sql server 服务账户和权限管理配置
浅析SQLServer数据库管理权限设置
浅析SQLServer数据库管理权限设置浅析SQL Server数据库管理权限设置摘要:数据库中的每一个对象都由一个数据库的用户所拥有。
数据库对象在刚刚创建以后,只有该对象的所有者才能访问。
如果其他用户想访问该对象,需要得到数据库对象所有者所赋予的权限。
数据库对象的所有者可以将其他用户的登录账户映射为数据库的用户账户,并将该用户添加到某个数据库角色中,从而允许其他用户进行适当的操作。
关键词:SQL Server数据库管理权限1、权限的种类用户登录到SQL Server后,角色和用户的权限就已确定了,他们对数据库所能执行的操作权限,在SQL Server中分为三类,分别是:对象权限、语句权限和隐含权限。
下面对这三种权限的概念加以介绍。
1.1 对象权限如用户可以执行特定的存储过程,他就具有执行这个存储过程对象的权限。
对象权限决定了用户操作的数据库对象,它主要包括数据库中的表、视图、列或存储过程等对象。
不同类型的对象所支持的操作也不同。
1.2 语句权限语句权限决定用户能否操作数据库和创建数据库对象,语句权限(如CREATE DATABASE)适用于语句自身,而不适用于数据库中定义的特定对象。
1.3 隐含权限隐含权限控制那些只能由预定义系统角色成员或数据库对象所有者执行的活动。
例如,sysadmin固定服务器角色成员自动继承在SQL Server中的全部权限。
在SQL Server中,数据库对象所有者以及服务器固定角色均具有隐含权限,可以对所拥有的对象执行一切活动。
例如,拥有表的用户可以查看、添加或删除数据,更改表定义,或控制允许其他用户对表进行操作的权限。
2、权限的设置设置权限有两种方法:其一是使用SQL Server Management Studio;另一种方法是使用T-SQL语句管理权限。
它们之间各有利弊,使用SQL Server Management Studio操作简单、直观,但是它不能设置表或视图的列权限;使用T-SQL语句操作。
最新最新最新sql server 服务账户和权限配置教学文稿
大多数服务及其属性可通过使用SQL Server 配置管理器进行配置。
以下是在C 盘安装Windows 的情况下最新的四个版本的路径。
安装的服务SQL Server根据您决定安装的组件,SQL Server 安装程序将安装以下服务:•SQL Server Database Services - 用于SQL Server 关系数据库引擎的服务。
可执行文件为<MSSQLPATH>\MSSQL\Binn\sqlservr.exe。
•SQL Server 代理 - 执行作业、监视SQL Server、激发警报以及允许自动执行某些管理任务。
SQL Server 代理服务在SQL Server Express 的实例上存在,但处于禁用状态。
可执行文件为<MSSQLPATH>\MSSQL\Binn\sqlagent.exe。
•Analysis Services - 为商业智能应用程序提供联机分析处理(OLAP) 和数据挖掘功能。
可执行文件为<MSSQLPATH>\OLAP\Bin\msmdsrv.exe。
•Reporting Services - 管理、执行、创建、计划和传递报表。
可执行文件为<MSSQLPATH>\ReportingServices\ReportServer\Bin\ReportingServicesService.exe。
•Integration Services - 为Integration Services 包的存储和执行提供管理支持。
可执行文件的路径是<MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe •SQL Server Browser - 向客户端计算机提供SQL Server 连接信息的名称解析服务。
可执行文件的路径为c:\Program Files (x86)\Microsoft SQLServer\90\Shared\sqlbrowser.exe•全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引,从而为SQL Server 提供文档筛选和断字功能。
sqlserver权限管理
在SQL Server中有三种特殊的用户:系统管理员、用户数据库所有者(建立相应数据库的数据库用户)DBO、一般用户。
