【SQL Server学习笔记】SQL Server的安全对象、权限

最新推荐文章于 2023-09-01 07:45:38 发布
最新推荐文章于 2023-09-01 07:45:38 发布
阅读量337 收藏 1
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/momogua/archive/2012/09/10/8304602.html
版权

 

一:安全对象是SQ L Server控制访问权限的资源,在SQL Server中的安全对象分为3个嵌套范围。


1、层次最高的是服务器范围。包含了登录名,数据库,端点。 

--1.管理服务器权限
use master
go


if not exists(select name 
              from sys.server_principals
              where name = 'ggg')
begin
	create login [ggg] 
	with password = 'ggg',
	     default_database = [master],
	     check_expiration = off,
	     check_policy = off

end


--授予修改跟踪权限
grant alter trace to ggg
with grant option  --被授权者有将权限授予其他被授予者的权限


--创建windows登录名
create login [pc0627jvc\wcc] from windows
with default_database = [master]


--授予创建数据库,查看数据库权限
grant create any database,
      view any database to [pc0627jvc\wcc]

--拒绝关闭服务器权限
deny shutdown to [pc0627jvc\wcc]



--2.查询服务器权限
select p.name,  --授权者
       s.name,  --被授权者
       
       sp.class_desc,
       sp.permission_name,
       sp.state_desc    
from sys.server_permissions  sp
inner join sys.server_principals p
        on p.principal_id =  sp.grantor_principal_id        
inner join sys.server_principals s
        on s.principal_id = sp.grantee_principal_id
where s.name in ('pc0627jvc\wcc','ggg')


2、其次是数据库范围,是包含在服务器范围内的,控制数据库用户,数据库角色,安全凭证,架构等安全对象。 

--1.管理数据库权限
if not exists(select name 
              from sys.server_principals
              where name = 'xyz')
begin
	create login [xyz] 
	with password ='xyz',
	     default_database =[master],
	     check_expiration = off,
	     check_policy =off
	
end


--创建数据库
if not exists(select name
              from sys.databases
              where name = 'test')
begin
	create database test
end


use test
go

--创建数据库用户
if not exists(select name
              from sys.database_principals
              where name = 'xyz')
begin
	create user xyz for login xyz
end


--给数据库用户授予修改任何程序集、修改任何证书的权限
grant alter any assembly,
      alter any certificate to xyz

--拒绝修改数据库级别的ddl触发器的权限
deny alter any database ddl trigger to xyz

revoke connect from xyz


--新建登录,新建数据库用户,并授予权限
use AdventureWorks
go

create login testuser 
with password = 'testuser',
     check_expiration = off,
     check_policy = off
     
create user testuser from login testuser


grant select on humanresources.department to testuser

grant select on production.productphoto to testuser

grant exec on humanresources.uspUpdateEmployeeHireInfo to testuser

grant create assembly to testuser

grant select on schema::person to testuser

deny impersonate on user::dbo to testuser

deny select on humanresources.employee(birthdate) to testuser

grant select on schema::sales to testuser


--2.查询数据库权限
select dppp.name as grantor,       --授权者
	   dppp.type_desc as grantor_type,  --数据库用户对应的登录名类型
       
	   dpp.name as grantee,  --被授予权限者
	   dpp.type_desc as grantee_type,
       
	   dp.class_desc,
	   ISNULL(o.type_desc,'') object_type_desc,  --对象类型
       
	   case when dp.class_desc = 'schema'
				 then SCHEMA_NAME(dp.major_id)
                 
			when dp.class_desc = 'object_or_column'
				 then case when minor_id = 0
								then OBJECT_NAME(dp.major_id)
                                
						   else (select OBJECT_NAME(object_id) + '.' + name
								 from sys.columns 
								 where object_id = dp.major_id
									   and column_id = minor_id)
					  end
			else ''
	   end as object_name,   --对象名称
       
	   dp.permission_name,   --权限名称
	   dp.state_desc         --授予状态		     
       
from sys.database_permissions dp
inner join sys.database_principals dpp   --被授予者
		on dp.grantee_principal_id = dpp.principal_id
inner join sys.database_principals dppp  --授予者
		on dp.grantor_principal_id = dppp.principal_id
left join sys.objects o
	   on o.object_id = dp.major_id
where dpp.name = 'testuser'


