《SQL Server数据库应用开发技术》课件第十一章.ppt

1、第第1111章章 数据库安全管理数据库安全管理知识技能目标：知识技能目标：1理解理解SQL Server 2005安全机制和身份验证安全机制和身份验证 模式模式 2掌握服务器登录帐号的创建和删除掌握服务器登录帐号的创建和删除 3掌握数据库用户的创建和删除掌握数据库用户的创建和删除 4理解角色概念，掌握服务器角色和数据库角色的理解角色概念，掌握服务器角色和数据库角色的 管理管理 5掌握权限的授予、拒绝和废除掌握权限的授予、拒绝和废除 引导案例：引导案例：教务管理数据库建立起来后，可供学生、教师教务管理数据库建立起来后，可供学生、教师和教务人员等不同用户来访问。现在的重要问题是和教务人员等不同用户

2、来访问。现在的重要问题是，如何保证只有合法的学生、教师和教务人员才能，如何保证只有合法的学生、教师和教务人员才能访问教务管理数据库，并且不同的用户只能进行自访问教务管理数据库，并且不同的用户只能进行自己权限范围内的访问操作，比如学生只能查看成绩己权限范围内的访问操作，比如学生只能查看成绩，不能修改成绩等。这就需要进行数据库安全管理，不能修改成绩等。这就需要进行数据库安全管理，以保证数据库中数据的安全。本章介绍实现数据，以保证数据库中数据的安全。本章介绍实现数据安全保证的技术。安全保证的技术。第第1111章章 数据库安全管理数据库安全管理第第1111章章 数据库安全管理数据库安全管理11.1 S

3、QL Server 200511.1 SQL Server 2005的安全机制的安全机制11.2 SQL Server 200511.2 SQL Server 2005的身份验证模式的身份验证模式11.3 11.3 服务器登录管理服务器登录管理11.4 11.4 数据库用户管理数据库用户管理11.5 11.5 角色管理角色管理 11.6 11.6 权限管理权限管理小结小结11.1 SQL Server 200511.1 SQL Server 2005的安全机制的安全机制数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄漏、更改或破坏。系统安全保护措施是否有效是数据库系统的主要指标之一

4、。SQL Server2005 按照访问的范围把访问实体化分为三大类的安全对象：服务器级 数据库级 模式级SQL Server 2005的安全是建立在权限和认证两种机制之上。每个用户在访问SQL Server数据库时，都必须经过两个安全验证阶段：第一阶段：身份验证第二阶段：权限验证。返回目录11.2 SQL Server 200511.2 SQL Server 2005的身份验证模的身份验证模式式11.2.1 11.2.1 验证模式验证模式安全身份验证用来确认登录SQL Server的用户的登录帐号和密码的正确性，由此来验证该用户是否具有连接SQL Server的权限。任何用户在使用SQL S

5、erver数据库之前，必须经过系统的安全身份验证。SQL Server 2005的身份验证模式有两种：（1）Windows验证模式使用Windows身份验证模式是默认的身份验证模式，在Windows验证模式下，用户只需要通过Windows的验证，就可以连接到SQL Server，而SQL Server本身也不需要管理这些登录数据，但需要在indows服务器中为使用者创建用户。返回目录11.2 SQL Server 200511.2 SQL Server 2005的身份验证模的身份验证模式式11.2.1 11.2.1 验证模式验证模式（2）混合验证模式使用混合模式时，无论是使用Windows身份

6、验证方式的用户，还是使用SQL Server身份验证方式的用户，都可以连接到SQL Server系统上。使用混合验证模式中的SQL Server身份验证方式时，系统管理员创建一个登录账户和口令，并将它们存储在SQL Server中，当用户连接到SQL Server上时，必须提供SQL Server登录账户和口令。返回目录11.2 SQL Server 200511.2 SQL Server 2005的身份验证模的身份验证模式式11.2.2 11.2.2 设置验证模式设置验证模式利用SQL Server Management Studio可以进行认证模式的设置，步骤如下：（1）打开SQL Ser

7、ver Management Studio，右击要设置验证模式的服 务器，从弹出的快捷菜单中选择“属性”选项，则出现服务器属 性对话框。（2）在服务器属性对话框中选择“安全性”选项页。（3）在“服务器身份验证”选项栏中，可以选择要设置的验证模式，同时在“登录审核”中还可以选择跟踪记录用户登录时的哪种信 息，例如登录成功或登录失败的信息等。返回目录11.2 SQL Server 200511.2 SQL Server 2005的身份验证模的身份验证模式式11.2.2 11.2.2 设置验证模式设置验证模式（4）在“服务器代理帐户”选项栏中设置当启动并运行SQL Server时，默认的登录者是哪一

