Server系统安全管制

©©2005byPrenticeHall2005byPrenticeHall11第五章第五章SQLServerSQLServer系統安全管制系統安全管制SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用許正憲許正憲,,張嘉琪張嘉琪著著22SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用學習重點學習重點„„SQLServerSQLServer的安全管制架構的安全管制架構„„SQLServerSQLServer登入驗證方式登入驗證方式„„登入帳戶的建立與管理登入帳戶的建立與管理„„設定資料庫的使用者設定資料庫的使用者„„設定資料庫的角色設定資料庫的角色„„建立資料庫物件存取權限建立資料庫物件存取權限33SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用SQLServerSQLServer的安全管制架構的安全管制架構„„兩階段安全性機制：驗證（兩階段安全性機制：驗證（authenticationauthentication））與授權（權限確認：與授權（權限確認：permissionpermission））設定伺服器角色設定登入者存取管理SQLServer資料庫角色第一階段：驗證（Windows驗證及混合式驗證）第二階段：授權使用者登入登入SQLServer登入資料庫存取資料庫物件44SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用SQLServerSQLServer登入驗證方式登入驗證方式„„登入驗證方式有兩種：登入驗證方式有兩種：WindowsWindows登入驗證登入驗證及及SQLServerSQLServer登入驗證登入驗證„„SQLServerSQLServer提供的是提供的是WindowsWindows驗證及兩種方驗證及兩種方式都可以使用的混合式。式都可以使用的混合式。55SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用SQLServerSQLServer登入驗證方式登入驗證方式66SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用登入帳戶的建立與管理登入帳戶的建立與管理„„WindowsWindows的帳戶驗證的帳戶驗證„„網域名稱會出現在網域名稱會出現在＂＂名名稱稱＂＂欄位的前面，輸入欄位的前面，輸入WindowsWindows帳戶名稱即可帳戶名稱即可„„名稱也可是群組帳戶名稱也可是群組帳戶„„SQLServerSQLServer登入驗證登入驗證„„只要輸入名稱及密碼只要輸入名稱及密碼77SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用登入帳戶的建立與管理登入帳戶的建立與管理„„登入者的類型有三種：標準、登入者的類型有三種：標準、WindowsWindows群組群組及及WindowsWindows使用者。使用者。SQLServer登入帳戶Windows登入帳戶88SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用設定資料庫的使用者設定資料庫的使用者„„建立資料庫使用者：建立資料庫使用者：在在EnterpriseManagerEnterpriseManager中展開至要建立使用中展開至要建立使用者的資料庫，點選資者的資料庫，點選資料庫，按滑鼠右鍵，料庫，按滑鼠右鍵，執行執行＂＂新增／資料庫新增／資料庫使用者使用者＂＂99SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用設定資料庫的使用者設定資料庫的使用者„„修改及刪除資料庫使用者修改及刪除資料庫使用者„„修改已建立的使用者資訊：點選欲修改的使用修改已建立的使用者資訊：點選欲修改的使用者，按滑鼠右鍵，執行者，按滑鼠右鍵，執行＂＂內容內容＂＂，就可以更改，就可以更改使用者的權限及角色設定。使用者的權限及角色設定。„„刪除使用者：執行刪除使用者：執行＂＂刪除刪除＂＂即可。即可。„„刪除時須注意，使用者刪除時須注意，使用者dbodbo是不允許被刪除，除是不允許被刪除，除非卸除它資料庫擁有者的身份。非卸除它資料庫擁有者的身份。1010SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用設定資料庫的角色設定資料庫的角色„„內建角色：內建角色：無法刪除，也無法更改它的存取權限設定，但無法刪除，也無法更改它的存取權限設定，但publicpublic角色角色除外。除外。„„publicpublic：這個角色比較特別，每一位登入者都屬於這個角色且無法：這個角色比較特別，每一位登入者都屬於這個角色且無法刪除此角色。只有此角色可有修改存取權限。刪除此角色。只有此角色可有修改存取權限。„„db_ownerdb_owner：資料庫的擁有者，對資料庫可做所有動作。：資料庫的擁有者，對資料庫可做所有動作。„„db_accessadmindb_accessadmin：可建立及管理資料庫使用者。：可建立及管理資料庫使用者。„„db_securityadmindb_securityadmin：可建立及管理資料庫角色及角色中的成員，也可：可建立及管理資料庫角色及角色中的成員，也可執行各類物件存取權限的設定。