ใบความรู้หน่วยที่ 5

หน่วยที่ 5

การรักษาความปลอดภัยของข้อมูล

 

วัตถุประสงค์พฤติกรรม (Bahavioral Objectives)

หลักจากศึกษาจบบทเรียนนี้แล้ว นักศึกษาจะมีความสามารถดังนี้

 

1. ศึกษาระบบรักษาความปลอดภัยของ SQL Server 7.0

2. เข้าใจการจัดการกับล็อคอินของเซิร์ฟเวอร์

3. อธิบายการตั้งค่าปฏิบัติการให้บทบาทของเซิร์ฟเวอร์

4. บอกวิธีการควบคุมการเข้าถึงและการจัดการกับฐานข้อมูล

5. แสดงตัวอย่างการจัดการกับการอนุญาตสิทธิ์ของฐานข้อมูล

6. จัดบอร์ดเชิงปฏิบัติการ “การรักษาความปลอดภัยของข้อมูล”

7. สนทนาเชิงปฏิบัติการ “บทบาท (Role)” (1.บทบาทของเซิร์ฟเวอร์ที่ใช้ในระดับของเซิร์ฟเวอร์ 2. บทบาทของฐานข้อมูลที่ใช้ในระดับของฐานข้อมูล)

8. สนทนาเชิงปฏิบัติการ “การควบคุมการเข้าถึงและการจัดการกับฐานข้อมูล”

9. สนทนาเชิงปฏิบัติการ “การจัดการกับการอนุญาตสิทธิ์ของฐานข้อมูล”

10. อธิบายคำศัพท์ได้ 12 คำ

 

บทที่5

การรักษาความปลอด ภัยของข้อมูล

 

ปัจจุบันมีการนำเอา Microsoft SQL Sever 7.0 มา ใช้งานเพิ่มขึ้นทั้งภายในและภายนอกองค์กรในฐานะที่คุณเป็นผู้ควบคุมระบบจึง ต้องบริหารการเข้าข้อมูลอย่างมีประสิทธิภาพให้แก่ผู้ใช้ที่เป็นพนักงาน บริษัทภายนอกและผู้ใช้ การตั้งค่าปฏิบัติการให้กับการอนุญาตสิทธิ์ในการเข้าสู่ระบบ และการกำหนดบทบาทซึ่งการอนุญาตสิทธ์และบทบาทที่คุณกำหนดขึ้นมาให้จะกำหนดว่า ผู้ใช้สามารถทำอะไรได้บ้างและเข้าถึงข้อมูลประเภทใด

        เป้าหมายหลักในการจัดการกับระบบรักษาความปลอดภัยที่ควรจะเป็น  คือ

  •  ทำ ความสมดุลกับความต้องการในการเข้าถึงฐานข้อมูลของผู้ใช้ได้ในขณะเดียวกัน สามารถป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้าใช้งานในฐานข้อมูล
  • กำจัดสิทธ์ของฐานข้อมูล จึงทำให้ผู้ใช้อื่น ๆ  ไม่สามรถเข้ามาทำการเรียกใช้คำสั่งและโพรซิเดอร์ต่าง ๆ ทำงาน ที่อาจทำให้เกิดความเสียหายแก่ระบบได้  (ไม่ว่าจะเป็นการจงใจเข้ามาคุกคามระบบหรือโยบังเอิญ
  • ปิดช่องทางความปลอกภัยอื่น ๆ ซึ่งอาจเกิดจากผู้ใช้ทั่ว ๆ ไป ที่เป็นสมาชิกกลุ่มควบคุมระบบของ Windows NT

ระบบรักษาความปลอดภัยของ SQL Sever 7.0

ผู้ใช้สามารถทำการควบคุมการเข้าถึงฐานข้อมูลโยใช้องค์ประกอบต่างๆของแบบ จำลองระบบรักษาความปลอดภัยที่มีอยู่ใน SQL Sever  ซึ่งองค์ประกอบต่างๆ มีดังนี้

1.โหมดการยืนยันสิทธิ์ของ  SQL Sever  ( SQL Sever  Authentication Mode)

2. ล็อกอินเซิร์ฟเวอร์ (Sever login)

3.การอนุญาตสิทธ์ (Permission)

4. บทบาท (Role)

  1. โหมดการยืนยันสิทธิ์ของ  SQL Sever  มีการยืนยันสิทธ์อยู่ 2 แบบ คือ
  • Windows NT  Authentication เท่านั้น ทำงานได้ดีที่สุดเมื่อมีการเข้าถึงฐานข้อมูลภายในองค์กรเท่านั้น
  • ระบบรักษาความปลอดภัยแบบผสม ทำงานำได้ดีที่สุดเมื่อมีการเข้าถึงฐานข้อมูล

จากผู้ใช้ภายนอกหรือเมื่อคุฯณไม่ได้ใช้โดเมนของวินโดว์

ผู้ ใช้สามรถตั้งค่าปฏิบัติการให้โหมดของระบบรักษาความปลอดภัยเหล่านี้ระดับ เซิร์ฟเวอร์และสามารถนำไปใช้กับฐานข้อมูลทั้งหมดในเครื่องเซิร์ฟเวอร์ได้

 

 

Windows NT Authentication

ด้วย  Windows NT Authentication นั้น สามรถใช้บัญชีรายชื่อของผู้ใช้และของกลุ่มที่มีอยู่ในโดเมนวินโดว์เพื่อใช้ ยืนยันสิทธ์ได้ ซึ่งให้ผู้โดเมนสามารถเข้าถึงฐานข้อมูลได้ โดยไม่ต้องใช้ Login ID และรหัสผ่าน SQL Sever  ประโยชน์คือ ผู้ใช้โดเมนไม่ต้องเก็บการติดตามของรหัสผ่ายหลาย  ๆ ตัว และถ้าหากต้องการเปลี่ยนแปลรหัสผ่านของโดเมนที่ไม่มีผลต่อรหัสผ่านของ SQL Sever   แต่อย่างใด อย่างไรก็ตาม ผู้ใช้ยังต้องทำงาที่ขึ้นอยู่กับเกณฑ์ต่าง ๆ ของแบบจำลองระบบรักษาความปลอดภัยของวินโดว์อยู่ กล่าวคือ สามารถใช้โมเดลระบบรักษาความปลอดภัยของวินโดว์ในการล็อคอินบัญชีรายชื่อ ตรวจสอบล็อคอิน ละบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นระยะ  ๆ ได้

        เมื่อใช้  Windows NT Authentication แล้ว  SQL Sever   จะมีการรองรับผู้ใช้โดยอัตโนมัติโดยตั้งอยู่บนพื้นฐานของชื่อบัญชีรายชื่อ ผู้ใช้ หรือสมาชิกของกลุ่ม ถ้าผู้ใช้หรือกลุ่มของผู้ใช้นั้นได้รับอนุญาตให้ทำการเข้าถึงฐานข้อมูลได้ ผู้ใช้สามารถเข้าถึงฐานข้อมูลโดยอัตโนมัติ โดยค่าเริ่มต้นนั้นจะมีบัญชีรายชื่อผู้ใช้ภายในเครื่อง 2 ชื่อ ที่ถูกแก้ไขให้สามรถเข้าใช้งาน SQL Sever    ซึ่งคือ บัญชีรายชื่อของกลุ่ม Administrator ภายในละบัญชีรายชื่อของผู้ใช้ที่เป็น  Administrator ของเครื่องนั้น บัญชีรายชื่อภายในเครื่องจะถูกแสดงผลเป็น BULTIN  หรือ  COM-PUTERNAME ใน Enterprise Manager เช่น  Administrator จะถูกแสดงเป็น BULTINAdministrators

ระบบรักษาความปลอดภัยแบบผสมและล็อคอิน   SQL Sever 

        การใช้งานระบบรักษาความปลอดภัยแบบผสม คือ การใช้การยืนยันสิทธ์ของ   Windows NT และการล็อคอินของ   SQL Sever   ร่วมกัน ล็อคอินของ SQL Sever เป็นวิธีหลักที่ใช้โดยผู้ใช้ภายนอกบริษัท เช่น ผู้ใช้ฐานข้อมูลผ่านระบบอินเตอร์เน็ต แอพพลิเคชันที่สามารถเข้าถึง SQL Sever   จากอินเตอร์เน็ตที่อาจถูกตั้งค่าปฏิบัติการให้ใช้บัญชีรายชื่อผู้ใช้ที่ได้ ระบุไว้โดยอัตโนมัติหรือมีกรอบโต้ตอบให้ผู้ใช้กรอก Login ID และรหัสผ่านของ SQL Sever ก็ได้

