第8章 系统安全管理,SQL Server 2008的身份验证模式,建立和管理用户账户,服务器角色与数据库角色,数据库权限的管理,数据库架构的定义和使用,综合应用训练,8.1 SQL Server 2008的身份验证模式,SQL Server 2008的身份认证模式是指系统确认用户的方式。SQL Server2008有两种身份认证模式：Windows验证模式和SQL Server验证模式，图8.1给出了这两种方式登录SQL Server服务器的情形。,图8.1 两种验证方式登录SQL Server服务器的情形,8.1 SQL Server 2008的身份验证模式,1Windows验证模式 用户登录Windows时进行身份验证，登录SQL Server时就不再进行身份验证。以下是对于Windows验证模式登录的几点重要说明： （1）必须将Windows账户加入到SQL Server中，才能采用Windows账户登录SQL Server。 （2）如果使用Windows账户登录到另一个网络的SQL Server，必须在Windows中设置彼此的托管权限。 2SQL Server认证模式 在SQL Server验证模式下，SQL Server服务器要对登录的用户进行身份验证。当SQL Server在Windows操作系统上运行时，系统管理员设定登录验证模式的类型可为Windows验证模式和混合模式。当采用混合模式时，SQL Server系统既允许使用Windows登录账号登录，也允许使用SQL Server登录账号登录。,8.2.1界面方式管理用户账户,在该窗口中选择“本地用户和组”中的“用户”图标右击，在弹出的快捷菜单中选择 “新用户”菜单项，打开“新用户”窗口。如图8.2所示，在该窗口中输入用户名、密码，单击“创建”按钮，然后单击“关闭”按钮，完成新用户的创建。,图8.2 创建新用户的界面,8.2.1界面方式管理用户账户,（2）将Windows账户加入到SQL Server中。以管理员身份登录到SQL Server Management Studio，在“对象资源管理器”中，找到并选择如图8.3所示的“登录名”项。,图8.3 新建登录名,8.2.1界面方式管理用户账户,右击鼠标，在弹出的快捷菜单中选择“新建登录名”，打开“登录名-新建”窗口。如图8.4所示，可以通过单击“常规”选项卡的“搜索”按钮，在“选择用户或组”对话框中选择相应的用户名或用户组添加到SQL Server 2008登录用户列表中。例如，本例的用户名为：0BD7E57C949A420liu（0BD7E57C949A420为本地计算机名）。,图8.4 新建登录名,8.2.1界面方式管理用户账户,2建立SQL Server验证模式的登录名 要建立SQL Server验证模式的登录名，首先应将验证模式设置为混合模式。如果用户在安装SQL Server时验证模式没有设置为混合模式，则先要将验证模式设为混合模式。步骤如下： （1）以系统管理员身份登录SQL Server Management Studio，在“对象资源管理器”中选择要登录的SQL Server服务器图标，右击鼠标，在弹出的快捷菜单中选择“属性”菜单项，打开“服务器属性”窗口。 （2）在打开的“服务器属性”窗口中选择“安全性”选项卡。选择服务器身份验证为“SQL Server和Windows身份验证模式”，单击“确定”按钮，保存新的配置，重启SQL Server服务即可。 创建SQL Server验证模式的登录名也在如图8.4所示的界面中进行，输入一个自己定义的登录名，例如david，选中“SQL Server身份验证”选项，输入密码，并将“强制密码过期”复选框中的勾去掉，设置完单击“确定”按钮即可。,8.2.1界面方式管理用户账户,为了测试创建的登录名能否连接SQL Server，可以使用新建的登录名david来进行测试，具体步骤如下： 在“对象资源管理器”窗口中单击“连接”，在下拉框中选择“数据库引擎”，弹出“连接到服务器”对话框。在该对话框中，“身份验证”选择“SQL Server身份验证”，“登录名”填写david，输入密码，单击“连接”按钮，就能连接SQL Server了。登录后的“对象资源管理器”界面如图8.5所示。,图8.5 使用SQL Server验证方式登录,8.2.1界面方式管理用户账户,3管理数据库用户 使用SSMS创建数据库用户账户的步骤如下（以XSBOOK数据库为例）： 以系统管理员身份连接SQL Server，展开“数据库”“XSBOOK”“安全性”选择“用户”，右击鼠标，选择“新建用户”菜单项，进入“数据库用户-新建”窗口。在“用户名”框中填写一个数据库用户名，“登录名”框中填写一个能够登录SQL Server的登录名，如david。注意：一个登录名在本数据库中只能创建一个数据库用户。选择默认架构为dbo，如图8.6所示，单击“确定”按钮完成创建。,图8.6 新建数据库用户账户,8.2.2 命令方式管理用户账户,1创建登录名 在SQL Server 2008中，创建登录名可以使用CREATE LOGIN命令。语法格式： CREATE LOGIN login_name WITH PASSWORD = password HASHED MUST_CHANGE , ,. /*WITH子句用于创建SQL Server登录名*/ | FROM/*FROM子句用户创建其他登录名*/ WINDOWS WITH ,. | CERTIFICATE certname | ASYMMETRIC KEY asym_key_name ,8.2.2 命令方式管理用户账户,其中： := SID = sid | DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | CHECK_EXPIRATION = ON | OFF | CHECK_POLICY = ON | OFF CREDENTIAL = credential_name := DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language,8.2.2 命令方式管理用户账户,（1）创建Windows验证模式登录名。