实验7数据的安全管理2.ppt

数据的安全管理2 本实验将学习数据库用户、权限、角色的概念，以及它们的创建和管理 7.1 数据库用户、权限、角色的概念 7.1.1 数据库用户 用户成功登录SQL Server服务器后，并不自动拥有对数据库的访问权限。用户必须在想要访问的数据库中创建一个数据库用户。当需要访问这个数据库时，SQL Server的安全系统会根据这个用户来访问该数据库。 例如：登录sa要访问数据库tempdb，则要拥有数据库用户dbo才行。 7.1.2 权限 即使用户登录了SQL Server服务器，在数据库中又拥有一个数据库用户，这个用户也还不一定对这个数据库的对象有进行访问和操作的权力，还得对该对象有操作权限才行。 在SQL Server中，权限有三种：隐含权限、对象权限、语句权限。 权限管理有三个内容：授予、回收、拒绝。 例如：登录sa拥有对数据库tempdb进行访问的用户dbo，要访问其中的表，还得有相应的操作权限才可。 7.1.3 角色 角色可以把一组要求具有相同权限的用户组织在一起。这时，这个角色的所有权限将适用于这组用户的每一个成员。 角色有服务器角色和数据库角色之分，分别使用于登录和用户。 角色有固定角色和自定义角色之分，固定角色由系统创建，自定义角色由自己创建。 如，我们可以建立一个数据库角色js，使其对表S具有操作权，并把js授予用户u1,u2，再把u1,u2分别授予登录d1,d2，则登录d1,d2都对表S具有操作权。 7.2 数据库用户、权限、角色的管理 7.2.1 创建数据库用户 打开企业管理器→展开数据库→右击用户→新建数据库用户→选择登录名→更改用户名→确定 注意：登录名与数据库用户名可以（最好）同名，所以一般不去更改用户名。 例1：为数据库student创建一个用户lkm，选择的登录是lkm。如果用户名用aaa，如何创建？ 可用上面的方法。如果用户名用aaa，创建时更改用户名即可。 7.2.2 修改数据库用户 修改数据库用户的主要工作是修改它的使用权限和授予角色。一个数据库用户可以有它自己的使用权限，也可以授予一个或多个数据库角色。 一个数据库用户的权限是使用权限和它授予角色权限的合集，但拒绝权优先。 打开企业管理器→展开数据库用户→右击选定用户→属性→修改用户角色和权限→确定 例2：修改数据库student的用户lkm的使用权限和授予角色。 （1）使其对S和C表有SELECT权限。 （2）授予数据库的db_datareader和db _datawrite角色。 修改步骤如上。 7.2.3 删除数据库用户 删除数据库用户实际上就是删除一个登录到一个数据库中的映射。 打开企业管理器→展开数据库和用户→右击选定用户→删除→确定 例3：删除数据库student的用户lkm。 7.2.4 权限管理 隐含权限：由系统自动授予，不需设置。 对象权限：是针对数据表的，可在用户和角色属性的权限中进行设置。 语句权限：是针对用户或角色的，可在数据库中进行设置，方法如下： 打开企业管理器→展开数据库→右击选定数据库→属性→权限→选择权限→确定 例4：对数据库student的用户lkm设置具有创建表的权限。 方法如上。实际上lkm是student的拥有者，已具有创建表的隐含权限，不必设。 7.2.5 自定义角色 1.创建 打开企业管理器→展开数据库→右击角色→新建数据库角色→输入角色名→选择角色类型→确定 2.修改 打开企业管理器→展开数据库和角色→右击选定角色→属性→添加或删除授予用户→设置或修改角色权限→确定 3.删除 打开企业管理器→展开数据库和角色→右击选定角色→删除 例5：在数据库student中创建一个自定义角色js，添加一个授予用户lkm，并设这个角色对S、C和SC表具有SELECT的权限。 步骤如下： 先用新建数据库角色创建一个js；再用右击选定角色→属性来添加两个授予用户，然后设置权限，使其具有要求的权限。 例6：在数据库student中删除自定义角色js。 方法如上。 7.3 实验内容 1.为数据库student创建两个用户user1 、user 2，选择的登录分别是user1 、user2。 2.修改数据库student的用户user1 、user2的使用权限和授予角色。 3.在数据库student中创建一个用户自定义角色users，添加两个授予用户user1和user2 ，并设这个角色对S和表具有SELECT、INSERT的权限。 4.在数据库student中删除用户自定义角色users. *