3、最内层是架构范围,它控制安全对象(架构本身)以及架构中的对象(比如:表、视图、存储过程、函数)。

use test
go

--1.架构的拥有者
--1.1创建架构,拥有者是db_owner角色
create schema wcc authorization db_owner


--1.2显示架构的拥有者:db_owner
select s.name,       --架构名称
       dp.name,      --架构拥有者
       
       dp.type_desc, --拥有者类型
       dp.is_fixed_role --是否固定数据库角色       
from sys.schemas s
inner join sys.database_principals dp
        on s.principal_id = dp.principal_id
where s.name = 'wcc'


--1.3改变架构的所有权
alter authorization on schema::wcc
to wclogin


--1.4显示架构的拥有者:wclogin
select s.name,       --架构名称
       dp.name,      --架构拥有者
       
       dp.type_desc, --拥有者类型
       dp.is_fixed_role --是否固定数据库角色       
from sys.schemas s
inner join sys.database_principals dp
        on s.principal_id = dp.principal_id
where s.name = 'wcc'


--1.5在新建架构下,创建表
create table wcc.it
	(it char(13) not null primary key,
	 itcreate datetime not null default getdate()
	)


use master
go

--2.用户的默认架构
--2.1创建登录名
create login wclogin
with password = 'wclogin',
     default_database = test,
     check_policy = off,
     check_expiration = off
     
go

use test
go


--2.2创建数据库用户,默认架构是dbo
create user wclogin for login wclogin
go


--2.3用户wclogin的默认架构是wcc
alter user wclogin with default_schema = wcc
go


--2.4显示用户wclogin的默认架构
select name,                --数据库用户名
       type_desc,
       default_schema_name  --默认架构
from sys.database_principals
where name = 'wclogin'



--3.对象所属的架构
--3.1表it所属的架构
select t.name, --对象名称       
       s.name  --对象所属架构名称       
from sys.tables t
inner join sys.schemas s
        on t.schema_id = s.schema_id
where t.name = 'it'


--3.2把wcc下的表it转移到架构dbo下
alter schema dbo transfer wcc.it


--3.3再次查看表it的架构
select t.name, --对象名称
       
       s.name  --对象所属架构名称       
from sys.tables t
inner join sys.schemas s
        on t.schema_id = s.schema_id
where t.name = 'it'


--4.1删除架构wcc,必须先删除架构下所有的对象,或者把架构下所有的对象都转移到其他架构
drop schema wcc


--4.2修改数据库用户wclogin的默认架构
alter user wclogin
with default_schema = dbo



use AdventureWorks
go

--5.1新建数据库用户名wclogin
create user wclogin for login wclogin


--3.2授予wclogin用户,架构person的所有权
grant take ownership on schema::Person to wclogin


--3.3虽然授予了take ownership权限,但是这个架构的拥有者没有变
select s.name,       --架构名称
       dp.name,      --架构拥有者
       
       dp.type_desc, --拥有者类型
       dp.is_fixed_role --是否固定数据库角色       
from sys.schemas s
inner join sys.database_principals dp
        on s.principal_id = dp.principal_id
where s.name = 'person'



--6.管理对象的权限
grant alter,execute,select on schema::Production to wclogin
with grant option


grant insert,update,delete on schema::production to wclogin


revoke alter,select on schema::production to wclogin cascade


grant delete,insert,select,update on humanresources.department
to wclogin


deny alter on humanresources.department to wclogin


revoke insert,update,delete on humanresources.department 
to wclogin


--创建角色
create role reportview

--给角色授予权限
grant execute,view definition on dbo.uspgetmanageremployees
to reportview

