SQL Server2000實驗指導(dǎo)NEW實驗10安全

1、實驗實驗10 SQL Server10 SQL Server安全管理安全管理 SQL Server 2000 SQL Server 2000的安全模型分為三層結(jié)構(gòu)，分別為服務(wù)器安全管理、的安全模型分為三層結(jié)構(gòu)，分別為服務(wù)器安全管理、數(shù)據(jù)庫安全管理、數(shù)據(jù)庫對象的訪問權(quán)限管理。通過本實驗來學(xué)習(xí)、掌握登數(shù)據(jù)庫安全管理、數(shù)據(jù)庫對象的訪問權(quán)限管理。通過本實驗來學(xué)習(xí)、掌握登錄機制、數(shù)據(jù)庫用戶和對象操作權(quán)限的管理方法。錄機制、數(shù)據(jù)庫用戶和對象操作權(quán)限的管理方法?！局R要點【知識要點】 1.SQL Server1.SQL Server的安全模型的安全模型 SQL Server 2000SQL Server 2

2、000的安全模型分為三層結(jié)構(gòu)，分別為：的安全模型分為三層結(jié)構(gòu)，分別為：服務(wù)器安全管理服務(wù)器安全管理數(shù)據(jù)庫安全管理數(shù)據(jù)庫安全管理數(shù)據(jù)庫對象的訪問權(quán)限管理數(shù)據(jù)庫對象的訪問權(quán)限管理 用戶訪問數(shù)據(jù)庫時需要經(jīng)歷的三個階段及相應(yīng)的安全認(rèn)證過程：用戶訪問數(shù)據(jù)庫時需要經(jīng)歷的三個階段及相應(yīng)的安全認(rèn)證過程： 第一階段：用戶首先要登錄到第一階段：用戶首先要登錄到SQL ServerSQL Server實例。在登錄時，系統(tǒng)要對其實例。在登錄時，系統(tǒng)要對其進行身份驗證，被認(rèn)為合法才能登錄到進行身份驗證，被認(rèn)為合法才能登錄到SQL ServerSQL Server實例。實例。 第二階段：用戶在每個要訪問的數(shù)據(jù)庫里必須獲得

3、一個用戶帳號。第二階段：用戶在每個要訪問的數(shù)據(jù)庫里必須獲得一個用戶帳號。SQL SQL ServerServer實例將實例將SQL ServerSQL Server登錄映射到數(shù)據(jù)庫用戶帳號上，在這個數(shù)據(jù)庫的用登錄映射到數(shù)據(jù)庫用戶帳號上，在這個數(shù)據(jù)庫的用戶帳號上定義數(shù)據(jù)庫的管理和數(shù)據(jù)對象的訪問的安全策略。戶帳號上定義數(shù)據(jù)庫的管理和數(shù)據(jù)對象的訪問的安全策略。 第三階段：用戶訪問數(shù)據(jù)庫。用戶訪問數(shù)據(jù)庫對象時，系統(tǒng)要檢查用戶第三階段：用戶訪問數(shù)據(jù)庫。用戶訪問數(shù)據(jù)庫對象時，系統(tǒng)要檢查用戶是否具有訪問數(shù)據(jù)庫對象、執(zhí)行動作的權(quán)限，經(jīng)過語句許可權(quán)限的驗證，才是否具有訪問數(shù)據(jù)庫對象、執(zhí)行動作的權(quán)限，經(jīng)過語句許可

4、權(quán)限的驗證，才能實現(xiàn)對數(shù)據(jù)的操作。能實現(xiàn)對數(shù)據(jù)的操作。實驗實驗10 SQL Server10 SQL Server安全管理安全管理2. SQL Server2. SQL Server身份驗證模式身份驗證模式身份驗證用來識別用戶的登錄帳號和驗證用戶與身份驗證用來識別用戶的登錄帳號和驗證用戶與SQL ServerSQL Server相連接的合法相連接的合法性，如果驗證成功，用戶就能連接到性，如果驗證成功，用戶就能連接到SQL ServerSQL Server上。上。SQL ServerSQL Server使用下面兩種身份驗證模式：使用下面兩種身份驗證模式：Windows OnlyWindows O

