數(shù)據(jù)庫(kù)的安全性控制

1、實(shí)驗(yàn) 13 數(shù)據(jù)庫(kù)的安全性控制實(shí)驗(yàn)?zāi)康模毫私鈹?shù)據(jù)庫(kù)的安全性控制，掌握 SQL Server 中有關(guān)用戶、角色及操作權(quán)限的管理方法。實(shí)驗(yàn)內(nèi)容和步聚：一、SQL Server 的安全模式SQL Server 提供了 3 種安全管理模式，即標(biāo)準(zhǔn)模式、集成模式和混合模式，數(shù)據(jù)庫(kù)設(shè)計(jì)者和數(shù)據(jù)庫(kù)管理員可以根據(jù)實(shí)際情況進(jìn)行選擇。SQL Server 的默認(rèn)安全模式是標(biāo)準(zhǔn)模式，在這種安全模式下，由 SQL Server獨(dú)立來(lái)管理自己的數(shù)據(jù)庫(kù)安全。集成安全模式是將Windows NT 的安全管理集成到SQL Server 下，即用戶只要登錄到Windows NT，就可以通過(guò)信任連接直接連接到 SQL Serve

2、r。也就是說(shuō)，集成模式使用的是信任連接，Windows NT 的用戶就是SQL Server 的用戶?；旌向?yàn)證模式允許以SQL Server 驗(yàn)證模式或者 NT 驗(yàn)證模式來(lái)進(jìn)行驗(yàn)證。設(shè)置SQL Server 的安全模式可以在安裝SQL Server 時(shí)完成，也可以在安裝后以系統(tǒng)管理員的，然后使用 SQL Server Manager 工具的有關(guān)選項(xiàng)進(jìn)行設(shè)置。1、 設(shè)置 SQL Server 的安全認(rèn)證模式。要設(shè)置安全認(rèn)證模式，用戶必須使用系統(tǒng)管理員帳號(hào)，可以使用企業(yè)管理器來(lái)設(shè)置安全認(rèn)證模式。1）展開(kāi)服務(wù)器組，右擊需要設(shè)置的 SQL 服務(wù)器，從彈出的快捷菜單中選擇“屬性”命令。2）在彈出的“SQ

3、L Server 屬性”框中，打開(kāi)“安全性”選項(xiàng)卡。3）選中“僅 Windows”表示選擇 NT 驗(yàn)證模式；選中“SQL Server 和Windows”單選按鈕表示選擇混合模式。對(duì)于已經(jīng)指定驗(yàn)證模式的SQL Server 服務(wù)器，在 SQL Server 中還可以進(jìn)行修改：1）展開(kāi)企業(yè)管理器，選擇服務(wù)器組中的服務(wù)器，右擊鼠標(biāo)，選中“編輯 SQLServer屬性”命令，打開(kāi)“已的SQL Server 屬性”框。如果選中“使用SQL Server驗(yàn)證”模式，則輸入登錄名和。2）在框中設(shè)置驗(yàn)證模式后，單擊“確定”即可。注意：設(shè)置改變后，用戶必須停止并重新啟動(dòng)SQL Server，服務(wù)新設(shè)置才能生效

4、。二、帳號(hào)和角色在 SQL Server 中，帳號(hào)有兩種，一種是登錄服務(wù)器的帳號(hào)，另一種是使用數(shù)據(jù)庫(kù)的用戶帳號(hào)。登錄帳號(hào)只是讓用戶登錄到 SQL Server 中，登錄名本身不能讓用戶服務(wù)器中的數(shù)據(jù)庫(kù)。要特定的數(shù)據(jù)庫(kù)，還必須具有用戶名。1、服務(wù)器的登錄帳號(hào)在安裝SQL Server 后，系統(tǒng)默認(rèn)創(chuàng)建兩個(gè)登錄帳號(hào)。進(jìn)入企業(yè)管理器，展開(kāi)服務(wù)器組和服務(wù)器。再展開(kāi)“安全性”，在“登錄”選項(xiàng)即可看到系統(tǒng)創(chuàng)建的默認(rèn)登錄帳號(hào)。其中默認(rèn)帳號(hào) sa 是超級(jí)管理員帳號(hào)，允許SQL Server 的系統(tǒng)管理員登錄。為了登錄到SQL Server，必須具有一個(gè)登錄帳號(hào)。創(chuàng)建一個(gè)登錄帳號(hào)的操作步驟如下：1）進(jìn)入企業(yè)管理

