實(shí)踐1：SQLServer的安裝與安全性管理.1

1、SQL Server 2000SQL Server 2000的安裝與配置的安裝與配置 SQL Server 2000SQL Server 2000的安全機(jī)制的安全機(jī)制一一. . SQL Server SQL Server的安裝、配置與安全性的安裝、配置與安全性1.SQL Server 2000SQL Server 2000的安裝與配置的安裝與配置 1)初次安裝SQL Server 20002)增加服務(wù)器實(shí)例3)啟動(dòng)服務(wù)器4)客戶端網(wǎng)絡(luò)連接工具5)服務(wù)器端連接工具6)企業(yè)管理器7)查詢分析器1)初次安裝SQL Server 20002)增加服務(wù)器實(shí)例3)啟動(dòng)服務(wù)器啟動(dòng)服務(wù)4)客戶端網(wǎng)絡(luò)連接工具5

2、)服務(wù)器端連接工具6)企業(yè)管理器7)查詢分析器2. SQL Server 20002. SQL Server 2000的安全機(jī)制的安全機(jī)制SQL Server 的安全機(jī)制包括：兩級(jí)權(quán)限 與 兩類安全性 ，以及數(shù)據(jù)庫(kù)的備份與恢復(fù)。二級(jí)管理權(quán)限是：1) 服務(wù)器級(jí)的“連接權(quán)” 即一個(gè)賬戶能否連接到某一個(gè)服務(wù)器。2) 數(shù)據(jù)庫(kù)的訪問(wèn)權(quán) 連接到服務(wù)器，未必能夠訪問(wèn)其中某個(gè)數(shù)據(jù)庫(kù)。因此，必須在數(shù)據(jù)庫(kù)中注冊(cè)這個(gè)帳號(hào)，才能對(duì)該數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)。兩類安全性:1) 數(shù)據(jù)庫(kù)的安全性 一個(gè)用戶只要被授予了使用某個(gè)對(duì)象或語(yǔ)句的權(quán)限，就可以用任何工具來(lái)進(jìn)行操作。2) 應(yīng)用程序的安全性 對(duì)于數(shù)據(jù)庫(kù)中的一些重要數(shù)據(jù)，為避免誤操作

3、，或者在一些復(fù)雜數(shù)據(jù)庫(kù)中，表間的關(guān)系很難用外鍵、規(guī)則等來(lái)維護(hù)時(shí)，只能用應(yīng)用程序來(lái)訪問(wèn)這些數(shù)據(jù)，這就是應(yīng)用程序的安全性。2.1 服務(wù)器連接權(quán)兩類登錄賬號(hào)：1) Windows NT/2000 用戶賬號(hào) 用戶首先在Windows下創(chuàng)建賬號(hào)名，然后再映射成SQL Server 下的賬號(hào)。2) SQL Server 登錄賬號(hào)兩種情形需要使用SQL Server 登錄賬號(hào)：非Windows NT/2000用戶（如windows 98用戶），或者通過(guò)網(wǎng)絡(luò)登錄的帳戶（無(wú)windows 帳號(hào)）。注冊(cè)用戶帳戶步驟：在服務(wù)器實(shí)例-安全性-登錄 節(jié)點(diǎn)上，鼠標(biāo)右健單擊，在“新建登錄”對(duì)話框中完成添加。說(shuō)明：如果注冊(cè)W

4、indows NT/2000帳戶，必須事先在Windows下建立該帳戶如果是Windows NT/2000帳戶，則由 “計(jì)算機(jī)名* ” 組成； 如果是SQL Server帳戶，由只由“ * ” 組成。（ * 代表用戶輸入的名字）名字不區(qū)分大小寫(xiě)名字不區(qū)分大小寫(xiě)。只有系統(tǒng)管理員和 安全員 才可以注冊(cè)帳戶。注冊(cè)用戶帳戶1) Windows NT/2000 驗(yàn)證模式2) SQL Server 與Windows NT/2000混合驗(yàn)證模式使用混合驗(yàn)證模式時(shí)，系統(tǒng)管理員需要?jiǎng)?chuàng)建登錄賬號(hào)和口令，以備用戶連接時(shí)使用。所謂混合驗(yàn)證，就是即可以使用SQL Server帳號(hào)也可以使用Windows NT/2000

5、帳號(hào)登錄。但是若服務(wù)器設(shè)為Windows NT/2000 驗(yàn)證模式，則只能使用Windows賬號(hào)登錄。設(shè)置安全驗(yàn)?zāi)Ｊ奖仨毷恰跋到y(tǒng)管理員”用戶兩類驗(yàn)證模式：設(shè)置驗(yàn)證模式在數(shù)據(jù)庫(kù)服務(wù)器實(shí)例上單擊鼠標(biāo)右鍵-屬性，打開(kāi)“屬性對(duì)話框”，可以設(shè)置服務(wù)器驗(yàn)證模式。設(shè)置完后，服務(wù)器實(shí)例會(huì)重新啟動(dòng)。設(shè)置驗(yàn)證模式注冊(cè)服務(wù)器打開(kāi)“企業(yè)管理器”，會(huì)看到已經(jīng)自動(dòng)注冊(cè)了 服務(wù)器。此時(shí)，用戶可以重新設(shè)置驗(yàn)證模式，并重新注冊(cè)服務(wù)器。注冊(cè)服務(wù)器服務(wù)器角色和sa帳戶服務(wù)器角色是一些系統(tǒng)定義好操作權(quán)限的用戶組，其中的成員是登錄賬號(hào)。也就是說(shuō)，一個(gè)登錄賬戶加入一個(gè)角色（共8種），自動(dòng)具有該角色預(yù)定義的權(quán)限。對(duì)服務(wù)器角色不能增加或刪除