8、位用户。（5）单击“确定”按钮完成验证模式的设置返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.1 11.3.1 系统管理员登录账户系统管理员登录账户 SQL Server有两个默认的系统管理员登录帐户：sa BUILTINAdministrators 这两个登录帐户具有SQL Server系统和所有数据库的全部权限。sa是一个特殊的登录名，它代表混合验证机制下SQL Server的系统管理员，sa始终关联数据库用户dbo。BUILTINAdministrators是NT系统的系统管理员组。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.1 11.3.1 系

9、统管理员登录账户系统管理员登录账户 系统管理员具有如下管理功能：l 创建登录账户；l 配置服务器；l 创建、删除数据库；l 无须考虑所有权和权限，可以操作各种数据库对象；l 停止、启动服务器；l 停止在服务器上运行的无效过程；l 某些权限只能被系统管理员拥有并且不能被授予其他用户；这些功能是管理存储空间，管理用户进程及改变数据库选项。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.2 Windows11.3.2 Windows组或用户登录管理组或用户登录管理将将WindowsWindows组或用户映射成组或用户映射成SQL ServerSQL Server的登录帐户的登录帐户

10、命令格式：sp_grantlogin|说明：为Windows NT 用户创建一个登录账户。：为指定的组建立一个登录账户。该组中每个成员都能连接到SQL Server上。【例11.1】将Windows XP中的本地组users映射成SQL Server的登录帐户。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.2 Windows11.3.2 Windows组或用户登录管理组或用户登录管理2 2禁止指定的禁止指定的Windows NTWindows NT用户或组连接用户或组连接SQL ServerSQL Server服务器服务器命令格式：sp_denylogin|【例11.2】禁

11、止本地计算机中用户组Users中的用户登录权限。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.2 Windows11.3.2 Windows组或用户登录管理组或用户登录管理3.3.撤销撤销Windows NTWindows NT用户或组和用户或组和SQL ServerSQL Server帐户的映射帐户的映射命令格式：sp_revokelogin|说明：撤销Windows NT用户或组与SQL Server账户的映射，不会删除Windows NT 组或用户。【例11.3】撤销本地计算机中用户组Users与SQL Server账户的映射。返回目录11.3 11.3 服务器登录管

12、理服务器登录管理11.3.3 11.3.3 创建登录账户创建登录账户1 1使用使用SQL Server Management StudioSQL Server Management Studio创建登录帐户创建登录帐户【例11.4】创建以SQL Server身份认证的登陆帐户1）打开SQL Server Management Studio。2）在“对象资源管理器中”展开服务器。3）展开“安全性”，右击“登录名”，然后选择“新建登录名”选项，打开“登录名-新建”窗口。4）在“登录名”文本框中输入登录名，这里输入“LOGIN_01”。5）选中“SQL Server身份验证”复选框。6）在“密码“文

13、本框中输入密码，这里输入”001”。7）在“确认密码”文本框中输入确认密码，这里输入“001”。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.3 11.3.3 创建登录账户创建登录账户1 1使用使用SQL Server Management StudioSQL Server Management Studio创建登录帐户创建登录帐户【例11.4】创建以SQL Server身份认证的登陆帐户 8）取消“强制实施密码策略”复选框中选中状态。实施密码复杂性策略时，使在Windows Server 2003或更高版本环境下运行SQL Server 2005时，可以使用Windows

14、密码策略机制。9）“默认数据库”和“默认语言”保持系统提供的默认值。10）在左上角的“选择页”列表中选中“用户映射”，然后在出现的“登录属性”对话中选中“教务管理数据库”，在“教务管理数据库”中选中“db_owner和“public”。这样login_01拥有“教务管理数据库”的所有操作权限。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.3 11.3.3 创建登录账户创建登录账户1 1使用使用SQL Server Management StudioSQL Server Management Studio创建登录帐户创建登录帐户【例11.4】创建以SQL Server身份认证