        การใช้งานระบบรักษาความปลอดภัยแบบผสม ตอนแรก SQL Sever  จะตรวจสอบว่าผู้ใช้กำลังทำการติดต่อโดยล็อคอินของ SQL Sever  ที่ถูกต้องหรือไม่ ถ้าผู้ใช้มีล็อคอินและรหัสผ่านที่ถูกต้อง การติดต่อของผู้ใช้จะถูกตอบรับ ถ้าผู้ใช้มีรายชื่อที่ใช้ในการล็อคอินถูกต้องแต่มีรหัสผ่านที่ไม่ถูกต้อง การติดต่อของผู้ใช้ก็จะถูกปฏิเสธ SQL Sever   จะตรวจสอบว่าข้อมูลของบัญชีรายชื่อที่มีอยู่ใน   Windows NT  ถ้าผู้ใช้ล็อคอินไม่ถูกต้องเท่านั้น  ซึ่งในที่นี้   SQL Sever  จะตรวจสอบว่าบัญชีรายชื่อของผู้ใช้  Windows NT   นั้นได้รับการอนุญาตให้ติดต่อกับเซิร์ฟเวอร์ได้หรือไม่  ถ้าบัญชีรายชื่อนั้นได้รับอนุญาต  ก็มีการตอบรับการติดต่อ แต่ถ้าไม่เป็นเช่นนั้นก็จะถูกปฏิเสธการติดต่อ

        ฐานข้อมูลทั้งหมดที่มีอยู่ใน  SQL Sever   จะมีล็อคอินที่ถูกสร้างขึ้นมาพร้อมกับ SQL Sever   อยู่แล้วด้วยจุดประสงค์พิเศษ ซึ่งล็อคอินเหล่านี้คือ sa, guest และ dbo

  1. ล็อคอินเซิร์ฟเวอร์

สามารถตั้งค่าปฏิบัติการให้ทำการเข้าถึง SQL Sever   ได้โดยมีการล็อคอินของเซิร์ฟเวอร์หรือบทบาท หรือทั้งคู่ การมีโหมดในการยืนยันสิทธิ์ 2 โหมดนั้นทำให้มีการล็อคอินของเซิร์ฟเวอร์ 2 ประเภท ผู้ใช้สามารถสร้างล็อคอินของโดเมนโดยใช้บัญชีรายชื่อของโดเมน ซึ่งสามารถเป็นบัญชีรายชื่อของผู้ใช้ บัญชีรายชื่อของกลุ่มแบบภายในเครื่อง หรือบัญชีรายชื่อของกลุ่มแบบ Global ได้ ผู้ใช้สามารถสร้างล็อคอินของ SQL Sever โดยระบุ Login ID และรหัสผ่านที่ไม่ซ้ำกัน มีล็อคอินหลายชื่อที่มีการตั้งค่าปฏิบัติการเอาไว้แล้ว ประกอบด้วย

  • กลุ่ม  Administrator  ภายในเครื่อง
  • บัญชีรายชื่อของ  Administrators ภายในเครื่อง
  • ล็อคอิน sa
  • ล็อคอิน guest (เป็นล็อคอินที่ถูกตั้งค่าปฏิบัติการไว้ แต่จะไม่ทำงานโดยอัตโนมัติ)
  • ผู้ใช้ที่ชื่อ dbo (ผู้ใช้ที่ชื่อ dbo ผู้ใช้ฐานข้อมูลพิเศษ)

การทำงานด้วย  Administrators

Administrator เป็นกลุ่มที่ผู้ใช้ที่มีอยู่ภายใน Database Sever โดยปกติแล้วสมาชิกของกลุ่มจะรวมถึงบัญชีรายชื่อภายในเครื่องที่มีสิทธ์เป็น Administrator และผู้ที่ใช้อื่น ๆ ที่ถูกกำหนดให้เป็นผู้ควบคุมระบบภายในเครื่องใน   SQL Sever   กลุ่มนี้จะถูกกำหนดให้ได้รับอนุญาตเป็น System Administrator (Sysadmin) ดดยบทบาทของเซิร์ฟเวอร์ตามค่าเริ่มต้น

การทำงานกับ  Administrator

            Administrator เป็นบัญชีรายชื่อของผู้ที่อยู่ภายในเซิร์ฟเวอร์ บัญชีรายชื่อนี้จะทำให้เป็นผู้มีสิทธ์ในระดับผู้บริหารระบบในระบบภายใน เครื่อง และในเบื้องต้นนั้นสามารถใช้บัญชีรายชื่อนี้ได้เมื่อติดตั้งระบบ หาดเครื่องเซิร์ฟเวอร์เป็นส่วนหนึ่งของโดเมน   Windows NT   แล้วโดยปกติบัญชีรายชื่อที่ชื่อ Administrator จะมีสิทธ์พิเศษของโดเมนการใช้บัญชีรายชื่อนี้ใน SQL Sever จะได้รับอนุญาตให้เป็นผู้ที่มีบทบาทเป็น    System Administrator ของเซิร์ฟเวอร์โดยค่าเริ่มต้น

หมายเหตุ    ใน  Enterprise Manager บทบาทของเซิร์ฟเวอร์จะถูกบอกด้วยชื่อเต็ม   System Administrator และ  

                    ชื่อปกติ เช่น  Sysadmin แต่เมื่ออ้างถึงบทบาทของเซิร์ฟเวอร์ในโพรซิเดอร์ หรือ Transaction- 

                SQL ให้ใช้ชื่อปกติ เช่น Sysadmin ใน   SQL Sever    ไม่มีชื่อเต็มสำหรับบทบาทของ

                      ฐานข้อมูล ซึ่งไม่ตรงกับข้อกำหนดก่อนสำหรับบทบาทของเซิร์ฟเวอร์

 

การทำงานกับล็อคอิน  sa

            ล็อคอิน sa เป็นบัญชีรายชื่อของผู้ควบคุมระบบของ  SQL Sever   ด้วยรูปแบบของระบบรักษาความปลอดภัยใหม่ที่ถูกรวบรวมและเพิ่มเติมขึ้นนั้น ล็อคอิน sa  จะไม่จำเป็นอีกต่อไป และโดยหลัก ๆ แล้วล็อคอินนี้จะถูกจัดทำขึ้นให้สามารถใช้ได้กับเวอร์ชันที่แล้ว ถ้าเป็นการล็อคของผู้ควบคุมระบบคนอื่นนั้น sa จะได้รับอนุญาตให้เป็นผู้ที่มีบทบาทเป็น System Administrator  ของเซิร์ฟเวอร์ ดดยค่าเริ่มต้น เมื่อเริ่มต้น เมื่อติดตั้ง SQL Sever    การล็อคอิน sa  จะไม่ถูกกำหนดรหัสผ่าน ดังนั้น จึงควนกำหนดรหัสผ่านเพื่อปกกันผู้ที่ไม่ได้รับอนุญาตเข้าถึงเซิร์ฟเวอร์

การทำงานกับล็อคอิน Guest

            ล็อคอิน Guest เป็นล็อคอินพิเศษที่สามารถเพิ่มให้ฐานข้อมูล เพื่อยอมให้ใครก็ตามที่มีล็อคอินของ SQL Sever    เข่าเข้าถึงฐานข้อมูลได้ ผู้ที่เข้าถึงฐานข้อมูลโดยใช้บัญชีรายชื่อ Guest จะถูกกำหนดให้เป็นผู้ใช้ Guest  และได้รับการถ่ายทอดสิทธิ์จากการอนุญาตสิทธ์ต่างๆ ของบัญชีรายชื่อ Guest เช่น หากตั้งค่าปฏิบัติการให้บัญชีรายชื่อของโดเมน GOTEAM ให้เข้าถึง SQL Sever ได้ซึ่ง GOTEAM             สามารถเข้าถึงฐานข้อมูลโดยใช้ล็อคอิน Guest  ได้ ดังนั้น เมื่อ   GOTEAM   เข้าถึงฐานข้อมูลด้วยล็อคอิน Guest บุคคลนั้นจะได้รับการถ่ายทอดทั้งหมดจากบัญชีรายชื่อ Guest   ด้วย

        โดยค่าเริ่มต้นแล้วล็อคอิน Guest ไม่มีอยู่ในฐานข้อมูลที่สร้างขึ้นมาใหม่ แต่สามารถสร้างหรือลบออกจากฐานข้อมูลได้ยกเว้นฐานข้อมูล Master และ Tempdb ผู้ใช้ส่วนใหญ่จะเข้าถึงฐานข้อมูล Master และ Tempdb

เป็น Guest จึงไม่สามารถลบบัญชีรายชื่อในชื่อ Guest ออกจากฐานข้อมูลเหล่านี้ได้ แต่ไม่ต้องกังวลเพราล็อคอิน Guest   มีสิทธ์จำกัดในการทำงานฐานข้อมูล Master และ Tempdb