6、，只能對(duì)其中的成員進(jìn)行修改。一個(gè)登錄賬號(hào)可以不屬于任何角色，也可以同時(shí)屬于多個(gè)角色。sa賬號(hào)是為向后兼容而內(nèi)建的特殊賬號(hào)，屬于sysadmin角色，而且不能改變。連接到服務(wù)器的用戶的權(quán)利八種角色上機(jī)測(cè)試：首先啟動(dòng)服務(wù)管理器。1。先以“管理員”身份登錄，然后分別建立帳Windows NT/2000帳戶 *XPName1 和 SQL Server帳戶SQLName2 ； 上述 * 代表你的計(jì)算機(jī)名字2。修改服務(wù)器的登錄方式，然后用某一帳戶登錄；3。測(cè)試不同帳戶的權(quán)限， 例如：備份數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)的用戶和角色1） 用戶每一個(gè)數(shù)據(jù)庫(kù)用戶都跟服務(wù)器登錄賬號(hào)之間存在一種映射關(guān)系，管理員可以將一個(gè)服務(wù)器登錄賬號(hào)

7、映射為某一個(gè)數(shù)據(jù)庫(kù)的一個(gè)用戶賬號(hào)。一個(gè)登錄賬號(hào)在不同的數(shù)據(jù)庫(kù)中可以映射成（即另起名字）具有不同權(quán)限的用戶。 2.2 數(shù)據(jù)庫(kù)訪問(wèn)權(quán) 注意：每個(gè)數(shù)據(jù)庫(kù)都有兩個(gè)默認(rèn)用戶：dbo 和 guest 。 dbo數(shù)據(jù)庫(kù)擁有者。 sysadmin服務(wù)器角色的成員自動(dòng)被映射成dbo。 guest來(lái)賓來(lái)賓。 當(dāng)一個(gè)數(shù)據(jù)庫(kù)存在guest用戶時(shí)，所有通過(guò)自己的賬號(hào)訪問(wèn)數(shù)據(jù)庫(kù)的用戶都被當(dāng)作guest。 所以，使用guest要小心。數(shù)據(jù)庫(kù)默認(rèn)用戶新建數(shù)據(jù)庫(kù)用戶 數(shù)據(jù)庫(kù)角色的概念同服務(wù)角色，但是在數(shù)據(jù)庫(kù)，不僅有固定的數(shù)據(jù)庫(kù)角色，也有自定義的角色。2）數(shù)據(jù)庫(kù)角色十個(gè)固定數(shù)據(jù)庫(kù)角色public: 具有所有具有所有“默認(rèn)默認(rèn)”權(quán)

8、限權(quán)限db_owner:具有所有角色的權(quán)限db_accessadmin:+/- 用戶、角色db_ddladmin:+/- 數(shù)據(jù)庫(kù)對(duì)象db_securityadmin: 管理角色，管理對(duì)象和語(yǔ)句權(quán)限db_backupoperator:備份db_datareader:讀db_datawriter:寫(xiě)db_denydatareader:不能讀db_denydatawriter:不能寫(xiě)說(shuō)明：固定角色同樣不能增加/刪除自定義數(shù)據(jù)庫(kù)角色應(yīng)用程序角色說(shuō)明：應(yīng)用程序角色不能添加用戶必須用下列語(yǔ)句激活： sp_setapprole 角色名 , 密碼激活后，當(dāng)前用戶的權(quán)限轉(zhuǎn)變?yōu)?應(yīng)用程序角色的權(quán)限，并一直到斷開(kāi)連

9、接為止。若要修改密碼，也只能用下列方式： sp_approlepassword 角色名, 新密碼3）權(quán)限一個(gè)用戶可以直接分配到權(quán)限，也可以作為一個(gè)角色的成員間接地得到權(quán)限。一個(gè)用戶還可以同時(shí)具有不同權(quán)限的多個(gè)角色。權(quán)限分類：1）對(duì)象權(quán)限即對(duì)數(shù)據(jù)庫(kù)對(duì)象：表、視圖、存儲(chǔ)過(guò)程等進(jìn)行操作的權(quán)利。2）語(yǔ)句權(quán)限用戶執(zhí)行一些數(shù)據(jù)庫(kù)定義數(shù)據(jù)庫(kù)定義語(yǔ)句的權(quán)利。3）隱含權(quán)限系統(tǒng)預(yù)定定義的各種角色所擁有的權(quán)限，不能明確地被定義或撤消。語(yǔ)句權(quán)限管理對(duì)象權(quán)限管理也可以通過(guò)對(duì)象名設(shè)置對(duì)象權(quán)限管理可以通過(guò)帳戶名設(shè)置2.3 2.3 數(shù)據(jù)庫(kù)的備份與恢復(fù)數(shù)據(jù)庫(kù)的備份與恢復(fù)n備份數(shù)據(jù)庫(kù)還原數(shù)據(jù)庫(kù)上機(jī)測(cè)試：4。將SQLname2帳號(hào)映射到 Teaching數(shù)據(jù)庫(kù)，但不具有學(xué)生表的 select語(yǔ)句權(quán)限