SQL Server2000實(shí)驗(yàn)指導(dǎo)NEW實(shí)驗(yàn)10安全

1、實(shí)驗(yàn)實(shí)驗(yàn)10 SQL Server10 SQL Server安全管理安全管理 SQL Server 2000 SQL Server 2000的安全模型分為三層結(jié)構(gòu)，分別為服務(wù)器安全管理、的安全模型分為三層結(jié)構(gòu)，分別為服務(wù)器安全管理、數(shù)據(jù)庫安全管理、數(shù)據(jù)庫對象的訪問權(quán)限管理。通過本實(shí)驗(yàn)來學(xué)習(xí)、掌握登數(shù)據(jù)庫安全管理、數(shù)據(jù)庫對象的訪問權(quán)限管理。通過本實(shí)驗(yàn)來學(xué)習(xí)、掌握登錄機(jī)制、數(shù)據(jù)庫用戶和對象操作權(quán)限的管理方法。錄機(jī)制、數(shù)據(jù)庫用戶和對象操作權(quán)限的管理方法?！局R要點(diǎn)【知識要點(diǎn)】 1.SQL Server1.SQL Server的安全模型的安全模型 SQL Server 2000SQL Server 2

2、000的安全模型分為三層結(jié)構(gòu)，分別為：的安全模型分為三層結(jié)構(gòu)，分別為：服務(wù)器安全管理服務(wù)器安全管理數(shù)據(jù)庫安全管理數(shù)據(jù)庫安全管理數(shù)據(jù)庫對象的訪問權(quán)限管理數(shù)據(jù)庫對象的訪問權(quán)限管理 用戶訪問數(shù)據(jù)庫時(shí)需要經(jīng)歷的三個(gè)階段及相應(yīng)的安全認(rèn)證過程：用戶訪問數(shù)據(jù)庫時(shí)需要經(jīng)歷的三個(gè)階段及相應(yīng)的安全認(rèn)證過程： 第一階段：用戶首先要登錄到第一階段：用戶首先要登錄到SQL ServerSQL Server實(shí)例。在登錄時(shí)，系統(tǒng)要對其實(shí)例。在登錄時(shí)，系統(tǒng)要對其進(jìn)行身份驗(yàn)證，被認(rèn)為合法才能登錄到進(jìn)行身份驗(yàn)證，被認(rèn)為合法才能登錄到SQL ServerSQL Server實(shí)例。實(shí)例。 第二階段：用戶在每個(gè)要訪問的數(shù)據(jù)庫里必須獲得

3、一個(gè)用戶帳號。第二階段：用戶在每個(gè)要訪問的數(shù)據(jù)庫里必須獲得一個(gè)用戶帳號。SQL SQL ServerServer實(shí)例將實(shí)例將SQL ServerSQL Server登錄映射到數(shù)據(jù)庫用戶帳號上，在這個(gè)數(shù)據(jù)庫的用登錄映射到數(shù)據(jù)庫用戶帳號上，在這個(gè)數(shù)據(jù)庫的用戶帳號上定義數(shù)據(jù)庫的管理和數(shù)據(jù)對象的訪問的安全策略。戶帳號上定義數(shù)據(jù)庫的管理和數(shù)據(jù)對象的訪問的安全策略。 第三階段：用戶訪問數(shù)據(jù)庫。用戶訪問數(shù)據(jù)庫對象時(shí)，系統(tǒng)要檢查用戶第三階段：用戶訪問數(shù)據(jù)庫。用戶訪問數(shù)據(jù)庫對象時(shí)，系統(tǒng)要檢查用戶是否具有訪問數(shù)據(jù)庫對象、執(zhí)行動(dòng)作的權(quán)限，經(jīng)過語句許可權(quán)限的驗(yàn)證，才是否具有訪問數(shù)據(jù)庫對象、執(zhí)行動(dòng)作的權(quán)限，經(jīng)過語句許可

