Đề tài: Quản trị người dùng Nhóm LOGO Thành viên 2001207106 Nguyễn Minh Chiến 2001200285 Nguyễn Quốc Dương 2001207335 Nguyễn Như Đạt 2001200162 Võ Văn Huy CHỦ ĐỀ THUYẾT TRÌNH Các chế độ xác thực Tài khoản Login User Cấp quyền cho người dùng Quản lý nhóm quyền sở liệu Các chế độ xác thực  SQL Server xác thực đăng nhập hai chế, Windows authentication SQL Server authentication  Nếu chọn Windows, cần cung cấp windows account SQL Server ưu tiên tên account danh sách login  Nếu chọn SQL Server authentication, cần cung cấp login name password hai lưu SQL Server Các chế độ xác thực  Khi đăng nhập vào SQL Server, ta phải chọn hai chế xác thực  Nếu chọn Windows, account đăng nhập vào windows dùng  Còn với SQL Server Authentication cần cung cấp login ID password SQL Server kiểm tra định có cho login vào hay không Các chế độ xác thực  Chế độ xác thực chọn trình cài đặt hệ quản trị SQL Server 2008, muốn thay đổi, thực sau:  Trong cửa sổ Object Explorer nhấp chuột phải lên Server -> chọn Properties Các chế độ xác thực  Trên cửa sổ Server Properies mở trang Security -> chọn kiểu xác thực -> Chọn OK Tài khoản Login User  SQL Server cho phép truy nhập vào hệ thống thông qua login Chỉ có quyền mức độ định tạo login Danh sách login nằm mục Security/Logins hình sau:  Các login có quyền truy nhập vào server chưa hẳn truy nhập vào database chứa Tài khoản Login User  Muốn truy cập vào database, ta phải tạo user Mỗi database có danh sách user, user luôn gắn (mapped) với login mức server  Khi người dùng đăng nhập vào SQL Server thơng qua login này, người dùng có quyền truy nhập vào database theo quyền hạn mà user tương ứng với cung cấp Danh sách user nằm mục Security/Users database tương ứng 2.1 Tài khoản đăng nhập (Login Account)  Tài khoản đăng nhập tài khoản mà người dùng (user) sử dụng để đăng nhập vào hệ thống SQL Server  Một login truy cập nhiều database  Trong database, login ứng với user  Một login cung cấp quản lý sysadmin security admin  Có loại tài khoản đăng nhập: + SQL Server Login ID + Windows Login ID 4.3 Quản lý quyền sở liệu Nhấn vào nút Search , xuất hộp thoại sau: Trên cửa sổ add objects có lựa chọn: − Specific objects: đối tượng cụ thể − All objects of the types: đối tượng kiểu cụ thể − All objects belonging to schema : đối tượng thuộc giản đồ 4.3 Quản lý quyền sở liệu Chọn Specific objects → nhấn OK, xuất hộp thoại sau: Nhấn vào nút Object Type, hộp thoại Select Object Types xuất hiện, ta chọn kiểu đối tượng muốn bảo mật nhấn OK : 4.3 Quản lý quyền sở liệu Nhấn vào nút Browse hộp thoại Select Objects, chọn đối tượng cụ thể cần cấp quyền, sau click OK 4.3 Quản lý quyền sở liệu Quay trở lại cửa sổ ban đầu, cấp quyền cụ thể cho đối tượng: ▪ Grant: Cấp quyền ▪ With Grant: Cho phép người dùng nhóm cấp quyền cho người dùng nhóm khác ▪ Deny: Thu hồi quyền 4.3 Quản lý quyền sở liệu Ngồi ra, cấp quyền thao tác cho người dùng lệnh T-SQL sau: Cú pháp: GRANT các_quyền_cấp_phát [(danh_sách_cột)] ON tên_bảng | tên_khung_nhìn |ON tên_bảng | tên_khung_nhìn [(danh_sách_cột)] |ON tên_thủ_tục |ON tên_hàm TO danh_sách_người_dùng | nhóm_người_dùng [WITH GRANT OPTION ] [AS role] Ví dụ: Trên database QLSV, cấp phát cho người dùng có tên MinhTuan quyền thực thi câu lệnh SELECT, INSERT UPDATE bảng LOP Use QLSV Go GRANT SELECT, INSERT, UPDATE ON LOP TO MinhTuan 4.3 Quản lý quyền sở liệu b Thu hồi quyền cấp Để thu hồi quyền cấp sử dụng lệnh REVOKE có cấu trúc sau: Cú pháp: REVOKE [GRANT OPTION FOR] các_quyền_cần_thu_hồi [(danh_sách_cột)]|ALL ON tên_bảng|tên_khung_nhìn |ON tên_bảng|tên_khung_nhìn [(danh_sách_cột)] |ON tên_thủ_tục |ON tên_hàm FROM danh_sách_người_dùng [CASCADE] [AS Role] Ví dụ: Thu hồi quyền thực thi lệnh INSERT bảng LOP người dùng MinhTuan REVOKE INSERT ON LOP FROM MinhTuan 4.3 Quản lý quyền sở