5、nly身份驗證模式身份驗證模式SQL ServerSQL Server和和WindowsWindows混合驗證模式混合驗證模式3.3.數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶 一般情況下，用戶獲得登錄一般情況下，用戶獲得登錄SQL ServerSQL Server實例的登錄帳號后，系統(tǒng)管理實例的登錄帳號后，系統(tǒng)管理員還必須為該登錄用戶訪問的數(shù)據(jù)庫創(chuàng)建一個數(shù)據(jù)庫用戶帳號，該用戶登員還必須為該登錄用戶訪問的數(shù)據(jù)庫創(chuàng)建一個數(shù)據(jù)庫用戶帳號，該用戶登錄后才可訪問此數(shù)據(jù)庫。錄后才可訪問此數(shù)據(jù)庫。 SQL Server 2000SQL Server 2000系統(tǒng)中有如下默認(rèn)的數(shù)據(jù)庫用戶：系統(tǒng)中有如下默認(rèn)的數(shù)據(jù)庫用戶：guest

6、guest用戶用戶 任何登錄帳號都可以用此帳號使用數(shù)據(jù)庫。任何登錄帳號都可以用此帳號使用數(shù)據(jù)庫。dbodbo用戶用戶 dbodbo數(shù)據(jù)庫用戶帳號存在于每個數(shù)據(jù)庫下，對應(yīng)數(shù)據(jù)庫用戶帳號存在于每個數(shù)據(jù)庫下，對應(yīng)SQL ServerSQL Server的固定服的固定服務(wù)器角色務(wù)器角色SysAdminSysAdmin的成員帳號，是數(shù)據(jù)庫的管理員。的成員帳號，是數(shù)據(jù)庫的管理員。實驗實驗10 SQL Server10 SQL Server安全管理安全管理4.4.許可權(quán)限管理許可權(quán)限管理 許可權(quán)限指明用戶獲得哪些數(shù)據(jù)庫對象的使用權(quán)，以及用戶能夠?qū)@些對象執(zhí)行何種操作。在SQL Server中常用的2種許可權(quán)

7、限的類型： （1 1）語句許可）語句許可SQL Server可以授予用戶下列語句的使用許可權(quán)限：Backup Database、Backup Log、Create Database、Create Default、Create Function、Create Procedure、Create Rule、Create Table、Create View 。 （2 2）對象許可）對象許可 SQL Server可以授予用戶下列數(shù)據(jù)對象的一些操作許可權(quán)限：表和視圖的操作許可權(quán)限：SELECT 、INSERT、UPDATE、DELETE列的操作許可權(quán)限：SELECT、UPDATE、REFERENCES存儲

8、過程的操作許可權(quán)限：EXECUTE【實驗?zāi)康摹緦嶒災(zāi)康摹空莆談?chuàng)建登錄帳號的方法；掌握創(chuàng)建數(shù)據(jù)庫用戶的方法；掌握語句級許可權(quán)限管理；掌握對象級許可權(quán)限管理。實驗實驗10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號【實驗?zāi)康摹緦嶒災(zāi)康摹?學(xué)習(xí)和掌握創(chuàng)建登錄帳號的方法。學(xué)習(xí)和掌握創(chuàng)建登錄帳號的方法。【實驗內(nèi)容【實驗內(nèi)容】 以系統(tǒng)管理員的身份進行下面內(nèi)容的實驗：以系統(tǒng)管理員的身份進行下面內(nèi)容的實驗：創(chuàng)建使用創(chuàng)建使用WindowsWindows身份驗證的登錄帳號身份驗證的登錄帳號WinUserWinUser；創(chuàng)建使用創(chuàng)建使用SQL ServerSQL Server身份驗證的登錄帳號身份驗證的登錄帳號SQLU

9、serSQLUser，設(shè)置可訪問數(shù)據(jù)庫，設(shè)置可訪問數(shù)據(jù)庫JiaoxuedbJiaoxuedb?！緦嶒灢襟E【實驗步驟】 1.1.創(chuàng)建使用創(chuàng)建使用WindowsWindows身份驗證的登錄帳號身份驗證的登錄帳號WinUserWinUser實驗實驗10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號實例實例MXMMXM當(dāng)前所有的登錄帳號當(dāng)前所有的登錄帳號 實驗實驗10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號驗證用驗證用WinUserWinUser帳號登錄帳號登錄SQL Server SQL Server 實驗實驗10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號2.2.創(chuàng)建使用創(chuàng)建使用SQL ServerSQL

10、Server身份驗證的登錄帳號身份驗證的登錄帳號SQLUserSQLUser，設(shè)置可訪問數(shù)據(jù)庫，設(shè)置可訪問數(shù)據(jù)庫jiaoxuedbjiaoxuedb創(chuàng)建創(chuàng)建SQL Server驗證帳號驗證帳號 訪問數(shù)據(jù)庫設(shè)置訪問數(shù)據(jù)庫設(shè)置 實驗實驗10.1 10.1 創(chuàng)建登錄帳號創(chuàng)建登錄帳號MXMMXM實例當(dāng)前已有的登錄帳號實例當(dāng)前已有的登錄帳號 用用SQLUserSQLUser連接查詢分析器連接查詢分析器 實驗實驗10.2 10.2 創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶【實驗?zāi)康摹緦嶒災(zāi)康摹?學(xué)習(xí)和掌握創(chuàng)建數(shù)據(jù)庫用戶的方學(xué)習(xí)和掌握創(chuàng)建數(shù)據(jù)庫用戶的方法。法?！緦嶒瀮?nèi)容【實驗內(nèi)容】 以系統(tǒng)管理員的身份進行下面內(nèi)容以系統(tǒng)

11、管理員的身份進行下面內(nèi)容的實驗：的實驗：為登錄帳號為登錄帳號WinUserWinUser創(chuàng)建訪問創(chuàng)建訪問MXMMXM實例中數(shù)據(jù)庫實例中數(shù)據(jù)庫jiaoxuedbjiaoxuedb 的用戶帳號；的用戶帳號；為登錄帳號為登錄帳號SQLUserSQLUser創(chuàng)建訪問創(chuàng)建訪問MXMMXM實例中所有數(shù)據(jù)庫的用戶帳號。實例中所有數(shù)據(jù)庫的用戶帳號。【實驗步驟【實驗步驟】 1.1.為登錄帳號為登錄帳號WinUserWinUser創(chuàng)建訪問創(chuàng)建訪問MXMMXM實實例中數(shù)據(jù)庫例中數(shù)據(jù)庫jiaoxuedbjiaoxuedb 的用戶帳號的用戶帳號創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶 實驗實驗10.2 10.2 創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建

12、數(shù)據(jù)庫用戶創(chuàng)建訪問所有數(shù)據(jù)庫的用戶創(chuàng)建訪問所有數(shù)據(jù)庫的用戶 2 2為登錄帳號為登錄帳號SQLUserSQLUser創(chuàng)建訪問創(chuàng)建訪問MXMMXM實例中所有數(shù)據(jù)庫的用戶帳號實例中所有數(shù)據(jù)庫的用戶帳號 實驗實驗10.3 10.3 語句級許可權(quán)限管理語句級許可權(quán)限管理【實驗?zāi)康摹緦嶒災(zāi)康摹?學(xué)習(xí)和掌握語句級許可權(quán)限的授予、拒絕和廢除方法。學(xué)習(xí)和掌握語句級許可權(quán)限的授予、拒絕和廢除方法?！緦嶒瀮?nèi)容【實驗內(nèi)容】授予用戶授予用戶WinUserWinUser可以在數(shù)據(jù)庫可以在數(shù)據(jù)庫jiaoxuedbjiaoxuedb中創(chuàng)建視圖和表。中創(chuàng)建視圖和表。不允許用戶不允許用戶SQLUserSQLUser在數(shù)據(jù)庫在數(shù)據(jù)

13、庫jiaoxuedbjiaoxuedb中創(chuàng)建視圖和表，但允許其他操作中創(chuàng)建視圖和表，但允許其他操作【實驗步驟【實驗步驟】以系統(tǒng)管理員的身份進行下面內(nèi)容的實驗：以系統(tǒng)管理員的身份進行下面內(nèi)容的實驗： 數(shù)據(jù)庫jiaoxuedb屬性窗口 語句權(quán)限設(shè)置 實驗實驗10.4 10.4 對象級許可權(quán)限管理對象級許可權(quán)限管理【實驗?zāi)康摹緦嶒災(zāi)康摹?學(xué)習(xí)和掌握對象級許可權(quán)限的授予、拒絕和廢除方法。學(xué)習(xí)和掌握對象級許可權(quán)限的授予、拒絕和廢除方法。【實驗內(nèi)容【實驗內(nèi)容】 以系統(tǒng)管理員的身份進行下面內(nèi)容的實驗：以系統(tǒng)管理員的身份進行下面內(nèi)容的實驗：授予用戶授予用戶WinUserWinUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaox

14、uedbjiaoxuedb表表StudentStudent的的INSERTINSERT、UPDATEUPDATE權(quán)限權(quán)限授予用戶授予用戶SQLUserSQLUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表Student Student 的的INSERTINSERT權(quán)限；廢除對權(quán)限；廢除對表表StudentStudent的的UPDATEUPDATE權(quán)限；權(quán)限；授予用戶授予用戶WinUserWinUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表StudentStudent的列的列SNOSNO、SnameSname的的SELECTSELECT，UPDATEUPDATE

15、權(quán)限，對權(quán)限，對SnameSname的的SELECTSELECT權(quán)限。權(quán)限。【實驗步驟【實驗步驟】 1.1.授予用戶授予用戶WinUserWinUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表StudentStudent的的INSERTINSERT、UPDATEUPDATE權(quán)限權(quán)限執(zhí)行對象授權(quán)操作執(zhí)行對象授權(quán)操作 實驗實驗10.4 10.4 對象級許可權(quán)限管理對象級許可權(quán)限管理2.2.授予用戶授予用戶SQLUserSQLUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表Student Student 的的INSERTINSERT權(quán)限；廢除對權(quán)限；廢除對表表Stud

16、entStudent的的UPDATEUPDATE權(quán)限權(quán)限執(zhí)行對象授權(quán)和廢除權(quán)限操作執(zhí)行對象授權(quán)和廢除權(quán)限操作 實驗實驗10.4 10.4 對象級許可權(quán)限管理對象級許可權(quán)限管理3 3授予用戶授予用戶WinUserWinUser對數(shù)據(jù)庫對數(shù)據(jù)庫jiaoxuedbjiaoxuedb表表StudentStudent的列的列SNOSNO的的SELECTSELECT、UPDATEUPDATE權(quán)限，對權(quán)限，對SnameSname的的SELECTSELECT權(quán)限權(quán)限 數(shù)據(jù)庫用戶屬性窗口數(shù)據(jù)庫用戶屬性窗口打開數(shù)據(jù)庫用戶屬性窗口操作打開數(shù)據(jù)庫用戶屬性窗口操作實驗實驗10.4 10.4 對象級許可權(quán)限管理對象級許可

17、權(quán)限管理列屬性窗口列屬性窗口 授予列權(quán)限授予列權(quán)限 實驗實驗10 10 習(xí)題習(xí)題【實驗題【實驗題】實驗內(nèi)容與要求實驗內(nèi)容與要求1.1.創(chuàng)建一個創(chuàng)建一個WindowsWindows認(rèn)證的登錄帳號認(rèn)證的登錄帳號newusernewuser，只允許該用戶對數(shù)據(jù)庫，只允許該用戶對數(shù)據(jù)庫jiaoxuedbjiaoxuedb查詢。查詢。2.2.創(chuàng)建一個創(chuàng)建一個WindowsWindows認(rèn)證的登錄帳號認(rèn)證的登錄帳號StudentStudent，并將其設(shè)置為系統(tǒng)管理員帳，并將其設(shè)置為系統(tǒng)管理員帳號。號。3.3.創(chuàng)建一個創(chuàng)建一個SQL ServerSQL Server認(rèn)證的登錄帳號認(rèn)證的登錄帳號SQLTeac

18、herSQLTeacher，并將其設(shè)置允許使用，并將其設(shè)置允許使用數(shù)據(jù)庫數(shù)據(jù)庫jiaoxuedbjiaoxuedb進行查詢，對表進行查詢，對表SCSC中的列中的列ScoreScore進行插入、修改、刪除操進行插入、修改、刪除操作。作。4.4.創(chuàng)建一個創(chuàng)建一個SQL ServerSQL Server認(rèn)證的登錄帳號認(rèn)證的登錄帳號SQLAdminSQLAdmin，并將其設(shè)置允許使用數(shù)，并將其設(shè)置允許使用數(shù)據(jù)庫據(jù)庫jiaoxuedbjiaoxuedb進行查詢，對表進行查詢，對表StuentStuent、TeacherTeacher、CourseCourse、TCTC、SCSC表中的表中的非非ScoreScore列進行插入、修改、刪除操作。列進行插入、修改、刪除操作。5.5.創(chuàng)建一個角色創(chuàng)建一個角色NewstudentNewstudent，使其具有對數(shù)據(jù)庫，使其具有對數(shù)據(jù)庫jiaoxuedbjiaoxuedb進行任何操作的進行任何操作的權(quán)限。并將上面創(chuàng)建的用戶：權(quán)限。并將上面創(chuàng)建的用戶：newusernewuser、SQLAdminSQLAdmin、SQLTeacherSQLTeacher添加到此角添加到