15、的登陆帐户 11）在左上角的“选择页”列表中选中“状态”，将“是否允许连接到数据库引擎”设置为“授予”，“登录”设置为“启用”。12）单击“确定”按钮完成操作。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.3 11.3.3 创建登录账户创建登录账户1 1使用使用SQL Server Management StudioSQL Server Management Studio创建登录帐户创建登录帐户【例11.5】创建以Windows身份认证的登录账户1）在Windows下创建一个名为“Win_login_01”，密码为 “w001”的用户。2）打开SQL Server Mana

16、gement Studio。3）在“对象资源管理器中”展开服务器。4）展开“安全性”，右键单击“登录名”，然后选择“新建登录名”选项，打开如图11.5所示的“登录名-新建”窗口。5）单击“登录名”文本框右边的“搜索”按钮，打开如图11.6所示的“选择用户或组”对话框。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.3 11.3.3 创建登录账户创建登录账户1 1使用使用SQL Server Management StudioSQL Server Management Studio创建登录帐户创建登录帐户【例11.5】创建以Windows身份认证的登录账户6）单击“高级”按钮，

17、再单击“立即查找”按钮，打开如图11.7所示的对话框。7）在搜索结果中找到名为“Win_login_01”的用户，选中后单击“确定”按钮，返回到“选择用户或组”对话框。8）在“选择用户或组”对话框中单击“确定”按钮，返回“新建-用户”对话框。9）单击“确定”按钮完成创建。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.3 11.3.3 创建登录账户创建登录账户2 2用用-SQL-SQL语句创建登录帐户语句创建登录帐户命令格式：CREATE LOGIN 登录帐户|说明：创建 SQL SERVER身份认证的登录账户。：创建WINDOWS身份认证的登录账户。【例11.6】使用-SQ

18、L语句创建一个以SQL Server身份认证的登录账户，登录账户名为“login_02”，密码为“002”。【例11.7】使用-SQL语句创建一个以Windows身份认证的登录账户，登录账户名为“win_login_02”（假设计算机名为“SERVER”）。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.4 11.3.4 查看登录帐户查看登录帐户使用SQL Server Management Studio可以查看已经创建的登录帐户及每个登录帐户的身份验证模式、服务器角色、用户映射、状态等信息。方法如下：1）打开SQL Server Management Studio。2）在“

19、对象资源管理器中”展开服务器。3）展开“安全性”，再展开“登录名”，便显示了已经创建的所 有登录帐户。4）双击登录帐户，可以查看每个登录帐户的身份验证模式、服务 器角色、用户映射、状态等信息。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.5 11.3.5 删除登录账户删除登录账户 1 1使用使用SQL Server Management StudioSQL Server Management Studio删除登录帐户删除登录帐户1）打开SQL Server Management Studio。2）在“对象资源管理器中”展开服务器。3）展开“安全性”，再展开“登录名”，便显示

20、了已经创建的所有登录帐户。4）右击要删除的登录帐号，如选择“login_02”，在弹出的快捷菜单中选择“删除”选项。5）单击“确定”按钮完成删除。返回目录11.3 11.3 服务器登录管理服务器登录管理11.3.5 11.3.5 删除登录账户删除登录账户 2 2用用-SQL-SQL语句删除登录帐户语句删除登录帐户命令格式：DROP LOGIN 登录账户【例11.8】使用-SQL语句删除“win_login_02”的登录账户（假设计算机名为“SERVER”）。返回目录11.4 11.4 数据库用户管理数据库用户管理11.4.1 11.4.1 数据库用户与服务器登录账户的关系数据库用户与服务器登录

21、账户的关系在SQL Server 2005中有两种帐户，一种是登录服务器的登录帐户，另外一种是数据库用户。服务器登录帐户只是让用户登录到SQL Server 中，登录帐户本身不能让用户访问服务器中的数据库。要访问特定的数据库，它必须与一个有效的数据库用户相关联。数据库用户是在特定的数据库内创建，并关联一个登录帐户（当创建一个数据库用户时，必须关联一个登录帐户）。通过授权给数据库用户来指定用户可以访问数据库对象的权限。返回目录11.4 11.4 数据库用户管理数据库用户管理11.4.2 11.4.2 创建数据库用户创建数据库用户1 1使用使用SQL Server Management Studi

22、oSQL Server Management Studio创建数据库用户创建数据库用户1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。3）再展开要在其中创建新数据库用户的数据库。这里展开的是“教务管理数据库”。4）右键单击“安全性”文件夹，指向“新建”，再单击“用户”。返回目录11.4 11.4 数据库用户管理数据库用户管理11.4.2 11.4.2 创建数据库用户创建数据库用户1 1使用使用SQL Server Management StudioSQL Ser

