第 5 章与 W indows NT 安全性的集成

数据库安全性的存在可避免未授权用户查阅、添加、改变或删除数据。随着对 Internet 和各公司上数据库的访问不断增长，最近对访问敏感数据的控制比以往任何时候都更引人注目，甚至连普通人都对此领域很感兴趣，无人希望由未授权用户或随机用户访问或改变自己的信息，如信用报告或 Social Security 信息等。

作为数据库管理员，应对保护数据特别关注，以防止未授权用户查阅或改变数据，还要注意系统使访问对于管理和维护更加方便，因为如果没有合适的过程和标准，就不能管理这种访问，尤其是在负责成千上万用户的访问时就更是如此。

把用户的责任分成几个组和角色可增加安全性，因为工作可以分为多份，

这样每个任务可由两个用户分担。只为角色或组指定完成工作所需的权限。例如，可以由一个工人批准某个验证，而由另一个工人打印和邮寄这份验证。

SQL Server 和 NT 在检查用户的访问和许可时集成起来的方法已进行了强化和简化，已经消除了整个管理层。现在有一种分层安全系统，其中角色和组以及用户都可成为其他角色的成员，在许多层都可以指定许可。

Security Manager 的消失

不再使用 Security M anager 并从 M icrosoft SQL Server 工具集中删除。现在，为数据库管理可靠的用户访问、为用户提供特定和控制的许可是十分简单的。访问 M icrosoft SQL Server 的组成要素是注册、用户、角色和组。下面首先介绍注册，注册就是在 M icrosoft SQL Server 中验证用户身份的方法。然后介绍用户、角色和组。

现在，当用 M icrosoft SQL Server 工作时，安全性分成两部分 :身份验证和许可的有效性。身份验证是安全性的一个部分，它可识别用户，并确认允许用户连接 SQL Server 。许可有效性用于控制访问数据库和数据库内的对象。它还控制用户对数据库的访问完成时可以执行的操作。

身份验证

现在，识别用户和确认用户有访问 SQL Server 的许可只有两种方法 :Windows N T 验证和 SQL Server 验证。SQL Server 可以配置为使用验证的 NT Authentication 服务器模式或 M ixed 服务器模式。 M ixed 表示 W indows NT 验证注册 ID 和 S Q L Server 验证注册 ID 都可用于获得 SQL Server 的访问权。如果采用 N T Authentication 模式，则只允许采用 W indows NT Authentication 注册 ID 。

下面的第一个表展示了目前在 M icrosoft SQL Server 、 M ixed 和 N T Authentication 中都可用的验证模式。 M ixed Authentication 模式有两种验证类型 :NT Authentication 和 SQL Server Authentication ，而 NT Authentication 模式只有 NT Authentication 一种类型。下面第二个表展示了验证模式中的两种验证类型，分别称为 NT Authentication 和 SQL Server Authentication 。该表还展示了验证类型的特性。

验证模式 =Mixed	验证模式 =NT Authentication
Windows NT Authentication 注册 ID 和／或 SQL Server Authentication 注册 ID	只有 Windows NT Authentication 注册 ID

Windows NT Authentication 注册 ID 和／或

SQL Server Authentication 注册 ID

只有 Windows NT Authentication 注册 ID

Windows NT Authentication	SQL Server Authentication
不必键入注册 ID	必须键入注册 ID
不必键入密码	必须键入密码
NT Administrator 必须创建 NT Account 或 NT Group 。	没有相关的 N T 帐户或组
Login ID 就是 NT Account 或 NT Group	注册 ID 是未与 N T 安全性集成的 SQL Server 注册 ID 。这只是 SQL Server 安全性功能，与Windows NT 无关委托 NT( 已委托 ) 不委托 NT ( 未委托 )

Windows NT 验证模式

NT Authentication 模式下与 SQL Server 的网络连接假定为 SQL Server 和客

户机之间的委托连接 (trusted connection) 。委托连接通过网络协议 (Named Pipes 命名管道、 M ulti-protocol 等 ) 获得支持，网络协议支持服务器和客户机之间的委托连接。当 NT 建立委托连接并将注册 ID 和密码传送给 SQL Server 时， S Q L Server 并不检验密码或帐户，它假设该注册 ID 和密码是正确的，因为在用户进入网络时 NT 已经验证了该用户。 SQL Server 使用同一个 NT 网络用户名和密码来验证 SQL Server 中的用户，就像 NT 用来验证网络上的用户或访问操作系统一样；换言之，用 Windows NT Authentication 模式访问 SQL Server 上的数据库，并不需要单独的注册 ID 和密码。因为这种类型的验证允许 SQL Server 充分利用 N T 的安全特性，所以它是很有利的。 N T 安全特性由 SQL Server 所提供的极为丰富的验证功能集组成。用户在自己的网络身份下访问 SQL Server 之前，必须进入网络并通过所有 N T 验证功能的验证。例如，可以设置 NT 验证，以使密码在给定时间后失效。

注意 : 使用 M icrosoft Management Console ，把 SQL Server 注册到服务器组中，参见图 5.1 。

第 5 章与 W indows NT 安全性的集成 - 图1

图 5.1 设置 Windows NT Authentication 模式

要充分利用 W indows NT 安全性，应设置 SQL Server 的 W indows NT Authentication Mode:

展开服务器组。
选择一个服务器，右击该服务器，再选择 Properties 。
单击 Security 标签。
只选择 W indows NT 或选择 SQL Server 和 W indows N T 。
选择 O K 按钮。

要定义 W indows NT 帐户或组和 SQL Server 注册 ID 之间的关系，并设置

W indows NT 和 SQL Server 之间的委托连接，可使用下列语法 : sp_grantlogin ′ DomainNam e＼ NTusernam e′

