第15講 數(shù)據(jù)庫(kù)的安全管理

1、數(shù)據(jù)庫(kù)的安全管理數(shù)據(jù)庫(kù)的安全管理 2022-7-32主要內(nèi)容主要內(nèi)容SQL Server 的安全機(jī)制的安全機(jī)制登錄賬號(hào)管理登錄賬號(hào)管理數(shù)據(jù)庫(kù)用戶(hù)的管理數(shù)據(jù)庫(kù)用戶(hù)的管理角色管理角色管理權(quán)限管理權(quán)限管理2022-7-3311.1 SQL Server 的安全機(jī)制的安全機(jī)制11.1.1 身份驗(yàn)證身份驗(yàn)證11.1.2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置2022-7-3411.1.1 身份驗(yàn)證身份驗(yàn)證SQL Server的安全性管理是建立在的安全性管理是建立在身份驗(yàn)證身份驗(yàn)證和訪(fǎng)問(wèn)和訪(fǎng)問(wèn)許可兩者機(jī)制上的。許可兩者機(jī)制上的。身份驗(yàn)證是確定登錄身份驗(yàn)證是確定登錄SQL Server的用戶(hù)的登錄賬號(hào)的用戶(hù)的

2、登錄賬號(hào)和密碼是否正確，以此來(lái)驗(yàn)證其是否具有連接和密碼是否正確，以此來(lái)驗(yàn)證其是否具有連接SQL Server的權(quán)限。的權(quán)限。通過(guò)認(rèn)證的用戶(hù)必須獲取訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，才能通過(guò)認(rèn)證的用戶(hù)必須獲取訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，才能對(duì)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限許可下的操作。對(duì)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限許可下的操作。2022-7-35SQL Server身份驗(yàn)證模式身份驗(yàn)證模式 (1)Windows身份驗(yàn)證模式身份驗(yàn)證模式該模式使用該模式使用Windows操作系統(tǒng)的安全機(jī)制驗(yàn)證用戶(hù)操作系統(tǒng)的安全機(jī)制驗(yàn)證用戶(hù)身份，只要用戶(hù)能夠通過(guò)身份，只要用戶(hù)能夠通過(guò)Windows用戶(hù)賬號(hào)驗(yàn)證，即可用戶(hù)賬號(hào)驗(yàn)證，即可連接到連接到SQL Server而不再進(jìn)

3、行身份驗(yàn)證。而不再進(jìn)行身份驗(yàn)證。這種模式只適用于能夠提供有效身份驗(yàn)證的這種模式只適用于能夠提供有效身份驗(yàn)證的Windows操作系統(tǒng)。操作系統(tǒng)。 2022-7-36 (2)混合身份驗(yàn)證模式混合身份驗(yàn)證模式在該模式下，在該模式下，Windows身份驗(yàn)證和身份驗(yàn)證和SQL server驗(yàn)證驗(yàn)證兩種模式都可用。對(duì)于可信任連接用戶(hù)兩種模式都可用。對(duì)于可信任連接用戶(hù)(由由Windows驗(yàn)驗(yàn)證證)，系統(tǒng)直接采用，系統(tǒng)直接采用Windows的身份驗(yàn)證機(jī)制，否則的身份驗(yàn)證機(jī)制，否則SQL Server將通過(guò)賬號(hào)的存在性和密碼的匹配性自行進(jìn)將通過(guò)賬號(hào)的存在性和密碼的匹配性自行進(jìn)行驗(yàn)證，即采用行驗(yàn)證，即采用SQL

4、Server身份驗(yàn)證模式。身份驗(yàn)證模式。 2022-7-3711.1.2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置 在該模式下，在該模式下，Windows身份驗(yàn)證和身份驗(yàn)證和SQL server驗(yàn)證驗(yàn)證兩種模式都可用。對(duì)于可信任連接用戶(hù)兩種模式都可用。對(duì)于可信任連接用戶(hù)(由由Windows驗(yàn)驗(yàn)證證)，系統(tǒng)直接采用，系統(tǒng)直接采用Windows的身份驗(yàn)證機(jī)制，否則的身份驗(yàn)證機(jī)制，否則SQL Server將通過(guò)將通過(guò)賬號(hào)的存在性和密碼的匹配性賬號(hào)的存在性和密碼的匹配性自行進(jìn)自行進(jìn)行驗(yàn)證，即采用行驗(yàn)證，即采用SQL Server身份驗(yàn)證模式。身份驗(yàn)證模式。 2022-7-38身份驗(yàn)證內(nèi)容身份驗(yàn)證內(nèi)容n包括

