SQL Server角色及權(quán)限管理

1、數(shù)據(jù)庫基礎(chǔ)與應(yīng)用數(shù)據(jù)庫基礎(chǔ)與應(yīng)用-SQL Server 2008SQL Server 2008SQL Server 2008的安全機制的安全機制哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶角色角色本章主要本章主要內(nèi)內(nèi)容容SQL Server 2008的安全機制概述的安全機制概述1234權(quán)限權(quán)限5哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院 安全性是所有數(shù)據(jù)庫管理系統(tǒng)的一個重要特征。理安全性是所有數(shù)據(jù)庫管理系統(tǒng)的一個重要特征。理解安全性問題是理解數(shù)據(jù)庫管理系統(tǒng)安全性機制的解安全性問題是理解數(shù)據(jù)庫管理系統(tǒng)安全性機制的前提。前提。1.1.第一個安全

2、性問題：當(dāng)用戶登錄數(shù)據(jù)庫系統(tǒng)時，如第一個安全性問題：當(dāng)用戶登錄數(shù)據(jù)庫系統(tǒng)時，如何確保只有合法的用戶才能登錄到系統(tǒng)中？這是一何確保只有合法的用戶才能登錄到系統(tǒng)中？這是一個最基本的安全性問題，也是數(shù)據(jù)庫管理系統(tǒng)提供個最基本的安全性問題，也是數(shù)據(jù)庫管理系統(tǒng)提供的基本功能。的基本功能。v在在Microsoft SQL Server 2008Microsoft SQL Server 2008系統(tǒng)中，通過身份系統(tǒng)中，通過身份驗證模式和主體解決這個問題。驗證模式和主體解決這個問題。一一. . SQL Server 2008SQL Server 2008的安全機制概述的安全機制概述哈爾哈爾濱師濱師范大范大學(xué)學(xué)

3、恒星恒星學(xué)學(xué)院院1 1）身份驗證模式）身份驗證模式 Microsoft SQL Server 2008 Microsoft SQL Server 2008系統(tǒng)提供了兩種身份驗證模系統(tǒng)提供了兩種身份驗證模式：式：WindowsWindows身份驗證模式和混合模式。身份驗證模式和混合模式。v WindowsWindows身份驗證模式：身份驗證模式： 在該模式中，用戶通過在該模式中，用戶通過WindowsWindows用戶賬戶連接用戶賬戶連接SQL ServerSQL Server時，使用時，使用WindowsWindows操作系統(tǒng)中的賬戶名和密碼。操作系統(tǒng)中的賬戶名和密碼。v 混合模式：混合模式：

4、 在混合模式中，當(dāng)客戶端連接到服務(wù)器時，既可能采取在混合模式中，當(dāng)客戶端連接到服務(wù)器時，既可能采取WindowsWindows身份驗證，也可能采取身份驗證，也可能采取SQL ServerSQL Server身份驗證。身份驗證。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院v 查看與更改身份驗證模式查看與更改身份驗證模式哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院2 2）主體主體 主體是可以請求系統(tǒng)資源的個體或組主體是可以請求系統(tǒng)資源的個體或組合過程。例如，數(shù)據(jù)庫用戶是一種主合過程。例如，數(shù)據(jù)庫用戶是一種主體，可以按照自己的權(quán)限在數(shù)據(jù)庫中體，可以按照自己的權(quán)限在數(shù)據(jù)庫中執(zhí)行操作和使用相應(yīng)的數(shù)據(jù)。執(zhí)

5、行操作和使用相應(yīng)的數(shù)據(jù)。 Microsoft SQL Server 2008 Microsoft SQL Server 2008系統(tǒng)有系統(tǒng)有多種不同的主體，不同主體之間的關(guān)多種不同的主體，不同主體之間的關(guān)系是典型的層次結(jié)構(gòu)關(guān)系，位于不同系是典型的層次結(jié)構(gòu)關(guān)系，位于不同層次上的主體其在系統(tǒng)中影響的范圍層次上的主體其在系統(tǒng)中影響的范圍也不同。位于層次比較高的主體，其也不同。位于層次比較高的主體，其作用范圍比較大；位于層次比較低的作用范圍比較大；位于層次比較低的主體，其作用范圍比較小。主體，其作用范圍比較小。 主 體 W W i i n n d d o o w w s s級級 W in d o w