系统管理员对整个系统有操作权;用户数据库所有者对他所建立的数据库具有全部操作权利;一般用户对给定的数据库只有被授权的操作权限。
数据库用户一般可分为用户组,任一数据库在建立后即被赋予一个用户组public。
1、建立SQL服务器用户名(登录帐号)作为一个用户,为了使用SQL Server,他必须在SQL Server上有一个SQL服务器用户名(登录帐号)。
这个帐号是系统管理员通过sp_addlogin来增加的。
sp_addlogin 登录名,口令,库名,语言,全名例:建立用户a, 口令为123456(最低六位),全名为aaa1> sp_addlogin a,test,null,null,aaa2> go3> select * from syslogins4> go2、增加数据库用户名同样,为了使用SQL Server上的数据库,他必须在数据库中有一个用户名,这个用户名是数据库所有者通过sp_adduser来增加的。
数据库用户名不必和用户帐户一样,而且在不同的数据库中用户名可以不同。
多个用户可以有相同的SQL Server帐户。
同样,多个SQL Server 帐户可以有相同的数据库名。
sp_adduser 登录名,别名,组名登录名为用户的SQL服务器登录名;别名为用户在数据库中的用户名;组名为用户所属的数据库用户组。
例:用户a增加为test的用户,别名为a1,属于用户组china1>sp_addgroup china2>go1>sp_adduser a,a1,china2>go1> sp_helpuser2> go*例:删除别名a1,用户组china,登录名a1> use test2> go3> sp_dropuser a14> go5> sp_helpuser6> go1>sp_dropgroup china2>go2> go3> use master4> go5> sp_droplogin a6> go7> select * from syslogins8> go3、数据库操作授权grant 命令序列to 用户名A. 系统管理员可以授予其他用户CREATE DATABASE的权限,使其他用户可以成为数据库所有者。
sqlserver2008r2 权限管理说明 -回复
sqlserver2008r2 权限管理说明-回复SQL Server 2008 R2 权限管理说明SQL Server是一款功能强大的关系型数据库管理系统,提供了完善的权限管理机制,可以对数据库和对象进行细粒度的访问控制。
在SQL Server 2008 R2中,权限管理是非常重要的一环,它可以帮助数据库管理员(DBA)保护敏感数据,确保数据的安全性和完整性。
本文将详细介绍SQL Server 2008 R2的权限管理机制,包括登录、用户、角色和授权等内容。
1. 登录管理登录是SQL Server中的一个关键概念,它是用户访问数据库的凭证。
SQL Server 2008 R2支持Windows身份认证和SQL Server身份认证两种方式进行登录管理。
Windows身份认证使用操作系统的凭据进行认证,SQL Server身份认证则是通过用户名和密码进行认证。
登录的创建和授权都是由系统管理员(SA)或拥有相应管理权限的用户执行。
创建登录的语法如下:sqlCREATE LOGIN login_name WITH PASSWORD = 'password'授权登录的语法如下:sqlGRANT CONNECT SQL TO login_name2. 用户管理用户是指已经登录到系统中的安全标识,也是授权和分配权限的主体。
你可以为每个登录创建一个独立的用户,也可以为多个登录创建共享用户。
用户可以通过创建数据库用户来与数据库建立连接,执行特定的操作。
创建用户的语法如下:sqlCREATE USER user_name FOR LOGIN login_name授权用户的语法如下:sql3. 角色管理角色是一组用户的集合,可以将权限分配给角色而不是每个用户。
这样可以简化权限管理,并且在需要更改权限时,只需更改角色的权限而不用每个用户都进行更改。
SQL Server 2008 R2提供两种类型的角色:固定数据库角色和自定义数据库角色。
SQL Server的用户权限管理
途,比如:user_a只能
读某个数据库的某个表;user_b
可以读、写某个数据库的
某些表等。有些管理员为了偷懒省事,直接复给它个db_owner更有甚者给它
System Administrator
s权限,这样暂时虽然给您的操作
带来了方便,但同时也给