当前连接在安全对象上的权限

use test
go

--1.检测当前连接的是否有安全对象的权限

select HAS_PERMS_BY_NAME(null,                   --安全对象名称
                         null,                   --测试权限的安全对象的类名
                         'VIEW SERVER STATE')   --要检查的权限名称


select HAS_PERMS_BY_NAME(DB_NAME(),   --安全对象名称
                         'database',  --测试权限的安全对象的类名
                         'alter')     --要检查的权限名称



/*===================================
语法:

{ EXEC | EXECUTE ] AS <context_specification>
[;]

<context_specification>::=
{ LOGIN | USER } = 'name'
    [ WITH { NO REVERT | COOKIE INTO @varbinary_variable } ] 
| CALLER

=====================================*/
--模拟数据库用户wclogin,测试是否对当前数据库有任何的权限
EXECUTE AS user = 'wclogin'
GO
SELECT HAS_PERMS_BY_NAME(db_name(), 'DATABASE', 'ANY');
GO
REVERT;


--是否对表有select的权限
select HAS_PERMS_BY_NAME(SCHEMA_NAME(t.schema_id) + '.' + t.name,
                         'OBJECT',
                         'select'),
       t.*
from sys.tables t


--是否对某个表的列有select的权限
select HAS_PERMS_BY_NAME('production.product',
                         'object',
                         'select',
                         c.name,
                         'column'),
      c.*
from sys.columns c
where object_id = object_id('production.product')



--2.当前连接,对于某个安全对象,在这个安全对象类上,有多少权限
select *
from sys.fn_my_permissions(null,        --安全对象的名称
                           'server')    --要列出权限的安全对象类


select *
from sys.fn_my_permissions('production',--安全对象的名称
                           'schema')    --要列出权限的安全对象类



--3.改变安全对象的所有权
alter authorization on schema::production to wclogin

alter authorization on endpoint::端点名称 to wclogin



--4.sql登录名绑定到凭据,可以访问非SQL Server的资源
create credential account
with identity = 'pc0627jvc\wcc',
     secret = 'wcc'
     
--把一个凭据绑定到一个登录名上     
alter login wclogin
with credential = account


--查询凭据
select *
from  sys.credentials
where name = 'account'


--查询登录名是否绑定到凭据
select sp.name, --登录名
       c.name   --凭据名
from sys.server_principals sp
inner join sys.credentials c
        on sp.credential_id = c.credential_id
where sp.name = 'wclogin'



二:权限允许主体在安全对象上执行操作。grant、deny、revoke命令可以用于所有的安全对象范围,用来控制主体到安全对象的访问。grant用于启用对安全对象的访问;deny用于限制访问,可以禁止主体对安全对象的访问权限;revoke可以回收主体对安全对象的访问权限。

 

sys.fn_builtin_permissions ( [ DEFAULT | NULL ]
    | empty_string | '<securable_class>' } )

<securable_class> ::= 
      APPLICATION ROLE | ASSEMBLY | ASYMMETRIC KEY
    | CERTIFICATE | CONTRACT | DATABASE | ENDPOINT | FULLTEXT CATALOG
    | LOGIN | MESSAGE TYPE | OBJECT | REMOTE SERVICE BINDING | ROLE
    | ROUTE | SCHEMA | SERVER | SERVICE | SYMMETRIC KEY | TYPE 
    | USER | XML SCHEMA COLLECTION

  

--显示整个服务器所有的权限的层次结构、覆盖结构
;with temp   --显示每个有覆盖权限的权限,在同一权限类别中的覆盖层次,用\\来划分
as
(
select class_desc,
       permission_name,
       
       covering_permission_name,
       
       parent_class_desc,
       parent_covering_permission_name,
       
       cast('( '+class_desc + ' ){' + permission_name +'} \\  ' as varchar(6000)) as c,
       1 as level
       
from sys.fn_builtin_permissions(default) r
where --parent_class_desc = ''
       covering_permission_name <> ''

union all

select t.class_desc,
       t.permission_name,
       
       r.covering_permission_name,
       
       t.parent_class_desc,
       t.parent_covering_permission_name,       
       
       CAST('( ' + r.class_desc + ' ){ ' + r.permission_name + ' } \\ ' + c as varchar(6000)),
       level + 1 
from temp t
inner join sys.fn_builtin_permissions(default) r
        on t.class_desc = r.class_desc
           and t.covering_permission_name = r.permission_name
--where r.covering_permission_name <> ''

