sqlserver2000安全性(补充)

《sqlserver2000安全性(补充)》由会员分享，可在线阅读，更多相关《sqlserver2000安全性(补充)（47页珍藏版）》请在金锄头文库上搜索。

1、促成目标1能正确使用SQL Server2000的安全管理 机制 2能正确设置SQL Server2000的身份验证 方法。 3会创建和管理数据库用户。 4会正确设置理数据库权限。二、工作任务本项目主要完成companyinfo数据库系统的安全管理设置。具 体任务如下： 设置SQL Server2000登录的身份验证模式为“SQL Server 和windows” 混合身份验证模式。 添加一个帐户名为liyan的windows身份验证的登录帐户，然后再删除 该帐户。 添加帐户名分别为arlin、abc和wangjun的SQL Server登录帐户，然后 再删除名称为abc的登录帐户。 设置和删

2、除数据库用户，要求如下：(1)将任务3中设置的SQL Server登录帐户“arlin”映射为 companyinfo数据库的用户，用户名为“李平”，即给数据库companyinfo添 加一个名为“李平”的数据库用户。(2)将任务3中设置的SQL Server登录帐户“wangjun”映射为 companyinfo数据库的用户，用户名为“王军”；然后再删除“王军”这个数据 库用户及其登录帐户“wangjun”。(3)设置数据库用户“李平”对表P_order的相关列具有修改操作的权 限。数据库管理系统的安全性数据库管理系统的安全性通常包括两个方 面：v数据运行的安全性(数据库维护：灾难恢复等)

3、。v数据访问的安全性数据访问的安全性是指设计和实现数据库 资源的授权访问，即设计和实现授权的用户在指定 的时间、指定或允许的地点(计算机)、授权的访问 方式访问数据库中的指定的数据资源。 SQL SERVER数据库的安全机制(1)SQL SERVER数据库的安全机制(2)u计算机连接(计算机级) u搜索或ping到安装SQL Server 服务器的计算机。 u服务器登录(服务器级) u登录SQL Server服务器的登录账户和口令。 u数据库访问(数据库级) u在要访问的数据库中建立数据库用户并与登录账号关联。 u表或视图访问(数据表或视图级) u数据库用户对要访问的库中的表(视图)设有访问权

4、限 u过程、内嵌表值函数访问(过程或函数级) u数据库用户对要访问的库中的过程或函数设有访问权 限。 u表或视图中列的访问(字段级限) u数据库用户对要访问的表(视图)中列的设有访问权限。（一）SQL Server 2000的登录身份验证模式vWindows 身份验证模式：使用Windows操作系统 的登录账户和密码连接SQL服务器。与 Windows安全系统集成在一起.v “SQL Server和Windows” 混合模式身份验证：用 户提供登录账户和密码先在SQL Server中验证，如果 验证失败后，再去进行Windows身份验证。SQL Server 身份验证模式:使用SQL Serv

5、er的登录账户和密码连接SQL服务器。2SQL Server 2000的登录身份验证模 式的设置方法。(1) 【服务器组】 右击服务器(2) 【属性】 【SQL Server属性】 单击【安全性】(3) 在【身份验证】中【仅Windows或【 SQL Server和 Windows】选项。(4) 在【审核级别】中选择【无】、【成功】、【失败】 或【全部选项。(5) 在【启动服务账户】中选择【系统账户】或【本账户 】选项。(6) 单击【确定】，重新启动SQL Server。任务1 设置SQL Server2000登录的身份验 证模式为“SQL Server 和windows”混合身份 验证模式。

6、在企业管理器中，展开SQl Server服务器组。 右击要设置身份验证的服务器，并在打开的快捷菜单 中选择“属性”。 单击“安全性”选项卡。 在“身份验证”下，选择“SQl Server和Windows” 。 在“审核级别”的单选内容中，选中用户访问SQL Server的级别。其含义如下： q“无”：表示不执行审核。 q“成功”：表示只审核成功的登录尝试。 q“失败”：表示只审核失败的登录尝试。 q“全部”：表示审核成功的和失败的登录尝试 。 单击“确定”按钮。（二）登录账户管理 用企业管理器管理登录账户用企业管理器管理登录账户 利用Transact-SQL命令管理登录账户管理登录账户1、添加

7、登录账户(服务器)展开【服务器组】 服务器 【安全性】。右击【登录】 选择【新建登录(L)】 【SQL Server登录属性 新建登录】。 单击【常规】 【服务器角色】 【数据库用户】选项卡填写相关内容：如：名称：通恒机械，数据库：companyinfo、密 码：123，选：SQL身份验证。单击【确定】 【确认密码】对话框。在【确认密码】对话框，填写【确认新密码】，并单击【确定】按钮方法一：方法二: 存储过程sp_addlogin创建登 录账户功能：创建SQL Server身份验证的登录账户。 语法：sp_addlogin 登录名 , 密码 , 默认数 据库 , 默认语言【例1】Exec sp

8、_addlogin 通恒机械任务2 添加一个名为liyan的windows身份验 证的登录帐户，然后再删除该帐户。（1）方法一： q右击【登录】|【新建登录】命令。q单击【常规】 【服务器角色】 【数据库用户】选项卡填写相关内容：如：名称： lisaliyan 、 Windows身份验证、Windows帐户名 称：liyan ，其格式为“域名帐户名”、数据库：companyinfo 。说明：需要确保新添加的账户是已在windows的用 户，可以在windows在“计算机管理”或“域用户管理器” 预先添加需要的用户帐户或组帐户。方法二：利用Transact-SQL命令实现功能：用存储过程sp_g

