如何创建和管理数据库对象登录名 (数据库对象登录名)
在进行数据库管理工作时,创建和管理数据库对象登录名是非常重要的一部分。登录名作为数据库对象的标识符,可以控制用户对数据库的访问权限,同时也可以保证数据库的安全性。本文将为大家介绍,以便更好地进行数据库管理工作。
1. 创建数据库对象登录名
创建数据库对象登录名的步骤如下:
(1)打开SQL Server Management Studio,选择需要创建登录名的数据库,右键单击“安全性”,选择“新建登录名”;
(2)在弹出的“新建登录名”窗口中,输入登录名、选择登录名的类型(Windows登录名或SQL Server登录名)等信息;
(3)为登录名设置密码,并设置密码策略,以确保密码安全;
(4)为登录名分配服务器角色和数据库角色,以控制其对服务器和数据库的访问权限;
(5)点击“确定”完成创建。
2. 管理数据库对象登录名
管理数据库对象登录名需要对已有登录名进行以下操作:
(1)修改登录名密码。在SQL Server Management Studio中,右键单击需要修改密码的登录名,选择“属性”,在“常规”选项卡中修改密码;
(2)重置登录名密码。当登录名无法登录或忘记密码时,可以通过重置密码来恢复登录名的使用权。在SQL Server Management Studio中,右键单击需要重置密码的登录名,选择“重置密码”;
(3)禁用登录名。通过禁用登录名可以暂时性地控制其对数据库的访问权限。在SQL Server Management Studio中,右键单击需要禁用的登录名,选择“属性”,在“常规”选项卡中勾选“账户已禁用”选项;
(4)删除登录名。当用户停止使用或权限被收回时,可以删除该用户的登录名。在SQL Server Management Studio中,右键单击需要删除的登录名,选择“删除”。
3. 更佳实践
创建和管理数据库对象登录名时,需要遵循以下更佳实践:
(1)使用复杂密码。密码应至少包含8个字符,包括大写字母、小写字母、数字和特殊字符;
(2)为每个登录名分配最小必需的权限。不要将过多的权限分配给每个登录名,以免用户越权操作数据库;
(3)定期修改密码。建议每3个月修改一次密码以确保账户安全;
(4)限制登录名的失败登录次数。如果登录名在一定时间内多次失败登录,建议暂时性地禁用该账户,以保证数据库的安全性;
(5)定期审计登录名。通过定期审计登录名的使用情况,可以更好地发现安全风险和异常情况。
创建和管理数据库对象登录名是数据库管理工作中非常重要的一部分。通过本文的介绍,我们了解到了,以及如何遵循更佳实践来保证账户的安全性。希望大家能够在数据库管理工作中更加高效地进行登录名的创建和管理。
相关问题拓展阅读:
与SQL SERVER 安全控制相关的几点说明
与SQL SERVER安全控制相关的几点说明
(一)几个基本术语
身份验证(Authentication)是指通过提交服务器评估的凭据以登录到主体请求访问的 SQL Server 的过程。身份验证可以确定接受身份验证的用户或进程的标识。
用户、账户、账号、登录名、用户名
用户是指能够在SQL Server安全机制下,访问数据库对象中的数据的操作员或客户。用户若要访问数据库对象,必须获得数据库管理员(DBA)分配的账号和密码。从SQL Server管理系统的角度来看,用户就是一组匹配的账户和密码。
账户和账号是一个概念的不同搏乱说法,在服务器中的账户又叫登录名(Login Name),因此访问服务器也称为登录服务器。服务器的登录名可以映射到数据库中成为用户基乱档名(User Name)。一个登录名可以映射多个数据库用户,而一个用户只能映射一个登录名。
连接或登录SQL Server服务器时是用的登录名而非用户名登录的,程序里面的连接字符串中的用户名也是指登录名。
通常用户名与登录名相同(不是强制相同,但为了一目了然通常都在创建用户名时使用与登录名相同的名字)。
提示:登录名(Login Name)和用户名(User Name)是两个不同的概念:
登录名:服务器方的一个实体,登录名只能进入SQL Server服务器,但是不能让用户访问服务器中的数据库资源。
用户名:一个或多个登录对象在数据库中的映射,可以对用户对象进行授权,以便为登录对象提供对数据库的访问权限。
登录名作用于它所在的服务器。每个登录名的定义存放在master系统数据库的syslogins表中。