6、s組 W in d o w s域 登 錄 名 W in d o w s本 地 登 錄 名 S S Q Q L L S S e e r r v v e e r r級級 S Q L S e rv e r登 錄 名 固 定 服 務(wù) 器 角 色 數(shù)數(shù) 據(jù)據(jù) 庫庫 級級 數(shù) 據(jù) 庫 用 戶 固 定 數(shù) 據(jù) 庫 角 色 應(yīng) 用 程 序 角 色 安 全 對 象 服服 務(wù)務(wù) 器器 安安 全全 對對 象象 范范 圍圍 端 點 S Q L S e rv e r登 錄 名 數(shù) 據(jù) 庫 數(shù)數(shù) 據(jù)據(jù) 庫庫 安安 全全 對對 象象 范范 圍圍 數(shù) 據(jù) 庫 用 戶 /應(yīng) 用 程 序 角 色 /角 色 /程 序 集 /消 息

7、類 型 /路 由 /服 務(wù) /遠 程 服 務(wù) 綁 定 /全 文 目 錄 /證書 /非 對 稱 密 鑰 /對 稱 密 鑰 /約 定 /架 構(gòu) 架架 構(gòu)構(gòu) 安安 全全 對對 象象 范范 圍圍 類 型 /X M L架 構(gòu) 集 合 /聚 合 /約 束 /函 數(shù) /過程 /隊 列 /統(tǒng) 計 信 息 /同 義 詞 /表 /視 圖 請 求 哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院2.2.第二個安全性問題：當(dāng)用戶登錄到系統(tǒng)中，他可以執(zhí)行哪第二個安全性問題：當(dāng)用戶登錄到系統(tǒng)中，他可以執(zhí)行哪些操作、使用哪些對象和資源？些操作、使用哪些對象和資源？v 在在Microsoft SQL Server 2008Mic

8、rosoft SQL Server 2008系統(tǒng)中，通過安全對象和權(quán)系統(tǒng)中，通過安全對象和權(quán)限設(shè)置來解決這個問題。限設(shè)置來解決這個問題。 主體 W Wi in nd do ow ws s 級級 Windows 組 Windows 域登錄名 Windows 本地登錄名 S SQ QL L S Se er rv ve er r 級級 SQL Server 登錄名 固定服務(wù)器角色 數(shù)數(shù)據(jù)據(jù)庫庫級級 數(shù)據(jù)庫用戶 固定數(shù)據(jù)庫角色 應(yīng)用程序角色 安全對象 服服務(wù)務(wù)器器安安全全對對象象范范圍圍 端點 SQL Server 登錄名 數(shù)據(jù)庫 數(shù)數(shù)據(jù)據(jù)庫庫安安全全對對象象范范圍圍 數(shù)據(jù)庫用戶/應(yīng)用程序角色/角色/

9、程序集/消息類型/路由/服務(wù)/遠程服務(wù)綁定/全文目錄/證書/非對稱密鑰/對稱密鑰/約定/架構(gòu) 架架構(gòu)構(gòu)安安全全對對象象范范圍圍 類型/XML 架構(gòu)集合/聚合/約束/函數(shù)/過程/隊列/統(tǒng)計信息/同義詞/表/視圖 請求 主體和安全對象的主體和安全對象的結(jié)構(gòu)示意圖結(jié)構(gòu)示意圖哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院3.3.第三個安全性問題：數(shù)據(jù)庫中的對象由誰所有？如果是由用第三個安全性問題：數(shù)據(jù)庫中的對象由誰所有？如果是由用戶所有，那么當(dāng)用戶被刪除時，其所擁有的對象怎么辦，難戶所有，那么當(dāng)用戶被刪除時，其所擁有的對象怎么辦，難道數(shù)據(jù)庫對象可以成為沒有所有者的道數(shù)據(jù)庫對象可以成為沒有所有者的“孤兒孤