            ก่อนการใช้ล็อคอิน Guest ควรบันทึกสิ่งเหล่านี้ไว้

  • การล็อคอิน  Guest  เป็นสมาชิกของบทบาทของเซิร์ฟเวอร์ Public และสามารถรับการถ่ายทอดสิทธิ์จากบทบาทนี้
  • บัญชีรายชื่อ Guest ต้องถูกกำหนดให้ฐานข้อมูล  ก่อนที่จะมีใครสามารถเข้าถึงฐานข้อมูลในฐานะ   Guest ได้
  • ล็อคอิน Guest มีการใช้เมื่อบัญชีรายชื่อของผู้ใช้มีการเข้าถึง  SQL Sever เท่านั้น แต่จะไม่สามารถเข้าถึงฐานข้อมูลได้โดยใช้บัญชีรายชื่อของผู้ใช้นี้

การทำงานกับ dbo

        เจ้าของฐานข้อมูลหรือ dbo ผู้ใช้ประเภทพิเศษของฐานข้อมูลและสามารถได้รับสิทธิ์พิเศษ กล่าวคือ ผู้ใช้ที่เป็นผู้สร้างฐานข้อมูลถือเป็นเจ้าของฐานข้อมูล dbo จะได้รับการถ่ายทอดสิทธิ์ทั้งหมดในฐานข้อมูล และสามารถถ่ายทอดสิทธิ์เหล่านี้ไปยังผู้ใช้คนอื่น ๆ ได้ เนื่องจากสมาชิกของผู้ที่มีบทบาทเป็น  System Administrator ของเซิร์ฟเวอร์ถูกแม็ปกับผู้ที่ใช้ dbo ที่มีสิทธิ์พิเศษโดยอัตโนมัติ การลบ็อคอินโดยใช้บทบาทของ System Administrator จึงสามารถทำงานได้ทุกอย่างเหมือนกับ dbo

            อ็อปเจ๊กที่ถุกสร้างขึ้นในฐานข้อมูลของ  SQL Sever   ก็มีเจ้าของเช่นเดียวกัน เจ้าของถูกอ้างถึงเป็นเจ้าของอ็อปเจ็คต์ของฐานข้อมูล อ็อปเจ็คต์ที่ถูกสร้างขึ้นโดยสมาชิกที่มีบทบาทเป็น  System Administrator   ของเซิร์ฟเวอร์นั้นจะถือว่าเป็นของผู้ใช้ dbo โดยอัตโนมัติ อ็อปเจ็คต์ที่ไม่ได้ถูกสร้างขึ้นโดยสมาชิกผู้ที่มีบทบาทเป็น System Administrator ของเซิร์ฟเวอร์จะถือว่าเป็นของผู้ใช้ที่สร้างอ็อปเจ็คต์ของเซิร์ฟเวอร์และ สร้างตารางชื่อ Sales เป็นของ dbo และมีคุณสมบัติครบถ้วนที่จะเป็น dbo.Sales หรือ Sales แต่ถ้าหาก GOTTEAM ไม่ได้เป็นสมาชิกของผู้ที่มีบทบาทเป็น  System Administrator  ของเซิร์ฟเวอร์ แต่ได้สร้างตารางชื่อ Sales ขึ้นมาจะถือว่า Sales  เป็นของ  GOTEAM และมีคุณสมบัติครบถ้วนที่จะเป็น  GOTEAM. Sales

หมายเหตุ      ทางด้านเทคนิค dbo ไม่ใช่การล็อคอินพิเศษ จึงไม่สามารถล็อคอินเข้าสู่เซิร์ฟเวอร์หรือฐานข้อมูลได้ในฐานะ dbo แต่เราเป็นผู้สร้างฐานข้อมูลหรือกลุ่มของอ็อปเจ็คต์ในฐานข้อมูลนั้น

  1. การอนุญาตสิทธิ์

การอนุญาตสิทธิ์เป็นการกำหนดให้ผู้ใช้สามารถทำงานกับ  SQL Sever     หรือฐานข้อมูลที่ได้รับสิทธิ์ตาม Login ID   สมาชิกของกลุ่ม และสมาชิกของบทบาท ผู้ใช้ต้องได้รับการอนุญาตสิทธ์ที่เหมาสมก่อน พวกเขาจึงสามารถทำการเปลี่ยนแปลงการกำหนดของฐานข้อมูลหรือการเข้าถึงฐาน ข้อมูล ซึ่งใน  SQL Sever    มีการอนุญาตสิทธิ์อยู่ 3 ประเภท   คือ

1.การอนุญาตสิทธ์ของอ็อปเจ็คต์

2. การอนุญาตสิทธิ์ของคำสั่ง

3. การอนุญาตสิทธิ์เต็มที่

  1. การอนุญาตสิทธ์ของอ็อปเจ็คต์

การอนุญาตสิทธ์ของอ็อปเจ็คต์จะควบคุมการเข้าถึงตาราง วิว คอลัมน์ และ Stored Procedure ซึ่งสามารถควบคุมการเข้าถึงอ็อปเจ็คต์เหล่านี้ได้ โดยการอนุญาตสิทธิ์ การปฏิเสธ หรือการยกเลิกความสามารถในการประมวลผลคำสั่ง หรือ Stored Procedure เช่น สามารถอนุญาตให้ผู้ใช้สามารถใช้คำสั่ง SELECT เข้อมูลชึ้นมาจากตารางได้ แต่ไม่ให้สิทธิ์ในการ Insert, Update หรือ Delete

การอนุญาตสิทธิ์ของอ็อปเจ็กต์

ประเภทของอ็อปเจ็คต์

การกระทำที่เป็นไปได้

Column

Select    Update

Row

N/A (ถูกกำหนดที่ระดับของตารางซึ่งอาจมีผลกระทบกันหลาย ๆ คอลัมน์)

Stored Procedure

Execute

Table

Select, Insert, Update, Delete และ References

View

Select, Insert, Update และ Delete

 

2.  การอนุญาตสิทธิ์ของคำสั่ง

            การอนุญาตสิทธิ์ของคำสั่งจะควบคุมการจัดการต่าง ๆ เช่น การสร้างฐานข้อมูล หรือการเพิ่มอ็อปเจ็คต์ให้กับฐานข้อมูล ซึ่งมีเพียงสมาชิกที่อยู่ในบทบาทของ  System Administrator และเจ้าของฐานข้อมูลเท่านั้นที่สามารถกำหนดการอนุญาตสิทธิ์ของคำสั่งได้ โดยค่าเริ่มต้นแล้วการล็อคอินปกติจะไม่ได้อนุญาตให้มีการอนุญาตสิทธิ์ของคำ สั่ง ผู้ใช้จะต้องระบุการอนุญาตสิทธอ์แก่ล็อคอินที่ไม่ใช่ผู้จัดการระบบ เช่น ถ้าผู้ใช้ต้องการให้มีการสร้างวิวในฐานข้อมูลได้ ผู้ใช้ต้องกำหนดให้ล็อคอินของผู้ใช้สามารถใช้ Create View ได้

การอนุญาตสิทธิ์ของคำสั่ง

การอนุญาตสิทธิ์

คำอธิบาย

Create Database

กำหนดว่าล็อคอินนั้นสามารถสร้างฐานข้อมูลได้ ผู้ใช้จะต้องอยู่ในฐานข้อมูล  Master หรือเป็นสมาชิกของผู้ที่มีบทบาทเป็น System Administrator ของเซิร์ฟเวอร์

Create Default

กำหนดว่าผู้ใช้สามารถสร้างค่าเริ่มต้นให้แก่คอลัมน์ของตารางได้

Create Procedure

กำหนดว่าผู้ใช้สามารถสร้าง  Stored Procedure   ได้

Create Rule

กำหนดว่าผู้ใช้สามารถสร้างกฎของคอลัมน์ของตารางได้

Create Table

กำหนดว่าผู้ใช้สามารถสร้างตารางได้

Create View

เป็นการกำหนดให้ผู้ใช้สามารถสร้างวิว ได้

Backup  Database

กำหนดให้ผู้ใช้สามารถสำรองข้อมูลได้

Backup Log

กำหนดว่าผู้ใช้สามารถสำรอง Transaction Log ได้

 

3. การอนุญาตสิทธิ์เต็มที่

สมาชิก ของบทบาทของระบบที่ได้กำหนดไว้ก่อนในฐานข้อมูล/เจ้าของอ็อปเจ็คต์ของฐาน ข้อมูลเท่านั้นที่สามารถปฏิบัติงานกับการอนุญาตสิทธิ์เต็มที่ได้  การอนุญาตสิทธิ์เต็มที่สำหรับบทบาทไม่สามารถเปลี่ยนหรือประยุกต์ใช้กับบัญชี รายชื่ออื่น ๆ ได้ (ยกเว้นบัญชีรายชื่อเหล่านี้เป็นสมาชิกของบทบาท)  เช่น สมาชิกของ  System Administrator   สามารปฏิบัติงานใด ๆ ใน SQL Sever   ได้ พวกเขาสามารถขยายฐานข้อมูล หรือยกเลิกการทำงานได้ คุณไม่สามารถยกเลิกหรือให้สิทธิ์เหล่านี้แก่บัญชีรายชื่ออื่น ๆ ได้ ฐานข้อมูลเจ้าอ็อปเจ็คต์ฐานข้อมูลจะได้รับสิทธิ์การอนุญาตสิทธิ์เต็มที่นี้ ด้วย ซึ่งเป็นการอนุญาตให้ปฏิบัติงานใด ๆ ทั้งในฐานข้อมูลและอ็อปเจ็คต์ที่ตนเป็นเจ้าของได้ เช่น ผู้ใช้ที่เป็นเจ้าของตารางจะสามารถดู เพิ่ม เปลี่ยนแปลง ลบข้อมูล และสามารถเปลี่ยนแปลงรายละเอียดในตารางและควบคุมการอนุญาตของตาราได้ด้วย

