實(shí)踐1：SQLServer的安裝與安全性管理.1

1、SQL Server 2000SQL Server 2000的安裝與配置的安裝與配置 SQL Server 2000SQL Server 2000的安全機(jī)制的安全機(jī)制一一. . SQL Server SQL Server的安裝、配置與安全性的安裝、配置與安全性1.SQL Server 2000SQL Server 2000的安裝與配置的安裝與配置 1)初次安裝SQL Server 20002)增加服務(wù)器實(shí)例3)啟動服務(wù)器4)客戶端網(wǎng)絡(luò)連接工具5)服務(wù)器端連接工具6)企業(yè)管理器7)查詢分析器1)初次安裝SQL Server 20002)增加服務(wù)器實(shí)例3)啟動服務(wù)器啟動服務(wù)4)客戶端網(wǎng)絡(luò)連接工具5

2、)服務(wù)器端連接工具6)企業(yè)管理器7)查詢分析器2. SQL Server 20002. SQL Server 2000的安全機(jī)制的安全機(jī)制SQL Server 的安全機(jī)制包括：兩級權(quán)限 與 兩類安全性 ，以及數(shù)據(jù)庫的備份與恢復(fù)。二級管理權(quán)限是：1) 服務(wù)器級的“連接權(quán)” 即一個(gè)賬戶能否連接到某一個(gè)服務(wù)器。2) 數(shù)據(jù)庫的訪問權(quán) 連接到服務(wù)器，未必能夠訪問其中某個(gè)數(shù)據(jù)庫。因此，必須在數(shù)據(jù)庫中注冊這個(gè)帳號，才能對該數(shù)據(jù)庫進(jìn)行訪問。兩類安全性:1) 數(shù)據(jù)庫的安全性 一個(gè)用戶只要被授予了使用某個(gè)對象或語句的權(quán)限，就可以用任何工具來進(jìn)行操作。2) 應(yīng)用程序的安全性 對于數(shù)據(jù)庫中的一些重要數(shù)據(jù)，為避免誤操作

3、，或者在一些復(fù)雜數(shù)據(jù)庫中，表間的關(guān)系很難用外鍵、規(guī)則等來維護(hù)時(shí)，只能用應(yīng)用程序來訪問這些數(shù)據(jù)，這就是應(yīng)用程序的安全性。2.1 服務(wù)器連接權(quán)兩類登錄賬號：1) Windows NT/2000 用戶賬號 用戶首先在Windows下創(chuàng)建賬號名，然后再映射成SQL Server 下的賬號。2) SQL Server 登錄賬號兩種情形需要使用SQL Server 登錄賬號：非Windows NT/2000用戶（如windows 98用戶），或者通過網(wǎng)絡(luò)登錄的帳戶（無windows 帳號）。注冊用戶帳戶步驟：在服務(wù)器實(shí)例-安全性-登錄 節(jié)點(diǎn)上，鼠標(biāo)右健單擊，在“新建登錄”對話框中完成添加。說明：如果注冊W

4、indows NT/2000帳戶，必須事先在Windows下建立該帳戶如果是Windows NT/2000帳戶，則由 “計(jì)算機(jī)名* ” 組成； 如果是SQL Server帳戶，由只由“ * ” 組成。（ * 代表用戶輸入的名字）名字不區(qū)分大小寫名字不區(qū)分大小寫。只有系統(tǒng)管理員和 安全員 才可以注冊帳戶。注冊用戶帳戶1) Windows NT/2000 驗(yàn)證模式2) SQL Server 與Windows NT/2000混合驗(yàn)證模式使用混合驗(yàn)證模式時(shí)，系統(tǒng)管理員需要創(chuàng)建登錄賬號和口令，以備用戶連接時(shí)使用。所謂混合驗(yàn)證，就是即可以使用SQL Server帳號也可以使用Windows NT/2000

5、帳號登錄。但是若服務(wù)器設(shè)為Windows NT/2000 驗(yàn)證模式，則只能使用Windows賬號登錄。設(shè)置安全驗(yàn)?zāi)Ｊ奖仨毷恰跋到y(tǒng)管理員”用戶兩類驗(yàn)證模式：設(shè)置驗(yàn)證模式在數(shù)據(jù)庫服務(wù)器實(shí)例上單擊鼠標(biāo)右鍵-屬性，打開“屬性對話框”，可以設(shè)置服務(wù)器驗(yàn)證模式。設(shè)置完后，服務(wù)器實(shí)例會重新啟動。設(shè)置驗(yàn)證模式注冊服務(wù)器打開“企業(yè)管理器”，會看到已經(jīng)自動注冊了 服務(wù)器。此時(shí)，用戶可以重新設(shè)置驗(yàn)證模式，并重新注冊服務(wù)器。注冊服務(wù)器服務(wù)器角色和sa帳戶服務(wù)器角色是一些系統(tǒng)定義好操作權(quán)限的用戶組，其中的成員是登錄賬號。也就是說，一個(gè)登錄賬戶加入一個(gè)角色（共8種），自動具有該角色預(yù)定義的權(quán)限。對服務(wù)器角色不能增加或刪除

