實(shí)驗(yàn)八數(shù)據(jù)庫(kù)安全管理

1、 實(shí)驗(yàn)八 數(shù)據(jù)庫(kù)安全管理一、目的與要求1. 掌握創(chuàng)建用戶和角色的方法2. 掌握SQL授權(quán)命令和收回權(quán)限的命令二、實(shí)驗(yàn)準(zhǔn)備1. 了解SQL Server登錄身份和登錄模式的概念； 2. 了解用戶、角色、登錄三者的概念；3. 了解權(quán)限授予和收回的的T-SQL語(yǔ)法。三、實(shí)驗(yàn)內(nèi)容(一)創(chuàng)建登錄名1 創(chuàng)建新的登錄名testlogin (1) 在對(duì)象資源管理器的目錄樹(shù)中“安全性”“登錄名”，點(diǎn)擊右鍵選擇“新建登錄名”，設(shè)置登錄名為testlogin，“SQL Server身份驗(yàn)證”密碼為abc，默認(rèn)數(shù)據(jù)庫(kù)為“studentdb”，如圖8-1所示。 圖8-1提問(wèn)：此時(shí)用testlogin登錄名創(chuàng)建新的連接，

2、登錄到對(duì)象資源管理器，是否能登錄成功？不能登陸成功(2) 右擊testlogin登錄名，選擇屬性，設(shè)置“用戶映射”，設(shè)置“映射到此登錄名的用戶“為“studentdb”，如圖8-2所示。這里即是創(chuàng)建和登錄名同名的用戶，該用戶屬于默認(rèn)數(shù)據(jù)庫(kù)。這個(gè)用戶具有的數(shù)據(jù)庫(kù)角色是public。(3) 確定后再次以testlogin及其密碼登錄查ssms，在testlogin登錄名下新建查詢。運(yùn)行命令，查看并記錄結(jié)果。提問(wèn)：此時(shí)是否查詢命令能查詢到st_info表中的數(shù)據(jù)？為什么？答：不能，因?yàn)槲传@得訪問(wèn)特定數(shù)據(jù)庫(kù)中數(shù)據(jù)的權(quán)利。圖8-2(4) 若要查詢studentdb數(shù)據(jù)庫(kù)中表的數(shù)據(jù)，則要在數(shù)據(jù)庫(kù)角色成員身

3、份中選擇db_datareader角色(回到sa登錄下設(shè)置該登錄名的屬性)，再運(yùn)行上題中的查詢語(yǔ)句，查看結(jié)果。(5) 在查詢編輯器中運(yùn)行命令，查看是否允許。若不允許，則要在數(shù)據(jù)庫(kù)角色成員身份中選擇db_datawriter角色。重新運(yùn)行該條更新語(yǔ)句，查看結(jié)果。圖8-32 提問(wèn)：testlogin登錄名登錄后，允許訪問(wèn)服務(wù)器上所有的數(shù)據(jù)庫(kù)嗎？能訪問(wèn)哪些數(shù)據(jù)庫(kù)？。登錄用戶只能看到并訪問(wèn)它自己的數(shù)據(jù)庫(kù)而不能看到其他的數(shù)據(jù)庫(kù)(二)創(chuàng)建用戶創(chuàng)建用戶時(shí)選擇映射到已有登錄名，即令一個(gè)登錄名可以訪問(wèn)多個(gè)數(shù)據(jù)庫(kù)。一個(gè)新的登錄名(如testlogin)創(chuàng)建后，在其默認(rèn)數(shù)據(jù)庫(kù)下會(huì)建立一個(gè)同名用戶(testlogin

4、)，即用戶testlogin允許訪問(wèn)登錄名默認(rèn)的數(shù)據(jù)庫(kù)studentdb。而要用testlogin登錄后能訪問(wèn)其他數(shù)據(jù)庫(kù)，則要在其他數(shù)據(jù)庫(kù)中創(chuàng)建新用戶，映射到testlogin這個(gè)登錄名，這樣登錄后就可以訪問(wèn)其他數(shù)據(jù)庫(kù)了。如，在studb數(shù)據(jù)庫(kù)下創(chuàng)建一個(gè)新用戶U1，屬于testlogin登錄名。(1) 回到sa登錄下，展開(kāi)“studentdb”數(shù)據(jù)庫(kù)”安全性”“用戶”，右擊“新建用戶”，填寫(xiě)用戶名為U1，如圖8-4，點(diǎn)對(duì)話框按鈕，選擇登錄名如圖8-5，點(diǎn)擊“瀏覽”，選擇testlogin，如圖8-6。圖8-4圖8-5圖8-6提問(wèn)：若要在“studentdb”數(shù)據(jù)庫(kù)中創(chuàng)建映射到testlogin