该数据库选择相应的
权限public,如果您还选择了db_owne
r,那么该用户就有了:添加、删除、修改
该数据库的权限,这里我们不选,目的是为了对数据库中的表单独设置具体的权
限。如图(三):
图(三)
点击确定。
2、打开刚才选择的数据库展开它->选择Users,在右边出现了我们刚才建立
的用户->属性(右键),如图(四):
图(一)
选择第二栏Server Roles,里面可以选择该用户的权限,需要注意的是,如
果您选择了System Administrators
,那么后面的Database Access栏就不用选
择了,因为此时你的权限最大可以做任何事,这里我们不选,如图(二):
图(二)
选择第三栏Database A
ccess选择要访问的数据库,为
hacker们带来了方便。:)。因此这里有一个建议:“在建立登陆用户时,把它
的详细用途用笔记下,然后整理,同时也为下次核查数据库的安全做了参考”
例如:
二、正确的建立SQL Server用户
1、打开SQL Server Enterprise Man
ager,在登陆中建立一个新的用户,在
General栏中,输入名字->选择登陆方式->输入密码->选择默认的数据库,如图(一):
sqlserver服务账户和权限管理配置培训资料
sqlserver服务账户和权限管理配置培训资料SQL Server是一款常用的关系型数据库管理系统,用于存储、管理和操纵数据。
在企业中使用SQL Server时,确保服务账户和权限的正确配置非常重要。
本篇培训资料将介绍SQL Server服务账户和权限管理的基本概念以及具体配置方法。
一、SQL Server服务账户1. 什么是SQL Server服务账户SQL Server服务账户是SQL Server实例运行所需的Windows 账户,用于执行数据库引擎服务、代理服务和数据库服务,并提供运行时环境。
每个服务都需要独立的服务账户。
2. 服务账户的类型SQL Server服务账户分为本地账户和域账户两种类型:- 本地账户:仅限于本地服务器上使用,适用于独立服务器或测试环境。
- 域账户:存储在Windows域中的账户,可以跨多个服务器使用,适用于大规模企业环境。
3. 选择适当的服务账户在选择服务账户时应考虑以下几个因素:- 安全性:为了最大程度地保护数据库的安全,建议使用域账户,并遵循最少特权原则。
- 管理:使用域账户可以集中管理,并为不同的服务分配不同的账户,便于维护和审计。
- 高可用性:确保服务账户拥有适当的权限,以便支持SQLServer集群、镜像和Always On可用性组等功能。
二、SQL Server权限管理1. 什么是权限权限是指用户或用户组对数据库对象执行特定操作的能力。
SQL Server使用细粒度权限模型来管理数据库访问,确保只有经授权的用户可以执行特定操作。
2. 常见的权限类型- 基本权限:包括SELECT、INSERT、UPDATE、DELETE等,用于控制对表或视图的读写操作。
- DDL权限:用于控制对数据库结构的更改,如CREATE、ALTER和DROP等。
- 系统权限:用于控制对服务器级别的操作,如CREATE LOGIN、CREATE DATABASE和SHUTDOWN等。
sql-server-服务账户和权限管理配置
大多数服务及其属性可通过使用SQL Server 配置管理器进行配置。
以下是在C 盘安装Windows 的情况下最新的四个版本的路径。
安装的服务 SQL Server根据您决定安装的组件,SQL Server 安装程序将安装以下服务:•SQL Server Database Services- 用于 SQL Server 关系数据库引擎的服务。
可执行文件为 <MSSQLPATH>\MSSQL\Binn\sqlservr.exe。
•SQL Server 代理- 执行作业、监视 SQL Server、激发警报以及允许自动执行某些管理任务。
SQL Server 代理服务在 SQL Server Express 的实例上存在,但处于禁用状态。
可执行文件为 <MSSQLPATH>\MSSQL\Binn\sqlagent.exe。
•Analysis Services- 为商业智能应用程序提供联机分析处理 (OLAP) 和数据挖掘功能。
可执行文件为 <MSSQLPATH>\OLAP\Bin\msmdsrv.exe。
•Reporting Services- 管理、执行、创建、计划和传递报表。
