用戶和安全性管理

1、精品資料實(shí)驗(yàn)七 用戶和安全性管理、實(shí)驗(yàn)?zāi)康?、了解 SQL Server 的安全性管理策略并大致能舉一反三到其它數(shù)據(jù)庫系統(tǒng)2、理解用戶和角色的含義3、掌握如何創(chuàng)建用戶和角色二、預(yù)備知識對任何企業(yè)組織來說， 數(shù)據(jù)的安全性最為重要。 安全性主要是指允許那些具有相應(yīng)的數(shù) 據(jù)訪問權(quán)限的用戶能夠登錄到 SQL Server ，并訪問數(shù)據(jù)以及對數(shù)據(jù)庫對象實(shí)施各種權(quán)限范 圍內(nèi)的操作。 但是要拒絕所有的非授權(quán)用戶的非法操作。 因此安全性管理與用戶管理是密不 可分的。 SQL Server 提供了內(nèi)置的安全性和數(shù)據(jù)保護(hù)，主要提供了創(chuàng)建和管理用戶賬號， 實(shí)現(xiàn)和管理安全性。SQL Server 的安全性管理是建立在

2、認(rèn)證和訪問許可兩者機(jī)制上的。 認(rèn)證是指來確定登 錄SQL Server 的用戶的登錄賬號和密碼是否正確，以此來驗(yàn)證其是否具有連接SQLServer 的權(quán)限。 但是通過認(rèn)證階段并不代表能夠訪問 SQL Server 中的數(shù)據(jù)，用戶只有在 獲取訪問數(shù)據(jù)庫的權(quán)限之后才能夠?qū)Ψ?wù)器上的數(shù)據(jù)庫進(jìn)行權(quán)限許可下的各種操作。主要是針對數(shù)據(jù)庫對象（如表、視圖、存儲過程等）。這種用戶訪問數(shù)據(jù)庫權(quán)限的設(shè)置是通過用戶 賬號來實(shí)現(xiàn)的。同時(shí)在 SQL Server 中角色作為用戶組的代名詞大大地簡化了安全性管理。三、實(shí)驗(yàn)示例1、SQL Server 的登錄認(rèn)證模式微軟的 SQL Server 能在兩種安全模式下運(yùn)行：Wi

3、ndows 認(rèn)證模式： SQL Server 數(shù)據(jù)庫系統(tǒng)通常運(yùn)行在 NT 服務(wù)器平臺或基于 NT 構(gòu)架的Windows 2000 上。而NT作為網(wǎng)絡(luò)操作系統(tǒng)本身就具備管理登錄驗(yàn)證用戶合法 性的能力。所以 Windows 認(rèn)證模式正是利用這一用戶安全性和賬號管理的機(jī)制允許SQL Server 也可以使用NT的用戶名和口令。在該模式下，用戶只要通過 Windows的 認(rèn)證就可連接到SQL Server。而SQL Server本身就沒有必要管理一套登錄數(shù)據(jù) 。自 己可以試著操作在操作系統(tǒng)環(huán)境下建立用戶，測試之 ?；旌夏Ｊ剑?在混合認(rèn)證模式下， Windows 認(rèn)證和 SQL Server 認(rèn)證這兩種

4、認(rèn)證模式都是 可用的。NT的用戶既可以使用 NT認(rèn)證，也可以使用SQL Server 認(rèn)證。在SQL Server 認(rèn)證模式下， 用戶在連接 SQL Server 時(shí)必須提供登錄名和登錄密碼。 這些登錄信息存 儲在系統(tǒng)表syslogins中，與NT的登錄賬號無關(guān)。SQL Server自己執(zhí)行認(rèn)證處理。如果輸入的登錄信息與系統(tǒng)表 syslogins 中的某條記錄相匹配，則表明登錄成功。用戶， 架構(gòu)，數(shù)據(jù)庫對象之間關(guān)系： 數(shù)據(jù)庫中的對象由誰所有？如果由用戶所有， 那么 當(dāng)用戶被刪除時(shí)， 其所擁有的對象怎么辦呢？數(shù)據(jù)庫對象可以成為沒有所有者的 孤兒 嗎？在Microsoft SQL Server 2

