實驗五 安全性

1、 SQL Server 2005數據庫的安全性 1學習目標會設置SQL Server 2005登錄驗證模式會創(chuàng)建登錄、角色及SQL Server 2005數據庫用戶會授予與收回用戶權限2 數據庫的安全性任務1 使用SQL Server Management Studio創(chuàng)建和管理數據庫用戶及角色任務2 使用SQL Server Management Studio授予用戶權限。任務3 使用T-SQL語句創(chuàng)建和管理數據庫用戶及角色。任務4 使用T-SQL語句授予與收回用戶權限。3任務1 使用SQL Server Management Studio創(chuàng)建d登錄、數據庫用戶及角色【任務描述】 創(chuàng)建一個服

2、務器登錄，名稱為studentuser1，創(chuàng)建一個數據庫角色student，創(chuàng)建一個學生課程student數據庫的用戶susan。 【任務分析】 一個SQL Server登錄賬號只有成為數據庫的用戶，對該數據庫才有訪問權限。每個登錄賬號在一個數據庫中只能有一個用戶賬號，但可以在不同的數據庫中各有一個用戶賬號。 角色分為服務器角色和數據庫角色兩種，本任務要求創(chuàng)建的是數據庫角色。4任務1 操作步驟 1、啟動SQL Server Management Studio，在“對象資源管理器”窗口中選擇服務器，展開【安全性】【登錄名】，右擊【登錄名】，在彈出的快捷菜單中選擇“新建登錄名”命令，如左圖所示。打

3、開“新建登錄名-新建”對話框，在“常規(guī)”選項頁面中的“登錄名”文本框內輸入用入登錄名稱，如“studentuser1”，同時在密碼框內輸入密碼和確認密碼框內再次輸入相同密碼，默認數據庫選擇“student”，最后點擊“確定”按鈕，如右圖所示。5 2、在“對象資源管理器”窗口中選擇服務器，展開“數據庫student安全性角色”，右擊“數據庫角色”，在彈出的快捷菜單中單擊“新建角色”命令，打開“數據庫角色-新建”對話框，在角色名稱中輸入“student”，然后單擊“所有者”文本框右側的瀏覽按鈕。如左圖所示。在打開的“選擇數據庫用戶或角色”對話框中，單擊右側的“瀏覽”按鈕，打開“查找對象”對話框中，

4、在列表框中選擇“student”數據庫角色，如右圖所示。任務1 操作步驟6 3、在“對象資源管理器”窗口中選擇服務器，展開“數據庫student安全性”，右擊“用戶”，在彈出的快捷菜單中選擇“新建用戶”命令，如左圖所示。打開“新建用戶-新建”對話框，在“常規(guī)”選項頁面中的“用戶名”文本框內輸入用戶名稱，如“susan”，如右圖所示。 任務1 操作步驟7 4、單擊“登錄名”右側的選擇按鈕，打開“選擇登錄名”對話框，點擊右側的“瀏覽”按鈕，打開“查找對象”對話框，選擇登錄名，如“studentuser1”，如左圖所示。返回“數據庫用戶-新建”對話框中，選擇賦給用戶的數據庫角色，在“數據庫角色成員身

5、份”列表框中選擇“student” ，完成新用戶創(chuàng)建，如右圖所示。任務1 操作步驟8拓展練習如何設置sa的密碼？兩種登錄模式有何區(qū)別？9知識說明Windows身份登錄模式（不需要提供特別的登錄密碼）SQL Server登錄模式（SQL Server登錄需要密碼）10任務2 使用SQL Server Management Studio授予用戶權限 【任務描述】 給學生課程數據庫的用戶Susan授予查看學生情況表、選課表、課程表的查看權限，并給相應的列授予相應的權限?！救蝿辗治觥坑肕anagement Studio、系統(tǒng)存儲過程、系統(tǒng)視圖、自定義腳本等等都可以確定你在SQL Server中的權限，

6、還有用功能強大的fn_my_permissions表值函數也能確定。 11任務2 操作步驟 1、啟動SQL Server Management Studio，在“對象資源管理器”窗口中選擇服務器，展開”數據庫學生課程安全性用戶“，右擊用戶名”Susan”，在彈出的快捷菜單中選擇“屬性”命令，如左圖所示。打開“數據庫用戶Susan”對話框，選擇“安全對象”頁，單擊“添加”按鈕，如右圖所示。12 2、打開“添加對象”對話框，選擇“特定對象”單選按鈕，然后單擊“確定按鈕，如左圖所示。在打開的 “選擇對象”對話框，單擊右側的“對象類型”按鈕。打開“選擇對象類型”對話框，在列表中選擇相應的選項，單擊確定

