SQLServer身份认证.ppt

《SQLServer身份认证.ppt》由会员分享，可在线阅读，更多相关《SQLServer身份认证.ppt（19页珍藏版）》请在装配图网上搜索。

1、8.1 SQL Server 2000的身份认证模式,1. Windows NT认证模式 用户登录Windows NT时进行身份认证，登录SQL Server时不再进行身份验证。 对于Windows NT认证模式登录的几点重要说明： (1) 必须将NT网络账号加入到SQL Server中，才能采用NT网络账号登录SQL Server。 (2) 如果使用NT网络账号登录到另一个网络的SQL Server，必须在NT网络中设置彼此的托管权限。,2. SQL Server认证模式 在SQL Server认证模式下，SQL Server服务器要对登录的用户进行身份验证 对于Windows 9x系列的操

2、作系统只能使用SQL Server认证模式，而当SQL Server 在Windows NT或Windows2000上运行时，系统管理员设定登录认证模式的类型可为Windows NT认证模式和混合模式。,8.2.1 Windows NT认证模式登录账号的建立与删除,1. Windows NT认证模式登录账号的建立 1) 通过企业管理器建立Windows NT认证模式的登录账号,8.2.1 Windows NT认证模式登录账号的建立与删除,在企业管理器中选择“登录”图标右击,SQL Server信任连接设置窗口,8.2.1 Windows NT认证模式登录账号的建立与删除,2) 通过调用系统存储

3、过程建立Windows NT认证模式的登录账号 创建Windows NT、Windows 2000的用户或组后，使用系统存储过程sp_grantlogin也可将一个Windows NT或Windows2000的用户或组的登录账号添加到SQL Server中，以便通过Windows 身份验证连接到SQL Server。 语法格式： sp_grantlogin loginame = login 参数含义： loginame =：原样输入的常量字符串,注意： (1) 不能在用户定义的事务内执行 sp_grantlogin； (2) 仅 sysadmin 或 securityadmin 固定服务器角色

4、的成员可以执行 sp_grantlogin。,8.2.1 Windows NT认证模式登录账号的建立与删除,2. Windows NT认证模式登录账号的删除,步骤如下： (1) 以系统管理员身份进入企业管理器，并展开目录树； (2) 在目录树的“登录” 节点下，选中待删除的“账号”节点，,2) 通过调用系统存储过程删除Windows NT认证模式的登录账号 通过执行系统存储过程sp_revokelogin可删除Windows NT 用户或组登录SQL Server的账号。,1) 通过企业管理器删除Windows NT认证模式的登录账号,8.2.2 混合认证模式下SQL Server登录账号的建

5、立与删除,(1) 在企业管理器中，选择要登录的SQL Server服务器图标右击，出现一快捷菜单，选择菜单项“属性”，出现如图的SQL Server服务器属性配置窗口。 (2) 选择“安全性”选项卡，如图所示，选择身份验证方式为“SQL Server与Windows”，选择“确定”按钮。,SQL Server服务器属性配置窗口,SQL Server身份认证方式配置窗口,8.2.2 混合认证模式下SQL Server登录账号的建立与删除,1. 通过企业管理器创建SQL Server登录账号,(1) 在企业管理器中选择“登录”图标右击，出现快捷菜单，选择“新建登录”菜单项，进入如 下图的界； (2

6、) 输入账号名、密码，选择“SQL Server身份验证”方式，点击“确定”按钮。,SQL Server登录账号新建窗口,8.2.2 混合认证模式下SQL Server登录账号的建立与删除,2. 利用系统存储过程创建SQL Server登录账号 语法格式： sp_addlogin loginame = login , passwd = password , defdb = database , deflanguage = language , sid = sid , encryptopt = encryption_option ,8.2.2 混合认证模式下SQL Server登录账号的建立与删

7、除,3. SQL Server登录账号的删除 利用sp_droplogin系统存储过程可删除SQL Server登录账号。 语法格式： sp_droplogin loginame = login 参数含义： login：将被删除的登录账号名。 返回值：0（成功）或 1（失败）。 说明 ： (1) 若要删除一个数据库现有用户的登录账号，必须首先 使用 sp_dropuser 删除该用户。 (2) 不能删除系统管理员 (sa) 的登录账号。 (3) 不能在用户定义的事务内执行 sp_droplogin。 (4) 只有sysadmin 和 securityadmin 固定服务器角色的成员才能执行 s

8、p_droplogin。,8.3.3 用户自定义数据库角色,(2) 创建数据库用户并加入数据库角色。即在某一数据库中为SQL Server服务器的登录账号或Windows NT的登录账号创建一数据库用户账号，将数据库用户加入该数据库中的某一角色，即：使数据库用户成为某一角色的成员。,新建数据库用户的属性界面,8.3.3 用户自定义数据库角色,(3) 给数据库角色赋予创建数据库对象的权限：在企业管理器目录树中，选择XSBOOK数据库结点右击，出现一快捷菜单，选择菜单项“属性”，进入如图所示的界面，选择“权限”选项卡，选中允许数据库角色或数据库用户执行的权限。 (4) 给数据库角色赋予表操作权限：