  1. บทบาท (Role)

บทบาทคล้ายกับการ  Windows NT   มาก คือ ยอมให้คุณสามารถกำหนดการอนุญาตสิทธิ์ให้แก่กลุ่มของผู้ใช้ได้ง่าย และมีการอนุญาตที่ถูกสร้างมาให้พร้อมกับระบบ (การอนุญาตสิทธิ์เต็มที่) ซึ่งสามารถเปลี่ยนแปลงได้ บทบาทมี 2  ประเภท  คือ

  1. บทบาทของเซิร์ฟเวอร์ ใช้ที่ระดับเซิร์ฟเวอร์
  2. บทบาทของฐานข้อมูล ใช้ระดับฐานข้อมูล
  3. บทบาทของเซิร์ฟเวอร์

ผู้ใช้บทบาทของเซิร์ฟเวอร์ในการอนุญาตให้สามารถควบคุมระบบของเซิร์ฟเวอร์ ได้  ถ้าผู้ใช้ทำการสร้างล็อคอินให้กับสมาชิกของของบทบาท ผู้ใช้ที่ใช้ล็อคอินนี้สามารถปฏิบัติงานตามบทบาทที่ได้รับอนุญาตไว้ได้  เช่น  สมาชิกที่มีบทบาทเป็น  System Administrator   จะได้รับการอนุญาตสิทธิ์มากที่สุดใน SQL Sever และสามารถปฏิบัติงานใด ๆ ก็ได้

            บทบาทของเซิร์ฟเวอร์จะถูกกำหนดที่ระดับเซิร์ฟเวอร์และมีการกำหนดไว้ก่อน  ซึ่งหมายความว่าการอนุญาตสิทธิ์เหล่านี้จะมีผลต่อเซิร์ฟเวอร์ทั้งหมดและไม่ สามารถเปลี่ยนแปลงการกำหนดการอนุญาตสิทธิ์นี้ได้ ซึ่งส่วนต่อว่าจะแสดงสรุปบทบาทของเซิร์ฟเวอร์แต่ละประเภทจากระดับต่ำสุด (ผู้สร้างฐานข้อมูล)จนระดับสูงสุด (System Administrator   )

            ผู้สร้างฐานข้อมูล (DBcreator)  บทบาทของ dbcreator นั้นถูกออกแบบเพื่อใช้กับผู้ใช้ที่ต้องการสร้างหรือปรับปรุงแก้ไขฐานข้อมูล สมาชิกที่อยู่ในบทบาทนี้สามารถเพิ่มสมาชิกไปใช้กับผู้ที่ต้องการจัดการกับ ไฟล์ของดิสก์ สมาชิกของบทบาทนี้สามารถเพิ่มสมาชิกไปใน dbcretor สามารถใช้คำสั่ง ALTER DATABASE, CREATEDATABASE และ sp_rcnamedb ได้

            ผู้ควบคุมระบบดิสก์ (Diskadmin)  บทบาทของ Diskadmin ถูกออกแบบเพื่อใช้กับผู้ใช้ที่ต้องการจัดการกับไฟล์ของดิสก์ สมาชิกของบทบาทนี้สามารถเพิ่มสมาชิกไปใน Diskadmin และสามารถใช้คำสั่ง DISK INIT, DISK MIRROR, DISK REEIT, DISK REINIT,DISK REMIRROR, sp_addumpdevice, sp_diskdefault และ sp_dropdevice ได้

            ผู้ควบคุมระบบประมวลผล (Processadmin) บทบาทของ Processadmin ถูกออกแบบเพื่อให้ใช้กับผู้ใช้ที่ต้องการควบคุมการประมวลผลของ SQL Sever    สมาชิกที่อยู่ในบทนี้สามารถเพิ่มสมาชิกไปใน   Processadmin และสามารถยกเลิกการประมวลผลได้

            ผู้ควบคุมระบบความรักษาความปลอดภัย (Securityadmin) บทบาทของ Securityadmin ถูกออกแบบเพื่อให้ใช้กับผู้ใช้ซึ่งต้องการจัดการกับล็อคอิน สร้างการอนุญาตสิทธิ์ให้กับฐานข้อมูลและอ่านไฟล์ Log ที่เป็นข้อผิดพลาด สมาชิกที่อยู่ในบทบาทนี้สามารถเพิ่มสมาชิกไปใน Securityadmin และสามรถอนุญาต ปฏิเสธ และยกเลิกการ create Database และอ่านไฟล์ Log ได้ พวกเขาสามารถทำงานต่าง ๆ ดังนี้ได้ sp_addlinkedsrvlogin, sp_addlogin, sp_defaultdb,

Sp_dfaultlanguage,  sp_denylohin, sp_droplinkedsrvlogin, sp_droplogin, sp_grantlogin, sp_helplogins, sp_remoteoption และ sp_revokelogin

            ผู้ควบคุมเซิร์ฟเวอร์ (Severadmin)  บทบาทของ severadmin ถูกออกแบบเพื่อให้ใช้กับผู้ใช้ที่ต้องการกำหนดตัวเลือกของการตั้งค่าปฏิบัติ การให้กับเซิร์ฟเวอร์และการปิดเครื่องเซิร์ฟเวอร์ สมาชิกในกลุ่มนี้สามารถเพิ่มสมาชิกไปใน severadmin   และสามารถใช้คำสั่ง DBCC PINTABLE, RECONFIGURE, SHUTDOWN, sp_configure และ sp_tableoption ได้

          ผู้ควบคุมระบบติดตั้ง (Setupadmin) บทบาทของ Setupadmin   กูกออกแบบเพื่อให้ใช้กับผู้ใช้ที่ต้องการจัดการเซิร์ฟเวอร์ที่ต้องการ เชื่อมต่อกันอยู่และการควบคุมกระบวนการในตอนเริ่มใช้งาน สมาชิกในกลุ่มนี้สามารถเพิ่มสมาชิกไปใน Setupadmin และสามารถเพิ่ม ลบ และตั้งค่าปฏิบัติการให้กับเซิร์ฟเวอร์ที่ต้องการเชื่อมต่ออยู่ และสามารถควบคุมขั้นตอนการเริ่มใช้งานได้

          ผู้ควบคุม (Sysadmin)  บทบาทของ Sysadmin ถูกออกแบบ เพื่อให้ใช้กับผู้ใช้ที่ต้องการควบคุมการทำงานของ SQL Sever    และติดตั้งฐานข้อมูลทั้งหมด สมาชิกในกลุ่มนี้สามารถทำงานได้ทุกอย่าง

  1. บทบาทของฐานข้อมูล

เมื่อผู้ใช้ต้องการกำหนดการอนุญาตสิทธิ์ที่ระดับฐานข้อมูล  สามารถใช้บทบาทของฐานข้อมูลได้  บทบาทของฐานข้อมูลจะถูกกำหนดให้ตั้งให้อยู่บนพื้นฐานต่อฐานข้อมูล หมายความว่า ฐานข้อมูลแตะละตัวจะมีบทบาทเป็นของตัวเอง ซึ่ง SQL Sever   7.0 ให้การสนับสนุนบทบาทของฐานข้อมูลอยู่ 3 ประเภท

  1. 2.1     บทบาทมาตรฐานที่ผู้ใช้กำหนดขึ้น
  2. 2.2     บทบาทของแอพพริเคชันที่ผู้ใช้กำหนดขึ้น
  3. 2.3     บทบาทของฐานข้อมูลที่มีการกำหนดไว้ก่อน (หรือกำหนดไว้ตายตัว)

 