也可使用下面的语法 :

sp_grantlogin ［ DomainNam e＼ NTusernam e］

注意 : 如果游标位于服务器组中的相应服务器上，可使用 M icrosoft M anagement Console 上的 Tools 菜单中的 SQL Query Analyzer Too l 。在该窗口和主数据库中找到自己。

W indows NT 用户或组需要用户或组许可，以连接到 M icrosoft SQL Server 上。如果 Windows NT 组的所有成员都连接到 SQL Server 上，可以为该组的所有成员添加一个 SQL Server 注册帐户。如果并非全部组员都应获得许可，则可以为单个 Windows NT 用户添加 SQL Server 注册。

另外，还可以用 M icrosoft M anagement Console 为 Windows NT 验证和 S Q L Server 验证添加 SQL Server 注册。图 5.2 表示 W indows NT 验证。

注意 : 使用 M icrosoft Management Console ，把 SQL Server 注册到服务器组中，参见图 5.2 。

第 5 章与 W indows NT 安全性的集成 - 图2

图 5.2 创建 Windows NT 验证注册 ID

展开服务器名。
右击 Logins ，然后选择 New Login 。
选择 W indows NT Authentication 。
键入 W indows NT 帐户。
设置用户的缺省数据库。
1. SQL Server 验证模式

SQL Server Authentication 模式下与 SQL Server 的网络连接假定为 S Q L Server 和客户机之间的非委托连接。用户键入已设置为 SQL Server 标准注册的注册名和密码。 SQL Server 将验证注册 ID 和密码本身，并与系统管理员已经预定义成 SQL Server 注册 ID 的注册 ID 相比较。如果系统管理员尚未设置指定的注册 ID ，则连接失败。

SQL Server 验证有几种比较好的用途，可以编写许多应用程序来使用它。许多人都喜欢使用这种方法，因为他们了解注册和密码，而 NT 验证可以十分复杂而模糊。 SQL Server 验证还可用于 Internet 客户机，以及不是基于 W indows N T 的操作系统。

有时，整个应用程序及其所有用户使用同一个 SQL Server 注册和密码。这种类型的访问易于管理，但由于不跟踪每个用户的标识，而带有安全性风险，所以不应用于包含机密信息的数据库，如销售或人事信息。

注意 : 将游标定位在服务器组中的服务器上后，可使用 M icrosoft M anagement

Console 的 Tool 菜单上的 SQL Query Analyzer Tool 。

要创建 SQL Server 注册 (SQL Server 验证 )，可执行下列程序 : sp_addlogin ′ login ′ , ′ password ′ , ′ database ′ , ′ language′ ,

′ login_pid ′ , ′ sid ′

除了注册外，所有自变量都是可选的，这些自变量都作为系统名存储在主数据库的 syslogins 表中。自变量将在第 23 章 “ 系统存储过程 ” 中详细讨论。

此外，还可以用 M icrosoft M anagement Console 为 Windows NT 验证和 S Q L Server 验证添加 SQL Server 注册 ( 图 5.3 展示了 SQL Server 验证 )，其步骤如下 :

第 5 章与 W indows NT 安全性的集成 - 图3

展开服务器名。

图 5.3 创建 SQL Server 验证注册 ID

右击 Logins ，然后选择 New Login 。
选择 SQL Server Authentication 。
键入注册名和密码。
为用户选择缺省数据库。

两种类型的注册 ID 之间主要的、可立即看出的差别是，当显示连接到 S Q L Server 的屏幕时，采用 Windows NT 验证注册 ID 的用户不必键入注册 ID 和密码，而采用 SQL Server 验证注册 ID 的用户则必须键入。因为 N T 把注册 ID 和密码传递给 SQL Server ，再由 SQL Server 检查 NT 帐户或组是否为 syslogins 表的成员，所以 W indows NT 验证发生作用。另一个差别是，如果在选择 W indows NT Authentication 后再输入域名，该域名将自动显示为 Name 域的第一部分 (NT 用户必须提前创建 )。

总之，注册有两种类型，即 N T 验证注册和 SQL Server 验证注册。注册 ID 用于验证，即识别用户和确认数据库访问。注册 ID 有一个缺省数据库，该数据库在建立连接时使用，并且在创建时为注册 ID 而定义。

许可的有效性

至此，用户已了解了如何使用两种类型 SQL Server 注册 ID 中的一种来获得M icrosoft SQL Server 的访问权，下面讲述注册 ID 如何与 SQL Server 数据库用户相关联。

数据库用户

SQL Server 注册 ID 和数据库用户 ID 之间的区别之一是，SQL Server 注册 ID 可用于整个 SQL Server 。一个注册 ID 可以与多个数据库用户相关联，所有数据库都可用存储过程 sp_grantdbaccess 在 SQL Server 注册 ID 和数据库用户 ID 之间建立关系。另一方面，数据库用户 ID 则只能在 SQL Server 上的特定数据库中正常工作。

关系必须由用户来定义，该用户在 SQL Server 注册 ID 和数据库用户 ID 之间扮演着 db_accessadmin 或 db_owner 的角色。可以在数据库内部创建用户，并把已建立的 SQL Server 注册 ID 作为参数传递给 sp_grantdbaccess 存储过程，来完成上述定义。在这种方式中，如果数据库用户 ID 没有与有效的 SQL Server 注册 ID 相关联，就不能创建数据库用户 ID 。 ( 在 SQL Server 7 以前的版本中，使用 sp_adduser 命令 ;它仍支持向后的兼容性 )。

sp_grantdbaccess 命令可把 SQL Server 注册 ID 与数据库用户 ID 连接起来，这就是为什么在特定的数据库中允许使用 SQL Server 注册 ID 许可。

sp_grantdbaccess ′ login ′ , ′ databaseusernam e′

该命令可在数据库的 sysuser 系统表中创建新的数据库用户，并使数据库用户 ID 与 SQL Server 注册 ID 建立关系，该 SQL Server 注册 ID 可以用 sp_grantlogin 为 W indows NT 验证用户而创建，也可以用 sp_addlogin 为 SQL Server 验证用户而创建。 login 是一个必选自变量，而 databaseusername 则是一个可选自变量，如果省略这个自变量，就使用缺省值 login ，并使两个参数相同。相反，要删除

