概述

老系統(tǒng)還有10幾臺sqlserver數(shù)據(jù)庫，最近需要對這些sqlserver的權(quán)限方面做一些梳理，這里先簡單介紹下sqlserver角色與權(quán)限管理方面的內(nèi)容。

sqlserver安全實(shí)現(xiàn)策略

安全性是所有數(shù)據(jù)庫管理系統(tǒng)的一個(gè)重要特征。理解安全性問題是理解數(shù)據(jù)庫管理系統(tǒng)安全性機(jī)制的前提。

1、當(dāng)用戶登錄數(shù)據(jù)庫系統(tǒng)時(shí)，如何確保只有合法的用戶才能登錄到系統(tǒng)中？

這是一個(gè)最基本的安全性問題，也是數(shù)據(jù)庫管理系統(tǒng)提供的基本功能。

在Microsoft SQL Server 2008系統(tǒng)中，通過身份驗(yàn)證模式和主體解決這個(gè)問題。

1）身份驗(yàn)證模式

Microsoft SQL Server 2008系統(tǒng)提供了兩種身份驗(yàn)證模式：Windows身份驗(yàn)證模式和混合模式。

Windows身份驗(yàn)證模式：

在該模式中，用戶通過Windows用戶賬戶連接SQL Server時(shí)，使用Windows操作系統(tǒng)中的賬戶名和密碼。

混合模式：

在混合模式中，當(dāng)客戶端連接到服務(wù)器時(shí)，既可能采取Windows身份驗(yàn)證，也可能采取SQL Server身份驗(yàn)證。

主體是可以請求系統(tǒng)資源的個(gè)體或組合過程。例如，數(shù)據(jù)庫用戶是一種主體，可以按照自己的權(quán)限在數(shù)據(jù)庫中執(zhí)行操作和使用相應(yīng)的數(shù)據(jù)。

2）主體

主體是可以請求系統(tǒng)資源的個(gè)體或組合過程。例如，數(shù)據(jù)庫用戶是一種主體，可以按照自己的權(quán)限在數(shù)據(jù)庫中執(zhí)行操作和使用相應(yīng)的數(shù)據(jù)。

Microsoft SQL Server 2008系統(tǒng)有多種不同的主體，不同主體之間的關(guān)系是典型的層次結(jié)構(gòu)關(guān)系，位于不同層次上的主體其在系統(tǒng)中影響的范圍也不同。位于層次比較高的主體，其作用范圍比較大；位于層次比較低的主體，其作用范圍比較小。

2、當(dāng)用戶登錄到系統(tǒng)中，可以執(zhí)行哪些操作、使用哪些對象和資源？

在Microsoft SQL Server 2008系統(tǒng)中，通過安全對象和權(quán)限設(shè)置來解決這個(gè)問題。

3、數(shù)據(jù)庫中的對象由誰所有？

如果是由用戶所有，那么當(dāng)用戶被刪除時(shí)，其所擁有的對象怎么辦，難道數(shù)據(jù)庫對象可以成為沒有所有者的“孤兒”嗎？

在Microsoft SQL Server 2008系統(tǒng)中，這個(gè)問題是通過用戶和架構(gòu)分離來解決的。

安全機(jī)制5個(gè)等級

客戶機(jī)安全機(jī)制

網(wǎng)絡(luò)傳輸?shù)陌踩珯C(jī)制

實(shí)例級別安全機(jī)制

數(shù)據(jù)庫級別安全機(jī)制

對象級別安全機(jī)制

角色

1、固定服務(wù)器角色

固定服務(wù)器角色是服務(wù)器級別的主體，它們的作用范圍是整個(gè)服務(wù)器。固定服務(wù)器角色已經(jīng)具備了執(zhí)行指定操作的權(quán)限，可以把其他登錄名作為成員添加到固定服務(wù)器角色中，這樣該登錄名可以繼承固定服務(wù)器角色的權(quán)限。

下面按照從最低級別的角色（bulkadmin）到最高級別的角色（sysadmin）的順序進(jìn)行描述：

Bulkadmin：這個(gè)服務(wù)器角色的成員可以運(yùn)行BULK INSERT語句。這條語句允許從文本文件中將數(shù)據(jù)導(dǎo)入到SQL Server 2008數(shù)據(jù)庫中，為需要執(zhí)行大容量插入到數(shù)據(jù)庫的域賬戶而設(shè)計(jì)。Dbcreator：這個(gè)服務(wù)器角色的成員可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫。這不僅是適合助理DBA的角色，也可能是適合開發(fā)人員的角色。Diskadmin：這個(gè)服務(wù)器角色用于管理磁盤文件，比如鏡像數(shù)據(jù)庫和添加備份設(shè)備。它適合助理DBA。Processadmin：SQL Server 2008能夠多任務(wù)化，也就是說可以通過執(zhí)行多個(gè)進(jìn)程做多個(gè)事件。例如，SQL Server 2008可以生成一個(gè)進(jìn)程用于向高速緩存寫數(shù)據(jù)，同時(shí)生成另一個(gè)進(jìn)程用于從高速緩存中讀取數(shù)據(jù)。這個(gè)角色的成員可以結(jié)束（在SQL Server 2008中稱為刪除）進(jìn)程。Securityadmin：這個(gè)服務(wù)器角色的成員將管理登錄名及其屬性。他們可以授權(quán)、拒絕和撤銷服務(wù)器級權(quán)限。也可以授權(quán)、拒絕和撤銷數(shù)據(jù)庫級權(quán)限。另外，它們可以重置SQL Server 2008登錄名的密碼。Serveradmin：這個(gè)服務(wù)器角色的成員可以更改服務(wù)器范圍的配置選項(xiàng)和關(guān)閉服務(wù)器。例如SQL Server 2008可以使用多大內(nèi)存或監(jiān)視通過網(wǎng)絡(luò)發(fā)送多少信息，或者關(guān)閉服務(wù)器，這個(gè)角色可以減輕管理員的一些管理負(fù)擔(dān)。Setupadmin：為需要管理鏈接服務(wù)器和控制啟動的存儲過程的用戶而設(shè)計(jì)。這個(gè)角色的成員能添加到setupadmin，能增加、刪除和配置鏈接服務(wù)器，并能控制啟動過程。Sysadmin：這個(gè)服務(wù)器角色的成員有權(quán)在SQL Server 2008中執(zhí)行任何任務(wù)。Public:有兩大特點(diǎn)，第一，初始狀態(tài)時(shí)沒有權(quán)限；第二，所有的數(shù)據(jù)庫用戶都是它的成員。

2、數(shù)據(jù)庫角色

這里主要包括三種類型的數(shù)據(jù)庫角色:

固定數(shù)據(jù)庫角色：微軟提供的作為系統(tǒng)一部分的角色；用戶定義的標(biāo)準(zhǔn)數(shù)據(jù)庫角色：你自己定義的角色，將Windows用戶以一組自定義的權(quán)限分組；應(yīng)用程序角色：用來授予應(yīng)用程序?qū)ｉT的權(quán)限，而非授予用戶組或者單獨(dú)用戶。

這里主要介紹幾個(gè)固定數(shù)據(jù)庫角色