liệu c Từ chối quyền Để ngăn cản người dùng thực thao tác đối tượng, ta sử dụng lệnh DENY có cấu trúc sau: Cú pháp: DENY các_quyền_từ_chối [(danh_sách_cột)] ON tên_bảng | tên_khung_nhìn |ON tên_bảng | tên_khung_nhìn [(danh_sách_cột)] |ON tên_thủ_tục |ON tên_hàm TO danh_sách_người_dùng [CASCADE] [AS Role] Khi user/role bị từ chối quyền, hệ thống ngăn không cho user sử dụng quyền không cho phép user thừa hưởng quyền dù thành viên role có quyền Nếu người dùng cấp quyền với tùy chọn WITH GRANT OPTION phải định CASCADE thực lệnh DENY 4.3 Quản lý quyền sở liệu Ví dụ 27 Ta cấp quyền select bảng SINHVIEN cho người dùng ThanhThuy nhóm quyền SV câu lệnh sau: GRANT SELECT ON SINHVIEN TO ThanhThuy, SV Thêm người dùng ThanhThuy vào nhóm quyền SV câu lệnh sau: sp_addrolemember 'SV' , 'ThanhThuy’ Ta tiếp tục thực lệnh sau để thu hồi quyền select bảng SINHVIEN cấp cho người dùng ThanhThuy: REVOKE SELECT ON SINHVIEN FROM ThanhThuy Sau câu lệnh trên, người dùng ThanhThuy thực câu lệnh select bảng SINHVIEN thừa hưởng quyền từ role SV 4.3 Quản lý quyền sở liệu Muốn cho người dùng ThanhThuy select bảng SINHVIEN không thừa hưởng quyền từ role SV, ta thực câu lệnh sau: DENY SELECT ON SINHVIEN TO ThanhThuy Chú ý: Nếu user/role bị deny quyền, lệnh REVOKE quyền user/role gỡ bỏ hiệu lực lệnh DENY Trong ví dụ trên, user ThanhThuy bị từ chối quyền Select bảng SINHVIEN, câu lệnh sau hủy bỏ hiệu lực lệnh DENY user ThanhThuy lại thực lệnh Select bảng SINHVIEN REVOKE SELECT ON SINHVIEN FROM ThanhThuy 4.3 Quản lý quyền sở liệu 2/ Quyền định nghĩa đối tượng Quyền định nghĩa đối tượng cho phép người dùng tạo đối tượng sở liệu Các quyền thường là: − Create Table: Cho phép người dùng tạo bảng − Create View: Cho phép người dùng tạo view − Create SP: Cho phép người dùng tạo stored procedure − Create Default: Cho phép người dùng tạo giá trị mặc định gắn với cột bảng − Create Rule: Cho phép người dùng tạo qui tắc − Create Function: Cho phép người dùng tạo hàm người dùng định nghĩa − Backup Database: Cho phép người dùng thực thi lệnh backup − Backup Log: Cho phép người dùng thực thi lệnh backup log Để tạo quyền định nghĩa đối tượng, thực sau: 4.3 Quản lý quyền sở liệu Nhấn chuột phải vào sở liệu cần cấp quyền → Chọn Properties → chọn mục Permission → nhấn nút Search xuất bảng sau: Trên bảng Select Users or Roles chọn loại đối tượng (object Types) nhấn nút Browse để chọn đối tượng cụ thể cần bảo mật 4.3 Quản lý quyền sở liệu Chọn đối tượng cụ thể cần bảo mật: 4.3 Quản lý quyền sở liệu  Ngoài dùng lệnh T-SQL để cấp quyền định nghĩa đối tượng với cú pháp sau: GRANT | TO Trong đó: − Các quyền định nghĩa đối tượng: Là quyền định nghĩa đối tượng sở liệu trình bày phần − ALL: Cấp tất quyền cho người dùng − Tên user: Là tên người dùng cần cấp quyền 4.3 Quản lý quyền sở liệu Chú ý: − Với câu lệnh GRANT, ta cho phép người sử dụng tạo đối tượng sở liệu Đối tượng sở liệu người dùng tạo người sở hữu người có quyền cho người dùng khác sử dụng đối tượng xóa bỏ (DROP) đối tượng tạo − Câu lệnh GRANT trường hợp sử dụng tuỳ chọn WITH GRANT OPTION, tức người dùng chuyển tiếp quyền thực thi câu lệnh cấp phát Ví dụ: Cấp quyền Create Table cho người dùng có tên ThanhThuy GRANT Create Table TO ThanhThuy Ý kiến lên phường LOGO ... tạo tài khoản người dùng 2.2 Tạo tài khoản người dùng (User Account)  Ngồi sử dụng cú pháp sau: sp_grantdbaccess [, ] sp_adduser , ... cho người dùng (user)  Để cấp quyền cho người dùng( user), trước tiên chọn database chứa người dùng cần cấp quyền => security  Chọn users click chuột vào tài khoản người dùng Cấp quyền cho người. .. phép người dùng tạo view − Create SP: Cho phép người dùng tạo stored procedure − Create Default: Cho phép người dùng tạo giá trị mặc định gắn với cột bảng − Create Rule: Cho phép người dùng tạo