SQLServer数据库权限分配探讨
上周, 有位朋友给我提出了这样的需求:区分用户访问数据库的权限。顺便总结了下有如下要求:[*]某个用户查询所有数据库的权限
[*]某个用户只有备份数据库的权限
[*]给一个用户只能查看指定数据库的权限
[*]给一个用户只有某个表的权限
要进行以上任务,首先我们先了解下数据库的权限相关的内容主体“主体” 是可以请求 SQL Server资源的实体。 与 SQLServer授权模型的其他组件一样,主体也可以按层次结构排列。 主体的影响范围取决于主体定义的范围(Windows、服务器或数据库)以及主体是否不可分或是一个集合。 例如,Windows登录名就是一个不可分主体,而Windows组则是一个集合主体。 每个主体都具有一个安全标识符(SID)。Windows级别的主体Windows域登录名
http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.pngWindows 本地登录名SQL Server-级的主体SQL Server登录名http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.png服务器角色数据库级的主体数据库用户http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.png数据库角色应用程序角色SQLServer sa登录名SQL Server sa登录名是服务器级的主体。 默认情况下,该登录名是在安装实例时创建的。public数据库角色每个数据库用户都属于 public数据库角色。 当尚未对某个用户授予或拒绝对安全对象的特定权限时,则该用户将继承授予该安全对象的public角色的权限。INFORMATION_SCHEMA和 sys每个数据库都包含两个实体:INFORMATION_SCHEMA和 sys,它们都作为用户出现在目录视图中。这两个实体是 SQL Server 所必需的。 它们不是主体,不能修改或删除它们。基于证书的 SQL Server登录名名称由双井号 (##)括起来的服务器主体仅供内部系统使用。 下列主体是在安装 SQL Server时从证书创建的,不应删除。##MS_SQLResourceSigningCertificate##http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.png##MS_SQLReplicationSigningCertificate####MS_SQLAuthenticatorCertificate####MS_AgentSigningCertificate####MS_PolicyEventProcessingLogin####MS_PolicySigningCertificate####MS_PolicyTsqlExecutionLogin##guest用户每个数据库包括一个guest。 授予guest用户的权限由对数据库具有访问权限,但在数据库中没有用户帐户的用户继承。不能删除guest用户,但可通过撤消该用户的CONNECT权限将其禁用。 可以通过在master或 tempdb以外的任何数据库中执行 REVOKE CONNECTFROM GUEST来撤消 CONNECT权限。客户端和数据库服务器根据定义,客户端和数据库服务器是安全主体,可以得到保护。 在建立安全的网络连接前,这些实体之间可以互相进行身份验证。 SQLServer支持 Kerberos身份验证协议,该协议定义客户端与网络身份验证服务交互的方式。创建数据库用户SQL2016中支持11种用户类型:用户基于登录名在 master这是最常见的用户类型。基于登录名基于的Windows Active Directory帐户的用户http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.pngCREATE USER ;基于Windows组的登录名的用户。 CREATE USER ;基于使用 SQLServer身份验证的登录名的用户。 CREATE USER Mary;在数据库进行身份验证的用户建议以帮助使你的数据库可移植性。始终允许在 SQL Database。 中包含的数据库中只允许存在 SQL Server。基于无登录名的 Windows用户的用户http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.pngCREATEUSER ;基于无登录名的Windows组的用户。 CREATE USER ;中的用户 SQLDatabase或 SQL数据仓库 基于 Azure Active Directory的用户。 CREATE USER FROMEXTERNAL PROVIDER;拥有密码的包含数据库用户。 (在中不可用 SQL数据仓库。)CREATE USER Mary WITHPASSWORD = '********';基于 Windows主体通过 Windows组登录名进行连接的用户基于无登录名但可通过Windows组中的成员身份连接到数据库引擎的Windows用户的用户http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.pngCREATE USER ;基于无登录名但可通过其他Windows组中的成员身份连接到数据库引擎的Windows组的用户。 CREATE USER ;无法进行身份验证的用户 这些用户无法登录到 SQL Server或 SQL Database。没有登录名的用户。 不能登录,但可以被授予权限http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.pngCREATE USER CustomAppWITHOUT LOGIN;基于证书的用户。 不能登录,但可以被授予权限,也可以对模块进行签名。 CREATE USERTestProcess FOR CERTIFICATE CarnationProduction50;基于非对称密钥的用户。 不能登录,但可以被授予权限,也可以对模块进行签名。 CREATE User TestProcessFROM ASYMMETRIC KEY PacificSales09;下面的图片显示了创建数据库用户需要的选项的含义:http://s4.51cto.com/wyfs02/M00/8E/A2/wKiom1jHiR3yJNVoAADwB53z8FA603.jpg创建用户可以使用界面完成:http://s4.51cto.com/wyfs02/M02/8E/A1/wKioL1jHiSfzl0NpAACbOFZq84g669.jpg也可以使用T-SQL来进行创建-- 创建登录名:Test 密码是: '123456'.CREATELOGIN TestWITH PASSWORD = '123456';GO上面说完了用户,下面说下数据库的角色和权限服务器级别的权限SQL Server 提供服务器级角色以帮助你管理服务器上的权限。 