可执行文件为<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe。
•Integration Services- 为 Integration Services 包的存储和执行提供管理支持。
可执行文件的路径是 <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe•SQL Server Browser- 向客户端计算机提供 SQL Server 连接信息的名称解析服务。
可执行文件的路径为 c:\Program Files (x86)\Microsoft SQLServer\90\Shared\sqlbrowser.exe•全文搜索- 对结构化和半结构化数据的内容和属性快速创建全文索引,从而为 SQL Server 提供文档筛选和断字功能。
sql server 账号权限限制表
SQL Server账号权限限制表一、背景介绍SQL Server是一种常用的关系型数据库管理系统,它为用户提供了丰富的数据管理和处理功能。
为了保护数据库的安全性和 integrity, 它采用了用户账号和权限的管理机制,以便对数据库的访问和操作进行控制。
一个用户在数据库中需要经过注册,而注册成功后的用户账户可以被授予不同的权限,以满足不同用户的需求。
二、权限管理的重要性数据库中的权限管理是保护数据安全的关键措施之一。
如果数据库的账号权限管理不到位,可能会导致数据泄露、恶意篡改甚至数据丢失等危险情况的发生。
建立一个严格的账户权限限制表是至关重要的。
三、账号权限限制表的内容为了对SQL Server中的账号权限进行合理的管理,我们需要建立一份账号权限限制表。
该表应包含以下内容:1. 用户账号:列出数据库中所有的用户账号。
2. 账号类型:标明每个用户账号的类型,如管理员账号、普通用户账号等。
3. 访问权限:明确每个账号的访问权限,包括对哪些数据库和哪些表的读、写、修改等权限。
4. 操作权限:详细列出每个账号的数据库操作权限,包括创建、删除、更新、备份等操作权限。
5. 特殊权限:如果有一些特殊权限需求,如视图的创建等,也应该在表中进行说明。
6. 备注:对每个账号的权限限制做出解释和说明,以便日后管理维护时参考。
四、权限限制表的更新和维护建立完账号权限限制表后,还需要进行定期的更新和维护。
随着数据库的使用和管理,用户账号的权限需求可能会发生变化。
需要及时更新权限限制表,并且对表中的权限进行审查,以确保数据库中的权限都是合理有效的。
五、总结建立一份完善的账号权限限制表,可以帮助数据库管理人员更好地对SQL Server中的账号权限进行管理和控制。
通过表中详细的记录,也可以在遇到权限问题时,迅速找到解决方案。
权限限制表不仅是数据库管理的一项重要工作,也是保障数据库安全的重要手段。
我们应该重视对权限限制表的建立、更新和维护工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
大多数服务及其属性可通过使用SQL Server 配置管理器进行配置。
以下是在C 盘安装Windows 的情况下最新的四个版本的路径。
安装的服务SQL Server根据您决定安装的组件,SQL Server 安装程序将安装以下服务:∙SQL Server Database Services - 用于SQL Server 关系数据库引擎的服务。
可执行文件为<MSSQLPATH>\MSSQL\Binn\sqlservr.exe。
∙SQL Server 代理 - 执行作业、监视SQL Server、激发警报以及允许自动执行某些管理任务。
SQL Server 代理服务在SQL Server Express 的实例上存在,但处于禁用状态。
可执行文件为<MSSQLPATH>\MSSQL\Binn\sqlagent.exe。
∙Analysis Services - 为商业智能应用程序提供联机分析处理(OLAP) 和数据挖掘功能。
可执行文件为<MSSQLPATH>\OLAP\Bin\msmdsrv.exe。
∙Reporting Services - 管理、执行、创建、计划和传递报表。
可执行文件为<MSSQLPATH>\ReportingServices\ReportServer\Bin\ReportingServicesService.exe。
∙Integration Services - 为Integration Services 包的存储和执行提供管理支持。