  1. 2.1     บทบาทมาตรฐานยอมให้ใช้สร้างบทบาทด้วยการให้อนุญาตสิทธิ์  และการให้สิทธิ์โดยเฉพาะผู้ใช้สามารถใช้บทบาทมาตรฐานในการรวมกลุ่มผู้ใช้ไว้ ด้วยกัน  แล้วกำหนดการอนุญาตสิทธิ์อย่างเดียวให้บทบาทนั้นแทนที่จะต้องให้สิทธิ์แก่ ผู้ใช้ทีละคน  เช่น  ผู้ใช้สามารถสร้างบทบาทที่เรียกว่า Usersc และอนุญาตให้ผู้ใช้สามารถใช้คำสั่ง SELECT, INSERT, และ UPDATE ที่ตารางที่ระบุไว้ในฐานข้อมูล แต่ไม่อนุญาตให้มีสิทธิ์ทำงานอื่น ๆ
  2. 2.2     บทบาทของแอพพริเคชัน ยอมให้ผู้ใช้สร้างบทบาทที่มีการรักษาความปลอดภัยด้วยรหัสผ่านสำหรับแอพพริเค ชันที่ได้ระบุไว้  เช่น ผู้ใช่สามารถติดต่อผ่านทางแอพพริเคชันที่ใช้เก็บที่ชื่อ NetReady ซึ่งแอพพริเคชันนี้จะใช้บทบาทได้และผู้ใช้ก็สามารถได้รับ การอนุญาตสิทธิ์และการให้สิทธิ์ได้ ผู้ใช้หรือบทบาทอื่น ๆ ไม่สามารถกำหนดบทบาทของแอพพริเคชันได้ซึ่งบทบาทของแอพพริเคชันจะพร้อมใช้งาน เมื่อแอพพริเคชันนั้นได้เชื่อมต่อกับฐานข้อมูลแล้ว
  3. 2.3     SQL Sever     มีบทบาทฐานข้อมูลที่ได้มีการกำหนดไว้เช่นกัน ซึ่งเป็นบทบาทที่มีการให้ระบบอยู่แล้วและมีการอนุญาตสิทธิ์ที่ไม่สามารถ เปลี่ยนแปลงได้  ผู้ใช้สามารถใช้บทบาทของฐานข้อมูลที่ได้มีการกำหนดไว้กับการกำหนดสิทธิ์  เพื่อทำการควบคุมระบบฐานข้อมูลและสามารถกำหนดให้ใช้ล็อคอินเดียวใช้หลาย บทบาทได้

 Public บทบาทของฐานข้อมูลสาธารณะ เป็นบทบาทที่เป็นค่าเริ่มต้นที่ได้กำหนดให้กับผู้ใช้ฐานข้อมูลทั้งหมด  ผู้ใช้ได้รับการถ่ายทอดอนุญาตสิทธิ์และการให้สิทธิ์พิเศษของบทบาทสาธารณะ และบทบาทนี้ใช้แทนการอนุญาตสิทธิ์และการให้สิทธิพิเศษที่เป็นขั้นต่ำที่สุด บทบาทใด ๆ ที่คุณกำหนดให้แก่ผู้อยู่นอกเหนือบทบาทสาธารณะ ให้เพิ่มการให้อนุญาตสิทธิ์และการให้สิทธิ์พิเศษ ถ้าผู้ใช้ต้องการให้ผู้ใช้ฐานข้อมูลทุกคนได้รับการอนุญาตสิทธิพิเศษให้กำหนด การอนุญาตสิทธิ์นั้นให้แก่บทบาทสาธารณะ

db_accessadmin  เป็นบทบาทที่กำหนดขึ้นสำหรับผู้ใช้ที่ต้องการเพิ่มหรือลบล็อคอินในฐาน ข้อมูลสมาชิกในบทบาทนี้สามารถทำได้ง่าย ๆ ในฐานข้อมูลที่ถูกเลือกไว้ดังนี้  sp_addalias , sp_adduser, sp_dropalias , sp_dropuser , sp_grantdbaccess และsp_revokedbaccess

db_backupoperator เป็นบทบาทที่กำหนดขึ้นสำหรับผู้ใช้ที่ต้องการสำรองฐานข้อมูลสมาชิกในบทบาท นี้สามารถทำงานต่าง ๆ ในฐานข้อมูลที่ถูกเลือกไว้ดังนี้ BACKUP FATABASE , BACKUP LOG , CHECKPOINT , DBAA CHEKALLOC , DBCC CHECKCATALOG , DBCC CHECKDB , DBCC TEXTALL , DBCC TEXTALLOC , AND DBCCUPDATEUSAGE

db_datareader เป็น บทบาทที่กำหนดขึ้นสำหรับผู้ใช้ที่ต้องการดูข้อมูลในฐานข้อมูลสมาชิกในบทบาท นี้สามารถเลือกดูข้อมูลทั้งหมดจากทุกตารางในฐานข้อมูลได้

db_datawriter เป็นบทบาทที่กำหนดขึ้นสำหรับผู้ใช้ที่ต้องการปรับปรุงข้อมูลในตารางที่อยู่ ในฐานข้อมูล สมาชิกในบทบาทนี้สามารถใช้งานอ็อปเจ็กต์ในฐานข้อมูลที่เลือกไว้ได้ ดังนี้ DELETE , INSERT และUPDATE

db_ddlladmin เป็นบทบาทที่กำหนดขึ้นสำหรับผู้ใช้ที่ต้องการทำงานที่เกี่ยวข้องกับ Data Definiton Language (DDL) ของ SQL Server สมาชิกในบทบาทนี้สามารถส่งค่าคำสั่งของ DDL ใดออกไปก็ได้ ยกเว้นคำสั่ง GRANT , REVOKE  หรือ DENY สมาชิกในบทนี้สามารถทำงานต่าง ๆ ในฐานข้อมูลที่ถูกเลือกไว้ได้ ดังนี้ REFEREBCES , sp_changeobjectowner , sp_procoption , sp_recompile , sp_rename  และ sp_tableoption

db_denydatareader เป็นบทบาทที่กำหนดขึ้น เพื่อใช้จำกัดการเข้าถึงข้อมูลในฐานข้อมูลด้วยการล็อกอิน สมาชิกในบทบาทนี้สามารถปฏิเสธ หรือยกเลิกการให้อนุญาตสิทธิ์ในการใช้คำสั่ง SELECT กับอ็อปเจ็กต์ในฐานข้อมูลได้

db_denydatawriter เป็นบทที่กำหนดขึ้นเพื่อใช้จำกัดการอนุญาตสิทธิ์ในการปรับปรุงฐานข้อมูลโดย การล็อกอิน สมาชิกของบทบาทนี้สามารถปฏิเสธ หรือยกเลิกการให้อนุญาตสิทธิ์ในการใช้คำสั่ง INSERT , UPDATE  และ DELETE กับอ็อบเจ็กต์ที่อยู่ในฐานข้อมูลได้

db_seurityadmin เป็นบทบาทที่กำหนดขึ้นให้กับผู้ใช้ที่ต้องการจัดการกับการให้อนุญาตสิทธิ์ เจ้าของอ็อบเจ็กต์ และบทบาท สมาชิกที่อยู่ในบทบาทนี้สามารถทำงานต่าง ๆ ในฐานข้อมูลที่เลือกไว้ได้ ดังนี้ DENY , GRANT , REVOKE , sp_addapprole , sp_addrole , sp_addrloemember , sp_addrolepassword , sp_changeobjectowner , sp_dropapprole , sp_droprole และ sp_droprolemember

db_owner เป็นบทบาทที่กำหนดขึ้นสำหรับผู้ใช้ที่ต้องการควบคุมงานทุกด้านในฐานข้อมูล สมาชิกในบทบาทนี้สามารถกำหนดสิทธิ์ ปรับปรุงการตั้งค่าในฐานข้อมูล การบำรุงรักษาฐานข้อมูลและทำงานในการควบคุมระบบอื่น ๆ ในฐานข้อมูลได้

 

การจัดการกับล็อคอินของเซิร์ฟเวอร์

SQL Server สามารถใช้ล็อกอินของฌดเมนที่อยู่ในวินโดวส์และล็อกอินใน SQL Server ได้ ถ้าตั้งค่าปฏิบัติการให้เซิร์ฟเวอร์เป็นระบบรักษาความปลอดภัยแบบผสม ผู้ใช้สามารถใช้ล็อคอินทั้ง 2 แบบ หรือถ้าตั้งค่าปฏิบัติการเป็นแบบอื่นจะสามารถใช้ล็อกอินของโดเมนที่อยู่ใน วินโดว์ได้เท่านั้น

 

การดูแลและการแก้ไขล็อคอินที่มีอยู่

            การดูแลการดูแลและการแก้ไขล็อคอินสามารถทาตามขั้นตอนต่าง ๆ ดังนี้

  1. เริ่มใช้งาน Enterprise Manager แล้วเข้าไปที่เซิร์ฟเวอร์ที่ต้องการทำงานด้วย
  2. ในโฟลเดอร์ Security ของเซิร์ฟเวอร์เลือกรายการ Logins ในกรอบด้านซ้ายซึ่งในขณะนี้กรอบด้านขวาจะแสดงล็อคอินปัจจุบัน

 

 

 

