第第8章章SQLServer2000身份认证身份认证1.WindowsNT认证模式认证模式用户登录用户登录WindowsNT时进行身份认证，登录时进行身份认证，登录SQLServer时不再进行身份验证。时不再进行身份验证。对于对于WindowsNT认证模式登录的几点重要说明认证模式登录的几点重要说明:(1)必须将必须将NT网络账号加入到网络账号加入到SQLServer中，才能中，才能采用采用NT网络账号登录网络账号登录SQLServer。(2)如果使用如果使用NT网络账号登录到另一个网络的网络账号登录到另一个网络的SQLServer，必须在，必须在NT网络中设置彼此的托管权限。网络中设置彼此的托管权限。8.1SQLServer2000的身份认证模式的身份认证模式8.1SQLServer2000的身份认证模式的身份认证模式2.SQLServer认证模式认证模式在在SQLServer认证模式下，认证模式下，SQLServer服务器要对服务器要对登录的用户进行身份验证登录的用户进行身份验证对于对于Windows9x系列的操作系统只能使用系列的操作系统只能使用SQLServer认证模式，而当认证模式，而当SQLServer在在WindowsNT或或Windows2000上运行时，系统管理员设定登录认证模式上运行时，系统管理员设定登录认证模式的类型可为的类型可为WindowsNT认证模式和混合模式。认证模式和混合模式。8.2.1WindowsNT认证模式登录账号的建立与删除认证模式登录账号的建立与删除1.WindowsNT认证模式登录账号的建立认证模式登录账号的建立1)通过企业管理器建立通过企业管理器建立WindowsNT认证模式的登录账号认证模式的登录账号Windows2000本本地地计计算算机机管管理理界界面面Windows2000本本地地计计算算机机创创建建新新用用户户的的界界面面在企业管理器中选择在企业管理器中选择“登录登录”图标右击图标右击SQLServer信任连接设置窗口信任连接设置窗口8.2.1WindowsNT认证模式登录账号的建立与删除认证模式登录账号的建立与删除2)通过调用系统存储过程建立通过调用系统存储过程建立WindowsNT认证模式的登录账号认证模式的登录账号创建创建WindowsNT、Windows2000的用户或组后，使用系统存的用户或组后，使用系统存储过程储过程sp_grantlogin可将一个可将一个WindowsNT或或Windows2000的的用户或组的登录账号添加到用户或组的登录账号添加到SQLServer中，以便通过中，以便通过Windows身份验证连接到身份验证连接到SQLServer。语法格式如下。语法格式如下:sp_grantloginloginame=login参数含义参数含义:loginame=:原样输入的常量字符串原样输入的常量字符串注意注意:(1)不能在用户定义的事务内执行不能在用户定义的事务内执行sp_grantlogin；(2)仅仅sysadmin或或securityadmin固定服务器角色的成员可以固定服务器角色的成员可以执行执行sp_grantlogin。8.2.1WindowsNT认证模式登录账号的建立与删除认证模式登录账号的建立与删除8.2.1WindowsNT认证模式登录账号的建立与删除认证模式登录账号的建立与删除2.WindowsNT认证模式登录账号的删除认证模式登录账号的删除(1)以系统管理员身份进入企业管以系统管理员身份进入企业管理器，并展开目录树；理器，并展开目录树；(2)在目录树的在目录树的“登录登录”节点下，节点下，选中待删除的选中待删除的“账号账号”节点，节点，2)通过调用系统存储过程删除通过调用系统存储过程删除WindowsNT认证模式的登录账号通过执行系统存储认证模式的登录账号通过执行系统存储过程过程sp_revokelogin可删除可删除WindowsNT用户或组登录用户或组登录SQLServer的账号。的账号。1)通过企业管理器删除通过企业管理器删除WindowsNT认证模式的登录账号认证模式的登录账号.步骤如下步骤如下:8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除 (1)在企业管理器中，在企业管理器中，选择要登录的选择要登录的SQLServer服务器图标右服务器图标右击，出现一快捷菜单，击，出现一快捷菜单，选择菜单项选择菜单项“属性属性”，出现如图的，出现如图的SQLServer服务器属性配服务器属性配置窗口。置窗口。SQLServer服务器属性配置窗口服务器属性配置窗口 (2)选择选择“安全性安全性”选项卡，如图所示，选项卡，如图所示，选择身份验证方式选择身份验证方式为为“SQLServer与与Windows”，选，选择择“确定确定”按钮。