Hệ Quản Trị Cơ Sở Dữ Liệu

HỆ QUẢN TRỊ CƠ SỞ DỮ LIỆU
QUẢN TRỊ NGƯỜI DÙNG SQLSERVER

NỘI DUNG
Cơ sở dữ liệu – Tổng quan hệ thống cơ sở dữ liệu
1 • Các nhóm người dùng CSDL
2 • Quyền đăng nhập hệ thống
3 • Quyền truy xuất dữ liệu
4 • Tạo và quản lý việc đăng nhập
5 • Thực hành
Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

5.1. CÁC NHÓM
NGƯỜI DÙNG CƠ SỞ DỮ LiỆU
Nhóm
Nhóm Nhóm Nhóm Nhóm
nhân
quản trị thiết kế người nhân
viên
cơ sở cơ sở dùng viên
phát
dữ liệu dữ liệu cuối bảo trì
triển

5.1. CÁC NHÓM
Nhóm
Nhóm Nhóm Nhóm
thiết kế
người nhân viên nhân viên
cơ sở dữ
dùng cuối phát triển bảo trì
Nhóm liệu
quản trị
cơ sở dữ
liệu
Phân quyền truy cập cơ sở dữ liệu
Giám sát quá trình vận hành cơ sở dữ liệu
Sao lưu, khôi phục cơ sở dữ liệu
Phân bổ tài nguyên phần cứng, phần mềm
Xử lý sự cố

5.1. CÁC NHÓM
Nhóm
Nhóm Nhóm Nhóm
quản trị
người nhân viên nhân viên
cơ sở dữ
dùng cuối phát triển bảo trì
liệu Nhóm
thiết kế
cơ sở dữ
liệu
Lựa chọn cấu trúc biểu diễn và lưu trữ dữ liệu
Đặc tả yêu cầu dữ liệu của người sử dụng
Xây dựng khung nhìn dữ liệu phù hợp

5.1. CÁC NHÓM
Nhóm Nhóm
Nhóm Nhóm
quản trị thiết kế
nhân viên nhân viên
cơ sở dữ cơ sở dữ
phát triển bảo trì
liệu liệu
Nhóm
người
dùng cuối
Truy xuất dữ liệu theo yêu cầu

Cập nhật dữ liệu theo hai hình thức
 Trực tuyến
 Theo phiên

5.1. CÁC NHÓM

quản trị thiết kế người nhân viên
cơ sở dữ cơ sở dữ dùng cuối bảo trì
liệu liệu
Nhóm
nhân viên
phát triển
Đặc tả yêu cầu của người sử dụng

Xây dựng hệ thống hướng cơ sở dữ liệu

5.1. CÁC NHÓM

quản trị thiết kế người nhân viên
cơ sở dữ cơ sở dữ dùng cuối phát triển
liệu liệu
Nhóm
nhân viên
bảo trì
Đảm bảo hệ thống hoạt động liên tục

5.2. QUYỀN ĐĂNG NHẬP HỆ THỐNG
Mô hình truy cập
Cơ chế bảo mật
Cơ chế xác thực

5.2.1. MÔ HÌNH TRUY CẬP
USER
Bảo mật CSDL
USER Quyền Các câu

(Permission) lệnh SQL
Xác thực tài
khoản đăng nhập
Vai trò Schema
GROUP (Role) Các đối
Quyền tượng
USER
CSDL

5.2.2. CƠ CHẾ BẢO MẬT CSDL
 CSDL được bảo mật thông qua


Quyền (Permission)
 Quy định các hành động người dùng có thể thực
hiện trên CSDL hoặc các đối tượng CSDL cụ thể
 Vai trò (Role)
 Tập quyền được gán cho người dùng
 Người dùng hoặc nhóm người dùng được
gán các quyền và vai trò nhất định để truy
cập tới CSDL

5.2.3. CƠ CHẾ XÁC THỰC
 SQLServer hỗ trợ hai cơ chế xác thực


Windows Authentication mode
 Xác thực sử dụng tài khoản đăng nhập hệ điều
hành Windows
 SQLServer and Windows Authentication mode
 Tài khoản đăng nhập Windows
 Tài khoản SQLServer