创建Windows登录名使用FROM子句，在FROM子句的语法格式中，WINDOWS关键字指定将登录名映射到Windows登录名，其中，为创建Windows登录名的选项，DEFAULT_DATABASE指定默认数据库，DEFAULT_LANGUAGE指定默认语言。 【例8.1】 使用命令方式创建Windows登录名tao（假设Windows用户tao已经创建，本地计算机名为0BD7E57C949A420），默认数据库设为XSBOOK。 USE master GO CREATE LOGIN 0BD7E57C949A420tao FROM WINDOWS WITH DEFAULT_DATABASE= XSBOOK 命令执行成功后在“登录名”“安全性”列表上就可以查看到该登录名。,8.2.2 命令方式管理用户账户,（2）创建SQL Server验证模式登录名。创建SQL Server登录名使用WITH子句，其中： PASSWORD：用于指定正在创建的登录名的密码，password为密码字符串。HASHED 选项指定在PASSWORD参数后输入的密码已经过哈希运算，如果未选择此选项，则在将作为密码输入的字符串存储到数据库之前，对其进行哈希运算。如果指定MUST_CHANGE选项，则SQL Server会在首次使用新登录名时提示用户输入新密码。 ：用于指定在创建SQL Server登录名时的一些选项。 【例8.2】 创建SQL Server登录名sql_tao，密码为123456，默认数据库设为XSBOOK。 CREATE LOGIN sql_tao WITH PASSWORD=123456, DEFAULT_DATABASE=XSBOOK,8.2.2 命令方式管理用户账户,2删除登录名 删除登录名使用DROP LOGIN命令。语法格式： DROP LOGIN login_name 【例8.3】 删除Windows登录名tao。 DROP LOGIN 0BD7E57C949A420tao 【例8.4】 删除SQL Server登录名sql_tao。 DROP LOGIN sql_tao 3创建数据库用户 创建数据库用户使用CREATE USER命令。语法格式： CREATE USER user_name FOR | FROM LOGIN login_name | CERTIFICATE cert_name | ASYMMETRIC KEY asym_key_name | WITHOUT LOGIN WITH DEFAULT_SCHEMA = schema_name ,8.2.2 命令方式管理用户账户,说明： （1）user_name指定数据库用户名。FOR或FROM子句用于指定相关联的登录名。 （2）LOGIN login_name指定要创建数据库用户的SQL Server登录名。login_name必须是服务器中有效的登录名。当此登录名进入数据库时，它将获取正在创建的数据库用户的名称和ID。 （3）WITHOUT LOGIN指定不将用户映射到现有登录名。 （4）WITH DEFAULT_SCHEMA指定服务器为此数据库用户解析对象名称时将搜索的第一个架构，默认为dbo。,8.2.2 命令方式管理用户账户,【例8.5】 使用SQL Server登录名sql_tao（假设已经创建）在XSBOOK数据库中创建数据库用户tao，默认架构名使用dbo。 USE XSBOOK GO CREATE USER tao FOR LOGIN sql_tao WITH DEFAULT_SCHEMA=dbo,8.2.2 命令方式管理用户账户,4删除数据库用户 删除数据库用户使用DROP USER语句。语法格式： DROP USER user_name user_name为要删除的数据库用户名，在删除之前要使用USE语句指定数据库。 【例8.6】 删除XSBOOK数据库的数据库用户tao。 USE XSBOOK GO DROP USER tao,8.3 服务器角色与数据库角色,8.3.1 固定服务器角色 服务器角色独立于各个数据库。如果在SQL Server中创建一个登录名后，要赋予该登录者具有管理服务器的权限，此时可设置该登录名为服务器角色的成员。SQL Server提供了以下固定服务器角色： （1）sysadmin：系统管理员，角色成员可对SQL Server服务器进行所有的管理工作，为最高管理角色。这个角色一般适合于数据库管理员（DBA）。 （2）securityadmin：安全管理员，角色成员可以管理登录名及其属性。可以授予、拒绝、撤销服务器级和数据库级的权限。另外还可以重置SQL Server登录名的密码。 （3）serveradmin：服务器管理员，角色成员具有对服务器进行设置及关闭服务器的权限。 （4）setupadmin：设置管理员，角色成员可以添加和删除链接服务器，并执行某些系统存储过程。 （5）processadmin：进程管理员，角色成员可以终止SQL Server实例中运行的进程。 （6）diskadmin：用于管理磁盘文件。,8.3.1 固定服务器角色,（7）dbcreator：数据库创建者，角色成员可以创建、更改、删除或还原任何数据库。 （8）bulkadmin：可执行BULK INSERT语句，但是这些成员对要插入数据的表必须有INSERT权限。BULK INSERT语句的功能是以用户指定的格式复制一个数据文件至数据库