10、兒”嗎？嗎？v 在在Microsoft SQL Server 2008Microsoft SQL Server 2008系統(tǒng)中，這個問題是通過用系統(tǒng)中，這個問題是通過用戶和架構(gòu)分離來解決的。戶和架構(gòu)分離來解決的。 數(shù)據(jù)庫對象 架構(gòu) 用戶 包含在 被擁有 表 視圖 存儲過程 函數(shù) 數(shù)據(jù)庫對象、架構(gòu)和數(shù)據(jù)庫對象、架構(gòu)和用戶之間的關(guān)系示意用戶之間的關(guān)系示意圖圖哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院安全機制的安全機制的5 5個等級：個等級：v客戶機安全機制客戶機安全機制v網(wǎng)絡(luò)傳輸?shù)陌踩珯C制網(wǎng)絡(luò)傳輸?shù)陌踩珯C制v實例級別安全機制實例級別安全機制v數(shù)據(jù)庫級別安全機制數(shù)據(jù)庫級別安全機制v對象級別安全機制

11、對象級別安全機制哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院二二. .創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶 1.1.創(chuàng)建創(chuàng)建WindowsWindows登錄賬戶登錄賬戶哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院三三. .創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院2.2.創(chuàng)建創(chuàng)建SQL ServerSQL Server登錄賬戶登錄賬戶哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院3.3.啟用、禁用和解鎖登錄啟用、禁用和解鎖登錄要啟用、禁用或解鎖一個登錄的操作步驟要啟用、禁用或解鎖一個登錄的操作步驟: :(1)(1)啟動啟動Microsoft SQL Server Managem

12、ent StudioMicrosoft SQL Server Management Studio，在，在“對象資源管對象資源管理器理器”視圖中，連接到適當(dāng)?shù)姆?wù)器，然后向下瀏覽至視圖中，連接到適當(dāng)?shù)姆?wù)器，然后向下瀏覽至“安全性安全性”文文件夾。件夾。(2)(2)展開展開“安全性安全性”文件夾和文件夾和“登錄名登錄名”文件夾以列出當(dāng)前的登錄。右擊文件夾以列出當(dāng)前的登錄。右擊一個登錄，然后從快捷菜單中選擇一個登錄，然后從快捷菜單中選擇“屬性屬性”以查看此登錄的屬性。這以查看此登錄的屬性。這樣會打開樣會打開“登錄屬性登錄屬性”對話框。對話框。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院(3)(3)

13、在在“登錄屬性登錄屬性”對話框左側(cè)列表中選擇對話框左側(cè)列表中選擇“狀態(tài)狀態(tài)”選項，打開選項，打開“狀態(tài)狀態(tài)”頁面頁面哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院(4)(4)然后可以進行以下操作：然后可以進行以下操作：n要啟動登錄，在“登錄”選項區(qū)下選擇“啟用”單選按鈕。n要禁用登錄，在“登錄”選項區(qū)下選擇“禁用”單選按鈕。n要解鎖登錄，清除“登錄已鎖定”復(fù)選框。(5)(5)最后單擊最后單擊“確定確定”按鈕，完成操作。按鈕，完成操作。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院4.4.修改登錄修改登錄具體操作步驟如下：具體操作步驟如下：（1 1）打開）打開“登錄屬性登錄屬性”對話框?qū)υ捒蚬柟?/p>

14、濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院（2 2）單擊）單擊“登錄屬性登錄屬性”對話框左側(cè)的對話框左側(cè)的“用戶映射用戶映射”選項，可以為當(dāng)前用選項，可以為當(dāng)前用戶添加一個連接數(shù)據(jù)庫戶添加一個連接數(shù)據(jù)庫“msdb”msdb”哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院5.5.刪除登錄刪除登錄1)1)在在Microsoft SQL Server Management StudioMicrosoft SQL Server Management Studio中刪除登錄賬戶中刪除登錄賬戶v 啟動啟動Microsoft SQL Server Management StudioMicrosoft SQL Ser

15、ver Management Studio，然后訪問適當(dāng)?shù)姆?wù)器。，然后訪問適當(dāng)?shù)姆?wù)器。v 在服務(wù)器的在服務(wù)器的“安全性安全性”文件夾中展開文件夾中展開“登錄名登錄名”文件夾。文件夾。v 右擊想要刪除的登錄，然后從快捷菜單中選擇右擊想要刪除的登錄，然后從快捷菜單中選擇“刪除刪除”，要開，要開“刪除對象刪除對象”對話框，對話框，2)2)使用使用Transact-SQLTransact-SQL語句刪除登錄賬戶語句刪除登錄賬戶命令格式如下：命令格式如下：DROP LOGIN login_nameDROP LOGIN login_name【例例9.19.1】刪除已經(jīng)創(chuàng)建好的刪除已經(jīng)創(chuàng)建好的“stu2