4、權(quán)限的驗(yàn)證，才能實(shí)現(xiàn)對數(shù)據(jù)的操作。能實(shí)現(xiàn)對數(shù)據(jù)的操作。實(shí)驗(yàn)實(shí)驗(yàn)10 SQL Server10 SQL Server安全管理安全管理2. SQL Server2. SQL Server身份驗(yàn)證模式身份驗(yàn)證模式身份驗(yàn)證用來識別用戶的登錄帳號和驗(yàn)證用戶與身份驗(yàn)證用來識別用戶的登錄帳號和驗(yàn)證用戶與SQL ServerSQL Server相連接的合法相連接的合法性，如果驗(yàn)證成功，用戶就能連接到性，如果驗(yàn)證成功，用戶就能連接到SQL ServerSQL Server上。上。SQL ServerSQL Server使用下面兩種身份驗(yàn)證模式：使用下面兩種身份驗(yàn)證模式：Windows OnlyWindows O

5、nly身份驗(yàn)證模式身份驗(yàn)證模式SQL ServerSQL Server和和WindowsWindows混合驗(yàn)證模式混合驗(yàn)證模式3.3.數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶 一般情況下，用戶獲得登錄一般情況下，用戶獲得登錄SQL ServerSQL Server實(shí)例的登錄帳號后，系統(tǒng)管理實(shí)例的登錄帳號后，系統(tǒng)管理員還必須為該登錄用戶訪問的數(shù)據(jù)庫創(chuàng)建一個(gè)數(shù)據(jù)庫用戶帳號，該用戶登員還必須為該登錄用戶訪問的數(shù)據(jù)庫創(chuàng)建一個(gè)數(shù)據(jù)庫用戶帳號，該用戶登錄后才可訪問此數(shù)據(jù)庫。錄后才可訪問此數(shù)據(jù)庫。 SQL Server 2000SQL Server 2000系統(tǒng)中有如下默認(rèn)的數(shù)據(jù)庫用戶：系統(tǒng)中有如下默認(rèn)的數(shù)據(jù)庫用戶：guest

6、guest用戶用戶 任何登錄帳號都可以用此帳號使用數(shù)據(jù)庫。任何登錄帳號都可以用此帳號使用數(shù)據(jù)庫。dbodbo用戶用戶 dbodbo數(shù)據(jù)庫用戶帳號存在于每個(gè)數(shù)據(jù)庫下，對應(yīng)數(shù)據(jù)庫用戶帳號存在于每個(gè)數(shù)據(jù)庫下，對應(yīng)SQL ServerSQL Server的固定服的固定服務(wù)器角色務(wù)器角色SysAdminSysAdmin的成員帳號，是數(shù)據(jù)庫的管理員。的成員帳號，是數(shù)據(jù)庫的管理員。實(shí)驗(yàn)實(shí)驗(yàn)10 SQL Server10 SQL Server安全管理安全管理4.4.許可權(quán)限管理許可權(quán)限管理 許可權(quán)限指明用戶獲得哪些數(shù)據(jù)庫對象的使用權(quán)，以及用戶能夠?qū)@些對象執(zhí)行何種操作。在SQL Server中常用的2種許可權(quán)

7、限的類型： （1 1）語句許可）語句許可SQL Server可以授予用戶下列語句的使用許可權(quán)限：Backup Database、Backup Log、Create Database、Create Default、Create Function、Create Procedure、Create Rule、Create Table、Create View 。 （2 2）對象許可）對象許可 SQL Server可以授予用戶下列數(shù)據(jù)對象的一些操作許可權(quán)限：表和視圖的操作許可權(quán)限：SELECT 、INSERT、UPDATE、DELETE列的操作許可權(quán)限：SELECT、UPDATE、REFERENCES存儲