这些角色是可组合其他主体的安全主体。服务器级角色的权限作用域为服务器范围。 (“角色”类似于 Windows 操作系统中的“组”。)SQL Server 提供了九种固定服务器角色。 无法更改授予固定服务器角色的权限。 从 SQL Server 2012 开始,您可以创建用户定义的服务器角色,并将服务器级权限添加到用户定义的服务器角色。你可以将服务器级主体(SQL Server 登录名、Windows帐户和 Windows 组)添加到服务器级角色。 固定服务器角色的每个成员都可以将其他登录名添加到该同一角色。用户定义的服务器角色的成员则无法将其他服务器主体添加到角色。下表显示了服务器级的固定角色及其权限http://s2.51cto.com/wyfs02/M00/8E/A2/wKiom1jHiUHT_cvaAAEw4LxPUZA303.jpg下表显示了固定数据库角色及其能够执行的操作。 所有数据库中都有这些角色。无法更改分配给固定数据库角色的权限http://s1.51cto.com/wyfs02/M00/8E/A1/wKioL1jHiUuj3FHXAAEBoFOq5U8601.jpg无法更改分配给固定数据库角色的权限。 下图显示了分配给固定数据库角色的权限:http://s1.51cto.com/wyfs02/M01/8E/A2/wKiom1jHiVTCbW00AAGYhzt3wEk089.jpgSQL 2016有一些数据库的特殊权限msdb角色http://s5.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiGLwnlniAABRQz6TwaU559.pngmsdb数据库中包含下表显示的特殊用途的角色。http://s4.51cto.com/wyfs02/M01/8E/A1/wKioL1jHiXWweMO2AADepL4cMk4683.jpg使用R ServicesSQL Server(从 SQL Server vNext开始)安装 R Services时,其他数据库角色可用于管理包http://s4.51cto.com/wyfs02/M01/8E/A2/wKiom1jHiYSxXBHOAACUYQO2DpQ921.png下面讲如何实现文章前面说的需求:给某个用户查询所有数据库的权限给某个用户只有备份数据库的权限给一个用户只有指定数据库的权限给一个用户只有某个表的权限给某个用户查询所有数据库的权限创建一个用户USE GO CREATE LOGIN WITH PASSWORD=N'password@123'使用Test1连接数据库实例http://s1.51cto.com/wyfs02/M02/8E/A2/wKiom1jHiZaTa-JaAAA1kIgnCLI651.png可以看到数据库列表, 但是无法访问数据库,http://s1.51cto.com/wyfs02/M02/8E/A1/wKioL1jHiaGzpz7fAABN9mm2AGY480.png赋予test1对FinaceDemo的读取权限USE GO CREATE USER FOR LOGIN ALTER ROLE ADD MEMBER GO这样就可以给test1用户对finacedemo的读取权限http://s1.51cto.com/wyfs02/M00/8E/A2/wKiom1jHibPC7KXoAAAvq4BKfFs319.png但是test1 没有写入权限http://s4.51cto.com/wyfs02/M00/8E/A1/wKioL1jHib6BxID7AABB1iL1kFk265.png这样就可以单独对test1赋予数据库的读取权限进行查看操作。给某个用户只有备份数据库的权限Test1 对于finacedemo无备份权限http://s4.51cto.com/wyfs02/M02/8E/A1/wKioL1jHiciSlTXaAAC5fWSs3U4766.png赋予备份权限ALTER ROLE ADD MEMBER http://s5.51cto.com/wyfs02/M00/8E/A1/wKioL1jHidPjCAYjAADcEN1WtC8711.jpg给一个用户只有指定数据库的权限我们需要Test1只能看到 FinanceDemo,其他所有数据库都不能看到执行下面脚本USE Deny VIEW any DATABASE TO Test1; go运行后的效果http://s5.51cto.com/wyfs02/M01/8E/A1/wKioL1jHid_RIB-TAAA1kIgnCLI504.pngTest1 连接后看不到任何数据库执行:ALTER AUTHORIZATIONON DATABASE::FinanceDemo TO test1完成后结果:http://s5.51cto.com/wyfs02/M01/8E/A1/wKioL1jHiezBD-vwAABbXZVQt5c445.pngTest1能查看到赋予权限的数据库给一个用户只有某个表的权限创建测试用户test3USE GO CREATE LOGIN WITH PASSWORD=N'password@123' -----赋予test2可以登录testDB USE GO CREATE USER FOR LOGIN GO赋予test3对于t2表的update和select权限 grant update on dbo.t2to test3 grant select on dbo.t2to test3 use testDB 查看test3用户获得的权限 exec sp_helprotect @username='test3'http://s4.51cto.com/wyfs02/M02/8E/A3/wKiom1jHifaAHvckAAAnMg6imYM741.png可以看到用户test3拥有了t2的select和update权限执行select * from t2http://s1.51cto.com/wyfs02/M00/8E/A3/wKiom1jHigCCzxsRAAAGAWV_BlI894.png执行插入操作失败。http://s5.51cto.com/wyfs02/M00/8E/A3/wKiom1jHigmy8u0mAAAWw53tQNc125.png以上介绍了对数据库权限细致的管理,更加详细的控制可以参考technet上面的信息。权限管理非常复杂,以上只是做了简单的介绍。需要更加详细的内容,需要自己去研究。在technet上可以找到更加详细的信息。
页:
[1]