9、rantlogin授权 Windows登录账户登录连接数据库服务器。语法：sp_grantlogin 登录名【例2】 EXEC sp_grantlogin YANGLINliyan2删除登录帐户（1）（1）利用企业管理器方法展开【服务器组】，展开要设置的服务器，展 开【安全性】，单击【登录】。 右击要删除的登录账户，单击【删除】菜单项 。 在确认对话框中单击【是】按钮。2删除登录帐户（2）（2）用T-SQL语句删除登录账户 语法：sp_revokelogin 登录名 功能：撤销Windows身份验证的登录账户。 语法: sp_droplogin 登录名 功能：删除sqlsql server s

10、erver身份验证身份验证的登录账户。3. 阻止账户登录SQL Server中要阻止某账户的登录， 对于Windows身份验证的账户可用拒绝登录方 式阻止，对于SQL Server身份验证的账户可 以修改密码而不通知该密码的用户方式阻止 ，更彻底的方法是删除账户。 （1） 用企业管理器设置SQL Server身份验证账号密码操作步骤：右击要设置的SQL Server身份账户【属性】 【SQL Server登录属性】对话框。在【常规】选项卡的密码区域输入新密码。单击【确定】 弹出【确认密码】对话框。在【确认密码】对话框填写【确认新密码】 【确定】按钮。（2）用企业管理器授予/拒绝Windows

11、账户登录操作步骤： 展开【服务器组】，展开要设置的服务器，展开 【安全性】，单击【登录】。 右击要设置的Windows身份验证账户，选择【属 性】菜单项，弹出【SQL Server登录属性】对话框 。 在【常规】选项卡的身份验证区域单击【拒绝访 问】/【允许访问】选项。 单击【确定】按钮。（3）用存储过程拒绝Windows账户登录功能：拒绝Windows NT用户或组的成员登录数 据库服务器。 语法：sp_denylogin 登录名 特殊帐户saq 当sql server安装完成后，sql server就建 立了一个特殊的帐户sa（System Adiministrator）。q sa帐户拥有

12、服务器和所有的数据库，即sa 拥有最高的管理权限，可以执行服务器范围 内的所有操作，同时，sa帐户无法删除。4帐户信息的查看展开服务器下的“安全性”，选择“登录”。 帐户的类型：Windows用户帐户、Windows组帐户、标 准 帐户。名称栏：对于SQL Server帐户，“名称”列直接显示用户 帐户名称。对于Windows NT用户帐户，帐户名采用“计算机名称 （或域名）用户名（或组名）”的形式表示。对于Windows NT/2000内建本地组，其帐户名中使用BUILTIN代替计算机名 （或域名）。服务器访问：显示了是否允许该用户登录服务器。默认数据库：是指用户登陆SQL Server 2

13、000后首先连 接的数据库，默认master数据库。默认语言：定义了SQL Server使用何种语言为用户显示 信息。（二）SQL Server数据库的安全性q 对于每个要求访问数据库的登录账户，必须在要访问的数据库中建立该数据库的访问账户，且与其登录账户 链接关联，才可进入该数据库访问。否则，该登录账户 就无法进入该数据库访问。q 这个数据库访问账户就是数据库用户(dbAccess)。有 关信息保存在各自数据库sysusers表中。注意：该数据库中有guest数据库用户或该登录账户加入相应固定数据库角色除外。1. 添加数据库用户（1）使用企业管理器任务4 给companyinfo数据库添加数

14、据库用户“李平” 。u展开【服务器】，展开【companyinfo】数据库。u右击【用户】，单击【新建数据库用户.】菜单，弹 出【数据库用户属性新建用户】对话框。u从登录名下拉列表框中选择一个登录账号。u在用户名框中输入数据库用户名。u单击【确定】按钮。（2）用Transact-SQL命令q 语法：sp_grantdbaccess 登录账户名, 数据库用户名 q 功能：在当前数据库中，添加“数据库用户名”为本数据 库 的用户，并与将账户名为“登录账户名”的登录账户链接 (关联)。q 例：给companyinfo数据库添加名为“王军”的用户。USE companyinfogoEXEC sp_gr

15、antdbaccess wangjun, 王军2删除数据库用户q 删除数据库用户实际就是删除一个登录帐户到一个数 据库中的映射。q 方法： l 企业管理器法： l 使用Transact_SQL 语句。从当前数据库中删除安全帐 户。语法 ： sp_revokedbaccess 用户名 任务4 删除数据库用户“王军”操作步骤： v 展开SQl Server服务器组中相应的服务器。v 展开“数据库”文件夹，然后展开将数据库companyinfo。v 单击“用户”对象，在“详细信息”窗格中，右击要删除的数 据库用户“王军”，然后单击“删除”。v 确认删除。说明： 此时只是删除了数据库用户，登录并没有删

16、除，3、特殊的用户（1）1） dbo 在SQL Server 2000中，数据库的创建者即为数 据库的所有者，而dbo是数据库的最高权力所有者 。当SQL Server中安装时， dbo被设置到model 数据库中，每个数据库都存在，具有所有数据库的 操作权限，并可向其他用户授权，且不能被删除。3、特殊的用户（1）2） guest q guest用户账户允许没有账户的用户登录访问数据库。可以将权限应用到 guest 用户，就如同它是任何其他用户账户一样。q 可以在除 master 和 tempdb 外（在这两个数据库中它必须始终存在）的所有数据库中添加或删除 guest 用户。q 默认情况下，新建的数据库中没有 guest 用