用户名作用于它所在的数据库。用户定义信息存放在每个数据库的sysusers表中。用登录名登录到SQL Server后,在访问操作各个数据库时,SQL Server会自动查询此数据库中是否存在与此登录名关联的用户名,若存在就使用此用户的权限访问此数据库,若不存在就是用guest用户访问此数据库(guest是一个特殊的用户名,后面会讲到)。
SQL身份验证:适合于非windows平台的用户或Internet用户,需要提供账户和密码。
Windows身份验证:适合于windows平台用户,利用Windows账户和windows集成验证,不需要提供密码。
用户想要操作数据库的某个对象(如某张表)需要过三关:
之一关:我们需要登录到SQL Server系统,即需要登录账户;
第二关:我们需要访问某个数据库,即陪档需要该数据库的用户账户;
第三关:我们需要访问数据库中的某个对象(如某张表),需要有该对象的权限。
主体(principal)是可被授予对安全资源的访问权限的实体(例如登录名、用户、进程、组或角色)。主体可以是主体的(比如数据库角色或Windows组)或不可分割的主体(比如本地登录或域登录)。每个主体都具有一个 ID (identification)和一个安全 ID (SID)。
⊙ Windows级别的主体:Windows组、Windows域登录名、Windows本地登录名。
⊙ SQL Server级的主体:服务器角色、SQLServer登录名。
⊙数据库级的主体:数据库角色、数据库用户、应用程序角色。
上下文切换 (context switch),更改检查执行语句或执行操作的权限时所依据的标识。
服务器(server)
1)指安装了SQL SERVER的计算机。2)指SQL Server实例——计算机上运行的 SQLServer的副本。3)指为用户提供服务的计算机软件或组件。
需要根据上下文理解。
注册服务器
注册服务器使您可以存储服务器连接信息(服务器的类型、服务器的名称、登录到服务器时使用的身份验证的类型等),以供将来连接时使用——下次连接该服务器时,不需要重新输入登录信息。
SQLServer 2023在SQL Server企业管理器中注册服务器,才能使用 SQL Server企业管理器来管理这些服务器。从SQLServer 2023始,在 SQL ServerManagement Studio 中注册服务器,才能使用 SQL Server Management Studio 来管理这些服务器。
在 Microsoft SQL Server中,可以注册以下类型的服务器:SQLServer数据库引擎、Analysis Services、Reporting Services、IntegrationServices和 SQL Server Compact 3.5SP1。
(二)SQL Server实例(SQL Server instance)
SQLServer实例(SQL Server instance),简称实例 (instance),是计算机上运行的SQLServer 的副本。同一台计算机上可以安装运行的多个 SQLServer副本。每个SQL Server实例都包含数据库引擎、Analysis Services和 ReportingServices的 SQL Server,每个SQL Server数据库实例各有一套不为其他实例共享的系统及用户数据库。
数据库引擎是用于存储、处理和保护数据的核心服务。利用数据库引擎可控制访问权限并快速处理事务。
实例又分为“默认实例”(default instance)和“命名实例”(namedinstance),如果在一台计算机上安装之一个SQLSERVER,命名设置保持默认的话,那这个实例就是默认实例。默认实例与安装计算机具有相同名称。命名实例指安装SQL Server时给定了名称,可以安装多个命名实例,给定名称是为了与同一台计算机上的其他命名实例和默认实例区分开。
SQLServer应用程序可以通过仅指定服务器名称而连接到 SQLServer的默认实例。SQL Server应用程序在连接到服务器上的某个命名实例时必须既指定服务器名称又指定实例名称,计算机名称\实例名称。
一台计算机上最多只有一个默认实例,也可以没有默认实例,默认实例名与计算机名相同。如果要访问本机上的默认SQL服务器实例,使用计算机名、(local)、localhost、127.0.0.1、.、本机IP地址,都可以达到相同的目的。但如果要访问非本机的SQL服务器,那就必须使用计算机名称\实例名称。
默认实例和命名实例的区别:
1、服务中服务名称的区别:
(1)默认实例:MSSQLSERVER。
(2)有名命名实例:实列名为benet,在服务中的名称是MSSQL$BENET。