23、ver Management Studio创建数据库用户创建数据库用户5）在“用户名”文本框中输入新数据库用户的名称。这是输入的用户名为“db_user01”6）在“登录名”框中，输入要映射到数据库用户的 SQL Server 登录名的名称。这是输入的是“login_01”。7）单击“确定”按钮完成数据库用户的创建。返回目录11.4 11.4 数据库用户管理数据库用户管理11.4.2 11.4.2 创建数据库用户创建数据库用户2 2用用-SQL-SQL语句创建数据库用户语句创建数据库用户语法格式：CREATE USER 用户名 FOR LOGIN 登录帐户【例11.9】使用-SQL语句创建一个

24、数据库用户，数据库用户名为“db_user02”。映射到此数据库用户的 SQL Server 登录帐户为“SERVERwin_login_01”(SERVER为计算机名)返回目录11.4 11.4 数据库用户管理数据库用户管理11.4.311.4.3查看数据库用户查看数据库用户使用SQL Server Management Studio可以查看已经创建的数据用户及每个数据库用户相关联的登录帐户、所属的数据库角色、安全对象等信息。1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数

25、据库”文件夹。3）展开要查看的数据库用户的数据库。4）展开“安全性”，再展开“登录名”，便显示了已经创建的所有数据库用户。5）双击每个数据库用户，便可以查看此数据库用户相关联的登录帐户、所属的数据库角色、安全对象等信息。返回目录11.4 11.4 数据库用户管理数据库用户管理11.4.4 11.4.4 删除数据库用户删除数据库用户1 1使用使用SQL Server Management StudioSQL Server Management Studio删除数据库用户删除数据库用户1）打开SQL Server Management Studio。2）在 SQL Server Managemen

26、t Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。3）再展开要在其中删除的数据库用户的数据库。这里展开的是“教务管理数据库”。4）展开“安全性”，再展开“登录名”，便显示了已经创建的所有数据库用户。5）右击要删除的登录帐号，此时选择“Dbuser01”,在弹出的快捷菜单中选择“删除”选项。6）单击“确定”按钮完成删除。返回目录11.4 11.4 数据库用户管理数据库用户管理11.4.4 11.4.4 删除数据库用户删除数据库用户2 2用用-SQL-SQL语句删除数据库用户语句删除数据库用户语法格式：DROP USER 数据库用户名【例11.10】使用-SQL语句删除例11.9

27、创建的“db_user02”数据库用户名返回目录11.5 11.5 角色管理角色管理 角色是一个强大的管理工具，通过角色可以将用户集中到一个单元中，然后对该单元应用权限。对一个角色授予、拒绝或废除权限适用于该角色的任何成员。这就为权限管理带来了便利。在SQL Server 2005中，角色分为服务器角色和数据库角色，下面分别介绍。返回目录11.5 11.5 角色管理角色管理 11.5.1 11.5.1 服务器角色服务器角色 服务器角色是预定义角色，角色的种类和每个角色的权限都是固定的，不能更改，也不能删除，只能为其添加成员或删除成员。下表列出了SQL Server2005的固定服务角色，它们存

28、在于数据库之外，其作用域在服务器范围内。返回目录11.5 11.5 角色管理角色管理 11.5.1 11.5.1 服务器角色服务器角色固定服务器角色权 限sysadmin执行SQL Server中的任何活动。serveradmin配置服务器范围的设置，关闭服务器setupadmin添 加 和 删 除 链 接 服 务 器，并 执 行 某 些 系 统 存 储 过 程（如 sp_serveroption）。securityadmin管理服务器登录和 CREATE DATABASE 权限，还可以读取错误日志和更改密码processadmin管理在 SQL Server 实例中运行的进程dbcreato

29、r创建、改变和除去数据库diskadmin管理磁盘文件bulkadmin执行 BULK INSERT 语句返回目录11.5 11.5 角色管理角色管理 11.5.1 11.5.1 服务器角色服务器角色固定服务器角色的成员是服务器登录账户。固定服务器角色的每个成员能够向该角色中添加其他登录账户。注意：注意：属于Windows 2000/2003 Administrators组的账户，在SQL Server 2005中被自动设置为sysadmin服务器角色成员。返回目录11.5 11.5 角色管理角色管理 11.5.2 11.5.2 将登录账户添加为服务器角色成员将登录账户添加为服务器角色成员1