  • Name คือ ชื่อล็อคอิน
  • Type คือ ประเภทของล็อกอินซึ่ง Standard คือ ล็อคอินของ SQL Server , Windows NT User คือ บัญชีรายชื่อผู้ใช้ของโดเมนและ Windows NT Group คือ บัญชีรายชื่อกลุ่มของโดเมน
  • Server Access คือ ประเภทของการให้อนุญาตสิทธิ์ผู้ใช้ในการเข้าถึงเซิร์ฟเวอร์ Permit หมายถึง ผู้ใช้สามารถเข้าถึงเซิร์ฟเวอร์ได้ Deny หมายถึงผู้ใช้ไม่สามารถเข้าถึงเซิร์ฟเวอร์ได้
  • Default Database คือ ค่าเริ่มต้นของฐานข้อมูลสำหรับผู้ใช้
  • User คือ ชื่อของผู้ใช้ที่ใช้ในการล็อคอินในฐานข้อมูล
  • Default Language คือ ค่าเริ่มต้นของภาษาที่ใช้กับผู้ใช้
  1. การดูบทบาทของเซิร์ฟเวอร์และสิทธิ์ในการเข้าถึงฐานข้อมูลของผู้ใช้ ให้ดับเบิ้ลคลิกที่ชี่อผู้ใช้ที่อยู่นารายการของผู้ใช้ในกรอบด้านขวา ซึ่งจะเปิดกรอบโดยโต้ตอบ  SQL Server  Login Properties ขึ้น
  2. สามารถแก้ไขคุณสมบัติต่าง ๆ ให้กับบัญชีรายชื่อนี้ได้โดยใช้ฟิลด์ต่าง ๆ ที่อยู่ในแท็ป General, Server Roles และ  Database Access ได้

การดูแลและแก้ไขล็อคอินที่มีอยู่ โดยใช้คำสั่ง Transaction – SQL

 

sp_helpogis [[@LoginNamePattern = ]] ‘login’]

 

 

 

การใช้งาน

 

การสร้างล็อคอินโดย Enterprise Manager

    สามารถล็อคอินใหม่ใน Enterprise Manager โดยการใช้ Creater Login Wizard หรือกรอบโต้ตอบ Login Properties ได้ เนื่องจากขั้นตอนทั้งสองวิธีนี้มีความใกล้เคียงกันมาก แต่ในที่นี้จะเน้นการใช้กรอบตอบโต้ Login Properties และให้คุณใช้เทคนิคต่าง ๆ ของกรอบโต้ตอบ Create Login Wizard ถ้าต้องกานใช้วิซาร์ดให้ไปที่เมนู Tool แล้วเลือก Wizards ต่อมาให้คลิกที่เครื่องหมาย (+) ด้านหน้า  Database แล้วดับเบิ้ลคลิก Create Login Wizard

การสร้างล็อคอินของ SQL มีขั้นตอนดังนี้

  1. เปิด Enterprise Manager แล้วเข้าสู่ Server ที่ต้องการ
  2. ในโฟลเดอร์ Security ของ Server ให้คลิกขวาที่รายการ Logins และเลือก New Login จะเปิดกรอบโต้ตอบ SQL Server Login Properties

 

 

 

  1. ในฟิลด์ Name  ให้พิมพ์ชื่อของบัญชีรายชื่อที่ต้องการให้เช่น Zebra 
  2. ถ้ากำลังสร้างล็อคอินของบัญชีรายชื่อโดเมน ให้เลือกปุ่มตัวเลือก Windows NT Authentication แล้วใช้คอมโบบ็อกซ์ Domain เพื่อสร้างโดเมนที่ต้องการใช้ ให้พิมพ์ชื่อโดเมนลงในคอมโบบ็อกซ์
  3. การอนุญาตให้เข้าถึง Server ให้เลือกที่ปุ่มตัวเลือก Grant Access
  4. การปฏิเสธการเข้าถึง Server ให้เลือกที่ปุ่ม Deny Access
  5. ถ้าต้องการสร้างล็อคอิน SQL Server ใหม่ ให้เลือกที่ปุ่มตัวเลือก SQL Server Authentication แล้วใส่รหัสผ่าน
  6. การระบุฐานข้อมูลและภาษาที่เป็นค่าเริ่มต้นสำหรับล็อคอิน การกำหนดค่าเริ่มต้นของฐานข้อมูลนั้นไม่ได้เป็นการใช้สิทธิ์ของล็อคอินในการ เข้าถึงฐานข้อมูลซึ่งเป็นเพียงการระบุถึงฐานข้อมูลที่จะไม่มีการระบุถึงชื่อ ฐานข้อมูลไว้ในคำสั่ง
  7. คลิก OK เพื่อสร้างล็อคอินใน SQL Server Authentication ให้ยืนยันโดยการกรอกรหัสผ่านอีกครั้ง เมื่อมี Promp ขึ้นมา

 

การสร้างล็อคอินใหม่โดยใช้คำสั่ง Transaction – SQL

sp_addlogin  [@loginname =] ‘login’

          [,[@passwd =] ‘password’]

          [,[@defdb =] ‘database’]

          [,[@deflanguage =] ‘language’]

          [,[@sid =] ‘sid’]

          [,[@encryptopt =] ‘encryption_option’]

 

 

 

 

 

 

 

การใช้งาน

 

 

 

การลบล็อคอินโดย Enterprise Manager

เมื่อผู้ใช้ไม่ต้องการใช้ล็อคอินนั้นอีกต่อไป ผู้ควบคุมระบบจะต้องลบล็อคอินออกจาก SQL Server ดังนี้

  1. เปิด Enterprise Manager แล้วเข้าสู่ server ที่ต้องกาน
  2. ในโฟลเดอร์ Security ของ server ให้คลิกขวาที่รายการ Logins ในกรอบด้านซ้าย
  3. คลิกขวาที่ล็อคอินที่ต้องการลบ แล้วเลือก Delete จากเมนูลัด

 

 

 

  1. เมื่อมี Prompt ขึ้นมาให้เลือกที่ Yes เพื่อยืนยัน

การลบล็อคอิน QSL Server โดยใช้ Transaction – SQL

 

sp_droplogin [@loginname =] ‘login’

 

 

 

 

การใช้งาน

 

 

การเปลี่ยนรหัสผ่านโดย Enterprise Manager

ผู้ใช้สามารถเปลี่ยนรหัสผ่านของตนเองหรือให้ผู้ควบคุมระบบของวินโดว์ยกเลิกรหัสผ่านให้ได้ซึ่งมีขั้นตอนดังนี้

  1. เปิด Enterprise Manager แล้วเข้าสู่ Server ที่ต้องการ
  2. ในโฟลเดอร์ Security ของ Server ให้คลิกขวาที่รายการ Logins ในกรอบด้านซ้าย
  3. ดับเบิลคลิกที่ล็อคอินที่ต้องการเปลี่ยน ซึ่งจะปรากฏหรอบโต้ตอบ SQL Server Login Properties ขึ้น

 

 

 

  1. พิมพ์รหัสผ่านใหม่เข้าไปในฟิลด์ Password แล้วคลิก OK
  2. เมื่อมี Prompt ขึ้นมา ให้กรอกรหัสผ่านใหม่อีกครั้ง แล้วคลิก OK

 

การเปลี่ยนรหัสผ่านโดย Transaction – SQL

 

 

 

การตั้งค่าปฏิบัติการให้บทบาทของเซิร์ฟเวอร์

บทบาทของเซิร์ฟเวอร์เป็นการกำหนดสิทธิ์ให้แก่ผู้ควบคุมระบบของ เซิร์ฟเวอร์ให้ล็อคอินของบ SQL Server บทบาทของเซิร์ฟเวอร์สามารถถูกจัดการได้โดยบทบาทหรือตามล็อคอินแต่ละตัว

การกำหนดบทบาทจากล็อคอินโดย Enterprise Manager

การกำหนดหรือเปลี่ยนแปลงบทบาทของเซิร์ฟเวอร์เพื่อทำการล็อคอินนั้น มีขั้นตอนดังนี้

  1. เริ่มใช้ Enterprise Manager แล้วเข้าถึงเซิร์ฟเวอร์ที่ต้องการใช้งาน
  2. ในโฟลเดอร์ Security ของเซิร์ฟเวอร์ให้เลือกรายการ logins ในกรอบด้านซ้าย
  3. ดับเบิ้ลคลิกที่ล็อคอินที่ต้องการจะต้องค่าปฏิบัติการ กรอบโต้ตอบ SQL Server Login Properties จะปรากฏขึ้น
  4. เลือกแท็ป Server Roles
  5. อนุญาตให้ใช้งานบทบาทของเซิร์ฟเวอร์โดยเลือกเช็คบ็อกซ์ด้านหน้าบทบาทที่คุณต้องการใช้

 

 

 

 

 

  1. เมื่อตั้งค่าปฏิบัติการให้กับบทบาทของเซิร์ฟเวอร์แล้วให้เลิก OK

 