注:如果你有多个实例的时候会在服务中出现多个服务名称。
2、连接到查询分析器或探查器的时候区别:
(1)默认实例可以使用:“.”(点)、“(local)”、“计算机名称”。
(2)实例名称:计算机名pcname,实例名benet,连接时使用的名称是pcname\benet。
(三)安全对象和权限
安全对象(Securable),可以通过权限得到保护的实体。是SQLServer数据库引擎授权系统控制对其进行访问的资源。如表、视图、触发器等。
SQLServer中将安全对象分为三个层次,分别为:
⊙服务器层级,包含的安全对象:端点、登录、服务器角色、数据库。
⊙数据库层级,包含的安全对象:用户、数据库角色、应用程序角色、程序集、消息类型、路由、服务、远程服务绑定、全文目录、证书、非对称密钥、对称密钥、约定、架构。
⊙构架(SCHEMA)层级,包含的安全对象:类型、XML架构、对象(函数、过程、同义词、表、视图)
这三个层级是从上到下包含的,级别从高到低。
说明:端点(endpoint)为服务器级安全对象。Microsoft SQL Server 2023 中的连接管理基于“端点”。一个端点就是一个SQL Server对象,它能够使 SQL Server在网络中通信。对于数据库镜像,服务器实例需要有自己专用的“数据库镜像端点”。此端点用途特殊,专门用于接收来自其他服务器实例的数据库镜像连接。
权限 (permission),与对象关联的规则,用来规定哪些用户可以获得该对象的访问权限以及方式如何。对安全对象的访问通过授予或拒绝权限进行控制。
权限可以明确用户能够使用哪些数据库对象,并对它们进行何种操作。用户在数据库内的权限取决于用户账号的权限和该用户所属的角色的权限。
提示:在设置权限时,尤其要注意权限在安全对象上的继承关系。对于高级别安全对象上设置的权限,会被自动继承到低级别安全对象上。
理解权限的继承和权限的覆盖会在设置权限时减少很多问题,更佳方法是统筹规划,上机验证。
(四)架构(schema)
架构是指包含表、视图、过程等的容器。它位于数据库内部,而数据库位于服务器内部。这些实体就像嵌套框放置在一起。服务器是最外面的框,而架构是最里面的框。架构包含表、视图、过程、函数、同义词、类型、队列、XML架构等安全对象。
注意:
在 SQL Server 2023和早期版本中,数据库可以包含一个名为“架构”的实体, SQL Server 2023包含 CREATE SCHEMA语句,但此实体实际上是所有者(创建对象时的用户)。在 SQL Server 2023 开始,架构既是一个容器,又是一个命名空间。任何用户都可以拥有架构,并且架构所有权可以转移。从 SQL Server 2023开始,每个用户都拥有一个默认架构。可以使用 CREATE USER或 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA,则数据库用户将使用 dbo作为默认架构。
在SQL Server 2023中,DataBaseName.dbo.TableName解释为:数据库名.所有者.表名。
从 SQL Server 2023开始,DataBaseName.dbo.TableName解释为:数据库名.架构名.表名。
在SQL Server 2023中,数据库对象全称是server_name…object_name
从SQL Server 2023始,数据库对象全称是server_name…object_name
在SQL SERVER2023或以前版本中创建一个对象,对象必须要有一个所有者(owner)。对象是如何属于某个所有者的呢?这依赖于创建对象时的用户。您不能取消对象所有者(object owner)的特权(privileges)。对象所有者可以执行任何与对象有关的操作(例如 INSERT、UPDATE、DELETE、SELECT或 EXECUTE),也可以管理对象的权限。
从2023/2023后,一个我们必须重新认识的情况是对象不再有所有者(owner)。架构包含对象,架构有所有者。
在2023前(如SQL Server 2023中),没有架构的概念,只有用户的概念,那时候DBO是默认用户。到了2023,有了架构概念,但是为了向后兼容,保留了DBO,并且把DBO作为默认架构,在不指定架构的情况下,默认为dbo,“默认架构”的概念,用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2023 中,每个用户都有一个默认架构,用于指定服务器在解析对象的名称时将要搜索的之一个架构。可以使用 CREATE USER和 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA,则数据库用户将把 DBO作为其默认架构。