5.2.3. CƠ CHẾ XÁC THỰC
 Chuyển đổi cơ chế xác thực


SSMS cho phép chuyển đổi qua lại giữa các
chế độ xác thực
 SQLServer service cần được restart để sự
chuyển đổi này có hiệu lực

5.3. QUYỀN TRUY XUẤT DỮ LIỆU
Quyền cấp máy chủ
Quyền cấp cơ sở dữ liệu

5.3. QUYỀN TRUY XUẤT DỮ LIỆU

5.3.1. QUYỀN CẤP MÁY CHỦ
ROLE THÀNH VIÊN THUỘC ROLE NÀY CÓ THỂ ...
sysadmin Thực thi bất kỳ thao tác nào trong một thể hiện
SQLServer và trong bất kỳ CSDL. Mặc định, tất
cả thành viên của nhóm Windows built-in
Administrators, tài khoản người dùng sa thuộc
vào server role này
serveradmin Cấu hình SQLServer bằng cách dùng thủ tục
hệ thống sp_configure và có thể kết thúc các
service. Các thành viên của nhóm Windows
built-in Administrators có thể nhận role này

setupadmin Cài đặt và cấu hình linked server, remote

server và replication; Có thể chỉ định một
stored procedure được thực thi lúc khởi động
(vd.: sp_serveroption). Role này được gán cho
nhóm Windows built-in Administrators.
securityadmin Thực hiện tất cả các thao tác liên quan đến
security trong SQL Server, kể cả quản lý các
quyền câu lệnh CREATE DATABASE, điều
khiển server logins, và đọc error log. Role này
được gán cho nhóm Windows built-in
Administrators

processadmin Quản lý các tiến trình chạy các instance của

SQL Server. Có thể ngắt (kill) tiến trình của các
user, các truy vấn.
dbcreator Có thể tạo, hiệu chỉnh, và xóa các CSDL.
diskadmin Có thể quản trị các tập và các thiết bị dự
phòng.
bulkadmin Có thể thực hiện các câu lệnh BULK INSERT.
Cho phép các thành viên của sysadmin làm đại
diện các tác vụ BULK INSERT mà không cần
gán các quyền sysadmin

5.3.2. QUYỀN CẤP CƠ SỞ DỮ LIỆU
ROLE THÀNH VIÊN THUỘC ROLE NÀY CÓ THỂ
db_owner Thực hiện bất kỳ tác vụ trong CSDL của SQL

Server. Các thành viên của role này có cùng
quyền như là chủ của CSDL
db_accessadmin Thêm hay xóa các user và group của Windows và
các user trong một CSDL (dùng thủ tục hệ thống
sp_grantdbaccess).
db_securityadmin Quản lý tất cả các permission, role, role
membership, và chuyển ower (ownership) trong
một CSDL (sử dụng lệnh GRANT, REVOKE, và
DENY).

db_ddladmin Thêm, hiệu chỉnh, xóa các đối tượng trong CSDL
(sử dụng lệnh CREATE, ALTER, và
DROP).
db_backupoperator Chạy các lệnh DBCC, phát hành checkpoint, và
dự phòng CSDL (sử dụng các câu lệnh T- SQL:
DBCC, CHECKPOINT, và BACKUP).
db_datareader Đọc dữ liệu từ bất kỳ các bảng hoặc view của
người dùng trong CSDL (bạn có quyền
SELECT đối với tất cả table và view).

db_datawriter Hiệu chỉnh hoặc xóa dữ liệu từ các bảng hay view của
người dùng trong CSDL (phải có quyền INSERT,
UPDATE, và DELETE đối với tất cả các table và view).
db_denydatareader Không đọc dữ liệu từ bất kỳ bảng trong CSDL (không
có quyền SELECT đối với bất kỳ đối tượng). Có thể
permission on any objects).
db_denydatawriter Không hiệu chỉnh hay xóa dữ liệu từ các bảng của
người dùng trong CSDL (không có quyền INSERT,
UPDATE, và DELETE đối với các đối tượng)