5、008系統(tǒng)中，這個(gè)問題是通過用戶和架構(gòu)分離來解決的。在該系統(tǒng)中，用戶并不擁有數(shù)據(jù)庫對象，架構(gòu)可以擁有數(shù)據(jù)庫對象。用戶通過架構(gòu)來使用數(shù)據(jù)庫對象。這種機(jī)制使得刪除用戶時(shí)不必修改數(shù)據(jù)庫對象的所有者，提高了數(shù)據(jù)庫對象的可管理性。數(shù)據(jù)庫對象、架構(gòu)和用戶之間的這種關(guān)系如下圖所示。服務(wù)器登錄名，指有權(quán)限登錄到某服務(wù)器的用戶；服務(wù)器角色，指一組固定的服務(wù)器用戶，默認(rèn)有9組；登錄名一定屬于某些角色，默認(rèn)為public服務(wù)器角色不容許更改登錄后也不一定有權(quán)限操作數(shù)據(jù)庫數(shù)據(jù)庫用戶，指有權(quán)限能操作數(shù)據(jù)庫的用戶；數(shù)據(jù)庫角色，指一組固定的有某些權(quán)限的數(shù)據(jù)庫角色；數(shù)據(jù)庫架構(gòu)，指數(shù)據(jù)庫對象的容器；數(shù)據(jù)庫用戶對應(yīng)于服務(wù)器登錄名

6、以便登錄者可以操作數(shù)據(jù)庫數(shù)據(jù)庫角色可以添加，可以定制不同權(quán)限數(shù)據(jù)庫架構(gòu)，類似于數(shù)據(jù)庫對象的命名空間，用戶通過架構(gòu)訪問數(shù)據(jù)庫對象 而通過下圖可以讓這些概念清晰一些：再如下圖：即：服務(wù)器登錄名屬于某組服務(wù)器角色；服務(wù)器登錄名需要于數(shù)據(jù)庫的用戶映射后才擁有操作數(shù)據(jù)庫的權(quán)限數(shù)據(jù)庫用戶屬于某組數(shù)據(jù)庫角色以獲取操作數(shù)據(jù)庫的權(quán)限數(shù)據(jù)庫角色擁有對應(yīng)的數(shù)據(jù)庫架構(gòu)，數(shù)據(jù)庫用戶可以通過角色直接擁有架構(gòu) 數(shù)據(jù)庫用戶有默認(rèn)架構(gòu)，寫 SQL語句可以直接以“對象名”訪問 非默認(rèn)架構(gòu)則要以“架構(gòu)名.對象名”訪問【例7-1】SQL Server 認(rèn)證模式的設(shè)置在對登錄進(jìn)行增加刪除等操作前，必須首先設(shè)置SQL Server的認(rèn)證

7、模式。通過SQLServer En terprise Ma nager來進(jìn)行認(rèn)證模式的設(shè)置。主要執(zhí)行以下步驟：（1）啟動(dòng)企業(yè)管理器，選擇要進(jìn)行認(rèn)證模式設(shè)置的“服務(wù)器”。（2） 右擊該服務(wù)器，在彈出菜單中選擇“屬性”，SQL Server 將彈出SQL Server 屬 性對話框。（3 ）在SQL Server 屬性對話框中選擇安全性選項(xiàng)。如圖7-1所示圖7-1安全性設(shè)置對話框（4 ）在安全性選項(xiàng)欄的身份驗(yàn)證處選擇要設(shè)置的認(rèn)證模式。同時(shí)可以在審核級別處選擇 任意一個(gè)單選按鈕來決定跟蹤記錄用戶登錄時(shí)的哪種信息，例如登錄成功或失敗的信息?！纠?-2】管理SQL Server 登錄在SQL Serve