16、”stu2”賬戶。賬戶。 DROP LOGINstu2DROP LOGINstu2哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院三三. .創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶1.1.通過設(shè)置通過設(shè)置“用戶映射用戶映射”指明數(shù)據(jù)庫用戶指明數(shù)據(jù)庫用戶哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院2.2.創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院四四. .角色角色1.1.固定服務(wù)器角色固定服務(wù)器角色v 固定服務(wù)器角色是服務(wù)器級別的主體，它們的作用范圍是整個服務(wù)器。固定服務(wù)器角色是服務(wù)器級別的主體，它們的作用范圍是整個服務(wù)器。v 固定服務(wù)器角色已經(jīng)具備了執(zhí)行指定操作的權(quán)限，可以把其他

17、登錄名固定服務(wù)器角色已經(jīng)具備了執(zhí)行指定操作的權(quán)限，可以把其他登錄名作為成員添加到固定服務(wù)器角色中，這樣該登錄名可以繼承固定服務(wù)作為成員添加到固定服務(wù)器角色中，這樣該登錄名可以繼承固定服務(wù)器角色的權(quán)限。器角色的權(quán)限。固定服務(wù)器角色的特點固定服務(wù)器角色的特點v 在在Microsoft SQL ServerMicrosoft SQL Server系統(tǒng)中，可以把登錄名添加到固定服務(wù)器角系統(tǒng)中，可以把登錄名添加到固定服務(wù)器角色中，使登錄名作為固定服務(wù)器角色的成員繼承固定服務(wù)器角色的權(quán)色中，使登錄名作為固定服務(wù)器角色的成員繼承固定服務(wù)器角色的權(quán)限。限。v 對于登錄名來說，可以選擇其是否成為某個固定服務(wù)器角

18、色的成員對于登錄名來說，可以選擇其是否成為某個固定服務(wù)器角色的成員哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院v 服務(wù)器角色服務(wù)器角色哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院按照從最低級別的角色（按照從最低級別的角色（bulkadminbulkadmin）到最高級別的角色（）到最高級別的角色（sysadminsysadmin）的順）的順序進行描述：序進行描述：v BulkadminBulkadmin：這個服務(wù)器角色的成員可以運行：這個服務(wù)器角色的成員可以運行BULK INSERTBULK INSERT語句。這條語語句。這條語句允許從文本文件中將數(shù)據(jù)導(dǎo)入到句允許從文本文件中將數(shù)據(jù)導(dǎo)入到SQL

19、 Server 2008SQL Server 2008數(shù)據(jù)庫中，為需要數(shù)據(jù)庫中，為需要執(zhí)行大容量插入到數(shù)據(jù)庫的域賬戶而設(shè)計。執(zhí)行大容量插入到數(shù)據(jù)庫的域賬戶而設(shè)計。v DbcreatorDbcreator：這個服務(wù)器角色的成員可以創(chuàng)建、更改、刪除和還原任何：這個服務(wù)器角色的成員可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫。這不僅是適合助理數(shù)據(jù)庫。這不僅是適合助理DBADBA的角色，也可能是適合開發(fā)人員的角色。的角色，也可能是適合開發(fā)人員的角色。v DiskadminDiskadmin：這個服務(wù)器角色用于管理磁盤文件，比如鏡像數(shù)據(jù)庫和添：這個服務(wù)器角色用于管理磁盤文件，比如鏡像數(shù)據(jù)庫和添加備份設(shè)備。它適合