5、確認(rèn)用戶(hù)的賬號(hào)是否有效、能否訪(fǎng)問(wèn)系統(tǒng)、包括確認(rèn)用戶(hù)的賬號(hào)是否有效、能否訪(fǎng)問(wèn)系統(tǒng)、能訪(fǎng)問(wèn)系統(tǒng)的哪些數(shù)據(jù)庫(kù)。能訪(fǎng)問(wèn)系統(tǒng)的哪些數(shù)據(jù)庫(kù)。2022-7-3911.1.2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置 (1)打開(kāi)企業(yè)管理器，打開(kāi)企業(yè)管理器，在樹(shù)型結(jié)構(gòu)窗口中展在樹(shù)型結(jié)構(gòu)窗口中展開(kāi)一個(gè)服務(wù)器組，選開(kāi)一個(gè)服務(wù)器組，選擇要設(shè)置身份驗(yàn)證模擇要設(shè)置身份驗(yàn)證模式的服務(wù)器。式的服務(wù)器。(2)在該服務(wù)器上單在該服務(wù)器上單擊鼠標(biāo)右鍵，在彈出擊鼠標(biāo)右鍵，在彈出的菜單中選擇的菜單中選擇“屬性屬性”項(xiàng)。項(xiàng)。(3)打開(kāi)打開(kāi)“屬性屬性”對(duì)對(duì)話(huà)框，選擇話(huà)框，選擇“安全性安全性”選項(xiàng)卡選項(xiàng)卡2022-7-310(4)在在“身份驗(yàn)證

6、身份驗(yàn)證”處選擇要設(shè)置的驗(yàn)證模式，同時(shí)處選擇要設(shè)置的驗(yàn)證模式，同時(shí)可以在可以在“審核級(jí)別審核級(jí)別”處選擇任意一個(gè)單選按鈕，來(lái)決處選擇任意一個(gè)單選按鈕，來(lái)決定跟蹤記錄用戶(hù)登錄時(shí)的哪種信息，例如登錄成功或定跟蹤記錄用戶(hù)登錄時(shí)的哪種信息，例如登錄成功或失敗的信息。失敗的信息。(5)單擊單擊“確定確定”按鈕完成設(shè)置。按鈕完成設(shè)置。 2022-7-311通過(guò)編輯通過(guò)編輯SQL Server注冊(cè)屬性來(lái)完成身份驗(yàn)證模式的設(shè)置注冊(cè)屬性來(lái)完成身份驗(yàn)證模式的設(shè)置(1)打開(kāi)企業(yè)管打開(kāi)企業(yè)管理器，在樹(shù)型結(jié)構(gòu)理器，在樹(shù)型結(jié)構(gòu)窗口中選擇要設(shè)置窗口中選擇要設(shè)置身份驗(yàn)證模式的服身份驗(yàn)證模式的服務(wù)器。務(wù)器。(2)在該服務(wù)器在該

7、服務(wù)器上單擊鼠標(biāo)右鍵，上單擊鼠標(biāo)右鍵，在彈出菜單中選擇在彈出菜單中選擇“編輯編輯SQL Server注冊(cè)屬性注冊(cè)屬性”項(xiàng)項(xiàng)2022-7-312(3)打開(kāi)打開(kāi)“已注冊(cè)已注冊(cè)SQL Server屬性屬性”對(duì)對(duì)話(huà)框話(huà)框(4)選擇要設(shè)置的身選擇要設(shè)置的身份驗(yàn)證模式，單擊份驗(yàn)證模式，單擊“確定確定”按鈕。按鈕。2022-7-31311.2 登錄賬號(hào)管理登錄賬號(hào)管理11.2.1 創(chuàng)建登錄賬戶(hù)創(chuàng)建登錄賬戶(hù)11.2.2 修改登錄賬戶(hù)修改登錄賬戶(hù)11.2.3 刪除登錄賬戶(hù)刪除登錄賬戶(hù)2022-7-31411.2.1 創(chuàng)建登錄賬戶(hù)創(chuàng)建登錄賬戶(hù)n創(chuàng)建登錄賬戶(hù)的方法有兩種：創(chuàng)建登錄賬戶(hù)的方法有兩種：一種是從一種是從W

8、indows用戶(hù)或組中創(chuàng)建登錄賬戶(hù)用戶(hù)或組中創(chuàng)建登錄賬戶(hù)一種是創(chuàng)建新的一種是創(chuàng)建新的SQL Server登錄賬戶(hù)。登錄賬戶(hù)。2022-7-3151. 通過(guò)通過(guò)Windows身份驗(yàn)證創(chuàng)建登錄身份驗(yàn)證創(chuàng)建登錄 (1)創(chuàng)建創(chuàng)建Windows用戶(hù)用戶(hù)以管理員身以管理員身份登錄到份登錄到Windows 2000，選擇，選擇“開(kāi)始開(kāi)始程程序序管理工管理工具具計(jì)算機(jī)計(jì)算機(jī)管理管理”選項(xiàng)。選項(xiàng)。 2022-7-316展開(kāi)展開(kāi)“本地用戶(hù)和本地用戶(hù)和組組”文件夾，選擇文件夾，選擇“用戶(hù)用戶(hù)”圖標(biāo)，單圖標(biāo)，單擊鼠標(biāo)右鍵，在快擊鼠標(biāo)右鍵，在快捷菜單中選擇捷菜單中選擇“新新用戶(hù)用戶(hù)”項(xiàng)，打開(kāi)項(xiàng)，打開(kāi)“新用戶(hù)新用戶(hù)”對(duì)話(huà)