(五)dbo
dbo既是默认架构,也是默认用户。在SQL Server 2023中,dbo作为默认用户。在SQL Server2023中,dbo既作为默认用户,也作为默认架构(如图)。
dbo作为默认用户,dbo (DataBase Owner,数据库的所有者,拥有数据库中的所有对象),每个数据库都有dbo, sysadmin服务器角色的成员自动映射成dbo,无法删除 dbo用户,且此用户始终出现在每个数据库中。通常,登录名sa映射为库中的用户dbo。另外,固定服务器角色 sysadmin的任何成员都映射到每个数据库内称为 dbo的一个特殊用户上。由固定服务器角色sysadmin的任何成员创建的任何对象都自动属于 dbo。由固定服务器角色 sysadmin的任何成员或 dbo用户创建的任何对象都自动属于dbo,由任何其他用户(包括 db_owner固定数据库角色成员)创建的对象,属于创建该对象的用户,而不是 dbo,用创建该对象的用户名限定。例如:
如果用户 Andrew是固定服务器角色sysadmin的成员,并创建表 T1,则表 T1属于 dbo,并以 dbo.T1而不是 Andrew.T1进行限定。相反,如果 Andrew不是固定服务器角色sysadmin的成员,而只是固定数据库角色 db_owner的成员,并创建表 T1,则 T1属于 Andrew,并限定为Andrew.T1。该表属于 Andrew,因为该成员没有将表限定为dbo.T1。
dbo作为默认架构,在不指定架构的情况下,默认为dbo,“默认架构”的概念,用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2023 中,每个用户都有一个默认架构,用于指定服务器在解析对象的名称时将要搜索的之一个架构。可以使用 CREATE USER和 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA,则数据库用户将把 DBO作为其默认架构。
(六)Guest用户
guest用户不需要映射到登录名。这种用户账号是供数据库中没有明确授予权限给已映射至认证用户使用的。guest供那些已经成功登录到SQL SERVER实例,但是却没有通过用户访问数据库的权限的登录者使用的。
SQLSERVER 2023中guest用户可以删除;而2023/2023中是不能删除的,却可以取消CONNECT权限,而且为安全起见,所有用户定义的数据库中缺省情况下guest用户的权限都是被取消了的,可在除master和tempdb之外的任何数据库中禁用Guest用户。
在SQL SERVER 2023中,新建的数据库中没有Guest用户,但可以添加它,也可删除它,添加与删除方法与普通数据库相同。
在SQL Server 2023或以上版本中GUEST已经默认存在于每个数据库中,但默认情况下,会在新数据库中禁用GUEST用户(在“对象资源管理器→安全性→登录”节点中图标上有禁用标识),我们可以通过以下语句启用GUEST用户:GRANT CONNECT TO GUEST 。当你决定不再想让该数据库被非数据库授权的用户以GUEST身份进行访问时,可以再次将GUEST帐号禁用。值得一提的是,GUEST用户在数据库中不能被删除,我们只能通过以下语句禁用GUEST用户:REVOKE CONNECT FROMGUEST 。
在SQL SERVER 2023中,要允许guest用户帐户访问数据库,可以像添加其它数据库用户那样添加它,如:
USE
GO
EXECsp_grantdbaccess ‘guest’
GO
在SQL SERVER 2023中,允许guest用户帐户
USE
GO
GRANT CONNECT TO GUEST
GO
需要提醒的是,对于是否添加Guest用户要谨慎权衡利弊。
–SQLServer 2023删除guest用户账号
USE
GO
EXECsp_revokedbaccess ‘guest’
GO
— SQLServer 2023禁用guest用户账号
USE
GO
REVOKECONNECT FROM GUEST
GO
(七)sa登录名