可执行文件的路径是<MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe ∙SQL Server Browser - 向客户端计算机提供SQL Server 连接信息的名称解析服务。
可执行文件的路径为c:\Program Files (x86)\Microsoft SQLServer\90\Shared\sqlbrowser.exe∙全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引,从而为SQL Server 提供文档筛选和断字功能。
∙SQL 编写器 - 允许备份和还原应用程序在卷影复制服务(VSS) 框架中运行。
∙SQL Server 分布式重播控制器 - 跨多个分布式重播客户端计算机提供跟踪重播业务流程。
∙SQL Server Distributed Replay 客户端 - 与Distributed Replay 控制器一起来模拟针对SQL Server 数据库引擎实例的并发工作负荷的一台或多台DistributedReplay 客户端计算机。
∙SQL Server 受信任的启动板 - 用于托管Microsoft 提供的外部可执行文件的可信服务,例如作为R Services (In-database) 的一部分安装的R 运行时。
附属进程可由启动板进程启动,但将根据单个实例的配置进行资源调控。
启动板服务在其自己的用户帐户下运行,特定注册运行时的各个附属进程将继承启动板的用户帐户。
附属进程将在执行过程中按需创建和销毁。
服务属性和配置用于启动和运行SQL Server 的启动帐户可以是域用户帐户、本地用户帐户、托管服务帐户、虚拟帐户或内置系统帐户。
若要启动和运行SQL Server 中的每项服务,这些服务都必须有一个在安装过程中配置的启动帐户。
默认服务帐户下表列出了安装程序在安装所有组件时使用的默认服务帐户。
列出的默认帐户是建议使用的帐户,但特殊注明的除外。
独立服务器或域控制器*当需要SQL Server 计算机外部的资源时,Microsoft 建议使用配置了必需的最小特权的托管服务帐户(MSA)。
SQL Server 故障转移群集实例更改帐户属性托管服务帐户、组托管服务帐户和虚拟帐户托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序(例如SQL Server)提供其自己帐户的隔离,同时使管理员无需手动管理这些帐户的服务主体名称(SPN) 和凭据。
这就使得管理服务帐户用户、密码和SPN 的过程变得简单得多。
∙托管服务帐户托管服务帐户(MSA) 是一种由域控制器创建和管理的域帐户。
它分配给单个成员计算机以用于运行服务。
域控制器将自动管理密码。
您不能使用MSA 登录到计算机,但计算机可以使用MSA 来启动Windows 服务。
MSA 可以向Active Directory 注册服务主体名称(SPN)。
MSA 的名称中有一个$后缀,例如DOMAIN\ACCOUNTNAME$。
在指定MSA 时,请将密码留空。
因为将MSA 分配给单个计算机,它不能用于Windows 群集的不同节点。
∙组托管服务帐户组托管服务帐户是针对多个服务器的MSA。
Windows 为在一组服务器上运行的服务管理服务帐户。
Active Directory 自动更新组托管服务帐户密码,而不重启服务。
你可以配置SQL Server 服务以使用组托管服务帐户主体。
SQL Server 2016 对于独立实例、故障转移群集实例和可用性组,在Windows Server 2012 R2 和更高版本上支持组托管服务帐户。
若要使用SQL Server 2016 或更高版本的组托管服务帐户,操作系统必须是Windows Server 2012 R2 或更高版本。
装有Windows Server 2012 R2 的服务器需要应用KB 2998082,以便服务可以在密码更改后立即登录而不中断。
有关详细信息,请参阅组托管服务帐户∙虚拟帐户Windows Server 2008 R2 和Windows 7 中的虚拟帐户是“托管的本地帐户”,此类帐户提供以下功能以简化服务管理。
虚拟帐户是自动管理的,并且虚拟帐户可以访问域环境中的网络。
如果在Windows Server 2008 R2 或Windows 7 上安装SQL Server 时对服务帐户使用默认值,则将使用将实例名称用作服务名称的虚拟帐户,格式为NT SERVICE\<SERVICENAME>。