9、框，對(duì)話(huà)框，輸入用戶(hù)名、密碼，輸入用戶(hù)名、密碼，單擊單擊“創(chuàng)建創(chuàng)建”按鈕，按鈕，然后單擊然后單擊“關(guān)閉關(guān)閉”按鈕完成創(chuàng)建。按鈕完成創(chuàng)建。2022-7-317(2)使用企業(yè)管理器將使用企業(yè)管理器將Windows 2000賬號(hào)加入到賬號(hào)加入到SQL Server中，創(chuàng)建中，創(chuàng)建SQL Server登錄登錄以管理員身份登錄到以管理員身份登錄到SQL Server，進(jìn)入企業(yè)管理，進(jìn)入企業(yè)管理器，選擇要訪(fǎng)問(wèn)的服務(wù)器。器，選擇要訪(fǎng)問(wèn)的服務(wù)器。展開(kāi)展開(kāi)“安全性安全性”文件夾，右鍵單擊文件夾，右鍵單擊“登錄登錄”項(xiàng)，項(xiàng)，在彈出菜單中選擇在彈出菜單中選擇“創(chuàng)建登錄創(chuàng)建登錄”項(xiàng)，打開(kāi)項(xiàng)，打開(kāi)“SQL Server

10、登錄屬性登錄屬性”對(duì)話(huà)框。對(duì)話(huà)框。2022-7-318在在“SQL Server登錄屬性登錄屬性”對(duì)話(huà)對(duì)話(huà)框的框的“常規(guī)常規(guī)”選選項(xiàng)卡中，單擊項(xiàng)卡中，單擊“名稱(chēng)名稱(chēng)”輸入框輸入框旁的旁的“瀏覽瀏覽”按按鈕，在彈出對(duì)話(huà)鈕，在彈出對(duì)話(huà)框的框的“名稱(chēng)名稱(chēng)”列列表中選擇名為表中選擇名為“xh001”的用戶(hù)，的用戶(hù)，單擊單擊“添加添加”按按鈕。鈕。2022-7-319單擊單擊“確定確定”按鈕，返回按鈕，返回“SQL Server登登錄屬性錄屬性”對(duì)話(huà)框，對(duì)話(huà)框，Windows用戶(hù)用戶(hù)xh001就可以連就可以連接接SQL Server了。了。 2022-7-320對(duì)于已經(jīng)創(chuàng)建的對(duì)于已經(jīng)創(chuàng)建的Windows

11、用戶(hù)或組，可以使用系統(tǒng)用戶(hù)或組，可以使用系統(tǒng)存儲(chǔ)過(guò)程存儲(chǔ)過(guò)程sp_grantlogin授予其登錄授予其登錄SQL Server的權(quán)限。的權(quán)限。其語(yǔ)法格式如下：其語(yǔ)法格式如下： sp_grantlogin loginame= login 其中，其中，loginame= login 為要添加的為要添加的Windows用戶(hù)或組的名稱(chēng)，名稱(chēng)格式為用戶(hù)或組的名稱(chēng)，名稱(chēng)格式為“域名域名計(jì)計(jì)算機(jī)名算機(jī)名用戶(hù)名用戶(hù)名”。2022-7-321例例11-1 使用系統(tǒng)存儲(chǔ)過(guò)程使用系統(tǒng)存儲(chǔ)過(guò)程sp_grantlogin將將Windows用用戶(hù)戶(hù)huang加入加入SQL Server中。中。 EXEC sp_grant

12、login jsjx-yphuang或或 EXEC sp_grantlogin jsjx-yphuang該操作授予了該操作授予了Windows用戶(hù)用戶(hù)jsjx-yphuang連接到連接到SQL Server的權(quán)限。的權(quán)限。例例11-2 授予本地組授予本地組Users中的所有用戶(hù)連接中的所有用戶(hù)連接SQL Server的權(quán)限。的權(quán)限。 EXEC sp_grantlogin BUILTINUsers該操作由于授予的是該操作由于授予的是本地組中的用戶(hù)，所以使用本地組中的用戶(hù)，所以使用BUILTIN關(guān)鍵字代替域名和計(jì)算機(jī)名。關(guān)鍵字代替域名和計(jì)算機(jī)名。2022-7-322如果使用混合驗(yàn)證模式或不通過(guò)如果

13、使用混合驗(yàn)證模式或不通過(guò)Windows用戶(hù)或用用戶(hù)或用戶(hù)組連接戶(hù)組連接SQL Server，則需要在，則需要在SQL Server下創(chuàng)建用戶(hù)下創(chuàng)建用戶(hù)登錄權(quán)限，使用戶(hù)得以連接使用登錄權(quán)限，使用戶(hù)得以連接使用SQL Server身份驗(yàn)證的身份驗(yàn)證的SQL Server實(shí)例。實(shí)例。2. 創(chuàng)建創(chuàng)建SQL Server登錄登錄2022-7-323(1)使用企業(yè)管理器創(chuàng)建登錄賬戶(hù)使用企業(yè)管理器創(chuàng)建登錄賬戶(hù) 打開(kāi)企業(yè)管理器，在樹(shù)型結(jié)構(gòu)窗口中展開(kāi)要設(shè)置打開(kāi)企業(yè)管理器，在樹(shù)型結(jié)構(gòu)窗口中展開(kāi)要設(shè)置身份驗(yàn)證模式的服務(wù)器。展開(kāi)身份驗(yàn)證模式的服務(wù)器。展開(kāi)“安全性安全性”選項(xiàng)，用鼠標(biāo)選項(xiàng)，用鼠標(biāo)右鍵單擊其中的右鍵單擊其