執行各類物件存取權限的設定。„„db_dlladmindb_dlladmin：可新增、修改及刪除資料庫中的物件。：可新增、修改及刪除資料庫中的物件。„„db_backupoperatordb_backupoperator：有備份資料庫的權限。：有備份資料庫的權限。„„db_datareaderdb_datareader：可讀取資料庫中所有資料表的資料，即：可讀取資料庫中所有資料表的資料，即selectselect動作。動作。„„db_datawriterdb_datawriter：可新增、修改及刪除資料庫中所有資料表的資料。：可新增、修改及刪除資料庫中所有資料表的資料。„„db_denydatareaderdb_denydatareader：禁止讀取資料庫中所有資料表的資料，即無法：禁止讀取資料庫中所有資料表的資料，即無法執行執行selectselect動作。動作。„„db_denydatawriterdb_denydatawriter：禁止新增、修改及刪除資料庫中所有資料表的：禁止新增、修改及刪除資料庫中所有資料表的資料，即無法執行資料，即無法執行insertinsert、、updateupdate及及deletedelete動作。動作。1111SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用設定資料庫的角色設定資料庫的角色„„自訂角色：自訂角色：使用者可以依據需要建立新的使用者可以依據需要建立新的資料庫角色。資料庫角色。„„應用程式角色：應用程式角色：一般使用者無法成為應用一般使用者無法成為應用程式角色的成員，使用者只能透過應用程程式角色的成員，使用者只能透過應用程式來存取資料庫。式來存取資料庫。1212SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用設定資料庫的角色設定資料庫的角色„„設定內建角色設定內建角色步驟一：在步驟一：在EnterpriseManagerEnterpriseManager中展開資料庫下的中展開資料庫下的＂＂角色角色＂＂項目。項目。步驟二：在右邊視窗中，點選步驟二：在右邊視窗中，點選＂＂db_backupoperatordb_backupoperator＂＂角角色，按滑鼠右鍵，執行色，按滑鼠右鍵，執行＂＂內容內容＂＂。。1313SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用設定資料庫的角色設定資料庫的角色„„步驟三：按步驟三：按＂＂新增新增＂＂加入新的使用者。加入新的使用者。1414SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用設定資料庫的角色設定資料庫的角色„„建立新的資料庫角色建立新的資料庫角色步驟一：在步驟一：在EnterpriseManagerEnterpriseManager中展開資料庫下中展開資料庫下的的＂＂角色角色＂＂項目。項目。步驟二：點選步驟二：點選＂＂角色角色＂＂，按滑鼠右鍵，執行，按滑鼠右鍵，執行＂＂新新增資料庫角色增資料庫角色＂＂，出現，出現＂＂資料庫角色屬性資料庫角色屬性——新角色新角色＂＂視窗視窗1515SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用設定資料庫的角色設定資料庫的角色------建立新資料庫角色建立新資料庫角色步驟三：輸入新角色名稱步驟四：新增使用者步驟五：確定1616SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用建立資料庫物件存取權限建立資料庫物件存取權限„„設定資料庫的存取權限設定資料庫的存取權限使用者角色禁止可執行1717SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用建立資料庫物件存取權限建立資料庫物件存取權限„„設定使用者的存取權限設定使用者的存取權限步驟一：將步驟一：將EnterpriseManagerEnterpriseManager展開至欲設定的資展開至欲設定的資料庫，點選料庫，點選＂＂使用者使用者＂＂，按滑鼠右鍵，執，按滑鼠右鍵，執行行＂＂內容內容＂＂步驟二：出現步驟二：出現＂＂資料庫使用者屬性資料庫使用者屬性＂＂視窗後，視窗後，按按＂＂權限權限＂＂鈕鈕1818SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用建立資料庫物件存取權限建立資料庫物件存取權限針對”員工”資料表中的欄位再做單獨權限設定可以變更使用者1919SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用建立資料庫物件存取權限建立資料庫物件存取權限„„設定個別物件的存取權限設定個別物件的存取權限步驟一：先將步驟一：先將EnterpriseManagerEnterpriseManager展開至資料表，展開至資料表，點選點選＂＂客戶客戶＂＂資料表，按滑鼠右鍵，執行資料表，按滑鼠右鍵，執行＂＂內容內容＂＂步驟二：出現步驟二：出現＂＂資料表屬性資料表屬性＂＂視窗後，按視窗後，按＂＂權權限限＂＂鈕鈕2020SQLServer2000SQLServer2000資料庫實務應用資料庫實務應用建立資料庫物件存取權限建立資料庫物件存取權限可切換到資料庫中其他物件單獨設定選取資料表中每一個欄位的存取權限