按钮。SQLServer身份认证方式配置窗口身份认证方式配置窗口 8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除 1.通过企业管理器创建通过企业管理器创建SQLServer登录账号登录账号 (1)在企业管理器中选择在企业管理器中选择“登登录录”图标右击，出现快捷菜单，图标右击，出现快捷菜单，选择选择“新建登录新建登录”菜单项，进入菜单项，进入如下图的界；如下图的界；(2)输入账号名、密码，选择输入账号名、密码，选择“SQLServer身份验证身份验证”方式，方式，点击点击“确定确定”按钮。按钮。SQLServer登录账登录账号新建号新建窗口窗口 8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除 2.利用系统存储过程创建利用系统存储过程创建SQLServer登录账号登录账号.语法格式如下语法格式如下:sp_addloginloginame=login,passwd=password,defdb=database,deflanguage=language,sid=sid,encryptopt=encryption_option8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除 3.SQLServer登录账号的删除登录账号的删除利用利用sp_droplogin系统存储过程可删除系统存储过程可删除SQLServer登录账号登录账号:语法格式语法格式:sp_droploginloginame=login参数含义参数含义:login:将被删除的登录账号名。将被删除的登录账号名。返回值返回值:0（成功）或（成功）或1（失败）。（失败）。(1)若要删除一个数据库现有用户的登录账号，必须首先若要删除一个数据库现有用户的登录账号，必须首先使用使用sp_dropuser删除该用户。删除该用户。(2)不能删除系统管理员不能删除系统管理员(sa)的登录账号。的登录账号。(3)不能在用户定义的事务内执行不能在用户定义的事务内执行sp_droplogin。(4)只有只有sysadmin和和securityadmin固定服务器角色的成员才固定服务器角色的成员才能执行能执行sp_droplogin。8.2.2混合认证模式下混合认证模式下SQLServer登录账号的建立与删除登录账号的建立与删除 8.3.1固定服务器角色固定服务器角色(1)以系统管理员身份登录到以系统管理员身份登录到SQLServer服务器，在登录图标对应的列服务器，在登录图标对应的列表项中，选择登录账号表项中，选择登录账号“DLGC-YPOOLOLRW4LIU”的项目双击；的项目双击；(2)选择选择“服务器角色服务器角色”选项卡，选选项卡，选项卡中列出了项卡中列出了SQLServer所有的固定所有的固定服务器角色，将服务器角色，将“Systemadministrators”服务器角色前的复选服务器角色前的复选框选中。框选中。1.通过企业管理器添加服务器角色成员通过企业管理器添加服务器角色成员SQLServer服务器角色设置窗口服务器角色设置窗口8.3.1固定服务器角色固定服务器角色2.利用系统存储过程添加固定服务器角色成员利用系统存储过程添加固定服务器角色成员利用系统存储过程利用系统存储过程sp_addsrvrolemember可将一登录账号添加可将一登录账号添加到某一固定服务器角色中，使其成为固定服务器角色的成员。说明到某一固定服务器角色中，使其成为固定服务器角色的成员。说明:(1)将登录账号添加到固定服务器角色时，该登录就会得到与此固定服将登录账号添加到固定服务器角色时，该登录就会得到与此固定服务器角色相关的权限。务器角色相关的权限。(2)不能更改不能更改sa角色成员资格。角色成员资格。(3)不能在用户定义的事务内执行不能在用户定义的事务内执行sp_addsrvrolemember存储过程。存储过程。(4)sysadmin固定服务器的成员可以将登录账号添加到任何固定服务固定服务器的成员可以将登录账号添加到任何固定服务器角色，其他固定服务器角色的成员可以执行器角色，其他固定服务器角色的成员可以执行sp_addsrvrolemember将登录账号添加到同一个固定服务器角色。将登录账号添加到同一个固定服务器角色。8.3.1固定服务器角色固定服务器角色3.利用系统存储过程删除固定服务器角色成员利用系统存储过程删除固定服务器角色成员利用利用sp_dropsrvrolemember系统存储过程可从固定服务器角色系统存储过程可从固定服务器角色中删除中删除SQLServer登录账号或登录账号或WindowsNT用户或组。