第14章 安全管理

　　14.1 安全控制

　　14.1.1 安全控制模型

　　身份验证 操作权控制 文件操作控制 加密存储与冗余

　　14.1.2 数据库权限的种类及用户的分类

　　1、 权限的种类

　　(1) 对DBMS进行维护的权限;

　　(2) 对数据库中的对象和数据进行操作的权限。

　　(A) 对数据库对象的权限，包括创建、删除和修改数据库对象;

　　(B) 对数据库数据的操作权限，包括对表、视图数据的增、删、改、查权限。

　　2、 数据库用户的分类

　　(1) 数据库系统管理员(sa)：在数据库中具有全部的权限;

　　(2) 数据库对象拥有者：对其所拥有的对象具有一切权限;

　　(3) 普通用户：只具有对数据库数据的增、删、改、查权限。

　　14.2 SQL Server 的安全控制

　　1、 用户访问SQL Server 数据库中的数据中，必须经过三个认证过程

　　(1) 身份认证：验证用户是否有连接到数据库服务器的“连接权”;

　　(2) 验证用户是否数据库的合法用户;

　　(3) 验证数据库用户是否具有要进行的操作的操作权限。

　　2、 SQL Server的用户有两种类型：

　　(1) Windows授权用户：来自Windows的用户或组;

　　(2) SQL授权用户：来自于非Windows的用户，也将这种用户称为SQL用户。

　　3、 SQL Server 为不同用户类型提供不同的安全认证模式：

　　(1) Windows 身份验证模式：允许Windows NT或Windows 2000用户连接到SQL Server，在这种模式下，SQL Server将通过Windows来获得用户信息，并对账号和密码进行重新验证，当使用Windows身份验证模式时，用户必须先登录到Windows，然后再登录到SQL Server;

　　(2) 混合验证模式：表示SQL Server接受Windows授权用户和SQL授权用户。

　　14.3 管理SQL Server 登录账户

　　14.3.1 系统内置的登录账户

　　1、 BUILTIN/Administrators：是一个Windows组账户，表示所有的Windows Administrators(系统管理员)组中的用户都可以登录到SQL Server，此组中的成员同是具有SQL Server的系统管理员权限;

　　2、 Sa：SQL Server验证模式的系统管理员账户;

　　3、 域名/Administrators: Windows的系统管理员同时也是SQL Server的合法用户，并且具有SQL Server的系统管理员权限。

　　14.3.2 建立登录账户

　　1、 使用企业管理器建立登录账户

　　2、 使用系统存储过程建立登录账户

　　(1) 建立SQL Server身份验证的登录账户：

　　sp_addlogin [@loginame=]’login’[,[@passwd=]’password’][,[@defdb=]’database’]

　　其中：

　　(A)[@loginame=]’login’：登录账户名;

　　(B)[@passwd=]’password’：登录密码;

　　(C)[@defdb=]’database’：连接的数据库。

　　(2) 建立Windows身份验证的登录账户

　　sp_grantlogin [@loginame=]’login’

　　其中：[@loginame=]’login’为要添加的Windows NT用户或组的名称，Windows NT组和用户必须用Windows NT域名限定，格式为“域/用户”