30、1使用使用SQL Server Management StudioSQL Server Management Studio添加服务器角色成员添加服务器角色成员1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“安全性”文件夹。4）展开“安全性”，再展开“服务器角色”，便显示了固定服务器角色。5）右击要添加登录帐号的服务器角色，此时选择“sysadmin”角色,在弹出的快捷菜单中选择“属性”选项。打开“服务器角色属性”窗口。返回目录11.5 11.5 角色管理角色管理 11.5.2

31、11.5.2 将登录账户添加为服务器角色成员将登录账户添加为服务器角色成员1 1使用使用SQL Server Management StudioSQL Server Management Studio添加服务器角色成员添加服务器角色成员6）在“服务器角色属性”窗口中，单击“添加”按钮，打开“选择登录名”窗口。7）在“选择登录名”窗口中单击“浏览”按钮，便打开“查找对象”窗口。8）在“查找对象”窗口中，选择登录名，这里选择的是“login_01”登录账户,单击“确定”按钮返回“选择登录名”窗口，再单击“确定”按钮，返回到“服务器角色属性”窗口。9）在“服务器角色属性”窗口中单击“确定”按钮完成添

32、加。返回目录11.5 11.5 角色管理角色管理 11.5.2 11.5.2 将登录账户添加为服务器角色成员将登录账户添加为服务器角色成员2 2用用-SQL-SQL语句添加服务器角色成员语句添加服务器角色成员语法格式：SP_ADDSRVROLEMEMBER 登录帐号,服务器角色【例11.11】使用-SQL语句将登录账户“SERVER win_login_01”添加为“sysadmin”服务器角色成员。返回目录11.5 11.5 角色管理角色管理 11.5.3 11.5.3 从服务器角色中删除成员从服务器角色中删除成员1 1使用使用SQL Server Management StudioSQL

33、Server Management Studio删除服务器角色成员删除服务器角色成员1）打开SQL Server Management Studio2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“安全性”文件夹。4）展开“安全性”，再展开“服务器角色”，便显示了固定服务器角色。5）右击要删除成员的服务器角色，此时选择“sysadmin”角色,在弹出的快捷菜单中选择“属性”选项，便打开“服务器角色属性”窗口。6）在“服务器角色属性”窗口中选择要删除的角色成员，这里选择“SERVERwin_login_01”，单击“删除”按钮，再单“确定”按钮返

34、回目录11.5 11.5 角色管理角色管理 11.5.3 11.5.3 从服务器角色中删除成员从服务器角色中删除成员2 2用用-SQL-SQL语句删除服务器角色成员语句删除服务器角色成员语法格式：SP_DROPSRVROLEMEMBER 登录帐号,服务器角色【例11.12】使用-SQL语句将登录账户“login_01”从“sysadmin”服务器角色成员中删除。返回目录11.5 11.5 角色管理角色管理 11.5.4 11.5.4 数据库角色数据库角色 数据库角色在数库级别定义，数据库角色是为某一用户或某一组用户授予不同级别的管理或访问数据库以及数据库对象的权限，这些权限是数据库专有的，并且

35、还可以使一个用户属于同一数据库的多个角色。SQL Server提供了两种类型的数据库角色：标准数据库角色应用程序角色 返回目录11.5 11.5 角色管理角色管理 11.5.4 11.5.4 数据库角色数据库角色 （1）标准数据库角色标准数据库角色通过对用户权限等级的认定而将用户划分为不同的用户组，使用户总是相对于一个或多个角色，从而实现管理的安全性。标准数据库角色可以分为两种类型：固定数据库角色自定义数据库角色返回目录11.5 11.5 角色管理角色管理 11.5.4 11.5.4 数据库角色数据库角色 l固定数据库角色固定数据库角色是预定义角色，角色的种类和每个角色的权限都是固定的，不能更

36、改，也不能删除，只能为其添加成员或删除成员。SQL Server提供了十种常用的固定数据库角色，这些角色在每个数据库中都存在。db_owner和db_securityadmin管理员角色的成员可以管理固定数据库的成员身份。但是只有db_owner角色可以将其他用户添加到db_owner固定数据库角色中。public 数据库角色是最基本的数据库角色，每个数据库用户可以不属于其他9个固定数据库角色，但是至少属于public数据库角色，当在数据库中添加新用户账户时，SQL Server 2005 会自动将新用户账户加入到 public角色中。返回目录11.5 11.5 角色管理角色管理 11.5.4