),


t    --显示每个有覆盖权限的权限,在同一权限类别中的覆盖层次,求level最大的
as
(

	select *
	from temp t
	where level = 
	(
		select level
		from
		(    
			 select class_desc,
			        permission_name,
					MAX(level) as level
			 from temp 
			 group by class_desc,
			          permission_name
		)a
		where a.class_desc = t.class_desc
		      and a.permission_name = t.permission_name
	)
),


tt   --对已经显示的覆盖层次,进一步求出上层权限类别的级联层次,用--->>>来划分
as
(
select class_desc,
       permission_name,
       
       parent_class_desc,
       parent_covering_permission_name,
           
       cast(c as varchar(6000)) as c,
       
       1 as level
from t

union all

select tt.class_desc,
       tt.permission_name,
       
       r.parent_class_desc,
       r.parent_covering_permission_name,
       
       cast(r.c + ' --->>> '  + tt.c as varchar(6000)) as c ,
       tt.level + 1 as level      
from tt
inner join (
	            SELECT  class_desc,
	                    permission_name,
	       
	                    parent_class_desc,
	                    parent_covering_permission_name,
	           
	                    cast(c as varchar(6000)) as c
	            FROM t
	            
	            UNION ALL
	            
	            select class_desc,
	                   permission_name,      			     			        
	       
	       			   parent_class_desc,            
	       			   parent_covering_permission_name,
	       			   CAST('( ' + class_desc + ' ){ ' + permission_name + ' }'AS VARCHAR(6000)) AS c 
	
	            from sys.fn_builtin_permissions(default)
	            WHERE covering_permission_name =''
	       ) r
	       
        on r.class_desc = tt.parent_class_desc
           and r.permission_name = tt.parent_covering_permission_name 
           
),


ttt   --对于没有覆盖权限的权限,直接求上层权限类别的级联层次,用--->>>来划分
as
(
select class_desc,
       permission_name,
       
       parent_class_desc,
       parent_covering_permission_name,
           
       cast('( ' + class_desc + ' ){ ' + permission_name + ' } --->>> '  as varchar(6000)) as c,
       
       1 as level
from sys.fn_builtin_permissions(default) 
where covering_permission_name = ''

union all

select ttt.class_desc,
       ttt.permission_name,
       
       r.parent_class_desc,
       r.parent_covering_permission_name,
       
       cast('( ' + r.class_desc + ' ){ ' + r.permission_name + ' } --->>> '  + ttt.c as varchar(6000)) as c ,
       ttt.level + 1 as level      
from ttt
inner join sys.fn_builtin_permissions(default) r
        on r.class_desc = ttt.parent_class_desc
           and r.permission_name = ttt.parent_covering_permission_name 
   

)

	select class_desc,
	       permission_name,
	       c                  --有覆盖权限的权限
	from  tt
	where level = 
	(
		select level
		from
		(    
			 select class_desc,
			        permission_name,
					MAX(level) as level
			 from tt 
			 group by class_desc,
			          permission_name
		)a
		where a.class_desc = tt.class_desc
		      and a.permission_name = tt.permission_name
	)
	
	union all  
	
	select class_desc,
	       permission_name,
	       c                --没有覆盖权限的权限
	from  ttt
	where level = 
	(
		select level
		from
		(    
			 select class_desc,
			        permission_name,
					MAX(level) as level
			 from ttt 
			 group by class_desc,
			          permission_name
		)a
		where a.class_desc = ttt.class_desc
		      and a.permission_name = ttt.permission_name
	)	
  order by 1

 