14、中的“登錄登錄”項(xiàng)，在彈出的快捷菜單中單擊項(xiàng)，在彈出的快捷菜單中單擊“新建登錄新建登錄”命令，打開(kāi)命令，打開(kāi)“新建登錄新建登錄”對(duì)話(huà)框，參見(jiàn)圖對(duì)話(huà)框，參見(jiàn)圖11-7。在在“新建登錄新建登錄”對(duì)話(huà)框的對(duì)話(huà)框的“常規(guī)常規(guī)”選項(xiàng)卡的選項(xiàng)卡的“名名稱(chēng)稱(chēng)”框中輸入框中輸入SQL Server登錄的名稱(chēng)，例如登錄的名稱(chēng)，例如ZG001。選中選中“SQL Server身份驗(yàn)證身份驗(yàn)證”，在，在“密碼密碼”框中框中輸入密碼，例如輸入密碼，例如001。2022-7-324在在“數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)”下拉框中選擇登錄到下拉框中選擇登錄到SQL Server實(shí)實(shí)例后要連接的默認(rèn)數(shù)據(jù)庫(kù)，例如例后要連接的默認(rèn)數(shù)據(jù)庫(kù)，例如mas

15、ter數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)。在在“語(yǔ)言語(yǔ)言”對(duì)話(huà)框中，選擇顯示給用戶(hù)的信息所對(duì)話(huà)框中，選擇顯示給用戶(hù)的信息所用的默認(rèn)語(yǔ)言。用的默認(rèn)語(yǔ)言。單擊單擊“確定確定”按鈕，按鈕，“確認(rèn)密碼確認(rèn)密碼”對(duì)話(huà)框輸入確對(duì)話(huà)框輸入確認(rèn)新密碼，如認(rèn)新密碼，如001，單擊，單擊“確定確定”按鈕完成操作。按鈕完成操作。2022-7-325(2)使用系統(tǒng)存儲(chǔ)過(guò)程使用系統(tǒng)存儲(chǔ)過(guò)程sp_addlongin創(chuàng)建登錄創(chuàng)建登錄sp_addlogin語(yǔ)法格式如下：語(yǔ)法格式如下：sp_addlogin loginame= login, passwd= password , defdb= database, deflanguage= lang

16、uage , sid=sid, encryptopt= encryption_option 2022-7-326例例11-3 使用系統(tǒng)存儲(chǔ)過(guò)程使用系統(tǒng)存儲(chǔ)過(guò)程sp_addlongin創(chuàng)建登錄，創(chuàng)建登錄，新登錄名為新登錄名為“ZG002”，密碼為，密碼為“002”默認(rèn)數(shù)據(jù)庫(kù)為默認(rèn)數(shù)據(jù)庫(kù)為“Sales”。EXEC sp_addlogin ZG002,002,Sales例例11-3 使用系統(tǒng)存儲(chǔ)過(guò)程使用系統(tǒng)存儲(chǔ)過(guò)程sp_addlongin創(chuàng)建登錄，創(chuàng)建登錄，新登錄名為新登錄名為“ZG002”，密碼為，密碼為“002”默認(rèn)數(shù)據(jù)庫(kù)為默認(rèn)數(shù)據(jù)庫(kù)為“Sales”。EXEC sp_addlogin ZG002

17、,002,Sales2022-7-327例例11-4 創(chuàng)建沒(méi)有密碼和默認(rèn)數(shù)據(jù)庫(kù)的登錄，登錄名創(chuàng)建沒(méi)有密碼和默認(rèn)數(shù)據(jù)庫(kù)的登錄，登錄名為為“ZG003”。EXEC sp_addlogin ZG003該操作為用戶(hù)該操作為用戶(hù)ZG003創(chuàng)建一個(gè)創(chuàng)建一個(gè)SQL Server登錄名，登錄名，沒(méi)有指定密碼和默認(rèn)數(shù)據(jù)庫(kù)，使用沒(méi)有指定密碼和默認(rèn)數(shù)據(jù)庫(kù)，使用默認(rèn)密碼默認(rèn)密碼NULL和默和默認(rèn)數(shù)據(jù)庫(kù)認(rèn)數(shù)據(jù)庫(kù)master。2022-7-328創(chuàng)建了登錄賬戶(hù)后，如果需要確定用戶(hù)是否有連接創(chuàng)建了登錄賬戶(hù)后，如果需要確定用戶(hù)是否有連接SQL Server實(shí)例的權(quán)限，以及可以訪(fǎng)問(wèn)哪些數(shù)據(jù)庫(kù)的信實(shí)例的權(quán)限，以及可以訪(fǎng)問(wèn)哪些數(shù)據(jù)