37、 11.5.4 数据库角色数据库角色 返回目录固定数据库角色权 限db_owner可以执行数据库的所有配置和维护活动；db_accessadmin可以增加或者删除数据库用户、工作组和角色；db_ ddladmin可以在数据库中运行任何数据定义语言(DDL)命令；db_securityadmin可以修改角色成员身份和管理权限；db_backupoperator可以备份和恢复数据库；db_datareader能且仅能对数据库中的任何表执行select操作，从而读取所有表的信息；db_datawriter能够增加、修改和删除表中的数据，但不能进行SELECT操作；db_denydatareader不

38、能读取数据库中任何表中的数据；db_denydatawriter不能对数据库中的任何表执行增加、修改和删除数据操作11.5 11.5 角色管理角色管理 11.5.4 11.5.4 数据库角色数据库角色 l自定义数据库角色 自定义数据库角色是用户自己创建的角色。创建自定义数据库角色就是创建一组用户，这些用户具有相同的一组许可。如果一组用户需要执行在SQL Server中指定的一组操作并且不存在对应的Windows组，或者没有管理Windows用户账户的许可，就可以在数据库中建立一个用户自定义的数据库角色。返回目录11.5 11.5 角色管理角色管理 11.5.4 11.5.4 数据库角色数据库角

39、色 （2）应用程序角色 应用程序角色是一种比较特殊的角色。在打算让某些用户只能通过特定的应用程序间接存取数据库中的数据而不是直接存取数据库数据时，就应该考虑使用应用程序角色。当某一用户使用应用程序角色时，便放弃了已被赋予的所有数据库专有权限，该用户所拥有的只是应用程序角色被设置的权限。通过应用程序角色，能够以可控制方式来限定用户的语句或者对象许可。返回目录11.5 11.5 角色管理角色管理 11.5.5 11.5.5 创建用户定义数据库角色创建用户定义数据库角色1.1.使用使用SQL Server Management StudioSQL Server Management Studio创建

40、用户自定义数据库角色创建用户自定义数据库角色1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展开“安全性”，再展开“角色”文件夹4）右击“数据库角色”，将鼠标指向快捷菜单中“新建”，再单“新建数据库角色”菜单项，打开“数据库角色-新建”窗口。在角色名称文本框中输入“db_role_01”。5）单击“确定”按钮，完成用户自定义数据库角色的添加。返回目录11.5 11.5 角色管理角色管理 11.5.5 11.5.5 创建用户定义数

41、据库角色创建用户定义数据库角色2 2用用-SQL-SQL语句创建用户自定义数据库角色语句创建用户自定义数据库角色语法格式：CREATE ROLE 角色名 AUTHORIZATION 所有者说明：AUTHORIZATION关键字用来指定自定义的数据库角色所属的所有者。若省略此选项，则默认所有者为“dbo”。【例11.13】使用T-SQL语句创建一个角色名为“db_role_02”的自定义数据库角色。返回目录11.5 11.5 角色管理角色管理 11.5.6 11.5.6 将数据库用户添加为数据库角色成员将数据库用户添加为数据库角色成员1.1.使用使用SQL Server Management S

42、tudioSQL Server Management Studio添加数据库角色成员添加数据库角色成员1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展开“安全性”，再展开“角色”文件夹4）双击“db_role_01”角色，打开“数据库角色属性”窗口。在此窗口中单击“添加”按钮。打开“选择数据库用户或角色”窗口5）在“选择数据库用户或角色”窗口中单击“浏览”按钮，打开“查找对象”窗口，选择数据库用户“db_user01”用户。并

43、返回到“数据库角色属性-db_role_01”窗口。6）单击“确定”按钮，完成数据库用户的添加。11.5 11.5 角色管理角色管理 11.5.6 11.5.6 将数据库用户添加为数据库角色成员将数据库用户添加为数据库角色成员2.2.用用-SQL-SQL语句添加数据库角色成员语句添加数据库角色成员语法格式：SP_ADDROLEMEMBER 角色名,数据库用户【例11.14】使用-SQL语句将“db_user01”数据库用户添加到“db_role2”数据库角色中。返回目录11.5 11.5 角色管理角色管理 11.5.7 11.5.7 从数据库角色中删除成员从数据库角色中删除成员1.1.使用使用