数据库用户，可使用 sp_revokedbaccess 存储过程。使用 sp_grantdbaccess 规则如下 :

在用户定义的事务内不能使用
SA 注册不能添加到数据库中
W indows NT 帐户或组需要用域名验证
只能由作为某种数据库角色（ db_accessadmin 或 db_owner ）的用户来执行使用 sp_revokedbaccess 规则为：
在用户定义的事务内不能使用
不能删除数据库中的公共角色、 DBO 用户或固定角色
不能删除主数据库和 tempdb 数据库中的 Guest User 帐户
不能从 NT 组中删除 W indows NT 用户
只能由作为某种数据库角色（ db_accessadmin 或 db_owner

）的用户来执

行

如果用户在数据库中拥有对象，就不能删除该用户 ;
必须在使用

sp_revokedbaccess 之前，用存储过程 sp_changeobjectowner 改变该对象的拥有者

注意 : 使用 M icrosoft Management Console ，并把 SQL Server 注册到服务器组中。

作为 sp_grantdbaccess 的替代程序，可以使用 M icrosoft Management Console

为 W indows NT 验证和 SQL Server 验证创建新的数据库用户 ( 请参阅图 5.4):

第 5 章与 W indows NT 安全性的集成 - 图4

图 5.4 创建新的数据库用户

展开服务器，并选择数据库。
右击该数据库 ;
选择 New ，然后再选择 New Database Use r。
选择注册名。
键入用户名。
选择要放入用户的角色。
单击 O K 。

该 sp_grantdbaccess 存储过程是把注册 ( 验证 ) 映射到使用的 SQL Server 数据库用户上的方式，以控制对数据库中对象的访问和执行的操作 ( 许可有效 ) 。这实际上是把验证和许可有效这两部分安全性连接起来，以提供安全访问和特定许可。如果注册 ID 和数据库用户 ID 同名，管理起来会更方便。用户应考虑把这种设置作为系统中的标准设置。

要进一步改进这种访问，而且准许一组用户集体获得特定许可，可使用组和角色。

NT 组和 SQL Server 角色

把用户放到组和角色中，将更易于一次管理多用户的许可。组 (group) 是管理 W indows NT 内的用户或其他组的一种方法。而角色 (role)则是管理 SQL Server 内部用户的方法， SQL Server 可包含 SQL Server 注册、 W indows NT 注册、组或其他角色。以前版本的 SQL Server 中，数据库组由角色所代替，角色的功能是非常强大的。 Sp_addgroup 、 sp_changegroup 、 sp_dropgroup 已经包含了向后的兼容性，但它们现在只是处理角色的次要方法。

NT 组

通过创建组的 SQL Server 注册，可以访问 SQL Server 上整个 N T 组的注册。而 GRANT 语句用于允许用户、角色或组获得访问数据或执行数据库中特定操作的许可。这种许可只准许当前数据库中的用户使用。相反， REVOKE 语句用于剥夺已授予的许可，而 DENY 语句用于阻止用户从发出 GRANT 的人手中获得许可。为 NT 组设置 SQL Server 注册的一个重要方面是一旦进行了设置，就只需为 NT 组增加新的用户。而 SQL Server 注册和数据库许可已经就绪。

许可有两种类型 :object( 对象 ) 和 statement( 语句 ) 许可。对象许可为用户提供访问许可，以便使用诸如数据库中已有的表、视图、程序和扩展程序等对象。而语句许可允许访问特定的 Transact_SQL 语句，如 GREATE TABLE 或EXECUTE PROCEDURE 。

当某个组是某个高级组的成员时，除了为该组本身或用户帐户定义的安全设置外，该组的所有成员还继承了高级组的安全设置。

SQL Server 角色

如果没有 NT 组，仍可以把用户组织到一个共同单元中，并可使用角色 (roles) 集中管理这些用户。可以创建用户的功能集 (NT 验证和 SQL Server 验证 )，以及其他角色。这是简化数据库许可管理的强大工具。

注意 : 使用 M icrosoft Management Console(MMC )，可把 SQL Server 注册到服

务器组中，请参见图 5.5 。

第 5 章与 W indows NT 安全性的集成 - 图5

图 5.5 分配固定的服务器角色

使用 M icrosoft M anagement Console 可以为 SQL Server 验证注册 ID 把用户分配给固定角色 :

展开 M M C 中的服务器名。
右击 Logins ，然后选择 New Login 。
选择 SQL Server Authentication 。
键入 SQL Server Authentication 或 NT 帐户或 W indows NT Authentication

用户的注册名和密码。

设置用户的缺省数据库。
单击 Server Roles 标签。
单击提供给用户的 Roles 。

固定服务器角色 固定服务器角色存在于服务器级并处于特定数据库之外。用户必须拥有 N T 注册帐户或 SQL Server 注册帐户，才能添加到固定服务器角色中。固定服务器角色的任何成员都可以把其他注册添加到角色中。

下表表示 Fixed Server Role 名和 Fixed Server Role 的许可：

固定服务器角色名	该角色的功能
系统管理员， sysadmin	执行 SQL Server 中任何动作的许可
服务器管理员， serveradmin	配置用于服务器的设置的许可
设置管理员， setupadmin	允许安装复制程序，管理扩展程序
安全管理员， securityadmin	允许管理服务器注册
进程管理员， processadmin	允许管理 SQL Server 中运行的进程
数据库创建员， dbcreator	允许创建和改变数据库