以虚拟帐户身份运行的服务通过使用计算机帐户的凭据(格式为<domain_name>\<computer_name>$)访问网络资源。
当指定一个虚拟帐户以启动SQL Server 时,应将密码留空。
如果虚拟帐户无法注册服务主体名称(SPN),则手动注册该SPN。
有关手动注册SPN 的详细信息,请参阅手动注册SPN。
下表列出了虚拟帐户名称的示例。
安全说明始终用尽可能低的用户权限运行SQL Server 服务。
就会使用MSA或virtual account。
当无法使用MSA 和虚拟帐户时,将使用特定的低特权用户帐户或域帐户,而不将共享帐户用于SQL Server 服务。
对不同的SQL Server 服务使用单独的帐户。
不要向SQL Server 服务帐户或服务组授予其他权限。
在支持服务SID 的情况下,将通过组成员身份或直接将权限授予服务SID。
防火墙端口在大多数情况下,首次安装时,可以通过与数据库引擎安装在相同计算机上的SQL Server Management Studio 等此类工具连接SQL Server。
SQL Server 安装程序不会在Windows 防火墙中打开端口。
在将数据库引擎配置为侦听TCP 端口,并且在Windows 防火墙中打开适当的端口进行连接之前,将无法从其他计算机建立连接。
配置Windows 服务帐户和权限SQL Server 2016其他版本适用于:SQL Server 2016SQL Server 中的每个服务表示一个进程或一组进程,用于通过Windows 管理SQL Server 操作的身份验证。
本主题介绍此SQL Server版本中服务的默认配置,以及可以在SQL Server 安装过程中以及安装之后设置的SQL Server 服务的配置选项。
本主题将帮助高级用户了解服务帐户的详细信息。
大多数服务及其属性可通过使用SQL Server 配置管理器进行配置。
以下是在C 盘安装Windows 的情况下最新的四个版本的路径。
安装的服务SQL Server根据您决定安装的组件,SQL Server 安装程序将安装以下服务:SQL Server Database Services - 用于SQL Server 关系数据库引擎的服务。
可执行文件为<MSSQLPATH>\MSSQL\Binn\sqlservr.exe。
∙SQL Server 代理 - 执行作业、监视SQL Server、激发警报以及允许自动执行某些管理任务。
SQL Server 代理服务在SQL Server Express 的实例上存在,但处于禁用状态。
可执行文件为<MSSQLPATH>\MSSQL\Binn\sqlagent.exe。
∙Analysis Services - 为商业智能应用程序提供联机分析处理(OLAP) 和数据挖掘功能。
可执行文件为<MSSQLPATH>\OLAP\Bin\msmdsrv.exe。
∙Reporting Services - 管理、执行、创建、计划和传递报表。
可执行文件为<MSSQLPATH>\ReportingServices\ReportServer\Bin\ReportingServicesService.exe。
∙Integration Services - 为Integration Services 包的存储和执行提供管理支持。
可执行文件的路径是<MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe∙SQL Server Browser - 向客户端计算机提供SQL Server 连接信息的名称解析服务。
可执行文件的路径为c:\Program Files (x86)\Microsoft SQLServer\90\Shared\sqlbrowser.exe∙全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引,从而为SQL Server 提供文档筛选和断字功能。
∙SQL 编写器 - 允许备份和还原应用程序在卷影复制服务(VSS) 框架中运行。
∙SQL Server 分布式重播控制器 - 跨多个分布式重播客户端计算机提供跟踪重播业务流程。
∙SQL Server Distributed Replay 客户端 - 与Distributed Replay 控制器一起来模拟针对SQL Server 数据库引擎实例的并发工作负荷的一台或多台DistributedReplay 客户端计算机。