5、器，展開(kāi)服務(wù)器組和服務(wù)器。在“登錄”選項(xiàng)上面右擊鼠標(biāo)，選擇“新建登錄”命令，打開(kāi)登錄屬性框。2）在“名稱”文本框中輸入一個(gè)不帶反斜杠的用戶名licb，在“驗(yàn)證”選項(xiàng)組中選擇“SQL Server驗(yàn)證”按鈕，再輸入。在“默認(rèn)設(shè)置”選項(xiàng)組中選擇“數(shù)據(jù)庫(kù)”列表中的 school 數(shù)據(jù)庫(kù)，表示該登錄帳號(hào)默認(rèn)登錄到school 數(shù)據(jù)庫(kù)中。圖 1圖 1新建登錄帳號(hào)3）單擊“服務(wù)器角色”，打開(kāi)“服務(wù)器角色”選項(xiàng)卡。在此可以設(shè)置登錄帳號(hào)所屬的服務(wù)器角色，這里選擇“ securityadmin”服務(wù)器角色。（securityadmin 可以管理登錄和創(chuàng)建數(shù)據(jù)庫(kù)的權(quán)限，還可以錯(cuò)誤日志和更改）角色是一種SQL Se

6、rver 安全帳戶，它是管理權(quán)限時(shí)可以視為單個(gè)單元的其他安全帳戶的集合。角色分為服務(wù)器角色和數(shù)據(jù)庫(kù)角色。服務(wù)器SQL Server 的組，一般只會(huì)指定需要管理服務(wù)器的角色負(fù)責(zé)管理和登錄者屬于服務(wù)器角色。4）單擊“數(shù)據(jù)庫(kù)”，打開(kāi)“數(shù)據(jù)庫(kù)”選項(xiàng)卡，選擇登錄帳號(hào)可以的數(shù)據(jù)庫(kù)。選中 school 數(shù)據(jù)庫(kù)表示該登錄帳號(hào)可以school數(shù)據(jù)庫(kù)。圖 25）設(shè)置完成后，單擊“確定”，出現(xiàn)“確認(rèn)即可創(chuàng)建一個(gè)登錄帳號(hào)?！笨?，再次輸入，圖 3 確認(rèn)框2、 修改登錄帳號(hào)的屬性利用企業(yè)管理器修改 SQL Server 登錄帳號(hào)的屬性：雙擊要修改屬性的登錄帳號(hào)，在其屬性框中進(jìn)行修改。3、 修改與刪除登錄帳號(hào)1）利用企業(yè)管

7、理器修改SQL Server 登錄帳號(hào)的屬性：雙擊要修改屬性的登錄帳號(hào)，在其屬性框中進(jìn)行修改。2）利用企業(yè)管理器刪除SQL Server 登錄帳號(hào)的屬性：右擊要?jiǎng)h除的帳號(hào)，從彈出的菜單中選擇“刪除”命令，在確認(rèn)框中單擊“是”，這個(gè)登錄帳號(hào)就被刪除了。三、管理數(shù)據(jù)庫(kù)用戶在安裝SQL Server 后，默認(rèn)數(shù)據(jù)庫(kù)中包含兩個(gè)用戶帳號(hào)：dbo 和guest。任何一個(gè)登錄帳號(hào)都可以通過(guò)guest 帳號(hào)來(lái)存取相應(yīng)的數(shù)據(jù)庫(kù)。但當(dāng)建立一個(gè)新的數(shù)據(jù)庫(kù)時(shí)，默認(rèn)只有dbo 而沒(méi)有g(shù)uest 帳號(hào)。在新建登錄帳號(hào)的過(guò)程中，指定對(duì)某個(gè)數(shù)據(jù)庫(kù)具有存取權(quán)限，則在該數(shù)據(jù)庫(kù)中將自動(dòng)創(chuàng)建一個(gè)與該登錄帳號(hào)同名的用戶帳號(hào)。例如，剛才