续表

磁盘管理员， diskadmin	允许管理磁盘文件

要为固定服务器角色添加成员，请参见图 5.5 的 M icrosoft M anagement Console ， Enterprise Manager 方法，也可使用下面的存储过程 :

sp_addsrvrolemember ′ security_accoun t′ , ′ role ′

用户将继承正在扮演的角色的所有许可。固定服务器角色表示它们的确切含义，不能删除或改变它们。只有得到执行 sp_addsrvrolemember 许可的人才能成为固定服务器角色的其他成员。 syslogins 系统表可更新以指明为哪个固定服务器角色分配哪个注册 ID 。

要从固定服务器角色中删除某个成员，请参照图 5.5 所示的 Enterprise M anager 方法，或使用下面的存储过程 :

sp_dropsrvrolemember ′ security_account ′ , ′ role ′ 不能从固定服务器角色中删除 SA (系统管理员 )。

固定数据库角色固定数据库角色存在于数据库级，且处于特定数据库内

部。用户必须拥有 N T 注册帐户或 SQL Server 注册帐户才能添加到固定数据库角色中。角色也可以添加到固定数据库角色中。固定数据库角色的任何成员都可以把其他人添加到该角色中。

下表表示 Fixed Database Role 名和 Fixed Database Role 的许可。

固定数据库角色名	该角色的功能
Db_owner	作为 DBO ，除了其他 Database Owner 任务外，还允许处理所有其他数据库角色的所有操作
Db_accessadmin	允许和禁止对数据库中的 Windows NT 组／用户和 SQL Server 用户的访问
Db_datareader	允许查看数据库中所有用户表中的所有数据
Db_datawriter	允许修改数据库中所有用户表中的数据 ( 插入、更新、删除 )
Db_ddladmin	允许创建、更改和／或删除数据库中的对象
Db_securityadmin	允许管理数据库中的角色和语句以及对象许可
Db_dumpoperator	允许备份数据库
Db_denydatareader	不许查看数据库中的任何数据
Db_denydatawriter	不许修改数据库中的任何数据

要为固定数据库角色添加成员，请参照图 5.6 ，或使用下面的存储过程 : sp_addrolemember ′ role ′ , ′ security_accoun t′

第 5 章与 W indows NT 安全性的集成 - 图6

图 5.6 分配固定服务器角色

用户将继承正在扮演的角色的所有许可。如果安全性帐户用于 W indows NT

用户或组，并且不是数据库中的用户，他们就将自动添加为用户。使用 W indows N T 用户或组的安全性帐户前面的域名，例如， DomainNam e＼ securityAccount，可用于安全性帐户自变量。如果安全性帐户用于 SQL Server 用户或角色，那么这些用户或角色必定处在执行命令的数据库中。当安全性帐户代表 SQL Server 用户时，可以用没有域名前缀的安全性帐户作为安全性帐户参数。如果有用户定义的角色，不要试图在数据库级或服务器级上把固定角色添加到用户定义的角色上，因为这样做是无效的。固定数据库角色是其本身的确切含义，不能删除或改变它们。 sysusers 系统表可更新以指明哪个数据库用户在扮演哪个固定数据库角色。

除了如图 5.6 所示的固定数据库角色外， M icrosoft SQL Server 还有两个特殊的用户／角色许可 :

Guest user 如果用户试图访问数据库，而且尚未成为数据库用户，则该用户将成为 Guest 用户。这意味着他们可以访问数据库中 Guest 用户允许使用的任何对象
Public role 如果希望为数据库中的每个人提供某些对象的许可，或执行某些操作，就可以为 Public 角色提供许可。为 Public 角色提供的许可可以授予每个人使用下列系统支持的存储过程，可显示每个固定数据库角色的许可 : sp_dbfixedrolepermission ′ role ′

注意 : Query Anglyzer 位于 Microsoft Management Console 的 Tools 菜单中。可以在 Query Analyer 窗口中执行存储过程。

从 Query Analyzer 中输出下列信息 :

DbFixedRole	许可 (Permission)
Db_owner	数据库中的每一项内容
Db_accessadmin	为 db_accessadmin 增加成员
Db_accessadmin	sp_adduser
Db_accessadmin	sp_dropuser
Db_accessadmin	sp_grantdbaccess
Db_accessadmin	sp_revokedbaccess
Db_securityadmin	为 db_securityadmin 增加成员
Db_securityadmin	DENY
Db_securityadmin	GRANT
Db_securityadmin	REVOKE
Db_securityadmin	sp_addrole
Db_securityadmin	sp_addrolemember
Db_securityadmin	sp_droprole
Db_securityadmin	sp_droprolemember
Db_ddladmin	为 db_ddladmin 增加成员
Db_ddladmin	所有 D D L ，但 GRANT 、 REVOKE 、 DENY 除外
Db_ddladmin	sp_adduserobject
Db_dumpoperator	为 db_dumpoperator 增加成员
Db_dumpoperator	CHECKPOINT
Db_dumpoperator	DUMP DATABASE
Db_dumpoperator	DUMP TRANSACTION
Db_datareader	为 db_datareader 增加成员
Db_datareader	任意对象的 SELECT 许可
Db_datawriter	为 db_datawriter 增加成员
Db_datawriter	任意对象的 DELETE 许可

续表

Db_datawriter	任意对象的 INSERT 许可
Db_datawriter	任意对象的 UPDATE 许可
Db_denydatareader	为 db_denydatareader 增加成员
Db_denydatareader	任意对象都无 SELECT 许可
Db_denydatawriter	为 db_denydatawriter 增加成员
Db_denydatawriter	任意对象均无 DELETE 许可
Db_denydatawriter	任意对象均无 INSERT 许可
Db_denydatawriter	任意对象均无 UPDATE 许可