5.4. QUẢN LÝ ĐĂNG NHẬP
Tài khoản đăng nhập
Tài khoản người dùng
Tra cứu thông tin tài khoản

5.4.1. TÀI KHOẢN ĐĂNG NHẬP
 Người dùng kết nối SQLServer thông qua

tài khoản đăng nhập (Login ID)

 Login ID được xem là cơ chế bảo mật cấp
hệ thống (system security), bao gồm

Tên tài khoản
 Mật khẩu

 Quy tắc đặt mật khẩu


Không được để trống hoặc dùng các từ ngữ
thông thường, dễ nhớ
 Không sử dụng tên máy, tên người sử dụng

Có nhiều hơn 8 ký tự
 Phải chứa ít nhất 3 trong số các ký tự sau
 Chữ cái viết hoa
 Chữ cái viết thường
 Chữ số
 Ký tự đặc biệt

 Tạo tài khoản đăng nhập bằng T-SQL


Windows Login ID
CREATE LOGIN <tên đăng nhập> FROM WINDOWS
[WITH [DEFAULT_DATABASE = <Tên cơ sở dữ liệu>]
[, DEFAULT_LANGUAGE = <Ngôn ngữ>]]
 SQLServer Login ID
CREATE LOGIN <Tên đăng nhập>
WITH PASSWORD = 'password‘ [MUST_CHANGE]
[, DEFAULT_DATABASE = <Tên cơ sở dữ liệu>]
[, DEFAULT_LANGUAGE = <Ngôn ngữ>]
[, CHECK_EXPIRATION = {ON|OFF}
[, CHECK_POLICY = {ON|OFF}
 Tạo tài khoản đăng nhập bằng T-SQL


 Tạo tài khoản đăng nhập bằng MSMS


 Tạo Windows login bằng thủ tục hệ thống


Áp dụng đối với thành viên của sysadmin
hoặc securityadmin server roles
THỦ TỤC MÔ TẢ
Tạo một login cho một user hay group

sp_grantlogin ‘login’
của Windows.
Hủy login từ SQL Server đối với các
sp_revokelogin ‘login’
user hay group của Windows .
Ngăn chặn một user hay thành viên của
sp_denylogin ‘login’
Windows kết nối đến SQL Server

 Tạo SQL Server login bằng thủ tục hệ thống


Áp dụng đối với thành viên của sysadmin hoặc
securityadmin server roles
sp_addlogin ‘login’, ‘password’, Tạo một SQL Server login mới.

‘database’, ‘language’
sp_droplogin ‘login’ Xóa một SQL Server login.
sp_password ‘old_pwd’, Thêm hoặc đổi mật khẩu cho SQL
‘new_pwd’, ‘login’ Server login.

 Gán server roles cho login bằng T-SQL


Thành viên của nhóm có thể thêm login vào
nhóm; thành viên nhóm sysadmin thêm login
vào tất cả các nhóm
sp_addsrvrolemember ‘login’, Thêm login như là thành viên của

‘role’ role
sp_dropsrvrolemember ‘login’, Xóa tư cách thành viên nhóm role
‘role’ đối với login

5.4.2. TÀI KHOẢN NGƯỜI DÙNG
 Mỗi Login ID phải được kết nối với một tài

khoản người dùng CSDL (DB user)

 DB user là cơ chế bảo mật cấp cơ sở dữ
liệu (database security), bao gồm;
 Tên người dùng
 Login ID

 Mỗi CSDL có danh sách người dùng được

xác thực để truy cập CSDL đó

 Khi tạo DB User
 User chỉ có quyền chọn ngữ cảnh CSDL,
không có quyền thực thi các thao tác
 Trên CSDL
 Trên các đối tượng của CSDL đó
 User cần được cấp quyền đối tượng và quyền
CSDL

 Tạo tài khoản người dùng bằng T-SQL

CREATE USER <Tên user>

[{FOR|FROM} LOGIN <Tên đăng nhập>]
[WITH DEFAULT_SCHEMA = <Tên schema>]
ALTER USER <Tên user> WITH

