数据技术应用 11

项目11管理数据库安全——拓展项目任务单任务名称“新闻发布系统”数据库安全管理任务编号4-2任务目标1.理解数据库安全管理体系及SQLServer的安全管理方式；2.会使用可视化界面和T-SQL脚本两种方法添加和删除登录账户；3.会使用可视化界面和T-SQL脚本两种方法添加和删除数据库用户；4.会使用可视化界面和T-SQL脚本两种方法管理权限。任务描述新闻发布系统数据库在日常应用中需要分角色类型管理，请完成如下管理任务：1.创建登录账户（1）为“新闻发布系统”管理员创建Windows类型的登录账户，其Windows用户名为Davilo（若不存在，请先自行创建）。（2）为各栏目的用户创建SQLServer类型的登录账户，登录名分别为Jessica、Angela、Sophia。（3）为数据库管理人员创建Windows类型的登录账户，其Windows用户名为Stanford、Jones。（4）将Davilo映射到sysadmin角色。2.数据库级别安全性（1）将上述用户都映射到“新闻发布系统”数据库中，使他们都能够访问该数据库，数据库用户名可以采用默认用户名（与登录名相同）。（2）将Stanford添加到db_securityadmin和db_accessadmin角色，专门负责管理该系统的安全性。（3）将Jones添加到db_backupoperator角色中，专门负责对该系统的备份和还原工作。3.用户权限管理（1）授予用户Jones对所有表和视图的查看权限。（2）拒绝用户Jones对新闻信息表的更新权限。（3）拒绝用户Jones对新闻评论表的删除权限。完成方式¨小组协作完成¨个人单独完成负责人参与人员工作流程1.创建登录账户--(1)创建Windows登录账户Davilo(假设已存在Windows用户)CREATELOGIN[DOMAIN\Davilo]FROMWINDOWS;GO--(2)创建SQLServer登录账户(栏目用户)CREATELOGINJessicaWITHPASSWORD='Jessica@123';CREATELOGINAngelaWITHPASSWORD='Angela@123';CREATELOGINSophiaWITHPASSWORD='Sophia@123';GO--(3)创建Windows登录账户(数据库管理人员)CREATELOGIN[DOMAIN\Stanford]FROMWINDOWS;CREATELOGIN[DOMAIN\Jones]FROMWINDOWS;GO--(4)将Davilo映射到sysadmin角色ALTERSERVERROLEsysadminADDMEMBER[DOMAIN\Davilo];GO2.数据库级别安全性USE[新闻发布系统];GO--(1)将登录账户映射到数据库用户CREATEUSER[DOMAIN\Davilo]FORLOGIN[DOMAIN\Davilo];CREATEUSERJessicaFORLOGINJessica;CREATEUSERAngelaFORLOGINAngela;CREATEUSERSophiaFORLOGINSophia;CREATEUSER[DOMAIN\Stanford]FORLOGIN[DOMAIN\Stanford];CREATEUSER[DOMAIN\Jones]FORLOGIN[DOMAIN\Jones];GO--(2)将Stanford添加到db_securityadmin和db_accessadmin角色ALTERROLEdb_securityadminADDMEMBER[DOMAIN\Stanford];ALTERROLEdb_accessadminADDMEMBER[DOMAIN\Stanford];GO--(3)将Jones添加到db_backupoperator角色ALTERROLEdb_backupoperatorADDMEMBER[DOMAIN\Jones];GO3.用户权限管理USE[新闻发布系统];GO--(1)授予Jones对所有表和视图的查看权限GRANTSELECTONSCHEMA::dboTO[DOMAIN\Jones];GO--(2)拒绝Jones对新闻信息表的更新权限DENYUPDATEON新闻信息表TO[DOMAIN\Jones];GO--(3)拒绝Jones对新闻评论表的删除权限DENYDELETEON新闻评论表TO[DOMAIN\Jones];GO

信创技能拓展知识与技能拓展1达梦数据库创建用户：在DM中使用CREATEUSER语句创建用户，具体的语法格式如下：CREATEUSER[IFNOTEXISTS]<用户名>IDENTIFIEDBY<口令>知识与技能拓展2达梦数据库权限的分配：使用GRANT语句授予用户和角色数据库权限。数据库权限的授权语句语法为：GRANT<特权>TO<用户或角色>{,<用户或角色>}[WITHADMINOPTION];<特权>::=<数据库权限>{,<数据库权限>};<用户或角色>::=<用户名>|<角色名>1.授权者必须具有对应的数据库权限以及其转授权。四权分立下四类管理员（DBA、SSO、AUDITOR、DBO）均不能转授PROFILE权限（CREATEPROFILE、DROPPROFILE、ALTERPROFILE）和USER权限（CREATEUSER、ALTERUSER、DROPUSER）；三权分立下只有管理员DBA能转授PROFILE权限和USER权限，管理员SSO和AUDITOR不能转授PROFILE权限和USER权限；2.接受者必须与授权者用户类型一致；3.WITHADMINOPTION选项允许被授权用户再把这些权限转授给其他用户/角色。知识与技能拓展3达梦数据库权限的回收：使用REVOKE语句回收授出的指定数据库权限。回收数据库权限的语句语法为：REVOKE[ADMINOPTIONFOR]<特权>FROM<用户或角色>{,<用户或角色>};<特权>::=<数据库权限>{,<数据库权限>}<用户或角色>::=<用户名>|<角色名>1.权限回收者必须是具有回收相应数据库权限以及转授权的用户；2.ADMINOPTIONFOR选项可以取消用户或角色的转授权限，但是权限不回收。知识与技能拓展4达梦数据库角色权限的分配：通常角色包含权限或其他角色，通过使用GRANT语句将一个角色授予用户或另一角色可以使得用户和角色继承该角色所具有的权限。授予角色权限的语句语法如下：GRANT<角色名>{,<角色名>}TO<用户或角色>{,<用户或角色>}[WITHADMINOPTION];<用户名或角色名>::=<用户名>|<角色名>1.角色的授予者必须为拥有相应的角色以及其转授权的用户。但有一点例外：SYSDBA、SYSDBO虽然没有ADMINANYROLE权限，但依然可以对其他用户或角色授予SVI（由SYSDBA授予）、DB_OBJECT_SVI（由SYSDBO授予）角色权限；2.接受者必须与授权者类型一致(譬如不能把审计角色授予标记角色)；3.