说明用户或组。说明:(1)不能删除不能删除sa登录账号。登录账号。(2)不能在用户定义的事务内执行不能在用户定义的事务内执行sp_dropsrvrolemember。(3)sysadmin固定服务器角色的成员执行固定服务器角色的成员执行sp_dropsrvrolemember可删除任意固定服务器角色中的登录账号，其他固定服务器角色的成员可删除任意固定服务器角色中的登录账号，其他固定服务器角色的成员只可以删除相同固定服务器角色中的其他成员。只可以删除相同固定服务器角色中的其他成员。8.3.2固定数据库角色固定数据库角色1.固定数据库角色固定数据库角色(1)db_owner:数据库所有者，可执行数据库的所有管理操作数据库所有者，可执行数据库的所有管理操作.(2)db_accessadmin:数据库访问权限管理者，具有添加、删除数据库使数据库访问权限管理者，具有添加、删除数据库使用者、数据库角色和组的权限用者、数据库角色和组的权限.(3)db_securityadmin:数据库安全管理员，可管理数据库中的权限，如设数据库安全管理员，可管理数据库中的权限，如设置数据库表的插入、删除、修改和查询等存取权限置数据库表的插入、删除、修改和查询等存取权限.(4)db_ddladmin:数据库数据库DDL管理员管理员,可增加、修改或删除数据库中的对可增加、修改或删除数据库中的对象象.(5)db_backupoperator:数据库备份操作员数据库备份操作员,具有执行数据库备份的权限具有执行数据库备份的权限.(6)db_datareader:数据库数据读取者。数据库数据读取者。(7)db_datawriter:数据库数据写入者，具有对表进行插入、删除和数据库数据写入者，具有对表进行插入、删除和修改的权限。修改的权限。(8)db_denydatareader:数据库拒绝数据读取者，不能读取数据库数据库拒绝数据读取者，不能读取数据库中任何表的内容。中任何表的内容。(9)db_denydatawriter:数据库拒绝数据写入者，不能对任何表进数据库拒绝数据写入者，不能对任何表进行插入、删除和修改操作。行插入、删除和修改操作。(10)public:是一个特殊的数据库角色，每个数据库用户都是是一个特殊的数据库角色，每个数据库用户都是public角色的成员，因此，不能将用户、组或角色指派为角色的成员，因此，不能将用户、组或角色指派为public角色的成员，角色的成员，也不能删除也不能删除public角色的成员。角色的成员。8.3.2固定数据库角色固定数据库角色2.数据库用户的操作权限数据库用户的操作权限(1)在当前数据库中创建数据库对象及进行数据库备份的权限在当前数据库中创建数据库对象及进行数据库备份的权限,主要主要有有:创建表、视图、存储过程、规则、缺省值对象、函数的权限及备份数创建表、视图、存储过程、规则、缺省值对象、函数的权限及备份数据库、日志文件的权限。据库、日志文件的权限。(2)用户对数据库表的操作权限及执行存储过程的权限，主要有用户对数据库表的操作权限及执行存储过程的权限，主要有:SELECT:对表或视图执行对表或视图执行SELECT语句的权限；语句的权限；INSERT:对表或视图执行对表或视图执行INSERT语句的权限；语句的权限；8.3.2固定数据库角色固定数据库角色UPDATE:对表或视图执行对表或视图执行UPDATE语句的权限；语句的权限；DELETE:对表或视图只对表或视图只DELETE语句的权限；语句的权限；REFERENCES:用户对表的主键和唯一索引字段生成外码引用的权限用户对表的主键和唯一索引字段生成外码引用的权限EXECUTE:执行存储过程的权限。执行存储过程的权限。(3)用户对数据库中指定表字段的操作权限，主要有用户对数据库中指定表字段的操作权限，主要有:SELECT:对表字段进行查询操作的权限；对表字段进行查询操作的权限；UPDATE:对表字段进行更新操作的权限。对表字段进行更新操作的权限。8.3.2固定数据库角色固定数据库角色8.3.3用户自定义数据库角色用户自定义数据库角色1.通过企业管理器创建数据库角色通过企业管理器创建数据库角色 (1)创建数据库角色创建数据库角色:以系统管以系统管理员身份登录理员身份登录SQLServer，并进入，并进入企业管理器，选中目录树企业管理器，选中目录树XSBOOK数据库结点的数据库结点的“角色角色”图标右击，图标右击，出现一快捷菜单，选择出现一快捷菜单，选择“新建数据新建数据库角色库角色”，进入如图的界面，输入，进入如图的界面，输入角色名，选择确定按钮。角色名，选择确定按钮。新建数据库角色的属性界面新建数据库角色的属性界面 8.3.3用户自定义数据库角色用户自定义数据库角色(2)创建数据库用户并加创建数据库用户并加入数据库角色。