การเพิ่มล็อคอินให้แก่บทบาทของเซิร์ฟเวอร์ โดย Transaction-SQLL

Sp_addrsvrolemenber[@loginname=]’login’,[@rolename=]’role’

 

การใช้งาน

 

 

 

การลบล็อคอินให้แก่บทบาทของเซิร์ฟเวอร์โดย Transaction – SQL

Sp_dropsrvrolemember [@loginname =] ‘login’,[@rolename=] ‘role’

 

 

การใช้งาน

 

 

 

การกำหนดบทบาทให้กับหลายล็อคอินโดย Enterprise Manager

            วิธีที่ง่ายที่สุดในการกำหนดบทบาทให้แก่ล็อคอินหลาย ๆ ตัว คือ ใช้กรอบโต้ตอบ Server Roles Properties การเข้าถึงกรอบโต้ตอบนี้ และการตั้งค่าปฏิบัติการให้ล็อคอินหลาย ๆ ตัว มีขั้นตอน ดังนี้

  1. เริ่มใช้ Enterprise Manager แล้วเข้าถึงเซิร์ฟเวอร์ที่ต้องการใช้งาน
  2. ในโฟลเดอร์ Security ของเซิร์ฟเวอร์ให้เลือกที่รายการ Server Role ในกรอบด้านซ้าย
  3. ที่กรอบด้านขวาให้ดับเบิลคลิกที่บทบาทของเซิร์ฟเวอร์ที่ต้องการตั้งค่า ปฏิบัติการ ซึ่งจะเป็นการเปิดกรอบโต้ตอบ Server Role Properties ขึ้น

 

 

 

 

  1. คลิกปุ่ม Add เพื่อเพิ่มล็อคอิน และในกรอบโต้ตอบ Add Members ให้เลือกล็อคอินที่คุณต้องการเพิ่ม การเลือกล็อคอินหลาย ๆ ตัวสามารถทำได้โดยกดปุ่ม Ctrl หรือ Shift ค้างไว้ ในขณะที่ล็อคอินอยู่
  2. การลบล็อคอิน ให้เลือกที่ล็อคอินแล้วคลิกปุ่ม Remove
  3. คลิกแท็ป Permission เพื่อดูการอนุญาตสิทธิ์ที่รวมอยู่ในบทบาทของเซิร์ฟเวอร์แล้ว ให้คลิก OK

 

การควบคุมการเข้าถึงและการจัดการกับฐานข้อมูล

          ผู้ใช้สามารถควบคุมการเข้าถึงและการจัดการฐานข้อมูลได้โดยใช้ผู้ใช้และบทบาท ของฐานข้อมูล ผู้ใช้ฐานข้อมูล คือ ล็อคอินที่มีการเข้าถึงฐานข้อมูลอย่างถูกต้อง ส่วนบทบาทของการเข้าถึงฐานข้อมูลจะกำหนดสิทธ์ในการจัดการและการอนุญาตสิทธิ์ อื่น ๆ ของฐานข้อมูล

 

การกำหนดการเข้าถึงและบทบาทด้วยล็อคอินโดย Enterprise Manager

            สำหรับการล็อคอินแต่ละตัวนั้นผู้ใช้สามารถอนุญาตให้เข้าถึงฐานข้อมูล และกำหนดบทบาทได้ดังนี้

  1. เริ่มใช้ Enterprise Manager แล้วเข้าถึงเซิร์ฟเวอร์ที่ต้องการใช้งาน
  2. ในโฟลเดอร์ Security ของเซิร์ฟเวอร์ให้เลือกรายการ Logins ในหน้าต่างด้านซ้าย
  3. ดับเบิ้ลคลิกที่ล็อคอินที่ต้องการตั้งค่าปฏิบัติการ กรอบโต้ตอบ SQL Server Login Properties จะปรากฏขึ้น
  4. คลิกที่แท็ป Database Access
  5. เลือกเช็คบ็อกซ์ของฐานข้อมูลที่ล็อคอินมีการเข้าถึง และในลิสต์บ็อกซ์ Permit In Database Role ให้เลือกเช็คบ็อกซ์ด้านหน้าบทบาทของฐานข้อมูลที่ล็อคอินนี้มีอยู่ในฐาน ข้อมูลที่ถูกเลือกไว้

 

 

  1. ทำขั้นตอนที่ 5 กับฐานข้อมูลอื่น ๆ ที่ล็อคอินนี้จะมีการเข้าถึงอีกครั้ง
  2. เมื่อตั้งค่าปฏิบัติการให้บทบาทของฐานข้อมูลแล้ว ให้คลิก OK

 

การกำหนดบทบาทให้ล็อคอินหลาย ๆ คน โดย Enterprise Manager

            ในระดับของฐานข้อมูลนั้น  ผู้ใช้สามารถกำหนดบทบาทของฐานข้อมูลให้แก่ล็อคอินหลาย ๆ ตัวได้ ตามขั้นตอนดังนี้

  1. เริ่มใช้ Enterprise Manager แล้วเข้าถึงเซิร์ฟเวอร์ที่ต้องการใช้งาน
  2. ในโฟลเดอร์ Database คลิกที่เครื่องหมาย (+) ที่ด้านหน้าฐานข้อมูลที่ต้องการทำงานด้วย
  3. ในหน้าต่างด้านซ้าย  ให้เลือก Roles เพื่อแสดงรายการของบทบาทของฐานข้อมูลในกรอบด้านขวา
  4. ดับเบิ้ลคลิกที่บทบาทที่ต้องการตั้งค่าปฏิบัติการ  ซึ่งจะทำให้กรอบโต้ตอบ Database Role Properties ปรากฏขึ้น

 

 

 

  1. การเพิ่มสมาชิกบทบาท  ให้คลิกที่ Add แล้วในกรอบโต้ตอบ Add Role Members ให้เลือกล็อคอินที่ต้องการเพิ่ม  การเลือกล็อคอินหลาย ๆ ตัวให้กดปุ่ม Ctrl หรือ Shift ค้างไว้ในขณะที่คลิกชื่อล็อคอิน
  2. การลบสมาชิกของบทบาทนั้น  ให้เลือกที่ล็อคอินแล้วคลิก Remove
  3. เมื่อตั้งค่าปฏิบัติการให้บทบาทของฐานข้อมูลเสร็จแล้ว  ให้คลิก OK

 

การสร้างบทบาทของฐานข้อมูลแบบมาตรฐานโดย Enterprise Manager

            แม้ว่าบทบาทที่ได้มีการกำหนดไว้แล้วนั้น  จะมีการอนุญาตสิทธิ์ประเภทพิเศษที่ไม่สามารถเปลี่ยนแปลงได้ก็ตาม  ผู้ใช้สามารถกำหนดการอนุญาตสิทธิ์ให้แก่บทบาทที่สร้างขึ้นสำหรับฐานข้อมูล นั้น ๆ ได้  เช่น สมมติว่า ฐานข้อมูลมีผู้ใช้อยู่ 3 ประเภท คือ ผู้ใช้ธรรมดา คือ ผู้ที่ต้องการเรียกดูข้อมูล ผู้จัดการ คือ ผู้ที่ต้องการแก้ไขข้อมูลได้ และนักพัฒนาโปรแกรม คือ ผู้ที่ต้องการแก้ไขอ็อปเจ็กต์ของฐานข้อมูลได้  ในกรณีนี้สามารถสร้างบทบาทได้ 3 ประเภท เพื่อใช้จัดการกับประเภทของผู้ใช้เหล่านี้ ต้องจัดการกับบทบาทเหล่านี้และไม่ให้มีบัญชีรายชื่อของผู้ใช้แตกต่างกัน

        การสร้างบทบาทของฐานข้อมูลที่เป็นมาตรฐาน  มีขั้นตอนดังนี้

  1. เริ่มใช้ Enterprise Manager แล้วไปที่โฟลเดอร์ Database โดยใช้รายการที่อยู่ในกรอบด้านซ้าย
  2. ในโฟลเดอร์ Database ให้คลิกที่เครื่องหมาย (+) ด้านหน้าฐานข้อมูลที่ต้องการทำงานด้วย
  3. คลิกขวาที่ Roles แล้วเลือก New Database Role จากเมนูลัด ซึ่งเปิดกรอบโต้ตอบ Database Roles Properties

 

 

 

