创建好角色之后就能够分配权限。在这个过程中,我们只需用到标准的GRANT、REVOKE和DENY命令。但应该注意DENY权限,这个权限优先于任何其他权限。假如用户是任意具备DENY权限的角色或组的成员,SQL Server将拒绝用户访问对象。
接下来我们就能够加入任何SQL Server验证的登录。用户定义的数据库角色能够包含SQL Server登录连同NT全局组、本地组、个人帐户,这是他最宝贵的特点之一。用户定义的数据库角色能够作为各种登录的通用容器,我们使用用户定义角色而不是直接把权限分配给全局组的主要原因就在于此。
由于内建的角色一般适用于整个数据库而不是单独的对象,因此这里建议您只使用两个内建的数据库角色,,即db_securityadmin和db_owner。其他内建数据库角色,例如db_datareader,他授予对数据库里面任何对象的SELECT权限。虽然您能够用db_datareader角色授予SELECT权限,然后有选择地对个别用户或组拒绝SELECT权限,但使用这种方法时,您可能忘记为某些用户或对象配置权限。一种更简单、更直接而且不容易出现错误的方法是为这些特别的用户创建一个用户定义的角色,然后只把那些用户访问对象所需要的权限授予这个用户定义的角色。
六、简化安全管理
SQL Server验证的登录不但能够方便地实现,而且和NT验证的登录相比,他更容易编写到应用程式里。但是,假如用户的数量超过25,或服务器数量在一个以上,或每个用户都能够访问一个以上的数据库,或数据库有多个管理员,SQL Server验证的登录不容易管理。由于SQL Server没有显示用户有效权限的工具,要记忆每个用户具备哪些权限连同他们为何要得到这些权限就更加困难。即使对于一个数据库管理员还要担负其他责任的小型系统,简化安全策略也有助于减轻问题的复杂程度。因此,最好选择的方法应该是使用NT验证的登录,然后通过一些精心选择的全局组和数据库角色管理数据库访问。
下面是一些简化安全策略的经验规则:
·用户通过SQL Server Users组获得服务器访问,通过DB_Name Users组获得数据库访问。
·用户通过加入全局组获得权限,而全局组通过加入角色获得权限,角色直接拥有数据库里的权限。
·需要多种权限的用户通过加入多个全局组的方式获得权限。
只要规划得恰当,您能够在域控制器上完成任何的访问和权限维护工作,使得服务器反映出您在域控制器上进行的各种配置调整。虽然实际应用中情况可能有所变化,但本文介绍的基本措施仍旧适用,他们能够帮助您构造出很容易管理的安全策略。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