访问数据库的每个人都可执行存储过程 sp_dbfixedrolepermission 和

sp_helpdbfixedrole 。

使用下列系统提供的存储过程，可以显示每个固定数据库角色的名称和说

明 :

sp_helpdbfixedrole ′ role ′

注意 : Query Analyzer 位于 Microsoft Management Console 的 Tools 菜单中，

可以在该窗口中执行存储过程。

从 Query Analyzer 输出的信息如下 :

DbFixedRole	描述
Db_owner	DB Owners (拥有者 )
Db_accessadmin	DB Access Administrators( 访问管理员 )
Db_securityadmin	DB Security Administrators( 安全管理员 )
Db_ddladmin	DB DDL Administrators(DDL 管理员 )

续表

Db_dumpoperator	DB Dump Operator( 清空操作员 )
Db_datareader	DB Data Reader( 数据读入员 )
Db_datawriter	DB Data Writer( 数据写入员 )
Db_denydatareader	DB Deny Data Reader( 拒绝数据读入员 )
Db_denydatawriter	DB Deny Data Writer( 拒绝数据写入员 )

注意 : 使用 M icrosoft M anagement Console ，可以选择 Server Group 中的

Server，然后选择 Database ，并右击 Database Role 。

要在数据库中创建新用户定义的角色，请参阅图 5.7 或使用下列存储过程 : sp_addrole ′ role ′ , ′ owner ′

第 5 章与 W indows NT 安全性的集成 - 图7

图 5.7 增加用户定义的数据库角色

owner 参数缺省为 DBO 拥有者，然而，如果指定拥有者，则拥有者必须是

执行命令的数据库中 sysusers 系统表中的数据库用户或数据库角色。只有db_securityadmin 或 db_owner 角色才允许使用 sp_addrole 存储过程。可以用G R A N T 或 DENY 语句为新的数据库角色分配许可。

要从数据库中删除数据库角色，可在数据库内部执行下列存储过程 : sp_droprole ′ role ′ — — 删除标准数据库角色sp_dropapprole ′ role ′ — — 删除应用程序数据库角色

插入 sysusers 表中的行可从 sysusers 系统表中删除。不能删除固定角色和public 角色；必须先从该角色中删除数据库用户。使用存储过程sp_droprolemember 可删除角色中的数据库用户。不要在用户定义的事务内部执行该存储过程，只有 db_owner 或 db_securityadmin 角色的成员才允许使用sp_droprole 。

授予权限

授予组或角色的许可可由该组或角色的成员继承下来。许可能在不同的层次上授予。给用户授予许可有可能与给另一个角色（该用户是其一个成员）授予的许可冲突。如果用户处于多个组或角色中，或与单个用户许可有冲突，那么在角色之间发生许可冲突时，可应用有一定限制的拒绝和撤消防止用户访问

对象的许可。

许可有以下三种状态 :

Grant( 授予 )
Revoke( 撤消 )
Deny( 拒绝 )

GRANT 语句

Grant( 授予 ) 意味着一个数据库用户可以为另一个数据库用户提供许可，以便查看数据、改变数据和执行数据库操作。只能在当前数据库中为用户授予当前数据库的许可。现在 G R A N T 语句又新增了一个 W ITH GRAN 选项，它允许给数据库用户的授予许可，也允许该数据库用户给其他用户授予许可。 John 向Jane 提供许可 W ITH GRANT ，这将允许 Jane 将同样的许可授予 Jay 。如果 Jane 为 Jay 提供许可 W ITH GRANT ，那么 Jay 就能向 Jerry 授予相同的权限。通过给组和角色授予许可 W ITH GRAN T ，也可为一组用户提供这种能力。然而，使用 W ITH GRANT 许可时一定要注意，否则将可能不能控制谁向谁授予许可。

许可有以下两种类型 :

语句许可
对象许可

语句许可

Transact-SQL GRANT 语句可提供语句许可，语句许可为安全帐户提供了包括 GRANT 语句在内的其他 Transact-SQL 语句的访问权，。在提供语句许可时，可以向用户提供使用下列 Transact-SQL 语句的许可 :

A LTER DATABASE EXECUTE

A LTER TABLE G R A N T

BEGIN TRANSACTION 对象的 G R A N T CHECKPOINT INSERT COMMIT TRANSACTION KILL

CREATE DATABASE RESTORE DATABASE CREATE DEFAULT LOAD TRANSACTION

CREATE INDEX RAISERROR

CREATE PROCEDURE READTEXT

CREATE RULE RECONFIGURE

CREATE TABLE REFERENCES

CREATE TRIGGER REVOKE

CREATE VIEW 对象的 REVOKE

DBCC ROLLBACK TRANSACTION

DELETE SAVE TRANSACTION

DISK INIT SELECT

DISK MIRROR SET

DISK REFIT SETUSER

DISK REINIT SHUTDOWN

DISK REMIRROR TRUNCATE TABLE

DISK UNMIRROR UPDATE

DROP 任意对象 UPDATE STATISTICS

BACKUP DATABASE UPDATETEXT

DUMP TRANSACTION WRITETEXT

语句许可的语法如下 :

GRANT ｛ ALL ｜ statemen t［ ,...］｝

TO security_account ［ ,...］

下表表示语句许可的 Grant 语句自变量及其说明 :

语句许可的 GRANT 自变量	描述
ALL	语句 : 当用作语句许可时能使用所有语句。在提供了所有语句许可的情况下，只有 System Administrator( 系统管理员： SA) 和 Database Owner( 数据库拥有者： DBO) 才能提供全部权限，因为只有这些人才拥有全部权限。当然， SA 的权限多于 D B O ，因为 SA 涉及服务器范围，而 DBO 只涉及数据库范围

