戶只能通過特定的應用程序間接地存取數據庫中的數據。二者的區別主要體現在以下幾點。l          應用程序角色不包含成員。l          默認情況下，應用程序角色是非活動的，需要用密碼激活。l          應用程序角色不使用標準權限。SQL Server中還有一

15、個特殊的數據庫角色public，它存在于每一個數據庫中，包括系統數據庫，如master、msdb、model和用戶數據庫，數據庫的所有用戶都屬于public角色，并且不能從public角色中刪除。1創建數據庫角色下面以在數據庫“db-kcgl”中創建數據庫角色“kcgl”為例，介紹如何在企業管理器中創建數據庫角色。操作步驟如下：（1）啟動企業管理器，展開服務器組及指定的服務器。（2）展開“數據庫”選項，展開指定的數據庫“db-kcgl”節點，右鍵單擊“角色”選項，在彈出的快捷菜單中選擇“新建數據庫角色”命令，如圖2所示。（3）進入如圖3所示的“數據庫角色屬性”對話框。在“名稱”文本框中輸入名稱

16、“kcgl”，選擇數據庫角色類型為“標準角色”，單擊“添加”按鈕選擇要添加的用戶。設置完成后單擊“確定”按鈕即可創建新的數據庫角色“kcgl”。 注意：列權限、用戶權限、角色權限發生沖突時，列權限優先于用戶權限，用戶權限優先于角色權限。2刪除數據庫角色下面使用企業管理器刪除數據庫角色。操作步驟如下： 圖2 建立數據庫角色 圖3 數據庫角色屬性（1）啟動企業管理器，展開服務器組及指定的服務器。（2）展開指定的數據庫“db-kcgl”結點，選中“角色”選項，企業管理器右邊的角色列表框中顯示相應的角色，鼠標右鍵單擊要刪除的角色“kcgl”，在彈出的快捷菜單中選擇“刪除”命令，SQL Server會出

17、現確認刪除的對話框，選擇“確定”按鈕即可以刪除數據庫角色，如圖4所示。 圖4 刪除數據庫角色 注意：在SQL Server中不能刪除預定義的數據庫角色。下面使用T-SQL命令刪除數據庫角色。使用sp_droprole命令可以刪除數據庫角色。語法：Sp_sp_droprolerolename='role'參數說明：rolename：指自定義的數據庫角色。示例：本示例使用sp_droprole命令刪除數據庫“db-kcgl”中的數據庫角色“kcgl”。SQL語句如下：USE db-kcglGOEXEC sp_droprole'kcgl'GO 注意：如果該數據庫角色中

18、還有成員或仍擁有數據庫對象，則無法刪除該角色，必須首先刪除其中的成員或數據庫對象。查看登錄賬號啟動企業管理器，展開服務器組及指定的服務器，展開“安全性”節點，單擊“登錄”選項，可看到系統創建的默認登錄賬號及已建立的登錄賬號，如圖1所示。 圖1 查看服務器登錄賬號其中BUILTINAdministrators和sa是系統默認創建的兩個登錄賬號。l          BUILTINAdministrators：凡是Windows NT Server/2000中的Administrators組的賬號都允許作為S

19、QL Server登錄賬號使用。l          sa：SQL Server系統管理員登錄賬號，該賬號擁有最高的管理權限，可以執行服務器范圍內的所有操作。通常SQL Server管理員也是Windows NT或Windows Server 2000的管理員。特殊數據庫用戶SQL Server的數據庫級別上也存在著兩個特殊的數據庫用戶：dbo和guest。它們具有特殊的權限和作用。1dbodbo是數據庫的最高權利擁有者，可以在數據庫范圍內執行一切操作。在安裝SQL Server時，被設置到model數據

20、庫中，它的用戶ID（uid）總是1，并且永遠無法從數據庫中將其刪除。2guestguest是SQL Server數據庫中的一個特殊用戶，它可以使任何已經登錄到SQL Server服務器的用戶都可以訪問數據庫。在系統數據庫中除model以外都有guest用戶。而且master和tempdb系統數據庫中的guest用戶不能被刪除，其他數據庫中的guest用戶都可以被創建或刪除。但創建時必須使用sp_grantdbaccess命令建立guest用戶。示例：本示例使用sp_grantdbaccess命令為數據庫“db_kcgl”建立guest用戶。SQL語句如下：USE db_kcglEXEC sp_

21、grantdbaccess guestGO使用企業管理器管理權限1設置數據庫訪問權限下面以設置數據庫“kfgl”的訪問權限為例介紹如何通過企業管理器設置數據庫的訪問權限。操作步驟如下：（1）啟動企業管理器，展開服務器組及指定的服務器。（2）展開“數據庫”節點，鼠標右鍵單擊數據庫“kfgl”，在彈出的快捷菜單中選擇“屬性”命令，打開數據庫屬性對話框，如圖1所示。圖1 選擇“屬性”命令（3）在彈出的數據庫屬性對話框中單擊“權限”選項卡，如圖2所示，選擇數據庫用戶“mrsoft”的“創建表”和“創建視圖”復選框，即允許創建表及視圖。（4）單擊“確定”按鈕完成權限的設置。圖2 數據庫屬性2設置數據庫對象的訪問權限用戶在具有了訪問數據庫的權限之后，就可以授予其訪問數據庫對象的權限了。下面設置允許數據庫用戶“mrsoft”對數據庫“kfgl”中的員工信息表“ygxx”中的數據進行查詢、插入、修改和刪除操作。操作步驟如下：（1）啟動企業管理器，展開服務器組及指定的服務器。（2）展開指定的數據庫“kfgl”節點，單擊“表”選項，在右側的列表中右鍵單擊表“ygxx”選項，在彈出的快捷菜單中選擇“