欢迎来到天天文库
浏览记录
ID:9414687
大小:54.50 KB
页数:6页
时间:2018-04-30
《sqlserver数据库安全管理机制详解》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、SQLServer数据库安全管理机制详解>>教育资源库 在改进SQLServer7.0系列所实现的安全机制的过程中,Microsoft建立了一种既灵活又强大的安全管理机制,它能够对用户访问SQLServer服务器系统和数据库的安全进行全面地管理。按照本文介绍的步骤,你可以为SQLServer7.0(或2000)构造出一个灵活的、可管理的安全策略,而且它的安全性经得起考验。 一、验证方法选择 本文对验证(authentication)和授权(authorization)这两个概念作不同的解释。验证
2、是指检验用户的身份标识;授权是指允许用户做些什么。在本文的讨论中,验证过程在用户登录SQLServer的时候出现,授权过程在用户试图访问数据或执行命令的时候出现。 构造安全策略的第一个步骤是确定SQLServer用哪种方式验证用户。SQLServer的验证是把一组帐户、密码与Master数据库Sysxlogins表中的一个清单进行匹配。anagers等组。请记住,为了简化管理,最好为组取一个能够明确表示出作用的名字。 除了面向特定应用程序的组之外,我们还需要几个基本组。基本组的成员负责管理服务器。
3、按照习惯,我们可以创建下面这些基本组:SQLServe123下一页>>>>这篇文章来自..,。rAdministrators,SQLServerUsers,SQLServerDeniedUsers,SQLServerDBCreators,SQLServerSecurityOperators,SQLServerDatabaseSecurityOperators,SQLServerDevelopers,以及DB_NameUsers(其中DB_Name是服务器上一个数据库的名字)。当然,如果必要的话,你还可
4、以创建其他组。 创建了全局组之后,接下来我们可以授予它们访问SQLServer的权限。首先为SQLServerUsers创建一个NT验证的登录并授予它登录权限,把Master数据库设置为它的默认数据库,但不要授予它访问任何其他数据库的权限,也不要把这个登录帐户设置为任何服务器角色的成员。接着再为SQLServerDeniedUsers重复这个过程,但这次要拒绝登录访问。在SQLServer中,拒绝权限始终优先。创建了这两个组之后,我们就有了一种允许或拒绝用户访问服务器的便捷方法。 为那些没有直接在
5、Sysxlogins系统表里面登记的组授权时,我们不能使用EnterprisManagr,因为EnterpriseManager只允许我们从现有登录名字的列表选择,而不是域内所有组的列表。要访问所有的组,请打开QueryAnalyzer,然后用系统存储过程sp_addsrvrolemember以及sp_addrolemember进行授权。 对于操作服务器的各个组,我们可以用sp_addsrvrolemember存储过程把各个登录加入到合适的服务器角色:SQLServerAdministrators成
6、为Sysadmins角色的成员,SQLServerDBCreators成为Dbcreator角色的成员,SQLServerSecurityOperators成为Securityadmin角色的成员。注意sp_addsrvrolemember存储过程的第一个参数要求是帐户的完整路径。例如,BigCo域的JoeS应该是bigco/joes(如果你想用本地帐户,则路径应该是server_name/joes)。 要创建在所有新数据库中都存在的用户,你可以修改Model数据库。为了简化工作,SQLServer
7、自动把所有对Model数据库的改动复制到新的数据库。只要正确运用Model数据库,我们无需定制每一个新创建的数据库。另外,我们可以用sp_addrolemember存储过程把SQLServerSecurityOperators加入到db_securityadmin,把SQLServerDevelopers加入到db_oember存储过程而不是EnterpriseManager,就可以在不授予域内NT帐户数据库访问权限的情况下为任意NT帐户分配权限。 到这里为止,对Model数据库的设置已经完成。但是
8、,如果你的用户群体对企业范围内各个应用数据库有着类似的访问要求,你可以把下面这些操作移到Model数据库上进行,而不是在面向特定应用的数据库上进行。 四、允许数据库访问 在数据库内部,与迄今为止我们对登录验证的处理方式不同,我们可以把权限分配给角色而不是直接把它们分配给全局组。这种能力使得我们能够轻松地在安全策略中使用SQLServer验证的登录。即使你从来没有想要使用SQLServer登录帐户,本文仍旧建议分配权限给角色,因为这样你能够为未来可能出
此文档下载收益归作者所有