7、按鈕，如右圖所示。 任務2 操作步驟13 3、在“選擇對象”對話框中，單擊右側的“瀏覽”按鈕，打開“查找對象”對話框，選擇表Course等，然后單擊“確定“按鈕，如左圖所示。在“數據庫用戶Susan”對話框內，先選擇表Choice ，然后在對話框下方的student顯式權限列表框內選擇Alter權限、Delete權限、Insert權限、Select權限，再進一步設置“列權限”，如右圖所示。任務2 操作步驟144、打開“列權限”對話框，對相應的列授予權限，如下圖所示任務2 操作步驟15知識說明登錄 1） 登錄是賬戶標識符，用于連接到SQL SERVER 2005賬戶都稱為登錄。其作用是用來控制對

8、SQL Server 2005的訪問權限。SQL Server 2005只有在首先驗證了指定的登錄賬號有效后，才完成連接。但登錄賬號沒有使用數據庫的權力，即SQL Server 2005登錄成功并不意味著用戶已經可以訪問SQL Server 2005上的數據庫。 2） SQL Server 2005的登錄賬戶相應有兩種：SQL 賬戶和Windows賬戶 例如，添加 Windows登錄帳戶 EXEC sp_grantlogin trainingS26301 -域名用戶名 添加 SQL登錄帳戶 EXEC sp_addlogin zhangsan, 1234 -用戶名，密碼 3） SQL Serve

9、r 2005中有兩個默認的登錄賬戶：BUILTINAdministrators和sa。BUILTINAdministrators提供了對所有Windows 2005管理員的登錄權限，并且具有在所有數據庫中的所有權限。系統(tǒng)管理員(sa)是一個特殊的登錄賬戶，只有在SQL Server 2005使用混合驗證模式時有效，它也具有在所有數據庫中的所有權限。 16知識說明登錄 1） 登錄是賬戶標識符，用于連接到SQL SERVER 2005賬戶都稱為登錄。其作用是用來控制對SQL Server 2005的訪問權限。SQL Server 2005只有在首先驗證了指定的登錄賬號有效后，才完成連接。但登錄賬號

10、沒有使用數據庫的權力，即SQL Server 2005登錄成功并不意味著用戶已經可以訪問SQL Server 2005上的數據庫。 2） SQL Server 2005的登錄賬戶相應有兩種：SQL 賬戶和Windows賬戶 例如，添加 Windows登錄帳戶 EXEC sp_grantlogin trainingS26301 -域名用戶名 添加 SQL登錄帳戶 EXEC sp_addlogin zhangsan, 1234 -用戶名，密碼 3） SQL Server 2005中有兩個默認的登錄賬戶：BUILTINAdministrators和sa。BUILTINAdministrators提供

11、了對所有Windows 2005管理員的登錄權限，并且具有在所有數據庫中的所有權限。系統(tǒng)管理員(sa)是一個特殊的登錄賬戶，只有在SQL Server 2005使用混合驗證模式時有效，它也具有在所有數據庫中的所有權限。 17知識說明 用戶 1）在數據庫內，對象的全部權限和所有權由用戶賬戶控制。 2）在安裝SQL Server后，默認數據庫中包含兩個用戶：dbo和guest，即系統(tǒng)內置的數據庫用戶 dbo代表數據庫的擁有者（database owner）。每個數據庫都有dbo用戶，創(chuàng)建數據庫的用戶是該數據庫的dbo，系統(tǒng)管理員也自動被映射成dbo。 3）guest用戶帳號在安裝完SQL Serv

12、er系統(tǒng)后被自動被加入到master、pubs、tempdb、和northwind數據庫中，且不能被刪除。用戶自己創(chuàng)建的數據庫默認情況下不會自動加入guest帳號，但可以手工創(chuàng)建。guest用戶也可以像其他用戶一樣設置權限。當一個數據庫具有guest用戶帳號時，允許沒有用戶帳號的登錄者訪問該數據庫。所以guest帳號的設立方便了用戶的使用，但如使用不當也可能成為系統(tǒng)安全隱患。 18知識說明 角色 1）在SQL Server 中，角色是管理權限的有力工具。將一些用戶添加到具體某種權限的角色中，權限在用戶成為角色成員時自動生效。 “角色”概念的引入方便了權限的管理，也使權限的分配更加靈活。 2）角