[NAME = <Tên user mới>]
[, DEFAULT_SCHEMA = <Tên schema>]
DROP USER <Tên user>

 Tạo tài khoản người dùng bằng T-SQL


 Gán và thu hồi quyền của người dùng

GRANT privilege_name
ON object_name
TO {user_name |PUBLIC |role_name}
[WITH GRANT OPTION]
REVOKE privilege_name
ON object_name
FROM {user_name |PUBLIC |role_name}

 Gán và thu hồi quyền của người dùng

GRANT INSERT ON [dbo].[tblSample]

TO [SSAccount_A] WITH GRANT OPTION
REVOKE INSERT ON [dbo].[tblSample]

TO [SSAccount_A] CASCADE AS [dbo]

 Tạo tài khoản người dùng bằng MSMS


 Gán quyền truy cập CSDL hiện hành cho

Windows hoặc SQL Server login


Áp dụng đối với các thành viên thuộc nhóm
sysadmin, db_accessadmin, db_owner
Thêm login như là tài khoản người

sp_grantdbaccess ‘login’ dùng trong CSDL hiện hành.
Xóa tư cách tài khoản người dùng
sp_revokedbaccess ‘login’
trong CSDL hiện hành đối với login.

 Thay đổi vai trò của tài khoản người dùng

trong CSDL hiện hành


Áp dụng đối với các thành viên thuộc nhóm
sysadmin, db_owner, db_security;
sp_addrolemember ‘role’, Thêm user vào nhóm role trong

‘user’ CSDL hiện hành.
sp_droprolemember ‘role’, Xóa user ra khỏi nhóm role trong
’user’ CSDL hiện hành.

5.4.3. TRA CỨU THÔNG TIN
Trả về thông tin của tất cả tài khoản

sp_helplogins [‘login’] đăng nhập hoặc một login được chỉ
định trong tất cả CSDL
Trả về thông tin của tất cả người dùng

sp_helpuser [‘user’] hoặc một người dùng được chỉ định
trong CSDL hiện hành

5.5. THỰC HÀNH
Sử dụng SSMS
Sử dụng T-SQL
Sử dụng thủ tục hệ thống

THỰC HÀNH QUẢN LÝ TÀI KHOẢN ĐĂNG NHẬP VÀ SỬ DỤNG
CSDL
 Chuẩn bị
1. Tạo tài khoản Windows

 OSAccount_A, OSAccount_B, OSAccount_C
2. Tạo cơ sở dữ liệu
 DBSample
3. Tạo bảng trong CSDL DBSample
 tblSample (A int, B char(10))

CSDL
 Sử dụng SSMS
1. Tạo Windows Login ID

OSAccount_A, CSDL mặc định DBSample
2. Tạo SQLServer Login ID
SSAccount_A, CSDL mặc định DBSample
SSAccount_B, CSDL mặc định DBSample
3. Gắn server role cho Login ID
sysadmin cho OSAccount_A
securityadmin cho SSAccount_A
4. Cấu hình SSAcount_A như là người dùng sử dụng
CSDL mặc định với role là db_owner
5. Truy cập SQLServer với Login SSAcount_A
CSDL
 Sử dụng SSMS (tt)

6. Truy cập SQLServer với Login SSAccount_B (giải thích

kết quả)
7. Tạo User DBUser_B cho Login SSAccount_B
8. Truy cập SQLServer với Login SSAccount_B
 Sử dụng lệnh SELECT * FROM dbo.tblSample (giải thích kết quả)
9. Cấu hình DBUser_B với role db_datareader
10. Gán cho DBUser_B quyền INSERT vào tblSample (có
ủy quyền)
11. Truy cập SQLServer với Login SSAccount_B
 Thực hiện câu lệnh insert into tblSample values (1,’ABC’)

CSDL
 Sử dụng T-SQL

OSAccount_B, CSDL mặc định DBSample
SSAccount_C, CSDL mặc định DBSample
SSAccount_D, CSDL mặc định DBSample
sysadmin cho OSAccount_B
securityadmin cho SSAccount_C
4. Cấu hình SSAcount_C như là người dùng sử
dụng CSDL mặc định với role là db_owner
5. Truy cập SQLServer với Login SSAcount_C