8、建立的 licb 登錄帳號(hào)，具有對(duì) school 數(shù)據(jù)庫(kù)的權(quán)限，于是SQL Server 自動(dòng)為該登錄帳號(hào)在 school 數(shù)據(jù)庫(kù)創(chuàng)建了一個(gè)名稱為 licb 的用戶帳號(hào)。如果在創(chuàng)建新的登錄帳號(hào)時(shí)沒(méi)有指定對(duì)某個(gè)數(shù)據(jù)庫(kù)的存取權(quán)限，則在該數(shù)據(jù)庫(kù)中，為新的登錄帳號(hào)創(chuàng)建一個(gè)用戶帳號(hào)后，該登錄帳號(hào)會(huì)自動(dòng)具有對(duì)該數(shù)據(jù)庫(kù)的權(quán)限。下面在test 數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)用戶帳號(hào)，并將其關(guān)聯(lián)到 licb 登錄帳號(hào)中。步驟為：1） 創(chuàng)建test 數(shù)據(jù)庫(kù)。2） 在企業(yè)管理器中，展開(kāi)SQL Server 組及其服務(wù)器，在“數(shù)據(jù)庫(kù)”文件夾中，展開(kāi) test 文件夾，然后在“用戶”選項(xiàng)上右擊鼠標(biāo)，在彈出的菜單中選擇“新建數(shù)據(jù)庫(kù)用戶

9、”命令，打開(kāi)新建用戶框。3）單擊“登錄名”右端的三角按鈕，選擇 licb 帳號(hào)，此時(shí)“用戶名”文本框中自動(dòng)顯示licb。圖 44）設(shè)置完成后，單擊“確定”即可在test 數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)新的用戶帳號(hào)。如果不想創(chuàng)建用戶帳號(hào)，單擊“取消”。在圖 4 上，“登錄名”文本框后面的“權(quán)限”按鈕是灰色的，表示不能在創(chuàng)建用戶帳號(hào)時(shí)設(shè)置其權(quán)限。但是可以在創(chuàng)建后通過(guò)其屬性框來(lái)設(shè)置其權(quán)限。操作步驟為：1）在設(shè)置權(quán)限的用戶上面右擊鼠標(biāo)，然后選擇“屬性”命令，打開(kāi)“數(shù)據(jù)庫(kù)用戶屬性”框。圖 52）在“數(shù)據(jù)庫(kù)用戶屬性”框中，單擊“權(quán)限”按鈕，打開(kāi)權(quán)限設(shè)置框，在此框中，可以設(shè)置用戶對(duì)數(shù)據(jù)庫(kù)對(duì)象所具有的權(quán)限。圖 6在“對(duì)象”

10、列中，顯示了數(shù)據(jù)庫(kù)中所有的對(duì)象，而“所有者”列則顯示了相應(yīng)對(duì)象的所有者。后面 6 列則是對(duì)數(shù)據(jù)庫(kù)對(duì)象的操作，具體含義為：SELECT：對(duì)表或者視圖的查詢 INSERT：在表或視圖中 UPDATE：修改表或者視圖中的數(shù)據(jù)DELETE：刪除表或者視圖中的數(shù)據(jù)EXEC：執(zhí)行過(guò)程DRI：可對(duì)表的外鍵加上限制，以達(dá)成表的參考完整性。四、數(shù)據(jù)庫(kù)角色角色是一個(gè)強(qiáng)大的工具，可以將用戶集中到一個(gè)單元中，然后對(duì)該單元應(yīng)用權(quán)限。對(duì)一個(gè)角色、或的權(quán)限也適用于該角色的任何成員?？梢越⒁粋€(gè)角色來(lái)代表中一類所執(zhí)行的工作，然后給這個(gè)角色授予適當(dāng)?shù)臋?quán)限。權(quán)限在用戶成為角色成員時(shí)自動(dòng)生效。數(shù)據(jù)庫(kù)角色是對(duì)某個(gè)數(shù)據(jù)庫(kù)具有相同權(quán)限的用戶帳戶和組的集合。數(shù)據(jù)庫(kù)角色應(yīng)用于單個(gè)數(shù)據(jù)庫(kù)。1、標(biāo)準(zhǔn)角色在數(shù)據(jù)庫(kù)創(chuàng)建時(shí)，系統(tǒng)默認(rèn)創(chuàng)建 10 個(gè)固定的標(biāo)準(zhǔn)角色。展開(kāi)school 數(shù)據(jù)庫(kù)，然后選擇“角色”選項(xiàng)，即可看到其中默認(rèn)的 10 個(gè)固定角色。Public 角色是最基本的數(shù)據(jù)庫(kù)角色?？梢圆榭唇巧膶傩裕部梢詫⒁粋€(gè)用戶添加到角色中。以db-owner 數(shù)據(jù)庫(kù)角色為例，來(lái)查看它的屬性，并將用戶 licb 加入到該角色中。操作步驟為：1） 在數(shù)據(jù)庫(kù)school 文件夾下，選擇“角色”選項(xiàng)2） 在db-owner 角色上右擊鼠標(biāo)，然后選擇“屬性”命令，打開(kāi)“數(shù)據(jù)庫(kù)角色屬性db-owner”框。