5、登錄名的新用戶U2是否能成功？為什么？ 不能成功(2) 刷新testlogin登錄下的數(shù)據(jù)庫(kù)，查看是否能訪問(wèn)studb數(shù)據(jù)庫(kù)了。(3) 在testlogin登錄下，新建查詢，運(yùn)行命令，查看是否成功。(4) 切換到sa登錄窗口中，選擇當(dāng)前數(shù)據(jù)庫(kù)為“studb”，用命令為U1用戶授權(quán)，授予U1用戶查詢圖書(shū)表的權(quán)利，命令為，再回到testlogin的查詢窗口中，重新運(yùn)行上題的查詢語(yǔ)句，看是否成功。(5) 若要收回該權(quán)限可以用命令revoke select on S from U1。(三)管理角色1 角色分類為服務(wù)器角色和數(shù)據(jù)庫(kù)角色、應(yīng)用程序角色。分別查看系統(tǒng)預(yù)設(shè)的服務(wù)器角色和數(shù)據(jù)庫(kù)角色有哪些。 服務(wù)

6、器角色：Sysadmin，serveradmin，setupadmin，securityadmin，processadmin，dbcreator，diskadmin。 數(shù)據(jù)庫(kù)角色：db_owner，db_accessadmin，db_datareader，db_datawriter，db_ddladmin，db_securityadmin，db_backoperator，db_denydatareader，db_denydatawriter。2 自定義角色(1) 在studb數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)自定義角色，名為testrole。展開(kāi)目錄樹(shù)“數(shù)據(jù)庫(kù)”“studb”“安全性”“角色”“數(shù)據(jù)庫(kù)角色”，右

7、擊新建數(shù)據(jù)庫(kù)角色，填寫(xiě)角色名稱為“testrole”，選擇所有者為“U1”，如圖8-7所示。圖8-7(2) 設(shè)置testrole對(duì)studb數(shù)據(jù)庫(kù)中S,C,SC表的若干權(quán)限。右鍵點(diǎn)擊testrole角色，選擇屬性，設(shè)置安全對(duì)象，如圖8-8所示。圖8-8點(diǎn)擊“添加”，選擇添加對(duì)象為“特定對(duì)象”，如圖8-9。 圖8-9選擇安全對(duì)象類型為“表”，如圖8-10。圖8-10再點(diǎn)擊“瀏覽”，選擇選擇該角色允許設(shè)置的S,C,SC表，如圖8-11。圖8-11回到角色屬性窗口，此時(shí)就能對(duì)允許訪問(wèn)的表設(shè)置具體數(shù)據(jù)庫(kù)權(quán)限了，如圖8-12，對(duì)C表授予“insert”“delete”“select”“update”權(quán)限

8、，則在這些項(xiàng)目對(duì)應(yīng)的復(fù)選框中打鉤，這里還可以賦予授權(quán)權(quán)限和拒絕該權(quán)限。這樣就使得testrole角色具有對(duì)數(shù)據(jù)庫(kù)中多個(gè)表的多項(xiàng)權(quán)限，那么把該角色授予給用戶，就能一次給用戶授予多項(xiàng)權(quán)限了。圖8-12(3) 在sa登錄下，將testrole角色授予給testlogin登錄名下映射到的studb數(shù)據(jù)庫(kù)中的U1用戶。即設(shè)置testlogin登錄名的屬性，對(duì)studb數(shù)據(jù)庫(kù)勾選testrole角色，如圖8-13所示。圖8-13(4) 在testlogin登錄下，在查詢編輯器中里窗體中運(yùn)行查詢C,SC表的命令，和對(duì)SC表進(jìn)行刪除的命令delete from SC where cno=C1。查看是否成功。

9、3 為角色授予權(quán)限和收回權(quán)限的命令與對(duì)用戶相同(1) 收回testrole中對(duì)C表的刪除的權(quán)限，命令為 revoke delect on C from testrole (2) 要授予testrole角色能修改SC表score字段的權(quán)限，則命令為 grant update(score) on SC to testrole 四、思考與練習(xí)1登錄、用戶、角色的概念如何區(qū)分？三者在SQL Server中有何關(guān)系？答：a.服務(wù)器登錄名屬于某組服務(wù)器角色；b.服務(wù)器登錄名需要于數(shù)據(jù)庫(kù)的用戶映射后才擁有操作數(shù)據(jù)庫(kù)的權(quán)限c.數(shù)據(jù)庫(kù)用戶屬于某組數(shù)據(jù)庫(kù)角色以獲取操作數(shù)據(jù)庫(kù)的權(quán)限d.數(shù)據(jù)庫(kù)角色擁有對(duì)應(yīng)的數(shù)據(jù)庫(kù)架構(gòu)，數(shù)據(jù)庫(kù)用戶可以通過(guò)角色直接擁有架構(gòu)e.