8、r 中通過SQL Server企業(yè)管理器中執(zhí)行以下步驟來管理SQL Server錄（1） 啟動(dòng)SQL Server企業(yè)管理器中，單擊登錄服務(wù)器緊鄰的+標(biāo)志（2）單擊安全性文件夾旁邊的+標(biāo)志7-2（3）右擊登錄名圖標(biāo)，從彈出菜單中選擇新建登錄選項(xiàng)，彈出新建登錄對話框，如圖 所示可編輯修改精品資料.;*障-丄禹朋3年釘如rT riME 毗iFY?兩LArer 4們菊g 插片rF匸纖Bi-3期F佛憑討0：-j*ul十刊匚14串BE 1）圖7-2新建登錄屬性對話框（4 ）在名稱編輯框中輸入登錄名。（5） 在身份驗(yàn)證下的選項(xiàng)欄中，選擇身份認(rèn)證模式。如果使用SQL Server認(rèn)證模式，那 么在選擇SQL

9、 Server身份驗(yàn)證單選按鈕之后就必須在密碼欄中輸入密碼。如果使用Windows 認(rèn)證模式，那么在選擇Windows 身份認(rèn)證單選按鈕之后，則必須在域中輸入域名（SQL Server 2000下）。（6）在默認(rèn)設(shè)置的兩個(gè)選項(xiàng)框中，給出用戶在登錄時(shí)的默認(rèn)數(shù)據(jù)庫以及默認(rèn)的語言。（7）單擊確定按鈕創(chuàng)建登錄2、數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶用來指出哪一個(gè)人可以訪問哪一個(gè)數(shù)據(jù)庫。在一個(gè)數(shù)據(jù)庫中，用戶ID唯一標(biāo)識一個(gè)用戶，用戶對數(shù)據(jù)的訪問權(quán)限以及對數(shù)據(jù)庫對象的所有關(guān)系都是通過用戶賬號來控 制的。用戶賬號總是基于數(shù)據(jù)庫的，即兩個(gè)不同數(shù)據(jù)庫中可以有兩個(gè)相同的用戶賬號。在數(shù)據(jù)庫中，用戶賬號與登錄賬號是兩個(gè)不同的概念。一

10、個(gè)合法的登錄賬號只表明該賬號通過了 NT認(rèn)證或SQL Server 認(rèn)證，但不能表明其可以對數(shù)據(jù)庫數(shù)據(jù)和數(shù)據(jù)對象進(jìn)行某 種或某些操作，所以一個(gè)登錄賬號總是與一個(gè)或多個(gè)數(shù)據(jù)庫用戶賬號（這些賬號必須分別存在相異的數(shù)據(jù)庫中）相對應(yīng)，這樣才可以訪問數(shù)據(jù)庫。例如登錄賬號sa自動(dòng)與每一個(gè)數(shù)據(jù)庫用戶dbo相關(guān)聯(lián)。通常而言數(shù)據(jù)庫用戶賬號總是與某一登錄賬號相關(guān)聯(lián)，但有一個(gè)例外，那就是 guest用戶。在安裝系統(tǒng)時(shí)，guest用戶被加入到 master、pubs、tempdb和Northwind 數(shù)據(jù)中。guest用戶主要是讓那些沒有屬于自己的用戶賬號的SQL Server 登錄者把其作為缺省的用戶，從而使該登錄

11、者能夠訪問具有g(shù)uest用戶的數(shù)據(jù)庫。關(guān)于登錄名和數(shù)據(jù)庫用戶名區(qū)別（俗語化），比作工作人員進(jìn)入大樓沒有登錄名，進(jìn)不了大樓-有了登錄名，就能進(jìn)大樓沒有用戶名，進(jìn)不了房間-有了用戶名，才能進(jìn)房間大樓的鑰匙可以在大樓內(nèi)建立房間/刪除房間，以及配置整個(gè)大樓的安保等功能。而用戶只能對自己的房間進(jìn)行收拾。如果兩者關(guān)聯(lián)，就好比登錄名進(jìn)入房間，收拾房間?！纠?-3】 使用“企業(yè)管理器”建立登陸帳號 Userl和用戶Userl打開“企業(yè)管理器”，選擇“安全性”7“登錄” t右鍵選“新建登錄”，進(jìn)入如圖7-3所示的界面。名稱填寫“Userl ”,身份驗(yàn)證選擇“SQL Server ”，默認(rèn)數(shù)據(jù)庫選擇“ Stu_C