20、助理加備份設(shè)備。它適合助理DBADBA。v ProcessadminProcessadmin：SQL Server 2008SQL Server 2008能夠多任務(wù)化，也就是說可以通過執(zhí)能夠多任務(wù)化，也就是說可以通過執(zhí)行多個進程做多個事件。例如，行多個進程做多個事件。例如，SQL Server 2008SQL Server 2008可以生成一個進程用可以生成一個進程用于向高速緩存寫數(shù)據(jù)，同時生成另一個進程用于從高速緩存中讀取數(shù)據(jù)。于向高速緩存寫數(shù)據(jù)，同時生成另一個進程用于從高速緩存中讀取數(shù)據(jù)。這個角色的成員可以結(jié)束（在這個角色的成員可以結(jié)束（在SQL Server 2008SQL Server

21、 2008中稱為刪除）進程。中稱為刪除）進程。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院v SecurityadminSecurityadmin：這個服務(wù)器角色的成員將管理登錄名及其屬性。他們：這個服務(wù)器角色的成員將管理登錄名及其屬性。他們可以授權(quán)、拒絕和撤銷服務(wù)器級權(quán)限。也可以授權(quán)、拒絕和撤銷數(shù)據(jù)可以授權(quán)、拒絕和撤銷服務(wù)器級權(quán)限。也可以授權(quán)、拒絕和撤銷數(shù)據(jù)庫級權(quán)限。另外，它們可以重置庫級權(quán)限。另外，它們可以重置SQL Server 2008SQL Server 2008登錄名的密碼。登錄名的密碼。v ServeradminServeradmin：這個服務(wù)器角色的成員可以更改服務(wù)器范圍的配置

22、選項：這個服務(wù)器角色的成員可以更改服務(wù)器范圍的配置選項和關(guān)閉服務(wù)器。例如和關(guān)閉服務(wù)器。例如SQL Server 2008SQL Server 2008可以使用多大內(nèi)存或監(jiān)視通過網(wǎng)可以使用多大內(nèi)存或監(jiān)視通過網(wǎng)絡(luò)發(fā)送多少信息，或者關(guān)閉服務(wù)器，這個角色可以減輕管理員的一些絡(luò)發(fā)送多少信息，或者關(guān)閉服務(wù)器，這個角色可以減輕管理員的一些管理負擔(dān)。管理負擔(dān)。v SetupadminSetupadmin：為需要管理鏈接服務(wù)器和控制啟動的存儲過程的用戶而：為需要管理鏈接服務(wù)器和控制啟動的存儲過程的用戶而設(shè)計。這個角色的成員能添加到設(shè)計。這個角色的成員能添加到setupadminsetupadmin，能增加、刪除

23、和配置鏈，能增加、刪除和配置鏈接服務(wù)器，并能控制啟動過程。接服務(wù)器，并能控制啟動過程。v SysadminSysadmin：這個服務(wù)器角色的成員有權(quán)在：這個服務(wù)器角色的成員有權(quán)在SQL Server 2008SQL Server 2008中執(zhí)行任何中執(zhí)行任何任務(wù)。任務(wù)。v Public:Public:有兩大特點，第一，初始狀態(tài)時沒有權(quán)限；第二，所有的數(shù)據(jù)有兩大特點，第一，初始狀態(tài)時沒有權(quán)限；第二，所有的數(shù)據(jù)庫用戶都是它的成員。庫用戶都是它的成員。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院使用操作平臺管理服務(wù)器角色使用操作平臺管理服務(wù)器角色（1 1）查看服務(wù)器角色的屬性）查看服務(wù)器角色的屬性啟

24、動啟動Microsoft SQL Server Management StudioMicrosoft SQL Server Management Studio，在，在“對象資源管理器對象資源管理器”中依次展開中依次展開“安全性安全性| |服務(wù)器角色服務(wù)器角色”節(jié)點節(jié)點 哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院選擇其中的一個服務(wù)器，在其上單擊右鍵，在彈出的快捷菜單中選擇選擇其中的一個服務(wù)器，在其上單擊右鍵，在彈出的快捷菜單中選擇“屬性屬性”選項。例如選擇選項。例如選擇sysadminsysadmin這個服務(wù)器并右擊，在快捷菜單中這個服務(wù)器并右擊，在快捷菜單中單擊單擊“屬性屬性”選項，打開如圖

