1、项目六,SQL Server 2000安全性管理,2,项目导入,在数据库中存在大量的重要信息,如果这些信息泄露或遭到恶意破坏,将会造成极大的损失。因此数据库系统的安全是十分重要的。,3,项目要求,掌握SQL Server登录用户与数据库用户的作用和关联。 掌握权限和角色的作用和应用。,4,项目6.1 SQL Server登录用户、数据库用户与权限,1、SQL Server 的安全机制 SQL Server 中数据的安全主要由3个方面保障: SQL Server 登录验证 数据库合法用户验证 数据库对象操作权限验证。,5,解释: SQL Server登录用户 该用户具有连接SQL Server的
2、权利。 数据库用户具有访问某数据库权利的登录用户。 权限一个登录用户要对数据库进行访问或修改等操作,必须具有相应的操作权利。 注意:SQL Server登录用户具有登录SQL Server的权利,但并不代表其能够访问SQL Server中的数据库,该用户还必须被赋予访问某数据库的权利才能访问相 应的数据库。,项目6.1 SQL Server登录用户、数据库用户与权限,6,2、SQL Server登录验证 SQL Server 有两种登验证模式: Windows 身份验证模式(仅Windows 身份验证) 混合身份验证模式(Windows 身份验证或SQL Server身份验证)注意:登录验证用
3、来识别用户与SQL Server相连接的能力,如果验证成功,用户就能连接到SQL Server上。,项目6.1 SQL Server登录用户、数据库用户与权限,7,解释: SQL Server身份验证用户在连接SQL Server时必须提供用户名和密码,SQL Server自己执行验证处理,它将会与存储在系统表syslogins中的登录信息验证,如果用户输入的登录信息与syslogins中的某条记录相匹配则登录成功,否则登录失败。 Windows 身份验证SQL Server 数据库系统通常运行在Windows NT/2000服务器平台上,而NT作为网上操作系统本身就具备验证登录用户合法性的能
4、力,所以在该模式下,用户只要通过Windows验证就可以连接到SQL Server。,项目6.1 SQL Server登录用户、数据库用户与权限,8,任务1:设置身份验证模式,提出任务 将SQL Server的身份验证模式设置为混合验证模式。 分析任务 要设置身份验证模式,用户必须使用系统管理员帐户,可以使用企业管理器来设置身份验证模式。,9,任务1:设置身份验证模式,完成任务 打开【企业管理器】窗口,右击SQL Server服务器,选择【属性】命令。如图所示。,10,任务1:设置身份验证模式,在弹出的【SQL Server属性】对话框中,选择【安全性】选项卡,在【身份验证】下,选择【SQL
5、Server和Windows】单选按钮。如图所示。单击【确定】按钮。,11,任务2:创建登录帐户,提出任务 在SQL Server中创建一个名为sjy的登录帐户,该用户采用“SQL Server身份验证”模式。 分析任务 某个用户想对某数据库中的对象进行某种操作,首先必须被允许连接到SQL Server上,既成为SQL Server合法的登录用户。,12,任务2:创建登录帐户,完成任务 打开【企业管理器】窗口,右击【登录】选项,选择【新建登录】命令,如图所示。,13,任务2:创建登录帐户,在弹出的【SQL Server登录属性】窗口,选择【常规】选项卡,在【名称】文本框中输入新建登录的名称“s
6、jy”,在【身份验证】下单击【SQL Server身份验证】单选按钮,并在【密码】文本框输入密码,例如“123”,如图所示。,14,任务2:创建登录帐户,此时在【企业管理器】窗口的右侧窗体中,就可以看到一个名为sjy的登录用户。如图所示。,15,任务2:创建登录帐户,测试1:使用 sjy登录帐号能否连接到SQL Server?能否访问student数据库? 步骤1:在任务栏的【开始】菜单中启动【查询分析器】,在【连接到SQL Server】对话框中选择【SQL Server 身份验证】单选按钮,如图1所示,在【登录名】文本框输入“sjy”,在【密码】文本框输入“123”,单击确定按钮。弹出如图