12、ou ”。默認(rèn)的服務(wù)器角色是public圖7-3 登錄窗口（一）然后在點(diǎn)擊stu_cou數(shù)據(jù)庫，點(diǎn)擊安全性，再右鍵用戶新建，進(jìn)入數(shù)據(jù)庫用戶新建，如圖7-4所示，用戶名為 User1。經(jīng)確定后建立了一個(gè)SQL Server身份驗(yàn)證的登陸名“User1 ”。并且數(shù)據(jù)庫Stu_Cou的用戶名中新添了用戶“User1 ”。圖7-4 登錄窗口（一）默認(rèn)的架構(gòu)是“dbo ”點(diǎn)擊【確定】創(chuàng)建完成，該用戶出現(xiàn)在Stu_Cou數(shù)據(jù)庫的【安全性】 -【用戶】節(jié)點(diǎn)中。這時(shí)，可以先用登錄名訪問數(shù)據(jù)庫等在圖7-4 登錄窗口（一）中【數(shù)據(jù)庫用戶新建】 對話框的“選擇頁”中選擇“安全對象”, 進(jìn)入權(quán)限設(shè)置頁面（即“安全對象

13、”頁面） ，如圖7-4 登錄窗口（二）所示。“安全對象頁 面”主要用于設(shè)置數(shù)據(jù)庫用戶擁有的能夠訪問的數(shù)據(jù)庫對象以及相應(yīng)的訪問權(quán)限。單擊“搜索”按鈕為該用戶添加數(shù)據(jù)庫對象，并為添加的對象添加顯示權(quán)限。ZJ-可編輯修改dii-ar廠rr廠r廠廠rrr曲rr4*1rr冃r皿訃豈期a超曲11fiip1迪J 士.din*SEJ Ox*圖7-4 登錄窗口（二）請按照上述方式依次建立SQL Server 身份驗(yàn)證的登錄名 User2、User3、T1、T2、T3以及數(shù)據(jù)庫Stu_Cou中的新用戶 User2、User3、T1、T2、T3。注意登錄名和用戶名 不一樣的?！纠?-4】查看數(shù)據(jù)庫用戶在企業(yè)管理器中

14、選中User圖標(biāo)，則在右面的窗格中顯示當(dāng)前數(shù)據(jù)庫的所有用戶，如圖7-5所示。SIS tri 譽(yù)hiJAiri 口fc ci 車 T”i -as HI卜加 勾3DjdMOTW圖7-5查看數(shù)據(jù)庫用戶【例7-5】刪除數(shù)據(jù)庫用戶選中User圖標(biāo)后，在右面窗格中右擊想要?jiǎng)h除的數(shù)據(jù)庫用戶，則會彈出選項(xiàng)菜單，然 后選擇刪除，則會從當(dāng)前數(shù)據(jù)庫中刪除該數(shù)據(jù)庫用戶，見圖7-6。圖7-6刪除數(shù)據(jù)庫用戶3、權(quán)限管理用戶在登錄到SQL Server 之后，其用戶賬號所歸屬的 NT組或角色所被授予的權(quán)限決 定了該用戶能夠?qū)δ男?shù)據(jù)庫對象執(zhí)行哪種操作，以及能夠訪問、修改哪些數(shù)據(jù)。在SQLServer中包括兩種類型的權(quán)限：即

