主体和安全实体
在 SQL Server 2008中,“主体”就是可以访问受保护资源且能获得访问资源所需权限的任何个人、组或流程。与旧版 SQL Server 一样,可以在 Windows 中定义主体,也可将没有对应 Windows 主体的 SQL Server 登录作为其基础。下面的列表显示了 SQL Server 2008主体的层次结构,但不包括固定服务器和数据库角色,还显示了将登录和数据库用户映射为安全对象的方法。主体的影响范围取决于它的定义范围,这样 Windows 级别的主体就比 SQL Server 级别的主体拥有更大的影响范围,而后者的影响范围又大于数据库级别的主体。每个数据库用户都会自动隶属于固定的 public 角色。
Windows 级别的主体
•     Windows 域登录
•     Windows 本地登录
•     Windows 组
SQL Server 级别的主体
•     SQL Server登录
•     映射为 Windows 登录的 SQL Server 登录
•     映射为证书的 SQL Server 登录
•     映射为不对称密钥的 SQL Server 登录
数据库级别的主体
•     数据库用户
•     映射为 SQL Server 登录的数据库用户
•     映射为 Windows 登录的数据库用户
•     映射为证书的数据库用户
•     映射为不对称密钥的数据库用户
•     数据库角色
•     应用程序角色
•     公共角色

授权的另一部分就是可用以保护权限授予操作或拒绝授予操作的对象。图4列出了SQL Server 2008 中安全实体对象的层次结构。在服务器级别,可以保护网络端点,以控制进出服务器的通信通道,以及数据库、绑定角色和登录。在数据库和架构级别,用户创建的每一个对象都被当作安全主体,包括那些驻留在架构中的对象。

 
 
 

固定服务器角色

服务器角色 说明 
bulkadmin 成员可以运行BULK INSERT语句,这一角色中的成员仍然要求非sysadmins用户能够访问被更新到的对象 : administer blck operations
dbcreator 成员可以创建、修改、删除和恢复任意数据库 : create database
diskadmin 这一角色用于管理磁盘文件。大多数此类功能是关于添加和删除备份设备的。:alter resources
processadmin 成员可以终止在SQL SERVER实例中运行的进程,如果您希望授予某人中止长时间运行的查询或者孤立连接的能力,那么这一角色非常有 用 :  alter any connection , alter server state
public 所有有效SQL SERVER登陆是public角色的成员 
securityadmin 成员可管理登陆及其属性。他们可以grant, deny 和revoke服务器级别的权限以及数据库级别的权限。他们也可以为SQL SERVER登陆重置密码。这一角色无权指定数据库权限。如果希望securityadmin成员能够进行这一操作,就必须使他们的登录成为特定数据库的db_accessadmin固定数据库角色的成员
serveradmin 成员可以改变服务器范围内的配置选项并关闭服务器
setupadmin 成员要吧添加和删除添加服务器,还执行一些系统存储过程。
sysadmin 成员可执行服务器中的任意操作。默认情况下,windows builtin\administrators组、本地管理员组中的所有成员是sysadmin固定服务器角色的成员。sql server服务帐户也是此角色的成员。
 
数据库用户
     可以通过SSMS或者T-SQL语句CREATE LOGIN来创建登录。再利用SSMS或者T-SQL语句CREATE USER 来创建数据库用户
     在创建数据库用户之后,可以选择将它包含在一个数据库角色中。可更改。
数据库角色  说明
db_addessadmin 可以为windows登陆、windows组和SQL SERVER登陆添加或者删除访问权限 :alter any user, create schema
db_backupoperator 可以备份数据库 : backup databse , backuplog , checkpoint
db_datareader 可以从所有用户表中读取所有数据 : select 
db_datawriter 成员要吧添加、删除或者改变所有用户表中的数据 : deleter , insert , update
db_ddladmin 可以运行数据库中的任意数据定义语言(ddl)命令 : alter any assembly, alter any asammetric key , alter any 
db_denydatareader 不能读取数据库中用户表中的任何数据 : 拒绝select 
db_denydatawriter 不能在数据库的用户表中添加 、修改或者删除任何数据: 拒绝delete , insert , update
db_owner 可以对数据库执行全部配置和维护操作,包括删除数据库
db_securityadmin 可以修改角色成员关系并管理权限
 
     有一种特殊的数据库角色,sysadmin用户不能明确向其授予其它用户权限,它被称为public角色。所有数据库用户都隐式包含在public角色中。这一角色获得特定数据库中用户的所有默认权限。它不能拥有指定给它的用户、组或者角色。因为默认情况下每个 人都属于这一角色。这一角色不能被删除。因此,要防止未经授权的数据访问,应该授予public角色的权限降至最低。应将权限授予其它数据库角色且授予登陆相关的用户帐户。

SQL SERVER 安全性体系的更多相关文章

  1. 深入浅出:全面理解SQL Server权限体系

    转自IT168  好文转载存档! [IT168 技术]权限两个字,一个权力,一个限制.在软件领域通俗的解释就是哪些人可以对哪些资源做哪些操作.在SQL Server中,"哪些人", ...