CSDL
 Sử dụng T-SQL (tt)

6. Truy cập SQLServer với Login SSAccount_D (giải thích

kết quả)
7. Tạo User DBUser_D cho Login SSAccount_D
8. Truy cập SQLServer với Login SSAccount_D
9. Cấu hình DBUser_D với role db_datareader
10. Gán cho DBUser_D quyền INSERT vào tblSample (có
ủy quyền)
11. Truy cập SQLServer với Login SSAccount_D
 Thực hiện câu lệnh insert into tblSample values (2,’BCD’)

CSDL
 Sử dụng thủ tục hệ thống


OSAccount_C, CSDL mặc định DBSample
SSAccount_E, CSDL mặc định DBSample
SSAccount_F, CSDL mặc định DBSample
sysadmin cho OSAccount_C
securityadmin cho SSAccount_E
4. Cấu hình SSAcount_E như là người dùng sử dụng
CSDL mặc định với role là db_owner
5. Truy cập SQLServer với Login SSAcount_E
CSDL
 Sử dụng T-SQL (tt)

6. Truy cập SQLServer với Login SSAccount_F

(giải thích kết quả)
7. Tạo User DBUser_F cho Login SSAccount_F
8. Truy cập SQLServer với Login SSAccount_F
 Sử dụng lệnh SELECT * FROM dbo.tblSample (giải
thích kết quả)
9. Cấu hình DBUser_F với role db_datareader

Hệ Quản Trị Cơ Sở Dữ Liệu

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Hệ Quản Trị Cơ Sở Dữ Liệu

Uploaded by

Copyright:

Available Formats

HỆ QUẢN TRỊ CƠ SỞ DỮ LIỆU

QUẢN TRỊ NGƯỜI DÙNG SQLSERVER

1 • Các nhóm người dùng CSDL

2 • Quyền đăng nhập hệ thống

3 • Quyền truy xuất dữ liệu

4 • Tạo và quản lý việc đăng nhập

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Truy xuất dữ liệu theo yêu cầu

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Nhóm Nhóm Nhóm Nhóm

Đặc tả yêu cầu của người sử dụng

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Nhóm Nhóm Nhóm Nhóm

Đảm bảo hệ thống hoạt động liên tục

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Mô hình truy cập

Cơ chế bảo mật

Cơ chế xác thực

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

USER Quyền Các câu

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

 CSDL được bảo mật thông qua

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

 SQLServer hỗ trợ hai cơ chế xác thực

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

 Chuyển đổi cơ chế xác thực

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Quyền cấp máy chủ

Quyền cấp cơ sở dữ liệu

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

ROLE THÀNH VIÊN THUỘC ROLE NÀY CÓ THỂ ...

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

ROLE THÀNH VIÊN THUỘC ROLE NÀY CÓ THỂ ...

setupadmin Cài đặt và cấu hình linked server, remote

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

ROLE THÀNH VIÊN THUỘC ROLE NÀY CÓ THỂ ...

processadmin Quản lý các tiến trình chạy các instance của

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

ROLE THÀNH VIÊN THUỘC ROLE NÀY CÓ THỂ

db_owner Thực hiện bất kỳ tác vụ trong CSDL của SQL

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

ROLE THÀNH VIÊN THUỘC ROLE NÀY CÓ THỂ

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

ROLE THÀNH VIÊN THUỘC ROLE NÀY CÓ THỂ

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

Tài khoản đăng nhập

Tài khoản người dùng

Tra cứu thông tin tài khoản

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

 Người dùng kết nối SQLServer thông qua

tài khoản đăng nhập (Login ID)

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

 Quy tắc đặt mật khẩu

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

 Tạo tài khoản đăng nhập bằng T-SQL

 Tạo tài khoản đăng nhập bằng T-SQL

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn

 Tạo tài khoản đăng nhập bằng MSMS

Ths. Trịnh Hoàng Nam, namth@buh.edu.vn