续表

Statement( 语句 )	如果授予许可的用户是 SA ，便可使用CREATE DATABASE 。如果用户不是 SA ，则可以为另一个用户提供的语句有CREATE DEFAULT 、 CREATE PROCEDURE 、CREATE RULE 、 CREATE TABLE 、 CREATE VIEW 、 D U M P DATABASE 和 DUMP TRANSACTION 。这种操作能够使被授予人使用该语句。另外，对象拥有者可以执行插入、更新、删除、选择、引用和执行等操作
Security Account( 安全帐户 )	许可可提供给这种用户，该用户可以是 M icrosoft SQL Server User 、 SQL Server Role 、 Windows NT User 或 Windows NT Group

Statement( 语句 )

如果授予许可的用户是 SA ，便可使用CREATE DATABASE 。如果用户不是 SA ，则可以为另一个用户提供的语句有CREATE DEFAULT 、 CREATE PROCEDURE 、CREATE RULE 、 CREATE TABLE 、 CREATE VIEW 、 D U M P DATABASE 和 DUMP TRANSACTION 。

这种操作能够使被授予人使用该语句。另外，对象拥有者可以执行插入、更新、删

除、选择、引用和执行等操作

Security Account( 安全帐户 )

许可可提供给这种用户，该用户可以是

M icrosoft SQL Server User 、 SQL Server

Role 、 Windows NT User 或 Windows NT Group

下面是语句许可的 G R A N T 语句的一个实例 :

GRANT CREATE DATABASE, CREATE TABLE

TO security_account G O

对于 W indows NT 验证用户，可以使用 DomainNam e＼ SecurityAccoun t： GRANT CREATE DATABASE, CREATE TABLE

TO DomainNam e＼ SecurityAccount G O

GRANT CREATE TABLE

TO rolename G O

对象许可

对象许可允许用户拥有下列对象的应用权限：数据库中已有的表、视图、程序和扩展存储过程。如果用户是 sysadmin 和 db_securityadmin 角色的成员，可以在所有数据库中授予所有的许可。如果是对象拥有者，可以给拥有者的任何对象授予许可。 db_owner 角色可以在自己的数据库中授予任何对象的任何许可。

对象许可的语法如下 :

G R A N T

｛｛ ALL ｜ permission ［ ,... ］｝［ (column［ ,...］ )］ ON ｛ table ｜ view ｝

｜ ON ｛ stored_procedure ｜ extended_procedure ｝｝ To security_account ［ ,...］

［ W ITH GRANT OPTION ］

［ AS ｛ group ｜ role ｝］

对象可的 GRANT 自变量如下 :

对象许可的 GRANT 自变量	描述
ALL	对象 :在 ALL 用于提供某个对象的用户许可时，传递该对象的所有权限

续表

Statement( 语句 )	如果授予许可的用户是 SA ，则可使用CREATE DATABASE 。如果用户不是 SA ，可以为另一个用户提供的语句有： CREATE DEFAULT 、 CREATE PROCEDURE 、CREATE RULE 、 CREATE TABLE 、 CREATE VIEW 、 DUMP DATABSE 和 D U M P TRANSACTION 。这种操作可使被授予者使用该语句。另外，对象拥有者还可使用插入、更新、删除、选择、引用和执行
TO Security Account( 到安全帐户 )	为该用户提供许可，该用户可以是 M icrosoft SQL Server User 、 SQL Server Role 、 Windows NT User 或 Windows NT Group
W ITH GRANT OPTION	使用户能把指定的许可授予其他用户
A S ｛ group ｜ role ｝	该自变量指明授予许可的用户位于哪个组或角色。如果授予人位于多个角色中，则可能发生许可冲突，授予人可以指明允许哪个角色或组授予这些许可
Permission( 许可 )	对象许可由授予人授予给被授予人。参见下一个表可了解哪些对象有哪些许可
ON Table	用户获准用指定的许可访问的表格名称
ON Column	用户获准用指定的许可访问的列名
ON View	用户获准用指定的许可访问的视图名
ON Stored_procedure	用户获准用指定的许可访问的存储过程名

续表

ON Extended_stored procedure

用户获准用指定的许可访问的扩展存储过程名

下表指定了当用户提供与语句许可相对应的对象许可时的特定对象的许可。

对象名	对象名的许可
表或视图许可	SELECT 、INSERT 、DELETE 、UPDATE 、REFERENCES
扩展存储过程许可	EXECUTE
列许可	SELECT 、 UPDATE
存储过程许可	EXECUTE

下面是使用对象许可的 GRANT 语句的实例 : GRANT EXECUTE

ON storedprocedurename TO security_account

W ITH GRANT OPTION G O

GRANT SELECT ， UPDATE

ON tablename TO public

G O

GRANT SELECT ON tablename TO user AS rolename

G O

授予许可的特殊规则

在授予许可时需注意以下特定规则 :

如果用户要用 FOREIGN KEY 约束在表中插入或修改行，且

对该表或相应列没有 SELECT 许可，则对此表必须使用 REFERENCES 列 (column) 许可
并非所有语句都需要有许可才能使用。确实需要许可

的语句可为数据库增加对象，或管理数据库
用户不能授予某些 Transact-SQL 语句的许可。这些语句

必须获得特定系统角色 ( 如 sysadmin) 中的成员的许可，只有这些人能用 SHUTDOWN 语句关闭数据库
语句许可由角色打破。某些角色拥有执行某些语句的

许可，例如，CREATE DATABASE 许可是 sysadmin 角色的缺省许可
选项 W ITH GRANT 只用于对象许可
如果有 sysadmin 或 db_owner 角色，可使用 SETUSER 测试许可

，以便扮演另一个用户来查看是否已提供了正确的许可
在授予许可时可将行插入到 sysprotects 系统表中
使用 sp_helprotect 存储过程，可查看某个对象或用户的许可

REVOKE 语句

REVOKE 语句可用于删除授予的许可，或撤销对被否定许可的否定。语句许可的 REVOKE 语法如下 :