SQLServer的 sa登录名是服务器级的主体。默认情况下,该登录名是在安装实例时创建的。在 SQL Server 2023和 SQL Server2023中,sa的默认数据库为 master。这是对早期版本的 SQLServer的行为的更改。
sa(system administrator系统管理员)是为向后兼容而提供的特殊登录。sysadmin是一种角色。该角色能够执行SQLServer上的任何操作。本质上,任何具有这种角色成员身份的人都是那个服务器上的sa。这种服务器角色的创建为微软提供了某一天去除sa登录的能力——实际上,联机丛书把sa称作本质上为遗留物的东西。
与以前版本不同,SQL Server 2023,即使是用混合模式安装,sa也默认禁用。
注意,sa是一个默认的SQL Server登录名,拥有操作SQL Server系统的所有权限,该登录名不能被删除。当采用混合模式安装Microsoft SQL Server系统之后,应该为sa指定一个密码,应为 sa登录分配一个强密码(strongpassword)。
sa登录名会映射到 sysadmin固定服务器角色,它对整个服务器有不能撤销的管理凭据。如果攻击者以系统管理员的身份获取了访问权限,则可能造成的危害是无法预计的。
(八)其它几个默认配置的的登录(Logins)和用户(Users)
默认配置的的登录和用户除了dbo用户、Guest用户、sa登录,还有如下几个:
Administrators组是一个特殊的登录。administrator用户默认administrators组的成员。
Administrators组实际名称为BUILTIN\Administrators。早期版本,这个组的所有成员均为 sysadmin 角色的成员(这意味着Administrators组中的成员具有更高权限),但可以从该角色中移除这些成员。与以前版本不同,SQL Server 2023默认情况下,本地 Windows组 BUILTIN\Administrators不再包含在新的 SQL Server 2023安装上的 SQL Server的 sysadmin固定服务器角色中。
提示:每个版本的 SQL Server都具有不同的安全功能,默认配置也不尽相同,后出的版本更有利于安全,但安全性和使用方便这两种需求可能有矛盾的一面,更佳方法是上机了解验证。
NETWORKSERVICE和SYSTEM登录账户
NETWORKSERVICE和SYSTEM登录账户,实际名称为NT AUTHORITY\NETWORK SERVICE和NT AUTHORITY\SYSTEM,是否存在这些,依赖于服务器的配置。如果配置了报表服务器,将出现NETWORK SERVICE登录账户。
INFORMATION_SCHEMA和sys用户
INFORMATION_SCHEMA和sys又是SQL Server 预定义的架构(内置架构)名称,它们与INFORMATION_SCHEMA和sys用户具有相同的名称。不能删除,主要用于向后兼容性。可以使用INFORMATION_SCHEMA用户和sys用户访问INFORMATION_SCHEMA和sys架构的系统视图,获取有关数据库元数据信息。
(九)SQL Server中的角色
角色 (role),是SQL Server用来管理服务器和数据库权限的,是安全帐户的,在管理权限时可以视为一个单元——作为分配权限的单位。
SQLServer中的角色分为服务器级别和数据库级别角色。
◇服务器级别角色
服务器级别角色用于帮助管理服务器上的权限。服务器角色的权限作用域为服务器范围。可以将登录名(Login Name)添加到服务器角色。
符合权限要求的用户,可以将服务器级主体(SQL Server登录名、Windows帐户和 Windows组)添加到服务器级角色。固定服务器角色的每个成员都可以将其他登录名添加到该同一角色。
固定服务器角色简介:
1)sysadmin:系统管理员,角色成员可对SQLServer服务器进行所有的管理工作,为更高管理角色。这个角色一般适合于数据库管理员(DBA)。
2)securityadmin:安全管理员,角色成员可以管理登录名及其属性。可以授予、拒绝、撤销服务器级和数据库级的权限。另外还可以重置SQL Server登录名的密码。
3)serveradmin:服务器管理员,角色成员具有对服务器进行设置及关闭服务器的权限。
4)setupadmin:设置管理员,角色成员可以添加和删除链接服务器,并执行某些系统存储过程。
5)processadmin:进程管理员,角色成员可以终止SQLServer实例中运行的进程。
6)diskadmin:用于管理磁盘文件。