8、過程的操作許可權(quán)限：EXECUTE【實(shí)驗(yàn)?zāi)康摹緦?shí)驗(yàn)?zāi)康摹空莆談?chuàng)建登錄帳號的方法；掌握創(chuàng)建數(shù)據(jù)庫用戶的方法；掌握語句級許可權(quán)限管理；掌握對象級許可權(quán)限管理。實(shí)驗(yàn)實(shí)驗(yàn)10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號【實(shí)驗(yàn)?zāi)康摹緦?shí)驗(yàn)?zāi)康摹?學(xué)習(xí)和掌握創(chuàng)建登錄帳號的方法。學(xué)習(xí)和掌握創(chuàng)建登錄帳號的方法?！緦?shí)驗(yàn)內(nèi)容【實(shí)驗(yàn)內(nèi)容】 以系統(tǒng)管理員的身份進(jìn)行下面內(nèi)容的實(shí)驗(yàn)：以系統(tǒng)管理員的身份進(jìn)行下面內(nèi)容的實(shí)驗(yàn)：創(chuàng)建使用創(chuàng)建使用WindowsWindows身份驗(yàn)證的登錄帳號身份驗(yàn)證的登錄帳號WinUserWinUser；創(chuàng)建使用創(chuàng)建使用SQL ServerSQL Server身份驗(yàn)證的登錄帳號身份驗(yàn)證的登錄帳號SQLU

9、serSQLUser，設(shè)置可訪問數(shù)據(jù)庫，設(shè)置可訪問數(shù)據(jù)庫JiaoxuedbJiaoxuedb?！緦?shí)驗(yàn)步驟【實(shí)驗(yàn)步驟】 1.1.創(chuàng)建使用創(chuàng)建使用WindowsWindows身份驗(yàn)證的登錄帳號身份驗(yàn)證的登錄帳號WinUserWinUser實(shí)驗(yàn)實(shí)驗(yàn)10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號實(shí)例實(shí)例MXMMXM當(dāng)前所有的登錄帳號當(dāng)前所有的登錄帳號 實(shí)驗(yàn)實(shí)驗(yàn)10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號驗(yàn)證用驗(yàn)證用WinUserWinUser帳號登錄帳號登錄SQL Server SQL Server 實(shí)驗(yàn)實(shí)驗(yàn)10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號2.2.創(chuàng)建使用創(chuàng)建使用SQL ServerSQL

10、Server身份驗(yàn)證的登錄帳號身份驗(yàn)證的登錄帳號SQLUserSQLUser，設(shè)置可訪問數(shù)據(jù)庫，設(shè)置可訪問數(shù)據(jù)庫jiaoxuedbjiaoxuedb創(chuàng)建創(chuàng)建SQL Server驗(yàn)證帳號驗(yàn)證帳號 訪問數(shù)據(jù)庫設(shè)置訪問數(shù)據(jù)庫設(shè)置 實(shí)驗(yàn)實(shí)驗(yàn)10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號MXMMXM實(shí)例當(dāng)前已有的登錄帳號實(shí)例當(dāng)前已有的登錄帳號 用用SQLUserSQLUser連接查詢分析器連接查詢分析器 實(shí)驗(yàn)實(shí)驗(yàn)10.2 10.2 創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶【實(shí)驗(yàn)?zāi)康摹緦?shí)驗(yàn)?zāi)康摹?學(xué)習(xí)和掌握創(chuàng)建數(shù)據(jù)庫用戶的方學(xué)習(xí)和掌握創(chuàng)建數(shù)據(jù)庫用戶的方法。法?！緦?shí)驗(yàn)內(nèi)容【實(shí)驗(yàn)內(nèi)容】 以系統(tǒng)管理員的身份進(jìn)行下面內(nèi)容以系統(tǒng)

11、管理員的身份進(jìn)行下面內(nèi)容的實(shí)驗(yàn)：的實(shí)驗(yàn)：為登錄帳號為登錄帳號WinUserWinUser創(chuàng)建訪問創(chuàng)建訪問MXMMXM實(shí)例中數(shù)據(jù)庫實(shí)例中數(shù)據(jù)庫jiaoxuedbjiaoxuedb 的用戶帳號；的用戶帳號；為登錄帳號為登錄帳號SQLUserSQLUser創(chuàng)建訪問創(chuàng)建訪問MXMMXM實(shí)例中所有數(shù)據(jù)庫的用戶帳號。實(shí)例中所有數(shù)據(jù)庫的用戶帳號?！緦?shí)驗(yàn)步驟【實(shí)驗(yàn)步驟】 1.1.為登錄帳號為登錄帳號WinUserWinUser創(chuàng)建訪問創(chuàng)建訪問MXMMXM實(shí)實(shí)例中數(shù)據(jù)庫例中數(shù)據(jù)庫jiaoxuedbjiaoxuedb 的用戶帳號的用戶帳號創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶 實(shí)驗(yàn)實(shí)驗(yàn)10.2 10.2 創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建