即在某一数据入数据库角色。即在某一数据库中为库中为SQLServer服务器的服务器的登录账号或登录账号或WindowsNT的登的登录账号创建一数据库用户账号，录账号创建一数据库用户账号，将数据库用户加入该数据库中将数据库用户加入该数据库中的某一角色，即的某一角色，即:使数据库用使数据库用户成为某一角色的成员。户成为某一角色的成员。 新建数据库用户的属性界面新建数据库用户的属性界面 8.3.3用户自定义数据库角色用户自定义数据库角色(3)给数据库角色赋予创建数给数据库角色赋予创建数据库对象的权限据库对象的权限:在企业管理器目在企业管理器目录树中，选择录树中，选择XSBOOK数据库结数据库结点右击，出现一快捷菜单，选择菜点右击，出现一快捷菜单，选择菜单项单项“属性属性”，进入如图所示的界，进入如图所示的界面，选择面，选择“权限权限”选项卡，选中允选项卡，选中允许数据库角色或数据库用户执行的许数据库角色或数据库用户执行的权限。权限。设置创建数据库对象权限的窗口设置创建数据库对象权限的窗口 8.3.3用户自定义数据库角色用户自定义数据库角色(4)给数据库角色赋予表给数据库角色赋予表操作权限操作权限:在企业管理器的目录在企业管理器的目录树中，选择树中，选择XSBOOK数据库结数据库结点下角色图标的项目点下角色图标的项目“ROLE”双击，出现如图所示的界面。双击，出现如图所示的界面。数据库角色的属性窗口数据库角色的属性窗口 8.3.3用户自定义数据库角色用户自定义数据库角色数据库表操作权限设置窗口数据库表操作权限设置窗口 表的列操作权限设置窗口表的列操作权限设置窗口 8.3.3用户自定义数据库角色用户自定义数据库角色2.通过通过SQL命令创建数据库角色命令创建数据库角色1)定义数据库角色定义数据库角色.语法格式如下语法格式如下:sp_addrolerolename=role,ownername=owner说明说明:(1)角色名可以包括字母、符号及数字。但是不能含有反斜线角色名可以包括字母、符号及数字。但是不能含有反斜线()。(2)不能在用户定义的事务内使用不能在用户定义的事务内使用sp_addrole。(3)只有只有sysadmin固定服务器角色及固定服务器角色及db_securityadmin和和db_owner固定数据库角色的成员才能执行固定数据库角色的成员才能执行sp_addrole。8.3.3用户自定义数据库角色用户自定义数据库角色2)将一个登录账号添加为某个数据库的用户将一个登录账号添加为某个数据库的用户利用系统存储过程利用系统存储过程sp_grantdbaccess可将一个登录账号添加为可将一个登录账号添加为某个数据库的用户。语法格式如下某个数据库的用户。语法格式如下:sp_grantdbaccessloginame=login,name_in_db=name_in_db(1)数据库用户名可含有字母、符号和数字。但不能包含反斜线，数据库用户名可含有字母、符号和数字。但不能包含反斜线，不能为不能为NULL，也不能为空字符串，也不能为空字符串()。(2)sp_grantdbaccess仅可以在当前数据库中添加用户（账户），仅可以在当前数据库中添加用户（账户），若要从数据库中删除账户，使用若要从数据库中删除账户，使用sp_revokedbaccess。8.3.3用户自定义数据库角色用户自定义数据库角色(3)如果当前数据库中没有如果当前数据库中没有guest账户，而且账户，而且login为为guest，则，则可将可将guest添加为当前数据库的账户。添加为当前数据库的账户。(4)sa登录账号不能添加到数据库中。登录账号不能添加到数据库中。(5)不能从用户定义的事务中执行不能从用户定义的事务中执行sp_grantdbaccess。(6)只有只有sysadmin固定服务器角色、固定服务器角色、db_accessadmin和和db_owner固定数据库角色的成员才能执行固定数据库角色的成员才能执行sp_grantdbaccess；(7)存储过程存储过程sp_adduser的功能与的功能与sp_grantdbaccess的功能相同。的功能相同。8.3.3用户自定义数据库角色用户自定义数据库角色3)给数据库角色添加成员给数据库角色添加成员利用系统存储过程利用系统存储过程sp_addrolemember可将当前数据库的用户可将当前数据库的用户或角色添加到当前数据库的某个角色中，使其成为该角色的成员。或角色添加到当前数据库的某个角色中，使其成为该角色的成员。语法格式如下语法格式如下:sp_addrolememberrolename=role,membername=security_account说明说明:(1)当使用当使用sp_addrolemember将用户账号添加到角色时，新成将用户账号添加到角色时，新成员将继承所有应用到角色的权限。