13、色分為服務器角色和數據庫角色兩種。服務器角色具有一組固定的權限，并且適用于整個服務器范圍。它們專門用于管理 SQL Server，且不能更改分配給它們的權限?？梢栽跀祿熘胁淮嬖谟脩魩舻那闆r下向固定服務器角色分配登錄。 3）數據庫角色與本地組有點類似，它也有一系列預定義的權限，你可以直接給用戶指派權限，但在大多數情況下，只要把用戶放在正確的角色中就會給予它們所需要的權限。一個用戶可以是多個角色中的成員，其權限等于多個角色權限的“和”，任何一個角色中的拒絕訪問權限會覆蓋這個用戶所有的其他權限。19任務3 使用T-SQL語句創(chuàng)建、查看、刪除SQL Server登錄賬戶 【任務描述】 創(chuàng)建SQL

14、Server登錄賬號John，然后與student數據庫中的用戶studentuser2相關聯(lián)，最后刪除登錄賬號John。【任務分析】 使用系統(tǒng)存儲過程來完成權限的管理。根據任務要求，先查看student數據庫中有沒有用戶studentuser2,如果無此用戶，要先創(chuàng)建。注意：最后要刪除與登錄名相關聯(lián)的數據庫用戶，才能刪除登錄賬戶。20任務3 源代碼Sp_addlogin John,wuygh1994,studentGoExec sp_helploginsUse studentExe sp_helpuserGoUse studentExec sp_grantdbaccess John,stud

15、entuser2GoExec sp_revokedbaccess studentuser2Exec sp_droplogin John21【任務描述】 使用T-SQL語句創(chuàng)建和管理數據庫用戶Peter?！救蝿辗治觥?創(chuàng)建用戶名時，必須關聯(lián)一個登錄名，可以分為三個子任務： （1）使用CREATE USER語句，創(chuàng)建一個名為Peter的登錄名。 （2）創(chuàng)建用戶Peter，并將它與登錄名Peter進行映射關聯(lián)。 （3）創(chuàng)建角色auditors，并將用戶Peter加入auditors角色中。 任務4 使用T-SQL語句創(chuàng)建和管理數據庫用戶及角色22任務4 操作步驟 USE student GO CRE

16、ATE LOGIN Peter WITH password=wuygh1994 CREATE USER Peter FOR LOGIN Peter GO CREATE ROLE auditors EXECUTE sp_addrolemember auditors,Peter23【任務描述】 授予用戶Peter查看student數據庫中course和teacher表的權限；然后拒絕Peter查看student數據庫中teacher的權限；撤消Peter查看student數據庫中course的權限?！救蝿辗治觥?根據任務要求，使用GRANT，DENY和REVOKE語句來完成權限的管理。 在SQL

17、Server中使用GRANT、DENY、REVOKE三條Transact-SQL語句來管理權限。 GRANT命令用于把權限授予某一用戶，以允許該用戶執(zhí)行針對某數據庫對象的操作或允許其運行某些語句。DENY命令可以用來禁止用戶對某一對象或語句的權限，它不允許該用戶執(zhí)行針對數據庫對象的某些操作或不允許其運行某些語句。REVOKE命令可以用來撤銷用戶對某一對象或語句的權限，使其不能執(zhí)行操作，除非該用戶是角色成員，且角色被授權。 任務4 使用T-SQL語句授予與收回用戶權限24任務5 源代碼USE studentGRANT SELECT ON course TO PeterGRANT SELECT O

18、N teacher TO PeterGODENY SELECT ON teacher TO PeterGOREVOKE SELECT ON course TO PeterGO25標準角色 Public ：最基本的數據庫角色，每個用戶都屬于該角色 Db_owner：在數據庫中有全部權限 Db_accessadmin ：可以添加或刪除用戶ID Db_securityadmin ：可以管理全部權限、對象所有權、角色和角色成員資格 Db_ddladmin ：可以發(fā)出所有DDL語句，但不能發(fā)出GRANT、REVOKE或DENY語句 26標準角色 Db_backupoperator：可以發(fā)出DBCC、CHECKPOINT和BACKUP語句 Db_dat