REVOKE ｛ ALL ｜ statemen t［ ,... ］｝ FROM security_account ［ ,...］

对象许可的 REVOKE 语法为 : REVOKE ［ GRANT OPTION FO R ］

｛ ALL ［ PRIVILEGES ］｜ permission ［ ,... ］｝

｛｛［ (colum n［ ,...n ］ )］ ON ｛ table ｜ view ｝

｜｛ procedure ｜ extended_procedure ｝｝

FROM security_account ［ ,...］［ CASCAD E ］

［ A S ｛ group ｜ role ｝］

下表为 REVOKE 语句的自变量及其说明。

REVOKE 自变量	描述
ALL	对象 (Object):当 ALL 用于撤消某个对象的许可时，可删去对该对象的所有许可语句 (Statement): 当用作语句许可时，可删去语句的所有授予或拒绝的许可。在撤消所有语句许可的情况下，只有 System Administrator(SA) 和Database Owner(DBO )才能撤消所有的许可，因为只有他们才拥有 SA 的所有权限，当然， SA 拥有的许可比DBO 更多，因为 SA 适于服务器范围， D B O 适于数据库范围
Statement	如果撤消许可的用户是 SA ，则可使用 CREATE DATABASE 。如果用户不是 SA ，则可从另一个用户撤消 CREATE DEFAULT 、 CREATE PROCEDURE 、CREATE RULE 、 CREATE TABLE 、 CREATE VIEW 、DUMP DATABASE 和 DUMP TRANSACTION 。该操作可撤消授予的或拒绝的许可
Security_account	从该用户中撤消许可。安全帐户可以是 M icrosoft SQL Server User、 SQL Server Role 、 Windows NT User 或 Windows NT Group
GRANT OPTION FOR	删去 W ITH GRANT OPTION 的效果。用户不再能给其它用户授予 WITH GRANT OPTION ，但将保留自己的许可
PRIVILEGES	该自变量不做要求，但对 ANSI 兼容机可包含该自变量
AS{group ｜ role}	该自变量表明撤销权限的用户处于的组或角色。如果撤消人处在多个角色中，可能会发生权限冲突，该用户可以指明哪个角色或组拥有撤消这些许可的权限

续表

Permission	对象许可被撤消 Table 许可被撤销的表格名称
Column	许可被撤销的列名
View	许可被撤销的视图名称
Stored procedure	许可被撤销的存储过程名称
Extended stored procedure	许可被撤销的扩展存储过程名
FROM	指明安全帐户列表
CASCADE	从安全帐户中删除许可，同时从已授予特权的所有安全帐户中删除许可

在撤消许可时要注意下列特殊规则 :

不要试图从系统角色中撤消许可
如果在从已授予 W ITH GRANT OPTION 许可的用户中撤消许

可时

CASCADE 不用作自变量，则返回错误消息

在发出撤消语句时， sysprotects 系统表中有一行被删除

REVOKE 语句的几个实例如下 :

REVOKE CREATE TABLE FROM security_account G O

REVOKE CREATE TABLE

FROM DomainNam e＼ SecurityAccount G O

要撤消 (REVOKE ) 某个拒绝的许可，可执行下面的程序 : REVOKE INSERT ON tablename

FROM security_account G O

DENY 语句

发出拒绝命令可防止用户获得组或角色成员的许可，并在 sysprotects 系统表中增加一行，表示用户在撤消 DENY 之前不能获得许可。

语句许可的 DENY 语法如下 :

DENY ｛ ALL ｜ statemen t［ ,... ］｝ TO security_accoun t［ ,...］

对象许可的 DENY 语法如下 :

DENY ｛ ALL ［ PRIVILEGES ］｜ permission ［ ,...n ］｝

｛［ (colum n［ ,...］ )］ ON ｛ table ｜ view ｝

｜ ON ｛ table ｜ view ｝［ ( colum n［ ,...］ )］

｜｛ procedure ｜ extended_procedure ｝｝ TO security_account

［ CASCADE ］

下表表示 DENY 语句的自变量及其描述 :

DENY 自变量	描述
ALL	对象 (Object): 当 ALL 用于拒绝某个对象的用户许可时，可拒绝该对象的所有许可语句 (Statement): 当用作语句许可时，可消除使用所有语句的能力。在拒绝所有语句许可的情况下，只有 System Administrator(SA )和 Database Owner(DBO )才能拒绝所有许可，因为只有他们才拥有 SA 的所有权限，当然， SA 拥有的权限比 D B O 要多，因为 SA 适于服务器范围， DBO 适于数据库范围
Statement	如果拒绝许可的用户是 SA ，则可使用 CREATE DATABASE 。如果用户不是 SA ，则对另一个用户可拒绝 CREATE DEFAULT 、 CREATE PRO-CEDUR E、 GREATE RULE 、 CREATETABLE 、 CREATE VIEW 、DUMP DATABASE 和 DUMP TRANSACTION 。该操作可拒绝使用该语句的用户许可
Security_account	对该用户拒绝许可。该用户可以是 Microsoft SQL Server User 、 SQL Server Role 、 Windows NT User 或 Windows NT Group
PRIVILEGES	该自变量可不作要求，但对 ANSI 兼容机可包括该自变量
A S ｛ group ｜ role ｝	该自变量表明拒绝权限的用户所处的组或角色。如果拒绝人处于多种角色中，则可能出现许可冲突，该用户可以指明哪个角色或组有权拒绝这些许可
Permission	被拒绝的对象许可或语句许可
Table	许可遭到拒绝的表格名
Column	许可遭到拒绝的列名
View	许可遭到拒绝的视图名称
Stored_procedure	许可遭到拒绝的存储过程名
Extended_procedu re	许可遭到拒绝的扩展存储过程名