25、所示選項，打開如圖所示“服務(wù)器角色屬性服務(wù)器角色屬性”對話框，在該對話框，在該對話框中就可以查看對話框中就可以查看sysadminsysadmin這個服務(wù)器角色的屬性了。這個服務(wù)器角色的屬性了。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院（2 2）添加服務(wù)器角色的角色成員）添加服務(wù)器角色的角色成員為服務(wù)器角色添加為服務(wù)器角色添加“角色成員角色成員”，可以在服務(wù)器角色的，可以在服務(wù)器角色的“服務(wù)器角色服務(wù)器角色屬性屬性”對話框中單擊對話框中單擊“添加添加”按鈕。按鈕。單擊單擊“瀏覽瀏覽”按鈕，彈出按鈕，彈出“查找對象查找對象”對話框，單擊要添加的登錄名對話框，單擊要添加的登錄名左邊的復(fù)選框，單擊

26、左邊的復(fù)選框，單擊“確定確定”按鈕即可將選中的角色成員添加進來。按鈕即可將選中的角色成員添加進來。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院（3 3）刪除服務(wù)器角色的角色成員）刪除服務(wù)器角色的角色成員 要刪除一個已經(jīng)存在的角色成員，只需要選中該角色成員并在其上單要刪除一個已經(jīng)存在的角色成員，只需要選中該角色成員并在其上單擊鼠標右鍵，然后在彈出的快捷菜單中選擇擊鼠標右鍵，然后在彈出的快捷菜單中選擇“刪除刪除”選項，即可刪除選項，即可刪除服務(wù)器角色。服務(wù)器角色。 哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院2.2.數(shù)據(jù)庫角色數(shù)據(jù)庫角色三種類型的數(shù)據(jù)庫角色三種類型的數(shù)據(jù)庫角色: :v 固定數(shù)據(jù)庫角

27、色：微軟提供的作為系統(tǒng)一部分的角色；固定數(shù)據(jù)庫角色：微軟提供的作為系統(tǒng)一部分的角色；v 用戶定義的標準數(shù)據(jù)庫角色：你自己定義的角色，將用戶定義的標準數(shù)據(jù)庫角色：你自己定義的角色，將WindowsWindows用戶以一組自定義的權(quán)限分組；用戶以一組自定義的權(quán)限分組；v 應(yīng)用程序角色：用來授予應(yīng)用程序?qū)ｉT的權(quán)限，而非授予應(yīng)用程序角色：用來授予應(yīng)用程序?qū)ｉT的權(quán)限，而非授予用戶組或者單獨用戶。用戶組或者單獨用戶。 哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院1 1）固定數(shù)據(jù)庫角色）固定數(shù)據(jù)庫角色微軟提供了微軟提供了9 9個內(nèi)置的角色，以便于在數(shù)據(jù)庫級別授予用戶特殊的權(quán)限集合個內(nèi)置的角色，以便于在數(shù)據(jù)庫

28、級別授予用戶特殊的權(quán)限集合v db_owner:db_owner:該角色的用戶可以在數(shù)據(jù)庫中執(zhí)行任何操作。該角色的用戶可以在數(shù)據(jù)庫中執(zhí)行任何操作。v db_accessadmin:db_accessadmin:該角色的成員可以從數(shù)據(jù)庫中增加或者刪除用戶。該角色的成員可以從數(shù)據(jù)庫中增加或者刪除用戶。v db_backupopperator:db_backupopperator:該角色的成員允許備份數(shù)據(jù)庫。該角色的成員允許備份數(shù)據(jù)庫。v db_datareader:db_datareader:該角色的成員允許從任何表讀取任何數(shù)據(jù)。該角色的成員允許從任何表讀取任何數(shù)據(jù)。v db_datawriter

29、:db_datawriter:該角色的成員允許往任何表寫入數(shù)據(jù)。該角色的成員允許往任何表寫入數(shù)據(jù)。v db_ddladmindb_ddladmin：該角色的成員允許在數(shù)據(jù)庫中增加、修改或者刪除任何對：該角色的成員允許在數(shù)據(jù)庫中增加、修改或者刪除任何對象（即可以執(zhí)行任何象（即可以執(zhí)行任何DDLDDL語句）。語句）。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院v db_denydatareader:db_denydatareader:該角色的成員被拒絕查看數(shù)據(jù)庫中的任何數(shù)據(jù)，該角色的成員被拒絕查看數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^存儲過程來查看。但是他們?nèi)匀豢梢酝ㄟ^存儲過程來查看。v db_

