公司管理软件设计完成,但是日常工作繁忙,向领导提出增加几个管理员,帮助管理和维护系统,领导同意了,但是要求一定要管理好这几个管理员用户,保证数据库的安全。
修改身份验证模式
数据库验证机制
sqlserver的三层安全模型:
- 需要登录到sqlserver系统,需要登录账户
- 需要访问某个数据库,需要成为该数据库的用户
- 需要访问数据库的表,需要数据库管理员给自己授权,如增删改查等权限
2种身份验证模式
Windows身份验证
用于Windows平台的用户,不需要提供密码和Windows集成验证,因为windows系统本身就有管理和验证登录用户的能力。
优点:
- 用户的管理交给windows系统管理,而数据库管理员专注于数据库库管理
- 可以利用windows的账户管理的功能,包括安全验证,加密,审核,密码过期,最小密码长度,账户锁定等,不需要在sqlserver中另外建立一个登陆验证机制
混合验证
适用于各种平台操作系统,以及Internet用户,使用sqlserver用户名和密码登陆数据库服务器,及时网络上的客户机没有服务器操作系统的账户也可以登陆并使用sqlserver数据库,很方便。
设置混合验证模式
在数据库实例上右键,选择属性
选安全性标签,选择sqlserver和windows身份验证模式,选择仅限失败的登录,确定。
创建系统登录用户
这里准备创建一个windows用户和sqlserver用户
创建windows登录用户
打开安全性节点,右键登录名,选择新建登录名
选择常规,登录名必须是一个已经存在的windows账户,不确定这个账户是否存在可以通过右边的搜索来看,选择windows身份验证
默认数据库为master(默认),然后确定。
创建sqlserver登录用户
第一步也是打开新建登录名窗口
然后登录名可以自定义SQLuser,选择sqlserver身份验证,密码是SQLuser,去掉勾选的“强制实施密码策略”,确定。
对于密码设置需要说明一下子:
强制实施密码策略:
对用户输入的密码格式进行要求,实施密码复杂性策略时,新密码需要符合以下原则:
- 密码不得包含全部或部分用户账户名,部分账户名是3个以上2端使用空格(空格,制表符,回车),逗号(,),句点(.),连接符(-),下划线(_)或数字符号(#)连接的字母数字
- 密码长度至少为8个字符
- 密码包含大写字母(A-Z),小写字母(a-z),数字(0-9),符号(!,$,#,%)中的3类
- 密码最长为128字符,使用的密码应尽可能长,尽可能复杂
强制密码过期:
密码过期策略用于管理密码的使用期限,在规定过期的时间节点,必须更换密码,系统将提醒用户进行该操作,并禁用带有过期密码的账户。
用户在下次登录必须更换密码:
这个就是和名字描述的一样。现在,取消选中“强制实施密码策略”复选框即可。
数据库用户的创建和管理
登录用户只能登录到sqlserver系统,访问数据库,必须成为数据库的用户才可以。
如果没有设置会提示没有权限
数据库用户
数据库拥有自己的用户,一个登陆用户可以印射为多个数据库用户,数据库有2个默认用户:
- dbo,就是Database Owner数据库拥有者,数据库的创建者,拥有数据库的最高权限,不能被删除
- guest,可以在除了master和tempdb之外的所有数据库中添加,删除该用户
默认情况下,新建的数据库没有guest账户
数据库用户权限
sqlserver中权限有3种:
- 默认权限,用户在成为固定服务器,数据库角色同时自动获得的角色
- 对象权限,在数据库层次的访问和操作权限,比如选择,更新,插入,删除表,列,视图,更改,控制,引用,查看定义,查看跟踪,接管所有权
- 语句权限,create\alter\drop database,table,view,backup database
权限类型
有3种:
- 授予,允许用户具有操作权限
- 具有授予权限,允许用户将权限授予其他用户
- 拒绝,拒绝用户操作权限
windows用户和sqlserver用户的设置方式是一样的。
创建数据库用户
打开销售管理数据库的安全性节点,右键用户,选择新建用户
输入用户名和登录名,确定
此时的用户已经有了数据库的登录权限,但是还没有数据表的操作权限
设置用户权限
现在我们授予SQLuser用户选择,插入,更新的权限,并允许他将选择权限授予其他用户,但是拒绝他删除的权限
设置对象权限
上面是通过用户来设置对象权限,现在我们通过对象来设置用户权限。
权限的修改方法和设置方法一样,不再赘述。
角色管理
数据库中很多用户的类型和权限基本相同,可以引入角色统一管理这些类似的用户。
角色设置对于比较复杂的数据库系统很重要,可以方便的管理其中的各类用户,如果数据库用户较少,则角色的作用不那么突出。
角色
sqlserver可以通过角色统一管理数据库或服务器用户权限,通过修改角色权限来修改所有加入角色的用户的权限,方便。
sqlserver有2种角色:
- 服务器角色
- 数据库角色
服务器角色
用于登录服务器级别的安全权限,有8种,不可添加或删除,只能向角色添加用户成员
- bulkadmin
- dbcreator
- diskadmin
- processadmin
- securityadmin
- serveradmin
- setupadmin
- sysadmin
sa(sysadmin)和public的角色成员身份是不允许被修改的
数据库角色
其权限设置只针对相应的数据库,就是说同样名称数据库角色,在不同的数据库,权限是不同的。
用户可以创建数据库角色,并添加用户
- db_owner
- db_accessadmin
- db_datareader
- db_datawriter
- db_ddladmin
- db_securityadmin
- db_backoperator
- db_denydatareader
- db_denydatawriter
- public
设置服务器角色
将角色设置为sysadmin服务器角色
设置数据库角色
将销售管理数据库的用户SQLuser设置为db_datawriter数据库角色
新建数据库角色
新建数据库角色Urole,设置角色权限的基本架构为db_datawriter加上db_datareader,并将SQLuser添加到角色中
设置好之后可以看到Urole