续表

TO	指明用户列表
CASCADE	拒绝对该用户的许可，对已授予许可的用户拒绝所有用户的许可，以及拒绝对授予许可的所有用户的许可，等等

CASCADE

拒绝对该用户的许可，对已授予许可的用户拒绝所有用户的许可，

以及拒绝对授予许可的所有用户的许可，等等

在拒绝许可时要注意如下规则 :

如果拒绝单个用户，即使这些用户以后添加到具有许

可的组中，这些用户也将得不到许可
使用 REVOKE 可删去用户的拒绝许可
在发出拒绝语句时， sysprotects 系统表插入一行使用

DENY 语句的实例如下 :

DENY SELECT, INSERT, UPDATE, DELETE

ON tablename

TO security_account G O

DENY CREATE TABLE TO rolename

G O

要改变某个对象在 Microsoft Management Console 中的许可，可执行以下步

骤 :

展开服务器名。
展开数据库，然后展开特殊数据库名。
在范围面板中选择对象类型。
在结果面板中右击该对象。
选择 Task ，再选择 Manage Permissions 。
选择 List All Users ／ DB Roles 。
选择想要改变的许可。
1. 实现安全性的若干建议

数据库管理员要实现安全性，可采取的措施如下 :

确定每个用户有唯一的注册 ID 。创建一个注册 ID ，并

允许许多用户用该注册 ID 访问数据库，但并不是一个很好的安全系统，因为无法跟踪是谁在数据库中正在做什么
设置组和角色，统一管理用户。这将削减管理安全性

的额外开销，更有利于确保访问的精确性和标准化
使 DBO 成为所有数据库对象的拥有者
最好通过使用存储过程使用户执行所有的插入、更新

和删除操作。只需通过 Transact-SQL 就拥有更高级的控制，并准确了解用户对数据所做的操作
触发程序可用来防止对数据的意外访问，从而防止不理想的写入操作
对于 SA 访问，可把单个用户放在 sysadmin 角色中
用公司的组织图表把访问许可分成多个功能角色

所有权链

对象可依赖于其他对象，这种依赖性称为 ownership chain( 所有权链 )。如果用户拥有全部对象及其从属对象，那就万事俱备。然而，正是在用户还未拥有视图或存储过程所引用或需要的全部对象时，事情开始变得复杂，这种情况称为断开的所有权链。 SQL Server 可检测链中每个对象的许可，该链的下一个链接由另一个用户所拥有。

如果用户授予其他人许可，以使用内含同一个用户拥有的表的视图及存储过程，那么可不必为该视图或存储过程中所引用的单个表格授予许可。

5.7xp_cmdshell

xp_cmdshell 可将给定的命令串作为操作系统命令的外壳来执行，并允许用户执行 SQL Server 内部的 NT 命令。

xp_cmdshell ｛ ′ command_string ′ ｝［ , no_outpu t］下表表示 xp_cmdshell 自变量及其描述 :

应在某种环境下评价 xp_cmdshell 的使用，在这种环境下，目的是控制服务器上或 N T 域中对操作系统文件的访问。下列各项目指明可能发生的安全性风险 :

如果运行 M icrosoft SQL Server 的帐户被授予了许多许可

，如域管理员，那么任何被授予执行 xp_cmdshell 的许可的用户，都将能用运行 Microsoft SQL Server 的帐户特权来执行任何操作系统命令。缺省值是具有本地管理特权的用户帐户，但是，如果该帐户具有域管理员特权，则整个域都可显示出来
要限制 xp_cmdshell 访问，可在 Microsoft SQL Server 设置程序

中设置 xp_ cmdshell-Impersonates Client 选项。当该复选框处于复选状态时，只有已通过受托连接连接到 SQL Server 的用户，和该计算机上本地 Administrators 组的成员才允许使用 xp_cmdshell 。当某个非 SA 用户用 Impersonates Client 选项集执行xp_cmdshell 时，就在 SQLServerAgentCmdExec 用户帐户中运行要求的命令，该用户帐户与 SQL Server Agent 为由所有非 SA 用户输入的调度任务而使用的帐户相同
如果选择了选项 xp_cmdshell-Use SQLServerAgentCmdExec Account

for NonAA s，并且用户是作为 SA 注册到 SQL Server 中的，则该命令可在 SQL Server 的安全性下执行，而不是在 SQLServerAgentCmdExec 的安全性下执行的使用QueryAnalyzer 可执行 xp_cmdshell 扩展存储过程，Query Analyzer 可从 Enterprise M anager Tools 菜单中调用 ( 如图 5.8 所示 )。

第 5 章与 W indows NT 安全性的集成 - 图8

图 5.8 用来执行 xp_cmdshell 的 Query Analyzer

第 5 章 与 W indows NT 安 全 性 的 集 成

第 5 章 与 W indows NT 安 全 性 的 集 成

Security Manager 的 消 失

身 份 验 证

Windows NT 验 证 模 式

SQL Server 验 证 模 式

许 可 的 有 效 性

数 据 库 用 户

NT 组 和 SQL Server 角 色

NT 组

SQL Server 角 色

授 予 权 限

GRANT 语 句

语 句 许 可

对 象 许 可

授 予 许 可 的 特 殊 规 则

REVOKE 语 句

DENY 语 句

实 现 安 全 性 的 若 干 建 议

所 有 权 链

5.7xp_cmdshell

第 5 章与 W indows NT 安全性的集成

第 5 章与 W indows NT 安全性的集成

Security Manager 的消失

身份验证

Windows NT 验证模式

SQL Server 验证模式

许可的有效性

数据库用户

NT 组和 SQL Server 角色

SQL Server 角色

授予权限

GRANT 语句

语句许可

对象许可

授予许可的特殊规则

REVOKE 语句

DENY 语句

实现安全性的若干建议

所有权链