30、denydatawriter: db_denydatawriter: 像像db_denydatareaderdb_denydatareader角色，該角色的成員被拒角色，該角色的成員被拒絕修改數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^存儲過程來修改。絕修改數(shù)據(jù)庫中的任何數(shù)據(jù)，但是他們?nèi)匀豢梢酝ㄟ^存儲過程來修改。v db_securityadmin:db_securityadmin:該角色的成員可以更改數(shù)據(jù)庫中的權(quán)限和角色。該角色的成員可以更改數(shù)據(jù)庫中的權(quán)限和角色。v publicpublic：在：在SQL Server 2008SQL Server 2008中每個數(shù)據(jù)庫用戶都屬于中每個數(shù)據(jù)庫用戶

31、都屬于publicpublic數(shù)據(jù)庫數(shù)據(jù)庫角色。當(dāng)尚未對某個用戶授予或者拒絕對安全對象的特定權(quán)限時，這角色。當(dāng)尚未對某個用戶授予或者拒絕對安全對象的特定權(quán)限時，這該用戶將據(jù)稱授予該安全對象的該用戶將據(jù)稱授予該安全對象的publicpublic角色的權(quán)限，這個數(shù)據(jù)庫角色角色的權(quán)限，這個數(shù)據(jù)庫角色不能被刪除不能被刪除哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院2 2）用戶自定義數(shù)據(jù)庫角色）用戶自定義數(shù)據(jù)庫角色哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院3 3）應(yīng)用程序角色）應(yīng)用程序角色 應(yīng)用程序角色允許用戶為特定的應(yīng)用程序創(chuàng)建密碼保護的應(yīng)用程序角色允許用戶為特定的應(yīng)用程序創(chuàng)建密碼保護的角色。角色。

32、哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院1.1.常用的權(quán)限常用的權(quán)限安全對象安全對象常用權(quán)限常用權(quán)限數(shù)據(jù)庫數(shù)據(jù)庫CREATE DATABASECREATE DATABASE、CREATE DEFAULTCREATE DEFAULT、CREATE FUNCTIONCREATE FUNCTION、CREATE PROCEDURECREATE PROCEDURE、CREATE VIEWCREATE VIEW、CREATE TABLECREATE TABLE、CREATE RULECREATE RULE、BACKUP DATABASEBACKUP DATABASE、BACKUP LOGBACKUP

33、 LOG表表SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES表值函數(shù)表值函數(shù)SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES視圖視圖SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES存儲過程存儲過程EXECUTEEXECUTE、SYNONYMSYNONYM標量函數(shù)標量函數(shù)EXECUTEEXECUTE、REFERE

34、NCESREFERENCES五.權(quán)限權(quán)限哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院9.6.4 9.6.4 操作權(quán)限操作權(quán)限權(quán)限分為權(quán)限分為3 3種狀態(tài)：授予、拒絕、撤銷，可以使用如下的語句來修改權(quán)限種狀態(tài)：授予、拒絕、撤銷，可以使用如下的語句來修改權(quán)限的狀態(tài)。的狀態(tài)。v 授予權(quán)限（授予權(quán)限（GRANTGRANT）：授予權(quán)限以執(zhí)行相關(guān)的操作。通過角色，所有）：授予權(quán)限以執(zhí)行相關(guān)的操作。通過角色，所有該角色的成員繼承此權(quán)限。該角色的成員繼承此權(quán)限。v 撤銷權(quán)限（撤銷權(quán)限（REVOKEREVOKE）：撤銷授予的權(quán)限，但不會顯示阻止用戶或角色）：撤銷授予的權(quán)限，但不會顯示阻止用戶或角色執(zhí)行操作。用戶