6、，只能對其中的成員進(jìn)行修改。一個(gè)登錄賬號可以不屬于任何角色，也可以同時(shí)屬于多個(gè)角色。sa賬號是為向后兼容而內(nèi)建的特殊賬號，屬于sysadmin角色，而且不能改變。連接到服務(wù)器的用戶的權(quán)利八種角色上機(jī)測試：首先啟動服務(wù)管理器。1。先以“管理員”身份登錄，然后分別建立帳Windows NT/2000帳戶 *XPName1 和 SQL Server帳戶SQLName2 ； 上述 * 代表你的計(jì)算機(jī)名字2。修改服務(wù)器的登錄方式，然后用某一帳戶登錄；3。測試不同帳戶的權(quán)限， 例如：備份數(shù)據(jù)庫數(shù)據(jù)庫的用戶和角色1） 用戶每一個(gè)數(shù)據(jù)庫用戶都跟服務(wù)器登錄賬號之間存在一種映射關(guān)系，管理員可以將一個(gè)服務(wù)器登錄賬號

7、映射為某一個(gè)數(shù)據(jù)庫的一個(gè)用戶賬號。一個(gè)登錄賬號在不同的數(shù)據(jù)庫中可以映射成（即另起名字）具有不同權(quán)限的用戶。 2.2 數(shù)據(jù)庫訪問權(quán) 注意：每個(gè)數(shù)據(jù)庫都有兩個(gè)默認(rèn)用戶：dbo 和 guest 。 dbo數(shù)據(jù)庫擁有者。 sysadmin服務(wù)器角色的成員自動被映射成dbo。 guest來賓來賓。 當(dāng)一個(gè)數(shù)據(jù)庫存在guest用戶時(shí)，所有通過自己的賬號訪問數(shù)據(jù)庫的用戶都被當(dāng)作guest。 所以，使用guest要小心。數(shù)據(jù)庫默認(rèn)用戶新建數(shù)據(jù)庫用戶 數(shù)據(jù)庫角色的概念同服務(wù)角色，但是在數(shù)據(jù)庫，不僅有固定的數(shù)據(jù)庫角色，也有自定義的角色。2）數(shù)據(jù)庫角色十個(gè)固定數(shù)據(jù)庫角色public: 具有所有具有所有“默認(rèn)默認(rèn)”權(quán)

8、限權(quán)限db_owner:具有所有角色的權(quán)限db_accessadmin:+/- 用戶、角色db_ddladmin:+/- 數(shù)據(jù)庫對象db_securityadmin: 管理角色，管理對象和語句權(quán)限db_backupoperator:備份db_datareader:讀db_datawriter:寫db_denydatareader:不能讀db_denydatawriter:不能寫說明：固定角色同樣不能增加/刪除自定義數(shù)據(jù)庫角色應(yīng)用程序角色說明：應(yīng)用程序角色不能添加用戶必須用下列語句激活： sp_setapprole 角色名 , 密碼激活后，當(dāng)前用戶的權(quán)限轉(zhuǎn)變?yōu)?應(yīng)用程序角色的權(quán)限，并一直到斷開連

9、接為止。若要修改密碼，也只能用下列方式： sp_approlepassword 角色名, 新密碼3）權(quán)限一個(gè)用戶可以直接分配到權(quán)限，也可以作為一個(gè)角色的成員間接地得到權(quán)限。一個(gè)用戶還可以同時(shí)具有不同權(quán)限的多個(gè)角色。權(quán)限分類：1）對象權(quán)限即對數(shù)據(jù)庫對象：表、視圖、存儲過程等進(jìn)行操作的權(quán)利。2）語句權(quán)限用戶執(zhí)行一些數(shù)據(jù)庫定義數(shù)據(jù)庫定義語句的權(quán)利。3）隱含權(quán)限系統(tǒng)預(yù)定定義的各種角色所擁有的權(quán)限，不能明確地被定義或撤消。語句權(quán)限管理對象權(quán)限管理也可以通過對象名設(shè)置對象權(quán)限管理可以通過帳戶名設(shè)置2.3 2.3 數(shù)據(jù)庫的備份與恢復(fù)數(shù)據(jù)庫的備份與恢復(fù)n備份數(shù)據(jù)庫還原數(shù)據(jù)庫上機(jī)測試：4。將SQLname2帳號映射到 Teaching數(shù)據(jù)庫，但不具有學(xué)生表的 select語句權(quán)限