44、SQL Server Management StudioSQL Server Management Studio删除数据库角色成员删除数据库角色成员1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展开“安全性”，再展开“角色”文件夹4）双击“db_role2”角色，打开“数据库角色属性-db_role2”窗口。在此窗口中选中“db_user01”用户。并单击“删除”按钮。）单击“确定”按钮，完成从数据库角色中删除成员。返回目录1

45、1.5 11.5 角色管理角色管理 11.5.7 11.5.7 从数据库角色中删除成员从数据库角色中删除成员2.2.用用-SQL-SQL语句从数据库角色中删除成员语句从数据库角色中删除成员语法格式：SP_DROPROLEMEMBER 角色名,数据库用户【例11.15】使用T-SQL语句将“db_user01”数据库从“db_role_02”数据库角色中删除。返回目录11.5 11.5 角色管理角色管理 11.5.8 11.5.8 删除用户定义数据库角色删除用户定义数据库角色1.1.使用使用SQL Server Management StudioSQL Server Management Stu

46、dio删除用户定义数据库角色删除用户定义数据库角色1）打开SQL Server Management Studio。2）在 SQL Server Management Studio 中，打开对象资源管理器，然后展开“数据库”文件夹。再展开“教务管理数据库”数据库3）展开“安全性”，再展开“角色”文件夹4）右击“db_role_01”角色，在弹出的菜单中单击“删除”菜单项。返回目录11.5 11.5 角色管理角色管理 11.5.8 11.5.8 删除用户定义数据库角色删除用户定义数据库角色2.2.用用-SQL-SQL语句删除用户自定义数据库角色语句删除用户自定义数据库角色语法格式：DROP RO

47、LE 角色名【例11.16】使用-SQL语句将“教务管理数据库”数据库中的“db_role_02”自定义数据库角色删除。返回目录11.6 11.6 权限管理权限管理11.6.1 权限类型权限类型权限用来指定授权用户可以使用的数据库对象和这些授权用户可以对这些数据库对象执行的操作。用户在登录到SQL Server之后，其用户帐号所归属的Windwos组或角色所被赋予的权限决定了该用户能够对哪些数据库对象执行哪种操作以及能够访问、修改哪些数据。在SQL Server中包括三种类型的权限：语句权限对象权限预定义权限返回目录11.6 11.6 权限管理权限管理11.6.1 权限类型权限类型（1）语句权

48、限语句权限是指对数据库的操作权限，这些语句通常是一些具有管理性的操作，如创建数据库、表和存储过程等。这种语句虽然仍包含有操作的对象，但这些对象在执行该语句之前并不存在于数据库中。因此，语句许可针对的是某个SQL语句，而不是数据库中已经创建的特定的数据库对象。返回目录11.6 11.6 权限管理权限管理11.6.1 权限类型权限类型（2）对象权限对象权限是指对特定的数据库对象（即表、视图、字段和存储过程）的操作权限，它决定了能对表、视图等数据库对象执行哪些操作。如果用户想要对某一对象进行操作，必须具有相应的操作权限。表和视图的权限用来控制用户在表和视图上执行SELECT、INSERT、UPDAT

49、E和DELETE语句的能力。字段的权限用来控制用户在单个字段上执行SELECT、UPDATE和REFERENCES操作的能力。存储过程的权限用来控制用户执行EXECUTE语句的能力。返回目录11.6 11.6 权限管理权限管理11.6.1 权限类型权限类型（3）预定义权限预定义权限是指系统安装以后部分用户和角色不必授权就有的权限。其中的角色包括固定服务器角色和固定数据库角色，用户包括数据库对象所有者。只有固定角色或者数据库对象所有者的成员才可以执行某些操作。执行这些操作的权限就称为预定义权限。返回目录11.6 11.6 权限管理权限管理11.6.2 11.6.2 用用SQL Server Ma

50、nagement StudioSQL Server Management Studio管理权限管理权限用户对权限的管理包括授予权限、拒绝权限和废除权限。授予权限主要是授予用户账户在数据库中允许执行的语句权限和对象权限。拒绝权限主要用于删除以前授予用户、组或角色的权限；停用从其他角色继承的权限；确保用户、组或角色将来不继承更高级别的组或角色的权限。废除权限用于废除以前授予或拒绝的权限，废除权限与拒绝权限有类似的功能。都是删除已授予的权限。但是，废除权限是删除已授予的权限，并不删除用户、组或角色从其他角色继承的权限。返回目录11.6 11.6 权限管理权限管理11.6.2 11.6.2 用用SQL