35、或角色仍然能繼承其他角色的執(zhí)行操作。用戶或角色仍然能繼承其他角色的GRANTGRANT權(quán)限。權(quán)限。v 拒絕權(quán)限（拒絕權(quán)限（DENYDENY）：顯式拒絕執(zhí)行操作的權(quán)限，并阻止用戶或角色繼）：顯式拒絕執(zhí)行操作的權(quán)限，并阻止用戶或角色繼承權(quán)限，該語句優(yōu)先于其他授予的權(quán)限。承權(quán)限，該語句優(yōu)先于其他授予的權(quán)限。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院1.1.授予權(quán)限授予權(quán)限 本語法格式本語法格式：GRANTGRANTALL|statement,.n ALL|statement,.n TO security_account,.n TO security_account,.n 哈爾哈爾濱師濱師范大范大學(xué)

36、學(xué)恒星恒星學(xué)學(xué)院院相關(guān)參數(shù)據(jù)說明如下：相關(guān)參數(shù)據(jù)說明如下：v ALLALL：表示希望給該類型的對象授予所有可用的權(quán)限。不推薦使用此選項，：表示希望給該類型的對象授予所有可用的權(quán)限。不推薦使用此選項，保留些選項僅用于向后兼容。授予保留些選項僅用于向后兼容。授予ALLALL參數(shù)相當(dāng)于授予以下權(quán)限：參數(shù)相當(dāng)于授予以下權(quán)限：v 如果安全對象為數(shù)據(jù)庫，則如果安全對象為數(shù)據(jù)庫，則ALLALL表示表示CREATE DATABASECREATE DATABASE、CREATE DEFAULTCREATE DEFAULT、CREATE FUNCTIONCREATE FUNCTION、CREATE PROCEDU

37、RECREATE PROCEDURE、CREATE VIEWCREATE VIEW、CREATE TABLECREATE TABLE、CREATE RULECREATE RULE等權(quán)限。等權(quán)限。v 如果安全對象為標量函數(shù)，則如果安全對象為標量函數(shù)，則ALLALL表示表示EXECUTEEXECUTE和和REFERENCESREFERENCES。v 如果安全對象為表值函數(shù)，則如果安全對象為表值函數(shù)，則ALLALL表示表示SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES。v 如果安全對象為存儲過程，則如果

38、安全對象為存儲過程，則ALLALL表示表示EXECUTEEXECUTE、SYNONYMSYNONYM。哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院v 如果安全對象為表，則如果安全對象為表，則ALLALL表示表示SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES。v 如果安全對象為視圖，則如果安全對象為視圖，則ALLALL表示表示SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES。v Statement:Sta

39、tement:表示可以授予權(quán)限的命令，例如，表示可以授予權(quán)限的命令，例如，CREATE DATABASECREATE DATABASE。v security_account:security_account:表示定義被授予權(quán)限的用戶單位。表示定義被授予權(quán)限的用戶單位。security_accountsecurity_account可以是可以是SQL ServerSQL Server的數(shù)據(jù)庫用戶，可以是的數(shù)據(jù)庫用戶，可以是SQL SQL ServerServer的角色，也可以是的角色，也可以是WindowsWindows的用戶或工作組的用戶或工作組哈爾哈爾濱師濱師范大范大學(xué)學(xué)恒星恒星學(xué)學(xué)院院【例

40、例9.29.2】使用使用GRANTGRANT命令授予角色命令授予角色“students_mag”students_mag”對對”students”students”數(shù)據(jù)庫數(shù)據(jù)庫中中“stu”stu”表的表的DELETEDELETE、INSERTINSERT、UPDATEUPDATE權(quán)限。權(quán)限。 USE students USE students Go Go GRANT DELETE, INSERT, UPDATE GRANT DELETE, INSERT, UPDATE ON stu ON stu TO students_mag TO students_mag GO GO哈爾哈爾濱師濱師范大范

41、大學(xué)學(xué)恒星恒星學(xué)學(xué)院院2.2.撤銷權(quán)限撤銷權(quán)限語法格式語法格式：REVOKEALL|statement,.n REVOKEALL|statement,.n FROM security_account,.nFROM security_account,.n【例例9.39.3】使用使用REVOKEREVOKE語句撤銷語句撤銷 “ “students_mag”students_mag”角色對角色對“stu”stu”表所擁有表所擁有的的DELETEDELETE、INSERTINSERT、UPDATEUPDATE權(quán)限。權(quán)限。USE studentsUSE studentsGo Go REVOKE DELETE, INSERT, UPDATEREVOKE DELETE, INSERT, UPDATEON stuON stuFRO