  1. พิมพ์ชื่อบทบาทในฟิลด์ Name
  2. เลือกปุ่มตัวเลือก Standard Role
  3. คลิก Add เพื่อเพิ่มสมาชิกของบทบาท และในกรอบโต้ตอบ Add Role Members ให้เลือกล็อคอินที่ต้องการเพิ่ม เราสามารถเลือกล็อคอินหลาย ๆ ตัว ได้โดยการกดปุ่ม Ctrl หรือ Shift ค้างไว้ในขณะที่คลิกที่ชื่อล็อคอิน
  4. คลิก OK
  5. บทบาทที่สร้างขึ้นมาใหม่จะปรากฏที่หน้าต่างด้านขวาของ Enterprise Manager ให้ดับเบิ้ลคลิกไปที่บทบาทนั้น เพื่อเปิดกรอบโต้ตอบ Database Role Properties ขึ้นอีกครั้ง
  6. คลิก Permissions แล้วใช้แท็ป Permissions เพื่อตั้งค่าปฏิบัติการให้การอนุญาตสิทธิ์ในการเข้าถึงฐานข้อมูลของบทบาทนี้

การสร้างบทบาทของฐานข้อมูลแบบแอพพลิเคชันโดย Enterprise Manager

            บทบาทของแอพพลิเคชันถูกออกแบบขึ้นให้ใช้กับแอพพลิเคชันที่มีการเข้าถึงฐาน ข้อมูลและไม่มีล็อคอินที่เกี่ยวข้องกับแอพพลิเคชัน  ผู้ใช้สามารถตั้งค่าปฏิบัติการให้กับบทบาทของแอพพลิเคชันได้ตามขั้นตอนดัง นี้

  1. เริ่มใช้ Enterprise Manager แล้วไปที่โฟลเดอร์ Database โดยใช้รายการที่อยู่ในกรอบด้านซ้าย
  2. ในโฟลเดอร์ Database ให้คลิกที่เครื่องหมาย (+) ด้านหน้าฐานข้อมูลที่ต้องการทำงานด้วย
  3. คลิกขวาที่ Roles แล้วเลือก New Database Role จากเมนูลัด  ซึ่งจะเปิดกรอบโต้ตอบ Database Role Properties
  4. พิมพ์ชื่อบทบาทลงในฟิลด์ Name
  5. เลือกปุ่มตัวเลือก Application Role แล้วพิมพ์รหัสผ่านของบทบาทนี้ในฟิลด์ Password ซึ่งคุณจะไม่ถูกขอให้ยืนยันรหัสผ่าน

 

 

  1. คลิก OK
  2. บทบาทที่สร้างขึ้นมาใหม่จะปรากฏที่หน้าต่างด้านขวาของ Enterprise Manager ให้ดับเบิ้ลคลิกไปที่บทบาทนั้น  เพื่อเปิดกรอบ

โต้ตอบ Database Role Properties ขึ้นอีกครั้ง

 

 

  1. คลิก Permissions แล้วใช้แท็ป Permissions เพื่อตั้งค่าปฏิบัติการให้การอนุญาตสิทธิ์ในการเข้าถึงฐานข้อมูลของบทบาทนี้

 

 

  1. คลิก OK

การยกเลิกสิทธิ์และบทบาทในการเข้าถึงจากล็อคอินโดย Enterprise Manager

            การยกเลิกสิทธิ์ในการเข้าถึงหรือการลบผู้ใช้ออกจากบทบาทในฐานข้อมูล  ต้องทำขั้นตอนดังนี้

  1. เริ่มใช้ Enterprise Manager แล้วไปที่โฟลเดอร์ Security โดยใช้รายการในกรอบด้านซ้าย
  2. ในโฟลเดอร์ Security ให้เลือกที่รายการ Logins ในกรอบด้านซ้าย
  3. ดับเบิ้ลคลิกที่ล็อคอินที่คุณต้องการตั้งค่าปฏิบัติการซึ่งจะปรากฏกรอบโต้ SQL Server Login Properties ขึ้นมา
  4. คลิกที่แท็ป Database Access

 

 

  1. ลบค่าเช็คบ็อกซ์ของฐานข้อมูลที่จะไม่ให้ล็อคอินนี้เข้าถึง  แล้วในลิสต์บ็อกซ์ Permit In Database Role ให้ลบค่าเช็คบ็อกซ์ด้านหน้าบทบาทของฐานข้อมูลที่จะไม่ให้ล็อคอินนี้มีอยู่ใน ฐานข้อมูลที่ได้เลือกไว้
  2. ทำซ้ำตามขั้นตอนที่ 5 กับฐานข้อมูลอื่น ๆ เพื่อไม่อนุญาตและไม่ให้สิทธิ์ในการเข้าถึงกับล็อคอินนั้น
  3. เมื่อเสร็จทุกขั้นตอนแล้วให้คลิก OK

การลบบทบาทที่ผู้ใช้กำหนดขึ้นโดย Enterprise Manager

            การลบบทบาทที่ผู้ใช้กำหนดขึ้น  มีขั้นตอนดังนี้

  1. เริ่มใช้ Enterprise Manager แล้วไปที่โฟลเดอร์ Database โดยใช้รายการในกรอบด้านซ้าย
  2. ในโฟลเดอร์ Database ให้คลิกที่เครื่องหมาย (+) ด้านหน้าฐานข้อมูลที่ต้องการทำงานด้วย
  3. คลิก Roles ที่อยู่ในกรอบด้านซ้าย

 

 

 

  1. เลือกบทบาทที่คุณต้องการลบ แล้วกดปุ่ม Delete
  2. เมื่อเกิด Prompt ขึ้น  ให้เลือก Yes เพื่อยืนยันการลบบทบาทนั้น

 

การจัดการกับการเข้าถึงบทบาทโดย Transaction-SQL

 

 

 

 

 

 

 

 

 

 

การจัดการกับการอนุญาตสิทธิ์ของฐานข้อมูล

            การกำหนดอนุญษตสิทธ์ของฐานข้อมูลให้กับคำสั่งโดย Enterprise Manager

            ที่ระดับของฐานข้อมูลผู้ใช้สามารถอนุญาตยกเลิกหรือปฏิเสธการอนุญาตสิทธิ์ เพื่อประมวลผลคำสั่งของ Data Definition Language ได้ เช่น คำสั่ง Create Table หรือ

        Backup  Database

                ใน Enterprise Manager เราสามารถให้อนุญาต ยกเลิก หรือปฏิเสธการอนุญาตสิทธ์ให้กับ คำสั่ง โดยทำตามขั้นตอนดังนี้

  1. ไปที่โฟลเดอร์ Database โดยใช้รายการในกรอบด้านซ้าย
  2. คลิกขวาที่ฐานข้อมูลที่คุณต้องการทำงานด้วย เลือก Properties จากเมนูลัด
  3. คลิกที่แท็ป Permissions
  4. การกำหนดค่าเริ่มต้นของการอนุญาตสิทธิ์ให้แก้ผู้ใช้ทั้งหมด ให้กำหนดการอนุญาตสิทธิ์แก่บทบาท Public การกำหดการอนุญาตสิทธิ์ให้แก่ผู้ใช้หรือบทบาทแต่ละรายนั้น

ให้คลิกที่ชื่อของ User/Role ซึ่งเครื่องหมายถูก คือ การให้อนุญาตสิทธิ์ เครื่องหมาย x สีแดง คือการปฏิเสธการอนุญาตสิทธิ์ ส่วนการลบเครื่องหมายถูกออก คือ

การยกเลิกการอนุญาตสิทธิ์

 

 

 

  1. คลิก Apple หรือ OK เพื่อกำหนดการอนุญษตสิทธิ์

 

การกำหนดการอนุญาตสิทธิ์ของฐานข้อมูล โดย Transaction – SQL

            การใช้คำสั่ง Grant

 

 

 

        การใช้คำสั่ง Revoke

 

 

 

        การใช้คำสั่ง Denny

 

 

การให้อนุญาตสิทธิ์ของอ็อปเจ็กต์จากล็อคอินโดย Enterprise Manager

การให้อนุญาตสิทธิ์ของอ็อปเจ็กต์นั้นใช้กับตาราง วิว และ Stored Procedure การอนุญาตสิทธิ์ที่กำหนดให้กับอ็อปเจ็กต์เหล่านี้ ประกอบด้วยคำสั่ง SELECT, INSERT, UPDATE และ DELETE

ใน Snterprise Manager ผู้ใช้สามารถอนุญาต ยกเลิก หรือปฏิเสธการอนุญาตสิทธิ์ของอ็อปเจ็กต์ได้ โดยทำตามขั้นตอน ดังนี้

  1. ใช้โฟลเดอร์ Databases โดยใช้รายการที่อยู่ในกรอบด้านซ้าย
  2. คลิกเครื่องหมาย (+) ด้านหน้าฐานข้อมูลที่ต้องการทำงานด้วย แล้วเลือก User
  3. ในกรอบด้านขวา จะเห็นรายการของผู้ใช้ฐานข้อมูล ให้ดับเบิ้ลคลิกที่ผู้ใช้ที่ด้องการตั้งค่าปฏิบัติการ เป็นการเปิดกรอบโต้ตอบ Database User Properties ขึ้นมา

 

 

 

 

  1. คลิกที่ Permissions เพื่อแสดงแท็ป Permission ขึ้นมา