15、對象權(quán)限和語句權(quán)限。（1 ）對象權(quán)限：對象權(quán)限總是針對表、視圖、存儲過程而言。它決定了能對表、視圖、存儲過程執(zhí)行哪些操作（如 UPDATE、DELETE、INSERT和EXECUTE ）。如果用戶想要 對某一對象進(jìn)行操作，其必須具有相應(yīng)的操作的權(quán)限。例如，當(dāng)用戶要成功修改表中數(shù)據(jù)時(shí)，則前提條件是他已經(jīng)被授予表的UPDATE權(quán)限。權(quán)限設(shè)置方法如圖 7-7。（見圖7-4 登錄窗口（二）亀|*懇.lb4圖7-7權(quán)限設(shè)置對話框(2 )語句權(quán)限：語句權(quán)限 主要指用戶是否具有權(quán)限來執(zhí)行某一語句，這些語句通常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫、表、存儲過程等。這種語句雖然仍包含有操作，如 CREATE的對

16、象，但這些對象在執(zhí)行該語句之前并不存在于數(shù)據(jù)庫中。如創(chuàng)建一個(gè)表，在 CREATE TABLE語句未成功執(zhí)行前數(shù)據(jù)庫中沒有該表，所以將其歸為語句權(quán)限范疇。下面是所有的語句權(quán)限。CREATE DATABASE倉U建數(shù)據(jù)庫CREATE TABLE 創(chuàng)建表CREATE VIEW 創(chuàng)建視圖CREATE RULE 創(chuàng)建規(guī)則CREATE DEFAULT 倉建缺省CREATE PROCEDURE倉【J建存儲過程BACKUP DATABASE備份數(shù)據(jù)庫BACKUP LOG 備份事務(wù)日志這些語句權(quán)限只有 SQL Server的dbo用戶才具有，一般的用戶是不具有這些權(quán)限的。(3 )權(quán)限管理在SQL Server中

17、，使用GRANT、REVOKE 和DENY 三種命令來管理權(quán)限。GRANT :用來把權(quán)限授予某一用戶以允許該用戶執(zhí)行針對該對象的操作如UPDATE、SELECT、DELETE、EXECUTE 等。REVOKE :取消用戶對某一對象的權(quán)限，這些權(quán)限是經(jīng)過GRANT 語句授予的不允許該用戶執(zhí)行針對數(shù)據(jù)庫對象的某些操作，如UPDATE、SELECT、DELETE和EXECUTE 等。DENY :用來禁止用戶對某一對象的權(quán)限明確禁止其對某一用戶對象執(zhí)行某些操作。4、角色管理SQL Server管理者可以將某些(類)用戶設(shè)置為某一角色，這樣只對角色進(jìn)行權(quán)限設(shè)置 便可實(shí)現(xiàn)對所有用戶權(quán)限的設(shè)置，大大減少了管

18、理員的工作量。SQL Server 2008 中角色分為2類，分別是：服務(wù)器級別的角色和數(shù)據(jù)庫級別的角色。服務(wù)器級別角色有已經(jīng)定義好的9種，在【對象資源管理器】-【安全性】-【服務(wù)器】節(jié)點(diǎn)下查看。數(shù)據(jù)庫級別角色在具體的數(shù)據(jù)庫的【安全性】-【角色】-【數(shù)據(jù)庫角色】節(jié)點(diǎn)下查看?！纠?-6】應(yīng)用“企業(yè)管理器”建立角色TEST1、創(chuàng)建角色的步驟如下： 選擇數(shù)據(jù)庫Stu_Cou的“角色”文件夾，右鍵在快捷菜單中選擇“新建數(shù)據(jù)庫角色”。 如圖7-8所示，輸入角色名“ TEST”，點(diǎn)擊添加角色的用戶 T1、T2、T3，其它默認(rèn)， 然后單擊確定。圖7-8 創(chuàng)建角色2、選擇角色的權(quán)限 雙擊上步創(chuàng)建的角色“ TE