转载于:https://www.cnblogs.com/momogua/archive/2012/09/10/8304602.html

孙瑞宇
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlserver 数据库学习笔记
09-11
sqlserver 数据库学习笔记学习sqlserver的朋友可以参考下。
理解SQL Server中的权限体系(下)----安全对象权限
weixin_34128237的博客
04-12 263
    在开始阅读本文之前,请确保你已经阅读过上一篇文章,文章地址:     理解SQL Server中的权限体系(上)----主体   简介     在上一篇文章中,我对主体的概念做了全面的阐述。本篇文章接着讲述主体所作用的安全对象以及所对应的权限。   理解安全对象(Securable)     安全对象,是SQL Server 数据库引擎授权系统控制对其进行访问的资源。通俗点说...
sql server中常见的安全对象类别
liangshui999的博客
04-30 895
主要是包括以下几类,当然还包括其他的 DATABASE : 数据库 OBJECT 数据库对象,包括表,视图之类 SCHEMA 架构,数据库对象的容器 USER 数据库用户 ROLE 数据库角色 SERVER 服务器 LOGIN 登录名 ...
SQL Server 数据库安全性①
Vaska_的博客
04-18 1486
数据库安全性概述 数据库安全性是指保护数据库以防止不合法使用所造成的数据泄露,更改或破坏 1、数据库的不安全因素 ①非授权用户数据库的恶意存取和破坏 例如 黑客猎取用户名和用户口令,然后假冒合法用户偷取、修改甚至破坏用户的数据 ②数据库中的重要或敏感的数据被泄露 为防止数据被泄露,数据库管理系统提供的主要技术由强制存取控制,数据加密存储和加密传输 ③安全环境的脆弱性 操作系统安全的脆弱,网络协议安全保障的不足等都会数据库安全性的破坏 2、安全标准简介 TCSEC和CC两个准则。 数据库安全性控制 在一般
SQL sever中用户管理
最新发布
m0_71406734的博客
09-01 3493
SQL sever中用户管理的详细笔记
SQL Server 安全篇——安全元数据(2)——安全对象(Securable)元数据
MVP黄钊吉(發糞塗牆)
02-02 1076
本文属于SQL Server安全专题系列  在某些日常工作中,安全配置文件可能会成为需要保护的对象。下面对这些可能进行简介, 并演示元数据如何帮助你验证或实施策略。 Code Signing:  代码签名,代码注入攻击明显是违反了安全策略,可以使用代码签名来防御这类工具,假设安全策略上要求所有程序集和存储过程必须使用代码签名来最小化安全威胁。  下面的代码返回在数据库
SQLserver2008学习笔记
08-11
SQL server 2008
SQL server-2017-学习笔记.docx
09-08
本人的SQL server2017笔记笔记内容:基础增删改查、视图操作、索引操作、索引种类、多表、ml查询、Transact-SQL、存储过程、触发器、SQL server自动化服务、SQL server集成服务…
SqlServer 2005 T-SQL Query 学习笔记(3)
01-19
AD HOC PAGING: 就是指用页面的序号和页面的大小请求一个单独的页面。下面是例子。 DECLARE @pagesize AS INT, @pagenum AS INT; SET @pagesize = 5; SET @pagenum = 2; WITH SalesCTE AS ... SELECT ROW_NUMBER() ...
SQL Server 笔记.docx
05-04
自己在学习时写的SQLServer笔记,基本涵盖了SqlServer的基本操作,可以做学习查询使用。
SQL Server安全(3/11):主体和安全对象(Principals and Securables)
weixin_34256074的博客
03-21 276
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。 通常来说,你通过在对象上分配许可到主体来实现SQL Server里的用户对象安全。但什么是SQL Serve...
Security6:查看授予的权限
悦光阴的博客
11-15 237
SQL Server安全体系中,权限分为服务器级别(Server-Level)和数据库级别(Database-Level),获得权限的途径分为两种形式:直接授予的权限,由于加入角色而获得的权限。在安全体系中,授予权限涉及到有三种对象,分别是权限(Permission)、安全主体(Principal)和安全对象(Securable),授予权限的过程,可以用一句话概括:Grants permis...