12、數(shù)據(jù)庫用戶創(chuàng)建訪問所有數(shù)據(jù)庫的用戶創(chuàng)建訪問所有數(shù)據(jù)庫的用戶 2 2為登錄帳號為登錄帳號SQLUserSQLUser創(chuàng)建訪問創(chuàng)建訪問MXMMXM實(shí)例中所有數(shù)據(jù)庫的用戶帳號實(shí)例中所有數(shù)據(jù)庫的用戶帳號 實(shí)驗(yàn)實(shí)驗(yàn)10.3 10.3 語句級許可權(quán)限管理語句級許可權(quán)限管理【實(shí)驗(yàn)?zāi)康摹緦?shí)驗(yàn)?zāi)康摹?學(xué)習(xí)和掌握語句級許可權(quán)限的授予、拒絕和廢除方法。學(xué)習(xí)和掌握語句級許可權(quán)限的授予、拒絕和廢除方法?！緦?shí)驗(yàn)內(nèi)容【實(shí)驗(yàn)內(nèi)容】授予用戶授予用戶WinUserWinUser可以在數(shù)據(jù)庫可以在數(shù)據(jù)庫jiaoxuedbjiaoxuedb中創(chuàng)建視圖和表。中創(chuàng)建視圖和表。不允許用戶不允許用戶SQLUserSQLUser在數(shù)據(jù)庫在數(shù)據(jù)

13、庫jiaoxuedbjiaoxuedb中創(chuàng)建視圖和表，但允許其他操作中創(chuàng)建視圖和表，但允許其他操作【實(shí)驗(yàn)步驟【實(shí)驗(yàn)步驟】以系統(tǒng)管理員的身份進(jìn)行下面內(nèi)容的實(shí)驗(yàn)：以系統(tǒng)管理員的身份進(jìn)行下面內(nèi)容的實(shí)驗(yàn)： 數(shù)據(jù)庫jiaoxuedb屬性窗口 語句權(quán)限設(shè)置 實(shí)驗(yàn)實(shí)驗(yàn)10.4 10.4 對象級許可權(quán)限管理對象級許可權(quán)限管理【實(shí)驗(yàn)?zāi)康摹緦?shí)驗(yàn)?zāi)康摹?學(xué)習(xí)和掌握對象級許可權(quán)限的授予、拒絕和廢除方法。學(xué)習(xí)和掌握對象級許可權(quán)限的授予、拒絕和廢除方法。【實(shí)驗(yàn)內(nèi)容【實(shí)驗(yàn)內(nèi)容】 以系統(tǒng)管理員的身份進(jìn)行下面內(nèi)容的實(shí)驗(yàn)：以系統(tǒng)管理員的身份進(jìn)行下面內(nèi)容的實(shí)驗(yàn)：授予用戶授予用戶WinUserWinUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaox

14、uedbjiaoxuedb表表StudentStudent的的INSERTINSERT、UPDATEUPDATE權(quán)限權(quán)限授予用戶授予用戶SQLUserSQLUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表Student Student 的的INSERTINSERT權(quán)限；廢除對權(quán)限；廢除對表表StudentStudent的的UPDATEUPDATE權(quán)限；權(quán)限；授予用戶授予用戶WinUserWinUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表StudentStudent的列的列SNOSNO、SnameSname的的SELECTSELECT，UPDATEUPDATE

15、權(quán)限，對權(quán)限，對SnameSname的的SELECTSELECT權(quán)限。權(quán)限?！緦?shí)驗(yàn)步驟【實(shí)驗(yàn)步驟】 1.1.授予用戶授予用戶WinUserWinUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表StudentStudent的的INSERTINSERT、UPDATEUPDATE權(quán)限權(quán)限執(zhí)行對象授權(quán)操作執(zhí)行對象授權(quán)操作 實(shí)驗(yàn)實(shí)驗(yàn)10.4 10.4 對象級許可權(quán)限管理對象級許可權(quán)限管理2.2.授予用戶授予用戶SQLUserSQLUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表Student Student 的的INSERTINSERT權(quán)限；廢除對權(quán)限；廢除對表表Stud

