數據庫用戶管理

用戶訪問數據庫的五種安全機制

一、  用戶登陸本身的計算機進行一次身份驗證

二、  爲了數據在INTERNET上進行安全的傳輸，須要在INTERNET上創建一條安全的通訊通道

三、  在用戶登陸到數據庫服務器時須要進行數據庫服務器的身份驗證

四、  用戶在登陸到服務器後，訪問某個數據庫時須要進行數據庫的身份驗證

五、  用戶進入數據庫，進行訪問數據對象時須要進行數據對象的身份驗證

 

SQL數據庫登陸的兩種身份驗證方式

一、  windows身份驗證

二、  windows身份驗證和sql server身份驗證（混合模式的身份驗證）

三、  服務器屬性中能夠修改身份驗證方式，但須要從新啓動服務才能夠生效

 

數據庫服務器的登陸用戶

一、  以windows用戶來登陸數據庫服務器，在計算機管理裏進行建立新的用戶，並在數據庫管理單元裏建立相應的用戶與之關聯

二、  建立sql用戶，須要在服務器安全性裏進行建立並能夠設置密碼策略

 

數據庫服務器角色

一、  系統默認共有8個服務器角色，每一個角色裏都有本身相應的權限；而且不能夠對其進行新建、修改、重命名等操做

二、  默認的新建的sql登陸用戶是不屬於任何角色的，而且其所擁有的權限也是很是小的，若是想讓某用戶擁有特定的權限將其加入到相應的服務器角色中；系統自動生成的SA用戶是屬於SYSADMIN角色，擁有全部的權限；建議將其禁用

三、  經常使用的服務器角色；SYSADMIN、DBCREATOR兩個角色。SYSADMIN擁有任何權限，DBCREATOR擁有建立和修改數據庫的權限

 

數據庫用戶和數據庫角色

一、  數據庫用戶；每一個數據庫對相應的用戶都要設定的不一樣權限，但數據庫不能對登陸用戶直接進行受權，爲了解決這個問題，在數據庫上建立數據庫用戶，並將數據庫用戶與相應的登陸用戶關聯起來，而後對這個數據庫用戶設置權限就至關於對與之對應的登陸用戶設定權限

二、  數據庫角色；若是有多個數據庫用戶須要對其設置相同的權限，這時能夠新建一個數據庫角色並把這些數據庫用戶加入到該角色中，對這個角色進行設置權限；系統中默認有10個數據庫角色

三、  數據庫被建立之後，默認會自動生成DBO和GUEST兩個數據庫用戶，DBO就是建立數據庫的人；非DBO用戶訪問此數據庫時則以GUEST的身份來進行訪問

四、  應用程序角色；以口令（密碼）的方式來激活的一種角色，只有知道激活口令的用戶才能夠享用分配給應用程序角色的權限

 

數據庫的審覈機制

一、  WINDOWS安全性日誌

二、  數據庫C2審覈

a)         在服務器屬性中啓用了C2審覈機制後，用戶對數據庫的任何操做將會被記錄到相應的審覈日誌文件中；該文件以tdr爲擴展名，存儲在安裝數據庫時生成的DATA文件夾中

三、  觸發器