  2. 《BI那点儿事》SQL Server 2008体系架构

    Microsoft SQL Server是一个提供了联机事务处理.数据仓库.电子商务应用的数据库和数据分析的平台.体系架构是描述系统组成要素和要素之间关系的方式.Microsoft SQL Serve ...

  3. SQL Server安全性专题一:简介

    原文:SQL Server安全性专题一:简介 一. 安全威胁与法则 1. 安全定义 2. 安全威胁 3. 安全法则 安全定义: 在SQLServer环境中,安全性可以认为是[数据保护].包括:  数 ...

  4. 第十三周翻译:SQL Server安全级别1:SQL Server安全性概述

    SQL Server安全级别1:SQL Server安全性概述 源自:Stairway to SQL Server Security Level 1: Overview of SQL Server S ...

  5. sql server 权限体系

    --给sql server添加一个新用户[账号,密码,数据库名] execute  sp_addlogin 'baishi', '123','db'; execute  sp_addlogin 'wx ...

  6. [转]SQL Server 安全性概論與無法刪除資料庫使用者的解決辦法

    經常有人來問我特定 SQL Server 資料庫裡的使用者無法刪除的問題,這問題其實跟 SQL Server 的安全性架構有很大關係,解決這個問題當然還是瞭解觀念的重要性大於知道如何解決問題.除了講解 ...

  7. 理解SQL Server中的权限体系(下)----安全对象和权限

    原文:http://www.cnblogs.com/CareySon/archive/2012/04/12/SQL-Security-SecurableAndPermission.html 在开始阅读 ...

  8. 人人都是 DBA(I)SQL Server 体系结构

    在了解 SQL Server 数据库时,可以先从数据库的体系结构来观察.SQL Server 的体系结构中包含 4 个主要组成部分: 协议层(Protocols) 关系引擎(Relational En ...

  9. 【野草】SQL Server之索引解析(一)

    1.写在前面 微软专门给出SQL Server设计思路及实现路线,从7大体系结构阐述是如何实现,通过了解这些,我们就可以总结出数据库设计原则.编程中sql写法及注意事项,从而优化我们的系统性能,本系列 ...

随机推荐

  1. Unix时间戳与C# DateTime时间类型互换

    Unix时间戳最小单位是秒,开始时间为格林威治标准时间1970-01-01 00:00:00ConvertIntDateTime方法的基本思路是通过获取本地时区表示Unixk开始时间,加上Unix时间 ...

  2. 记一次SQLServer数据库误删数据找回

            昨天 同事在本机清理数据库表时,连接到了生产机,误删了二十几张表,幸好是晚上加班的时候删除的,生产机上当时是一天一备份,还原备份是最后的策略,最关键的还是要找回数据.         ...

  3. ASP.NET MVC学习之视图篇(2)

    继ASP.NET MVC学习之视图(1)学习 4.HTML辅助器 虽然在ASP.NET MVC中我们已经摆脱了ASP.NET的控件,但是对于页面中需要循环标签的情况依然还是存在,可能很多人认为用for ...

  4. WebApi与手机客户端通信安全机制

    最近公司有几个项目需要开发手机客户端,服务器端选用WebApi,那么如何保证手机客户端在请求服务器端时数据不被篡改,如何保证一个http请求的失效机制,下面总结一下我们在项目中针对这两个问题的解决方案 ...

  5. 如何在Global.asax中判断是否是ajax请求

    今天在一个应用场景中需要在Global.asax中判断一个请求是否是ajax请求,而在ASP.NET MVC中已经提供了一个现成的扩展方法IsAjaxRequest: namespace System ...

  6. [ACM_模拟] POJ 1094 Sorting It All Out (拓扑排序+Floyd算法 判断关系是否矛盾或统一)

    Description An ascending sorted sequence of distinct values is one in which some form of a less-than ...

  7. iOS——Swift开发中的单例设计模式(摘译,非原创)

    最近在开发一个小的应用,遇到了一些Objective-c上面常用的单例模式,但是swift上面还是有一定区别的,反复倒来倒去发现不能按常理(正常的oc to swift的方式)出牌,因此搜索了一些帖子 ...

  8. 只有好的棋手才会走运-《打造Facebook》读后感

    王淮的<打造Facebook>一书不厚,花半天时间轻松读完.书中没有大段的说教,只有近乎流水的陈述.正如作者所说,打造Facebook这本书由巴克伯格来写再合适不过.可惜他至少在近几年内没 ...

  9. AngularJS快速入门指南02:介绍

    AngularJS是一个JavaScript框架.它可以通过<script>标记被添加到HTML页面中. AngularJS通过指令对HTML属性进行了扩展,然后通过表达式将数据绑定到HT ...

  10. C#与数据库访问技术总结(五)之Command对象的常用方法

    Command对象的常用方法 说明:上篇总结了Command对象的几个数据成员,这节总结Command对象的常用方法. 同样,在不同的数据提供者的内部,Command对象的名称是不同的,在SQL Se ...