16、entStudent的的UPDATEUPDATE權(quán)限權(quán)限執(zhí)行對象授權(quán)和廢除權(quán)限操作執(zhí)行對象授權(quán)和廢除權(quán)限操作 實(shí)驗(yàn)實(shí)驗(yàn)10.4 10.4 對象級許可權(quán)限管理對象級許可權(quán)限管理3 3授予用戶授予用戶WinUserWinUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表StudentStudent的列的列SNOSNO的的SELECTSELECT、UPDATEUPDATE權(quán)限，對權(quán)限，對SnameSname的的SELECTSELECT權(quán)限權(quán)限 數(shù)據(jù)庫用戶屬性窗口數(shù)據(jù)庫用戶屬性窗口打開數(shù)據(jù)庫用戶屬性窗口操作打開數(shù)據(jù)庫用戶屬性窗口操作實(shí)驗(yàn)實(shí)驗(yàn)10.4 10.4 對象級許可權(quán)限管理對象級許可

17、權(quán)限管理列屬性窗口列屬性窗口 授予列權(quán)限授予列權(quán)限 實(shí)驗(yàn)實(shí)驗(yàn)10 10 習(xí)題習(xí)題【實(shí)驗(yàn)題【實(shí)驗(yàn)題】實(shí)驗(yàn)內(nèi)容與要求實(shí)驗(yàn)內(nèi)容與要求1.1.創(chuàng)建一個(gè)創(chuàng)建一個(gè)WindowsWindows認(rèn)證的登錄帳號認(rèn)證的登錄帳號newusernewuser，只允許該用戶對數(shù)據(jù)庫，只允許該用戶對數(shù)據(jù)庫jiaoxuedbjiaoxuedb查詢。查詢。2.2.創(chuàng)建一個(gè)創(chuàng)建一個(gè)WindowsWindows認(rèn)證的登錄帳號認(rèn)證的登錄帳號StudentStudent，并將其設(shè)置為系統(tǒng)管理員帳，并將其設(shè)置為系統(tǒng)管理員帳號。號。3.3.創(chuàng)建一個(gè)創(chuàng)建一個(gè)SQL ServerSQL Server認(rèn)證的登錄帳號認(rèn)證的登錄帳號SQLTeac

18、herSQLTeacher，并將其設(shè)置允許使用，并將其設(shè)置允許使用數(shù)據(jù)庫數(shù)據(jù)庫jiaoxuedbjiaoxuedb進(jìn)行查詢，對表進(jìn)行查詢，對表SCSC中的列中的列ScoreScore進(jìn)行插入、修改、刪除操進(jìn)行插入、修改、刪除操作。作。4.4.創(chuàng)建一個(gè)創(chuàng)建一個(gè)SQL ServerSQL Server認(rèn)證的登錄帳號認(rèn)證的登錄帳號SQLAdminSQLAdmin，并將其設(shè)置允許使用數(shù)，并將其設(shè)置允許使用數(shù)據(jù)庫據(jù)庫jiaoxuedbjiaoxuedb進(jìn)行查詢，對表進(jìn)行查詢，對表StuentStuent、TeacherTeacher、CourseCourse、TCTC、SCSC表中的表中的非非ScoreScore列進(jìn)行插入、修改、刪除操作。列進(jìn)行插入、修改、刪除操作。5.5.創(chuàng)建一個(gè)角色創(chuàng)建一個(gè)角色NewstudentNewstudent，使其具有對數(shù)據(jù)庫，使其具有對數(shù)據(jù)庫jiaoxuedbjiaoxuedb進(jìn)行任何操作的進(jìn)行任何操作的權(quán)限。并將上面創(chuàng)建的用戶：權(quán)限。并將上面創(chuàng)建的用戶：newusernewuser、SQLAdminSQLAdmin、SQLTeacherSQLTeacher添加到此角添加到