18、庫(kù)的信息時(shí)，可以使用系統(tǒng)存儲(chǔ)過(guò)程息時(shí)，可以使用系統(tǒng)存儲(chǔ)過(guò)程sp_helplogins查看。查看。sp_helplogins的語(yǔ)法格式如下：的語(yǔ)法格式如下：sp_helplogins LoginNamePattern= login例例11-5 查看賬戶(hù)信息。查看賬戶(hù)信息。EXEC sp_helplogins ZG002該操作查詢(xún)有關(guān)登錄該操作查詢(xún)有關(guān)登錄ZG002的信息的信息3. 查看用戶(hù)查看用戶(hù)2022-7-329sp_password的語(yǔ)法格式為：的語(yǔ)法格式為：sp_password old=old_password,new=new_password , loginame=loginsp_d

19、efaultdb的語(yǔ)法格式為：的語(yǔ)法格式為：sp_defaultdb logname= login, defdb=databasessp_defaultlanguage的語(yǔ)法格式為：的語(yǔ)法格式為：sp_defaultlanguage loginame=login , language=language11.2.2 修改登錄賬戶(hù)修改登錄賬戶(hù)聯(lián)機(jī)叢書(shū)聯(lián)機(jī)叢書(shū)2022-7-33011.2.3 刪除登錄賬戶(hù)刪除登錄賬戶(hù) 1使用企業(yè)管理器刪除登錄使用企業(yè)管理器刪除登錄其操作步驟如下：其操作步驟如下：(1)打開(kāi)企業(yè)管理器，在樹(shù)型結(jié)構(gòu)窗口中展開(kāi)一個(gè)打開(kāi)企業(yè)管理器，在樹(shù)型結(jié)構(gòu)窗口中展開(kāi)一個(gè)服務(wù)器組，選擇服務(wù)器

20、并展開(kāi)。服務(wù)器組，選擇服務(wù)器并展開(kāi)。(2)展開(kāi)展開(kāi)“安全性安全性”文件夾，單擊文件夾，單擊“登錄登錄”項(xiàng)。項(xiàng)。(3)在在“登錄登錄”詳細(xì)列表中鼠標(biāo)右鍵單擊要?jiǎng)h除的詳細(xì)列表中鼠標(biāo)右鍵單擊要?jiǎng)h除的用戶(hù)，這里選擇用戶(hù)，這里選擇“jsjx-ypxh001”，確定刪除。，確定刪除。2. 使用使用Transact-SQL語(yǔ)句刪除登錄賬號(hào)語(yǔ)句刪除登錄賬號(hào)刪除登錄賬號(hào)有兩種形式：刪除刪除登錄賬號(hào)有兩種形式：刪除Windows用戶(hù)或組用戶(hù)或組登錄和刪除登錄和刪除SQL Server登錄。登錄。2022-7-331(1)刪除刪除Windows用戶(hù)或組登錄用戶(hù)或組登錄sp_revokelogin的語(yǔ)法格式為：的語(yǔ)法

21、格式為：sp_revokelogin liginame=login其中，其中，liginame=login為為Windows用戶(hù)或組的名用戶(hù)或組的名稱(chēng)。稱(chēng)。例例11-7 使用系統(tǒng)存儲(chǔ)過(guò)程使用系統(tǒng)存儲(chǔ)過(guò)程sp_revokelogin刪除例刪除例11-1創(chuàng)建的創(chuàng)建的Windows用戶(hù)用戶(hù)jsjx-yp huang的登錄賬號(hào)的登錄賬號(hào) EXEC sp_revokelogin jsjx-yphuang或或 EXEC sp_revokelogin jsjx-yphuang2022-7-332(2)刪除刪除SQL Server登錄登錄使用使用sp_droplogin可以刪除可以刪除SQL Server登錄

22、。其語(yǔ)法登錄。其語(yǔ)法格式如下：格式如下：sp_droplogin loginame= login例例11-8 使用系統(tǒng)存儲(chǔ)過(guò)程使用系統(tǒng)存儲(chǔ)過(guò)程sp_droplogin刪除刪除SQL Server登錄賬號(hào)登錄賬號(hào)ZG001。EXEC sp_droplogin ZG0012022-7-33311.3 數(shù)據(jù)庫(kù)用戶(hù)的管理數(shù)據(jù)庫(kù)用戶(hù)的管理 1. 使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)其操作步驟如下：其操作步驟如下：(1)打開(kāi)企業(yè)管理器，選定要訪(fǎng)問(wèn)的服務(wù)器。打開(kāi)企業(yè)管理器，選定要訪(fǎng)問(wèn)的服務(wù)器。(2)展開(kāi)展開(kāi)“數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)”文件夾，選定需要增加用戶(hù)的文件夾，選定需要增加用戶(hù)的數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)