9、在企业管理器的目录树中，选择XSBOOK数据库结点下角色图标的项目“ROLE”双击，出现如图所示的界面。,设置创建数据库对象权限的窗口,数据库角色的属性窗口,8.3.3 用户自定义数据库角色,数据库表操作权限设置窗口,表的列操作权限设置窗口,8.3.3 用户自定义数据库角色,2. 通过SQL命令创建数据库角色 1) 定义数据库角色 语法格式： sp_addrole rolename = role , ownername = owner ,说明： (1) 角色名可以包括字母、符号及数字。但是不能含有反斜线 ()。 (2) 不能在用户定义的事务内使用 sp_addrole。 (3) 只有 sysa

10、dmin 固定服务器角色及 db_securityadmin 和 db_owner 固定数据库角色的成员才能执行 sp_addrole。,8.3.3 用户自定义数据库角色,2) 将一个登录账号添加为某个数据库的用户 利用系统存储过程sp_grantdbaccess可将一个登录账号添加为某个数据库的用户。 语法格式： sp_grantdbaccess loginame = login,name_in_db = name_in_db,说明： (1) 数据库用户名可含有字母、符号和数字。但不能包含反斜线，不能为 NULL，也不能为空字符串 ()。 (2) sp_grantdbaccess 仅可以在当

11、前数据库中添加用户（账户），若要从数据库中删除账户，使用 sp_revokedbaccess。 (3) 如果当前数据库中没有 guest账户，而且 login 为 guest，则可将guest添加为当前数据库的账户。 (4) sa 登录账号不能添加到数据库中。 (5) 不能从用户定义的事务中执行 sp_grantdbaccess。 (6) 只有 sysadmin 固定服务器角色、db_accessadmin 和 db_owner 固定数据库角色的成员才能执行 sp_grantdbaccess； (7) 存储过程sp_adduser的功能与sp_grantdbaccess的功能相同。,8.3.3

12、 用户自定义数据库角色,3) 给数据库角色添加成员 利用系统存储过程sp_addrolemember可将当前数据库的用户或角色添加到当前数据库的某个角色中，使其成为该角色的成员。 语法格式： sp_addrolemember rolename = role , membername = security_account,说明： (1) 当使用 sp_addrolemember 将用户账号添加到角色时，新成员将继承所有应用到角色的权限。 (2) 不能将固定数据库或固定服务器角色，或者 dbo 添加到其他角色。例如，不能将 db_owner 固定数据库角色添加成为用户定义的角色 YourRole

13、的成员。 (3) 在用户定义的事务中不能使用 sp_addrolemember。 (4) 只有 sysadmin 固定服务器角色和 db_owner 固定数据库角色中的成员可以执行 sp_addrolemember，将用户账号添加到固定数据库角色。 (5) db_securityadmin 固定数据库角色的成员可以将用户添加到任何用户定义的角色。,8.3.3 用户自定义数据库角色,4) 数据库用户、角色操作权限的授予、拒绝和收回 (1) 数据库用户、角色操作权限的授予 利用GRANT语句可以给数据库用户或数据库角色赋予执行T-SQL语句的权限及对数据库对象进行操作的权限。,语法格式： GRAN

14、T ALL | statement ,.n TO security_account ,.n 功能：授予执行T-SQL语句的权限。 GRANT ALL PRIVILEGES | permission ,.n ( column ,.n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_function TO security_account ,.n WITH GRANT OPTION AS group | role ,8.3.

15、3 用户自定义数据库角色,3. 数据库用户、角色的删除 1) 删除数据库用户 在企业管理器中删除数据库用户很简单，直接在目录树的某一数据库结点下，选中须删除的用户项目，按“Del”键即可。 语法格式： sp_revokedbaccess name_in_db = name,说明： (1) 在用户定义事务内部不能执行 sp_revokedbaccess。 (2) 只有sysadmin固定服务器角色成员及 db_accessadmin 和 db_owner 固定数据库角色成员才能执行sp_revokedbaccess。,8.3.3 用户自定义数据库角色,2) 删除数据库角色 要删除用户自定义的数据

16、库角色，首先应删除该角色的所有成员，下面介绍删除数据库角色成员及删除数据库角色的系统存储过程。 语法格式： sp_droprolemember rolename = role , membername = security_account,说明： (1) 不能从用户定义的事务内执行 sp_droprolemember。 (2) 只有 sysadmin 固定服务器角色、db_owner 和 db_securityadmin 固定数据库角色的成员才能执行 sp_droprolemember。,8.4 综合应用训练,(1) 以系统管理员身份登录到SQL Server的企业管理器或查询分析器； (2) 给每个学生创建一个登录账号； (3) 将每个学生的登录账号定义为XSBOOK的用户； (4) 在数据库XSBOOK下创建一数据库角色role，并给该数据库角色授予执行CREATE DATABASE语句的权限； (5) 将每个学生对应的用户账号定义为数据库角色role的成员。,可考虑如下实现方案：,