7、2所示窗体,表示连接SQL Server成功。,图1,图2,16,任务2:创建登录帐户,步骤2:在【查询分析器】对话框中输入“use student”命令,并执行该命令,出现如图所示提示信息“服务器用户 sjy 不是数据库 student 中的有效用户”,表示登录用户sjy没有访问student数据库的权利。,17,任务3:创建数据库用户,提出任务在student数据库中,为登录帐户sjy创建一个名为sjy_stu的数据库用户。 分析任务SQL Server的合法登录用户要访问某个数据库,其必须具有访问该数据库的权利,既成为该数据库的合法用户。,18,任务3:创建数据库用户,完成任务 在【企业
8、管理器】窗口,依次展开【数据库】|【student】树型目录,右击【用户】选项,选择【新建数据库用户】命令,如图所示。,19,任务3:创建数据库用户,在【数据库用户属性新建用户】对话框中,如图所示,在【登录名】下拉按钮中选择“sjy”登录用户名。在【用户名】文本框中输入数据库用户名“sjy_stu”。,20,任务3:创建数据库用户,点击【确定】按钮,此时在【企业管理器】窗口右侧出现创建成功数据库用户sjy_stu,如图所示。,21,任务3:创建数据库用户,测试2:使用sjy 登录用户连接SQL Server后,能否访问student数据库?能否查看该数据库的xs表的所有数据?,步骤1: 在任务
9、栏的【开始】菜单中启动【查询分析器】,使用sjy登录用户连接到SQL Server,在【查询分析器】T_SQL 语句输入窗口输入语句“use student”,执行该语句。显示提示信息“命令已成功完成”,则表示成功访问student数据库,如图所示。,22,任务3:创建数据库用户,测试2:使用sjy 登录用户连接SQL Server后,能否访问student数据库?能否查看该数据库的xs表的所有数据?,步骤2:继续输入查询语句“select * from xs”,执行该语句。显示提示信息“拒绝了对对象 xs(数据库 student,所有者 dbo)的 SELECT 权限。”,如图所示。,23,
10、任务4:赋予数据库用户操作数据库对象的权限,提出任务 赋予数据库用户sjy_stu如下权利: 1 对xs表有查询的权利。 2 但对xs表无添加、删除等操作的权利。 分析任务 数据库要想对数据库中的对象进行某些操作,必须获得相应的操作权限。,24,任务4:赋予数据库用户操作数据库对象的权限,完成任务 在【student】数据库的【用户】数据库对象下,右击数据库用户sjy_stu,选择【管理权限】命令,如图所示。,25,任务4:赋予数据库用户操作数据库对象的权限,在【数据库用户属性student】对话框,在数据库对象xs表一行选中SELECT权限对应的复选框如图所示。,26,任务4:赋予数据库用户
11、操作数据库对象的权限,测试3:登录用户sjy此时能否对xs表进行SELECT操作?能否进行INSERT操作?,步骤1:启动【SQL查询分析器】,在T-SQL语句输入出输入: “use student select * from xs” 并执行该语句。执行结果如图所示。,27,任务4:赋予数据库用户操作数据库对象的权限,测试3:登录用户sjy此时能否对xs表进行SELECT操作?能否进行INSERT操作?,步骤2:继续输入语句“insert into xs(xh,xm) values (123456,wgg)”,并执行该语句。出现提示语句“拒绝了对对象 xs(数据库 student,所有者 db
12、o)的 INSERT 权限”。如图所示。,28,项目练习,练习6.1:新建一个登录用户SHEN,身份验证模式为Windows身份验证。并为该登录用户创建一个名为SHENJY的数据库用户帐户,使该用户对student数据库中的cj表有查询、添加数据的权限。,29,项目6.2 角色,角色 SQL Server的管理者可以将某些用户设置为某一角色,这样只对角色进行权限设置便可实现对所有用户权限的设置,大大减少管理员的工作量。 SQL Server中主要有两种角色:服务器角色和数据库角色。,30,任务1:新建数据库角色,提出任务在“student”数据库中创建一个数据库角色“see_xs”,且设置它的