23、。(3)鼠標(biāo)右鍵單擊該數(shù)據(jù)庫(kù)，從彈出的快捷菜單中鼠標(biāo)右鍵單擊該數(shù)據(jù)庫(kù)，從彈出的快捷菜單中選擇選擇“新建新建數(shù)據(jù)庫(kù)用戶(hù)數(shù)據(jù)庫(kù)用戶(hù)”選項(xiàng)，打開(kāi)選項(xiàng)，打開(kāi)“數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)用戶(hù)屬性用戶(hù)屬性”對(duì)話(huà)框。對(duì)話(huà)框。(4)打開(kāi)打開(kāi)“數(shù)據(jù)庫(kù)用戶(hù)屬性數(shù)據(jù)庫(kù)用戶(hù)屬性”對(duì)話(huà)框?qū)υ?huà)框2022-7-334(4)在在“數(shù)據(jù)庫(kù)用戶(hù)屬數(shù)據(jù)庫(kù)用戶(hù)屬性性”對(duì)話(huà)框的對(duì)話(huà)框的“登登錄名錄名”下拉框中選下拉框中選擇允許訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)擇允許訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的登錄賬號(hào)，如的登錄賬號(hào)，如ZG001，并指定使，并指定使用的用戶(hù)名和該用用的用戶(hù)名和該用戶(hù)所屬的數(shù)據(jù)庫(kù)角戶(hù)所屬的數(shù)據(jù)庫(kù)角色等信息，用戶(hù)名色等信息，用戶(hù)名與登錄名可以不同與登錄名可以不同(5)單擊單擊

24、“確定確定”完成完成該數(shù)據(jù)庫(kù)用戶(hù)的創(chuàng)該數(shù)據(jù)庫(kù)用戶(hù)的創(chuàng)建。建。2022-7-3352. 使用系統(tǒng)存儲(chǔ)過(guò)程創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)使用系統(tǒng)存儲(chǔ)過(guò)程創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)SQL Server使用系統(tǒng)存儲(chǔ)過(guò)程使用系統(tǒng)存儲(chǔ)過(guò)程sp_grantdbaccess為數(shù)為數(shù)據(jù)庫(kù)添加用戶(hù)，其語(yǔ)法格式如下：據(jù)庫(kù)添加用戶(hù)，其語(yǔ)法格式如下：sp_grantdbaccess loginame= login , name_in_db= name_in_db例例11-9在當(dāng)前數(shù)據(jù)庫(kù)中為在當(dāng)前數(shù)據(jù)庫(kù)中為 Windows NT 用戶(hù)用戶(hù) CorporateGeorgeW 添加帳戶(hù)，并取名為添加帳戶(hù)，并取名為 GeorgieEXEC sp_gran

25、tdbaccess CorporateGeorgeW, Georgie 2022-7-3363. 刪除數(shù)據(jù)庫(kù)中的用戶(hù)或組刪除數(shù)據(jù)庫(kù)中的用戶(hù)或組(1)使用企業(yè)管理器刪除數(shù)據(jù)庫(kù)用戶(hù)使用企業(yè)管理器刪除數(shù)據(jù)庫(kù)用戶(hù)在在SQL Server企業(yè)管理器中，選中企業(yè)管理器中，選中“用戶(hù)用戶(hù)”圖標(biāo)，圖標(biāo)，在右面窗格中右鍵單擊想要?jiǎng)h除的數(shù)據(jù)庫(kù)用戶(hù)，在右面窗格中右鍵單擊想要?jiǎng)h除的數(shù)據(jù)庫(kù)用戶(hù)，在彈出菜單中選擇在彈出菜單中選擇“刪除刪除”項(xiàng)，則從當(dāng)前數(shù)據(jù)庫(kù)項(xiàng)，則從當(dāng)前數(shù)據(jù)庫(kù)中刪除該數(shù)據(jù)庫(kù)用戶(hù)。中刪除該數(shù)據(jù)庫(kù)用戶(hù)。(2)使用系統(tǒng)存儲(chǔ)過(guò)程刪除數(shù)據(jù)庫(kù)用戶(hù)使用系統(tǒng)存儲(chǔ)過(guò)程刪除數(shù)據(jù)庫(kù)用戶(hù)sp_revokedbaccess的語(yǔ)法格

26、式為：的語(yǔ)法格式為：sp_revokedbaccess name_in_db=name例例11-10 使用系統(tǒng)存儲(chǔ)過(guò)程在當(dāng)前數(shù)據(jù)庫(kù)中刪除指使用系統(tǒng)存儲(chǔ)過(guò)程在當(dāng)前數(shù)據(jù)庫(kù)中刪除指定的用戶(hù)。定的用戶(hù)。EXEC sp_revokedbaccess ZG0022022-7-33711.4 角色管理角色管理 11.4.1 SQL Server角色的類(lèi)型角色的類(lèi)型11.4.2 固定服務(wù)器角色管理固定服務(wù)器角色管理11.4.3 數(shù)據(jù)庫(kù)角色管理數(shù)據(jù)庫(kù)角色管理11.4.4 用戶(hù)定義數(shù)據(jù)庫(kù)角色用戶(hù)定義數(shù)據(jù)庫(kù)角色2022-7-33811.4.1 SQL Server角色的類(lèi)型角色的類(lèi)型SQL Server中有兩種角色