SqlServer架构、帐户、对象权限管理笔记
weixin_44112373的博客
11-28 1415
账号按照实例登录帐户–>数据库角色(所有数据库用户都属于public角色,不能将用户从public中移除)–>数据库用户几层逻辑进行组织。6、在一个访问链中,sqlserver会比较对象的所有者和被调用对象的所有者,如果相同,则不再询问访问凭证,比如存储过程被调用向一个表插入数据行,sqlserver称为管理所有权链。2、sqlsever任何架构都只能有一个所有者,赋予一个新的用户,原用户会自动失去所有者权限,无法读写表,非架构所有者无存储过程执行权限等,易被忽略带来故障。
sql server如何设置密码过期时间呢?
森大科技的博客
08-22 2667
GPS平台、网站建设、软件开发、系统运维,找森大网络科技! https://cnsendnet.taobao.com 来自森大科技官方博客 http://www.cnsendblog.com/index.php/?p=1705 2021年8月9日,有个客户说,他的数据库sa账号过段时间就密码过期,我查看了,在下文中第一点的这里,已经是设置好了,然后,我在组策略里改了最大过期时间为999天,还执行了以下SQL语句 ALTER LOGIN sa WITH CHECK_POLICY = OFF – 把密码策略关
SQL Server 安全篇——SQL Server 安全模型(1)——安全性主体层级
MVP黄钊吉(發糞塗牆)
01-22 3793
本文属于SQL Server安全专题系列 前言:  随着数据安全性的越来越重要,很有必要介绍一下数据库安全方面的内容。本文兼容SQL Server 2016,但是由于安全这个范围太大,不可能完全说清楚,所以以重点介绍常用功能,同时兼顾新特性。系列中以SQL Server 演示库AdventureWorks2016CTP3为演示,下载地址:AdventureWorks sa
Sql Server数据库查询操作时“对象名无效”解决方法
m0_47974640的博客
11-15 3125
T表是存在的,查询语句也没有错误,为什么还是报错呢? 原因很简单,当前查询的表不在当前查询数据库里,选好当前查询的表所在的 数据库就好啦! ^ _ ^
SQL Server存储过程(数据库引擎)使用详解
Lion_Long的博客
04-04 5927
SQL Server 中的存储过程是一组一个或多个 Transact-SQL 语句的引用。过程类似于其他编程语言中的构造,因为它们可以: - 接受输入参数并以输出参数的形式向调用程序返回多个值。 - 包含在数据库中执行操作的编程语句。其中包括调用其他过程。 - 向调用程序返回状态值,以指示成功或失败(以及失败的原因)。 不要从自动执行的过程返回任何结果集。由于该过程由 SQL Server 而不是应用程序或用户执行,因此结果集无处可去。
SqlServer 对象名无效的原因及解决方法
热门推荐
09-11 2万+
程序调用数据库表时,报“对象名***无效”,无法获取数据或者在数据库管理器中操作表时,会发现表名会有红色波浪线标注,显示错误,鼠标点击之后发现提示“对象名***无效”,但是我们继续操作,又不会对操作有任何影响。 a、 产生原因:在你保存表的时候服务器正在运行,保存只是进入了缓存,运行着的服务器并不能调用,所以显示错误 解决方法:关闭服务器,重新打开,并且重新连接服务器 b、 产生原因:导入数据库或恢复数据后,登陆用户对库没有相应的权限 解决方法:执行语句 ex...
教你如何解决SQL server中提示对象名无效
Linuxprobe18的博客
02-21 1万+
导读 本文主要介绍了SQL server中提示对象名无效的解决方法,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 产生SQL对象名无效的问题大多原因是由于数据迁移导致的,下面我们给出解决方法. 在使用数据库的过程中,经常会遇到数据库迁移或者数据迁移的问题,或者有突然的数据库损坏,这时需要从数据库的备份中直接恢复。但是,此时会出现问题,这里说明几种常见问题的解决方法。 一、孤立用户的问题 比如,以前的数据库的很多表是用户test建立的,但是当我们恢复数据库后,t
sql server学习笔记
03-20
很高兴为您提供关于 SQL Server 学习笔记的建议。SQL Server 是一种关系型数据库管理系统,它可以用于存储和管理数据。如果您想学习 SQL Server,您可以从以下几个方面入手: 1. 学习 SQL 语言:SQL 是一种用于访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值