13、权限为“SELECT”。 分析任务展开“student”数据库,创建“see_xs”角色,打开【权限】窗口,勾选“SELECT”权限。,31,任务1:新建数据库角色,完成任务 展开【student】数据库,右击【角色】,选择【新建数据库角色】命令。如图所示。,32,任务1:新建数据库角色,在【数据库角色新建角色】对话框的【名称】文本框中输入“see_xs”,如图所示,单击【确定】按钮。,33,任务1:新建数据库角色,在【企业管理器】窗口右侧窗体中,右击创建好的角色“see_xs”,选择【属性】命令。返回到原来窗口。此时的【权限】按钮可用。单击【权限】按钮。,34,任务1:新建数据库角色,在弹出
14、的【数据库角色属性】对话框中,如图所示,在【数据库角色】下拉组合框中选择“see_xs”,并选中xs表所对应的SELECT权限组合框。单击【应用】和【确定】按钮。再次返回到原来窗口,单击【确定】按钮。,35,任务2:添加角色成员,提出任务数据库角色“see_xs”添加dxs_stu、sjy_tu、wgg_stu和zl_stu用户(数据库用户dxs_stu、sjy_stu、wgg_stu和zl_stu分别是基于数据库帐户dxs、sjy、wgg和zl创建的,这四个登录帐户的身份验证方式都为“SQL Server身份验证”模式,帐户密码均为“123”)。 分析任务选择“see_xs”角色,使用【添加
15、角色成员】命令添加这四个成员.,36,任务2:添加角色成员,完成任务 在【企业管理器】窗口右侧窗体中,右击创建好的角色“see_xs”,选择【属性】命令。在该窗口中单击【添加】按钮。 在【添加角色成员】窗口选中dxs_stu、sjy_tu、wgg_stu和zl_stu用户,如图所示,单击【确定】按钮。,37,任务2:添加角色成员,在再次出现的【数据库角色属性see_xs】对话框中,如图所示,单击【应用】和【确定】按钮。,38,任务2:添加角色成员,测试1:测试用户wgg_stu是否对表xs有查看其中数据的权利?对xs表有没有添加数据的权利?,步骤1:启动【查询分析器】,在【连接SQL Serv
16、er】对话框选择【SQL Server 身份验证】单选按钮,在【登录名】文本框输入“wgg”,在【密码】文本框输入对应的密码(如“123”),如图所示。单击【确定】按钮。,39,任务2:添加角色成员,测试1:测试用户wgg_stu是否对表xs有查看其中数据的权利?对xs表有没有添加数据的权利?,步骤2:在【SQL Server查询分析器】窗口,输入语句: “use student select * from xs” 并执行该语句。结果如图,表示用户wgg_stu对xs表有查询其中数据的权限。,40,任务2:添加角色成员,测试1:测试用户wgg_stu是否对表xs有查看其中数据的权利?对xs表有
17、没有添加数据的权利?,步骤3:继续输入语句“insert into xs(xh,xm)values(6789,王方)”,并执行该语句。结果如图所示,表示用户wgg_stu对xs表没有添加数据的权限。,41,任务2:添加角色成员,测试2:测试用户sjy_stu、dxs_stu和zl_stu对数据库表xs有没有查询数据的权限?有没有添加数据的权限?为什么?(参照测试1,自行完成该测试),42,项目扩展,1. 管理(创建、查看和删除)登录帐户或数据库用户的常见方式: 方法一:使用企业管理器管理。 方法二:使用相应的存储过程来管理(见表6-3)。,2. 权限的授予除了使用企业管理器管理来管理,还可以使
18、用GRANT、REVOKE和DENY语句实现。,43,项目练习,练习6.2:为数据库student新建两个数据库用户AA和BB。 练习6.3:创建一角色cj_role,该角色对cj表有查询、添加数据的权限。将用户AA和BB添加为该角色的成员。,44,项目总结,安全性主要是指允许那些具有相应数据库访问权限的用户登录到SQL Server并访问数据,以及对数据库对象实施各种权限范围内的操作,又要拒绝所有的非授权用户的非法操作,因此安全性的管理与用户管理和权限管理是分不开的。本项目主要讨论的是如何创建和管理用户帐号,以及如何实现和管理安全性。,45,项目实训,一、 实训目的和要求 掌握创建登录帐户的方法; 掌握创建数据库用户的方法; 掌握权限和角色的应用。 二、 实训内容现有学生STUA、STUB、STUC和STUD以及教师TEACHA和TEACHB要访问student数据库中成绩表cj中的数据,为了实现数据的安全性,决定对各个用户的的权限进行设置:1.学生STUA、STUB、STUC和STUD只能查看表中的成绩。2.教师TEACHA和TEACHB可以对整个表中的数据进行查询、修改、删除操作。,