27、類(lèi)型：中有兩種角色類(lèi)型：固定角色和用固定角色和用戶(hù)定義數(shù)據(jù)庫(kù)角色。戶(hù)定義數(shù)據(jù)庫(kù)角色。1. 固定角色固定角色固定角色分為固定角色分為固定服務(wù)器角色：獨(dú)立于各個(gè)數(shù)據(jù)庫(kù)，具有固定固定服務(wù)器角色：獨(dú)立于各個(gè)數(shù)據(jù)庫(kù)，具有固定的權(quán)限。的權(quán)限。固定數(shù)據(jù)庫(kù)角色：是指角色所具有的管理、訪(fǎng)問(wèn)固定數(shù)據(jù)庫(kù)角色：是指角色所具有的管理、訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)權(quán)限已被數(shù)據(jù)庫(kù)權(quán)限已被SQL Server定義，并且定義，并且SQL Server管理者不能對(duì)其所具有的權(quán)限進(jìn)行任何修管理者不能對(duì)其所具有的權(quán)限進(jìn)行任何修改。改。 2022-7-339角色名稱(chēng)角色名稱(chēng)權(quán)權(quán) 限限Sysadmin系統(tǒng)管理員，可以在系統(tǒng)管理員，可以在SQL Serve

28、r服務(wù)器中執(zhí)行任何操作服務(wù)器中執(zhí)行任何操作Serveradmin可以設(shè)置服務(wù)器范圍的配置選項(xiàng)，關(guān)閉服務(wù)器。可以設(shè)置服務(wù)器范圍的配置選項(xiàng)，關(guān)閉服務(wù)器。Setupadmin設(shè)置管理員，添加和刪除鏈接服務(wù)器，并執(zhí)行某些系統(tǒng)存設(shè)置管理員，添加和刪除鏈接服務(wù)器，并執(zhí)行某些系統(tǒng)存儲(chǔ)過(guò)程。儲(chǔ)過(guò)程。Securityadmin可以管理登錄和可以管理登錄和create database權(quán)限，還可以讀取錯(cuò)誤日志權(quán)限，還可以讀取錯(cuò)誤日志和更改密碼。和更改密碼。processadmin 進(jìn)程管理員，管理在進(jìn)程管理員，管理在SQL Server服務(wù)器中運(yùn)行的進(jìn)程。服務(wù)器中運(yùn)行的進(jìn)程。Dbcreator數(shù)據(jù)庫(kù)創(chuàng)建者，可創(chuàng)建

29、、更改和刪除數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)創(chuàng)建者，可創(chuàng)建、更改和刪除數(shù)據(jù)庫(kù)。Diskadmin管理系統(tǒng)磁盤(pán)文件管理系統(tǒng)磁盤(pán)文件bulkadmin可執(zhí)行可執(zhí)行BULK INSERT語(yǔ)句，但必須有語(yǔ)句，但必須有INSERT權(quán)限。權(quán)限。表11-1 固定服務(wù)器角色參看：角色參看：角色-sql server 預(yù)定義預(yù)定義2022-7-340Bulk insert以用戶(hù)指定的格式復(fù)制一個(gè)數(shù)據(jù)文件至數(shù)據(jù)庫(kù)或視圖中。2022-7-341表表11-2 固定數(shù)據(jù)庫(kù)角色固定數(shù)據(jù)庫(kù)角色角色名稱(chēng)角色名稱(chēng)權(quán)權(quán) 限限db_owner數(shù)據(jù)庫(kù)的所有者，可以執(zhí)行任何數(shù)據(jù)庫(kù)管理工作，可以對(duì)數(shù)據(jù)庫(kù)內(nèi)的任數(shù)據(jù)庫(kù)的所有者，可以執(zhí)行任何數(shù)據(jù)庫(kù)管理工作，可

30、以對(duì)數(shù)據(jù)庫(kù)內(nèi)的任何對(duì)象進(jìn)行任何操作，如刪除、創(chuàng)建對(duì)象，將對(duì)象權(quán)限指定給其他用戶(hù)。何對(duì)象進(jìn)行任何操作，如刪除、創(chuàng)建對(duì)象，將對(duì)象權(quán)限指定給其他用戶(hù)。該角色包含各其他數(shù)據(jù)庫(kù)角色的所有權(quán)限。該角色包含各其他數(shù)據(jù)庫(kù)角色的所有權(quán)限。db_accessadmin添加或者刪除數(shù)據(jù)庫(kù)用戶(hù)。添加或者刪除數(shù)據(jù)庫(kù)用戶(hù)。db_securityadmin管理數(shù)據(jù)庫(kù)角色和角色成員、對(duì)象所有權(quán)、語(yǔ)句執(zhí)行權(quán)限、數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)管理數(shù)據(jù)庫(kù)角色和角色成員、對(duì)象所有權(quán)、語(yǔ)句執(zhí)行權(quán)限、數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限。權(quán)限。db_ddladmin數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)DDL管理員，在數(shù)據(jù)庫(kù)中創(chuàng)建、刪除或修改數(shù)據(jù)庫(kù)對(duì)象。管理員，在數(shù)據(jù)庫(kù)中創(chuàng)建、刪除或修改數(shù)據(jù)庫(kù)對(duì)象。db