19、ST ”。 單擊“安全對象”按鈕，彈出的對話框如圖7-9所示。點(diǎn)擊搜索按鈕。此圖如下設(shè)置,自己可以看看選擇其它的區(qū)別，是對整個(gè)數(shù)據(jù)庫等？3此窗口中選擇表 Student 的權(quán)限select、insert和表Course 的權(quán)限select，單擊確定 即完成權(quán)限設(shè)定。* rra*!：AVH 龜J 辛*(nrai|牡1乩亠誌A圖7-9 選擇用戶角色的權(quán)限3、打開查詢分析器，以T1身份連接數(shù)據(jù)庫服務(wù)器，輸入以下語句檢查用戶的權(quán)限查詢Student表和Course表的內(nèi)容，看結(jié)果如何？use Stu_Couselect * from Stude nt goselect * from Course go

20、在另一窗口中查詢 SC表的內(nèi)容，看結(jié)果如何?use Stu_Couselect * from SC go四、習(xí)題1、 建立SQL Server身份驗(yàn)證的登陸名 Y1、Y2以及數(shù)據(jù)庫 Stu_Cou 中的新用戶 Y1、丫2。2、 創(chuàng)建角色 YY，用戶為Y1、丫2，權(quán)限為對表 C的in sert、update 權(quán)限和對表 SC的select 權(quán)限，并截屏。實(shí)驗(yàn)八 權(quán)限控制一、實(shí)驗(yàn)?zāi)康? 、掌握使用 grant 語句來為用戶授權(quán)的方法2 、掌握使用 revoke 語句來為收回用戶權(quán)限的方法二、預(yù)備知識1、創(chuàng)建用戶的系統(tǒng)存儲過程格式為：sp_adduser User1具體如下CREATE USER 用

21、戶名FOR LOGIN 登錄名 WITH DEFAULT_SCHEMA=dbo2、創(chuàng)建角色的系統(tǒng)存儲過程格式為：Create role sp_addrole Role13、grant 語句向用戶授予操作權(quán)限，其一般格式為： （一定要記?。ゞrant, on to , with grant option注：如果指定了 with grant option 子句，則獲得某種權(quán)限的用戶還可以把這種權(quán)限 再授予其他用戶。4、revoke 語句表示可以由 DBA 或其他授權(quán)者收回權(quán)限。其一般格式為：revoke , on from , 3 ，4 必須記住三、實(shí)驗(yàn)示例【例 8-1 】 打開 SQL Serv

22、er Management Studio ，以 SQL Server 認(rèn)證登錄 sa 用戶 （或者 Windows 身份連接數(shù)據(jù)庫服務(wù)器登錄），把查詢 Student 表的權(quán)限授權(quán)給用戶 User1 ，并允許 User1 把這些權(quán)限授予別的用戶use Stu_Cougrant selecton Student to User1with grant option/ 自己通過 視窗查看是否成功【例 8-2 】打開 SQL Server Management Studio，以 SQL Server 認(rèn)證登錄 sa 用戶 （ 或者 Windows 身份連接數(shù)據(jù)庫服務(wù)器登錄 ） ，把對 Student

23、表的全部操作權(quán)限授予給用戶 User2 和 User3 use Stu_Cougrant SELECT,INSERT,UPDATE,DELETEon Student to User2 , User3【例 8-3 】打開 SQL Server Management Studio，以 SQL Server 認(rèn)證登錄 sa 用戶 （ 或者 Windows 身份連接數(shù)據(jù)庫服務(wù)器登錄 ） ，把查詢和修改 Student 表的權(quán)限授給用戶 User4use Stu_Cougrant select , update on Student to User4【例 8-4 】打開 SQL Server Manag

24、ement Studio，以 SQL Server 認(rèn)證登錄 sa 用戶 （ 或者 Windows 身份連接數(shù)據(jù)庫服務(wù)器登錄 ），把創(chuàng)建表的權(quán)限授給 User3 use Stu_Cou grant create tableto User3 測試：然后以 User3 身份連接數(shù)據(jù)庫服務(wù)器，并創(chuàng)建表 t1 use Stu_Coucreate table t1（ sno char（8） ） 如果不行，在用戶 user3 中添加數(shù)據(jù)庫角色成員身份為 db_owner 。在哪里？自己找?；?者在 use Stu_Cou grant create table to User3 后加入 grant alter on schema : dbo to User3）【例 8-5