7)dbcreator:数据库创建者,角色成员可以创建、更改、删除或还原任何数据库。
8)bulkadmin:可执行BULK INSERT语句,但是这些成员对要插入数据的表必须有INSERT权限。BULK INSERT语句的功能是以用户指定的格式复制一个数据文件至数据库表或视图。
9)在sql server 2023 sp2(补丁)及以后版本,服务器角色中还可以看到一个public角色。每个 SQL Server登录名均属于 public服务器角色。 如果未向某个服务器主体授予或拒绝对某个安全对象的特定权限,该用户将继承授予该对象的 public角色的权限。public服务器角色默认拥有 VIEW ANY DATABASE(查看任何数据库)权限。
从 SQL Server 2023开始,您可以创建用户定义的服务器角色,并将服务器级权限添加到用户定义的服务器角色。
每个版本的 SQL Server都具有不同的安全功能,版本越高,功能越强。
可以利用系统函数IS_SRVROLEMEMBER指示当前用户的 SQLServer登录名是否是固定服务器角色的成员。
可以利用系统存储过程sp_helpsrvrolemember返回有关 SQL Server 固定服务器角色成员的信息。
–查询 sysadmin固定服务器角色的成员。
execsp_helpsrvrolemember ‘sysadmin’
◇数据库级别的角色
数据库级别角色用于帮助管理数据库中的权限。数据库级角色的权限作用域为数据库范围。可以将用户名(User Name)添加到数据库角色。
SQLServer中有两种类型的数据库级角色:数据库中预定义的“固定数据库角色”和您可以创建的“灵活数据库角色”(自定义数据库角色)。
固定数据库角色是在数据库级别定义的,并且存在于每个数据库中。 db_owner和db_securityadmin数据库角色的成员可以管理固定数据库角色成员身份。但是,只有db_owner数据库角色的成员能够向db_owner固定数据库角色中添加成员。 msdb数据库中还有一些特殊用途的固定数据库角色。
符合权限要求的用户,可以向数据库级角色中添加数据库帐户和其他 SQL Server角色。固定数据库角色的每个成员都可向同一个角色添加其他登录名。
固定数据库角色简介:
1)db_owner:数据库所有者,这个数据库角色的成员可执行数据库的所有管理操作。
2)db_accessadmin:数据库访问权限管理者,角色成员具有添加、删除数据库使用者、数据库角色和组的权限。
3)db_securityadmin:数据库安全管理员,角色成员可管理数据库中的权限,如设置数据库表的增加、删除、修改和查询等存取权限。
4)db_ddladmin:数据库DDL管理员,角色成员可增加、修改或删除数据库中的对象。
5)db_backupoperator:数据库备份操作员,角色成员具有执行数据库备份的权限。
6)db_datareader:数据库数据读取者,角色成员可以从所有用户表中读取数据。
7)db_datawriter:数据库数据写入者,角色成员具有对所有用户表进行增加、删除、修改的权限。
8)db_denydatareader:数据库拒绝数据读取者,角色成员不能读取数据库中任何表的内容。
9)db_denydatawriter:数据库拒绝数据写入者,角色成员不能对任何表进行增加、删修、修改操作。
10)public:是一个特殊的数据库角色,每个数据库用户都是public角色的成员,因此不能将用户、组或角色指派为public角色的成员,也不能删除public角色的成员。public数据库角色默认的权限很少。
可以利用系统函数IS_MEMBER检查当前用户是否是数据库角色或Windows域组的成员。
可以利用系统存储过程sp_helprolemember显示数据库角色的成员。
可以利用系统存储过程sp_helpuser报告有关当前数据库中数据库级主体的信息。
可以利用系统存储过程sp_helprotect报告当前数据库中某对象的用户权限或语句权限的信息。
–查询用户拥有的数据库角色
useyourdb
execsp_helpuser ‘UserName’
go
–查询用户被赋予的权限
useyourdb
数据库对象登录名的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于数据库对象登录名,如何创建和管理数据库对象登录名,与SQL SERVER 安全控制相关的几点说明的信息别忘了在本站进行查找喔。