员将继承所有应用到角色的权限。8.3.3用户自定义数据库角色用户自定义数据库角色(2)不能将固定数据库或固定服务器角色，或者不能将固定数据库或固定服务器角色，或者dbo添加到其他角添加到其他角色。例如，不能将色。例如，不能将db_owner固定数据库角色添加成为用户定义固定数据库角色添加成为用户定义的角色的角色YourRole的成员。的成员。(3)在用户定义的事务中不能使用在用户定义的事务中不能使用sp_addrolemember。(4)只有只有sysadmin固定服务器角色和固定服务器角色和db_owner固定数据库角色固定数据库角色中中的成员可以执行的成员可以执行sp_addrolemember，将用户账号添加到固定，将用户账号添加到固定数据库角色。数据库角色。(5)db_securityadmin固定数据库角色的成员可以将用户添加到任固定数据库角色的成员可以将用户添加到任何用户定义的角色。何用户定义的角色。8.3.3用户自定义数据库角色用户自定义数据库角色4)数据库用户、角色操作权限的授予、拒绝和收回数据库用户、角色操作权限的授予、拒绝和收回(1)数据库用户、角色操作权限的授予数据库用户、角色操作权限的授予利用利用GRANT语句可以给数据库用户或数据库角色赋予执行语句可以给数据库用户或数据库角色赋予执行T-SQL语句的权限及对数据库对象进行操作的权限。语句的权限及对数据库对象进行操作的权限。语法格式如下语法格式如下:GRANTALL|statement,.nTOsecurity_account,.n功能功能:授予执行授予执行T-SQL语句的权限。语句的权限。8.3.3用户自定义数据库角色用户自定义数据库角色GRANTALLPRIVILEGES|permission,.n(column,.n)ONtable|view|ONtable|view(column,.n)|ONstored_procedure|extended_procedure|ONuser_defined_functionTOsecurity_account,.nWITHGRANTOPTIONASgroup|role8.3.3用户自定义数据库角色用户自定义数据库角色3.数据库用户、角色的删除数据库用户、角色的删除1)删除数据库用户删除数据库用户在企业管理器中删除数据库用户很简单，直接在目录树的某一在企业管理器中删除数据库用户很简单，直接在目录树的某一数据库结点下，选中须删除的用户项目，按数据库结点下，选中须删除的用户项目，按“Del”键即可键即可.语法格语法格式式:sp_revokedbaccessname_in_db=name说明说明:(1)在用户定义事务内部不能执行在用户定义事务内部不能执行sp_revokedbaccess。(2)只有只有sysadmin固定服务器角色成员及固定服务器角色成员及db_accessadmin和和db_owner固定数据库角色成员才能执行固定数据库角色成员才能执行sp_revokedbaccess。8.3.3用户自定义数据库角色用户自定义数据库角色2)删除数据库角色删除数据库角色要删除用户自定义的数据库角色，首先应删除该角色的所要删除用户自定义的数据库角色，首先应删除该角色的所有成员，下面介绍删除数据库角色成员及删除数据库角色的系有成员，下面介绍删除数据库角色成员及删除数据库角色的系统存储过程。语法格式统存储过程。语法格式:sp_droprolememberrolename=role,membername=security_account(1)不能从用户定义的事务内执行不能从用户定义的事务内执行sp_droprolemember。(2)只有只有sysadmin固定服务器角色、固定服务器角色、db_owner和和db_securityadmin固定数据库角色的成员才能执行固定数据库角色的成员才能执行sp_droprolemember。8.4综合应用训练综合应用训练(1)以系统管理员身份登录到以系统管理员身份登录到SQLServer的企业管理器或查询分析器的企业管理器或查询分析器;(2)给每个学生创建一个登录账号给每个学生创建一个登录账号;(3)将每个学生的登录账号定义为将每个学生的登录账号定义为XSBOOK的用户的用户;(4)在数据库在数据库XSBOOK下创建一数据库角色下创建一数据库角色role，并给该数据库角色，并给该数据库角色授授予执行予执行CREATEDATABASE语句的权限语句的权限;(5)将每个学生对应的用户账号定义为数据库角色将每个学生对应的用户账号定义为数据库角色role的成员的成员;可考虑如下实现方案可考虑如下实现方案: