實(shí)驗(yàn)八-數(shù)據(jù)庫安全管理

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 實(shí)驗(yàn)八 數(shù)據(jù)庫安全管理一、目的與要求1. 掌握創(chuàng)建用戶和角色的方法2. 掌握SQL授權(quán)命令和收回權(quán)限的命令二、實(shí)驗(yàn)準(zhǔn)備1. 了解SQL Server登錄身份和登錄模式的概念； 2. 了解用戶、角色、登錄三者的概念；3. 了解權(quán)限授予和收回的的T-SQL語法。三、實(shí)驗(yàn)內(nèi)容(一)創(chuàng)建登錄名1 創(chuàng)建新的登錄名testlogin (1) 在對象資源管理器的目錄樹中“安全性”à“登錄名”，點(diǎn)擊右鍵選擇“新建登錄名”，設(shè)置登錄名為testlogin，“SQL Server身份驗(yàn)證”密碼為abc，默認(rèn)數(shù)據(jù)庫為“studentdb”，如圖8-1所示。 圖8-1提問：此時(shí)用

2、testlogin登錄名創(chuàng)建新的連接，登錄到對象資源管理器，是否能登錄成功？不能登錄成功，結(jié)果如下所示：(2) 右擊testlogin登錄名，選擇屬性，設(shè)置“用戶映射”，設(shè)置“映射到此登錄名的用戶“為“studentdb”，如圖8-2所示。這里即是創(chuàng)建和登錄名同名的用戶，該用戶屬于默認(rèn)數(shù)據(jù)庫。這個(gè)用戶具有的數(shù)據(jù)庫角色是public。確定后再次以testlogin及其密碼登錄查ssms，在testlogin登錄名下新建查詢。運(yùn)行命令，查看并記錄結(jié)果。提問：此時(shí)是否查詢命令能查詢到st_info表中的數(shù)據(jù)？為什么？ 不能，原因如下所示：圖8-2(3) 若要查詢studentdb數(shù)據(jù)庫中表的數(shù)據(jù)，則

3、要在數(shù)據(jù)庫角色成員身份中選擇db_datareader角色(回到sa登錄ia下設(shè)置該登錄名的屬性)，再運(yùn)行上題中的查詢語句，查看結(jié)果。結(jié)果如下所示：(4) 在查詢編輯器中運(yùn)行命令，查看是否允許。若不允許，則要在數(shù)據(jù)庫角色成員身份中選擇db_datawriter角色。重新運(yùn)行該條更新語句，查看結(jié)果。圖8-3不被允許，結(jié)果如下所示：重新運(yùn)行后結(jié)果如下所示：2 提問：testlogin登錄名登錄后，允許訪問服務(wù)器上所有的數(shù)據(jù)庫嗎？能訪問哪些數(shù)據(jù)庫？。不能，只能訪問studentdb數(shù)據(jù)庫。(二)創(chuàng)建用戶創(chuàng)建用戶時(shí)選擇映射到已有登錄名，即令一個(gè)登錄名可以訪問多個(gè)數(shù)據(jù)庫。一個(gè)新的登錄名(如testlog

4、in)創(chuàng)建后，在其默認(rèn)數(shù)據(jù)庫下會(huì)建立一個(gè)同名用戶(testlogin)，即用戶testlogin允許訪問登錄名默認(rèn)的數(shù)據(jù)庫studentdb。而要用testlogin登錄后能訪問其他數(shù)據(jù)庫，則要在其他數(shù)據(jù)庫中創(chuàng)建新用戶，映射到testlogin這個(gè)登錄名，這樣登錄后就可以訪問其他數(shù)據(jù)庫了。如，在studb數(shù)據(jù)庫下創(chuàng)建一個(gè)新用戶U1，屬于testlogin登錄名。(1) 回到sa登錄下，展開“studentdb”數(shù)據(jù)庫à”安全性”à“用戶”，右擊“新建用戶”，填寫用戶名為U1，如圖8-4，點(diǎn)對話框按鈕，選擇登錄名如圖8-5，點(diǎn)擊“瀏覽”，選擇testlogin，如圖8-6。圖

5、8-4圖8-5圖8-6提問：若要在“studentdb”數(shù)據(jù)庫中創(chuàng)建映射到testlogin登錄名的新用戶U2是否能成功？為什么？ 不能，已用另一個(gè)用戶名開立賬戶(2) 刷新testlogin登錄下的數(shù)據(jù)庫，查看是否能訪問studb數(shù)據(jù)庫了。答：能訪問(3) 在testlogin登錄下，新建查詢，運(yùn)行命令，查看是否成功。答：成功(4) 切換到sa登錄窗口中，選擇當(dāng)前數(shù)據(jù)庫為“studb”，用命令為U1用戶授權(quán)，授予U1用戶查詢圖書表的權(quán)利，命令為，再回到testlogin的查詢窗口中，重新運(yùn)行上題的查詢語句，看是否成功。答：成功(5) 若要收回該權(quán)限可以用命令revoke select on

6、S from U1。(三)管理角色1 角色分類為服務(wù)器角色和數(shù)據(jù)庫角色、應(yīng)用程序角色。分別查看系統(tǒng)預(yù)設(shè)的服務(wù)器角色和數(shù)據(jù)庫角色有哪些。 2 自定義角色(1) 在studb數(shù)據(jù)庫中創(chuàng)建一個(gè)自定義角色，名為testrole。展開目錄樹à“數(shù)據(jù)庫”à“studb”à“安全性”à“角色”à“數(shù)據(jù)庫角色”，右擊新建數(shù)據(jù)庫角色，填寫角色名稱為“testrole”，選擇所有者為“U1”，如圖8-7所示。圖8-7(2) 設(shè)置testrole對studb數(shù)據(jù)庫中S,C,SC表的若干權(quán)限。右鍵點(diǎn)擊testrole角色，選擇屬性，設(shè)置安全對象，如圖8-8所示。圖8-

7、8點(diǎn)擊“添加”，選擇添加對象為“特定對象”，如圖8-9。 圖8-9選擇安全對象類型為“表”，如圖8-10。圖8-10再點(diǎn)擊“瀏覽”，選擇選擇該角色允許設(shè)置的S,C,SC表，如圖8-11。圖8-11回到角色屬性窗口，此時(shí)就能對允許訪問的表設(shè)置具體數(shù)據(jù)庫權(quán)限了，如圖8-12，對C表授予“insert”“delete”“select”“update”權(quán)限，則在這些項(xiàng)目對應(yīng)的復(fù)選框中打鉤，這里還可以賦予授權(quán)權(quán)限和拒絕該權(quán)限。這樣就使得testrole角色具有對數(shù)據(jù)庫中多個(gè)表的多項(xiàng)權(quán)限，那么把該角色授予給用戶，就能一次給用戶授予多項(xiàng)權(quán)限了。圖8-12(3) 在sa登錄下，將testrole角色授予給te

8、stlogin登錄名下映射到的studb數(shù)據(jù)庫中的U1用戶。即設(shè)置testlogin登錄名的屬性，對studb數(shù)據(jù)庫勾選testrole角色，如圖8-13所示。圖8-13(4) 在testlogin登錄下，在查詢編輯器中里窗體中運(yùn)行查詢C,SC表的命令，和對SC表進(jìn)行刪除的命令delete from SC where cno=C1。查看是否成功。 成功3 為角色授予權(quán)限和收回權(quán)限的命令與對用戶相同(1)收回testrole中對C表的刪除的權(quán)限，命令為 revoke delete on C from testrole (2)要授予testrole角色能修改SC表score字段的權(quán)限，則命令為 grant update score on SC to testrole 四、思考與練習(xí)1登錄、用戶、角色的概念如何區(qū)分？三者在SQL Server中有何關(guān)系？ 答：登錄名：指有權(quán)限登錄到某服務(wù)器的用戶 用戶：指有權(quán)限能操作數(shù)據(jù)庫的用戶 角色：指一組固定的有某些權(quán)限的數(shù)據(jù)庫角色 服務(wù)器登錄名屬于某組服務(wù)器角色；