31、_backupoperator 執(zhí)行數(shù)據(jù)庫(kù)備份權(quán)限。執(zhí)行數(shù)據(jù)庫(kù)備份權(quán)限。db_datareader能且僅能對(duì)數(shù)據(jù)庫(kù)中任何表執(zhí)行能且僅能對(duì)數(shù)據(jù)庫(kù)中任何表執(zhí)行SELECT操作，從而讀取所有表的信息。操作，從而讀取所有表的信息。db_datawriter能對(duì)數(shù)據(jù)庫(kù)中任何表執(zhí)行能對(duì)數(shù)據(jù)庫(kù)中任何表執(zhí)行INSERT、UPDATE、DELETE操作，但操作，但不能不能進(jìn)行進(jìn)行SELECT操作。操作。db_denydatawriter 不能對(duì)任何表進(jìn)行增、刪、修改操作。不能對(duì)任何表進(jìn)行增、刪、修改操作。db_denydatareader 不能讀取數(shù)據(jù)庫(kù)中任何表的內(nèi)容。不能讀取數(shù)據(jù)庫(kù)中任何表的內(nèi)容。public

32、每個(gè)數(shù)據(jù)庫(kù)用戶(hù)都是每個(gè)數(shù)據(jù)庫(kù)用戶(hù)都是public角色成員。角色成員。因此，不能將用戶(hù)、組或角色指因此，不能將用戶(hù)、組或角色指派為派為public角色的成員，也不能刪除角色的成員，也不能刪除public角色的成員。角色的成員。2022-7-342Public角色和角色和guest用戶(hù)用戶(hù)lPublic角色角色一個(gè)特殊的一個(gè)特殊的數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色，所有數(shù)據(jù)庫(kù)用戶(hù)都屬于它，它捕獲數(shù)，所有數(shù)據(jù)庫(kù)用戶(hù)都屬于它，它捕獲數(shù)據(jù)庫(kù)中用戶(hù)所有默認(rèn)權(quán)限。據(jù)庫(kù)中用戶(hù)所有默認(rèn)權(quán)限。a.無(wú)法將用戶(hù)指派給它，因?yàn)樗杏脩?hù)已經(jīng)屬于它。無(wú)法將用戶(hù)指派給它，因?yàn)樗杏脩?hù)已經(jīng)屬于它。b.每個(gè)數(shù)據(jù)庫(kù)中都有這個(gè)角色。并無(wú)法刪除它。

33、每個(gè)數(shù)據(jù)庫(kù)中都有這個(gè)角色。并無(wú)法刪除它。lGuest用戶(hù)用戶(hù)Guest用戶(hù)賬戶(hù)允許沒(méi)有用戶(hù)賬戶(hù)的登錄訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。用戶(hù)賬戶(hù)允許沒(méi)有用戶(hù)賬戶(hù)的登錄訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。當(dāng)滿(mǎn)足當(dāng)滿(mǎn)足下列所有條件是，登錄采用下列所有條件是，登錄采用guest用戶(hù)標(biāo)示：用戶(hù)標(biāo)示：a.登錄有訪(fǎng)問(wèn)登錄有訪(fǎng)問(wèn)Sql server實(shí)例的權(quán)限，但沒(méi)有訪(fǎng)問(wèn)某數(shù)據(jù)庫(kù)的實(shí)例的權(quán)限，但沒(méi)有訪(fǎng)問(wèn)某數(shù)據(jù)庫(kù)的權(quán)限。權(quán)限。b.這個(gè)數(shù)據(jù)庫(kù)含有這個(gè)數(shù)據(jù)庫(kù)含有g(shù)uest賬戶(hù)。賬戶(hù)。2022-7-3432. 用戶(hù)定義數(shù)據(jù)庫(kù)角色用戶(hù)定義數(shù)據(jù)庫(kù)角色當(dāng)某些數(shù)據(jù)庫(kù)用戶(hù)需要被設(shè)置為相同的權(quán)限，但是當(dāng)某些數(shù)據(jù)庫(kù)用戶(hù)需要被設(shè)置為相同的權(quán)限，但是這些權(quán)限不同于固定數(shù)據(jù)庫(kù)角色所具

34、有的權(quán)限時(shí)，就可這些權(quán)限不同于固定數(shù)據(jù)庫(kù)角色所具有的權(quán)限時(shí)，就可以定義新的數(shù)據(jù)庫(kù)角色來(lái)滿(mǎn)足這一要求，從而使這些用以定義新的數(shù)據(jù)庫(kù)角色來(lái)滿(mǎn)足這一要求，從而使這些用戶(hù)能夠在數(shù)據(jù)庫(kù)中實(shí)現(xiàn)某一特定功能。戶(hù)能夠在數(shù)據(jù)庫(kù)中實(shí)現(xiàn)某一特定功能。用戶(hù)定義數(shù)據(jù)庫(kù)角色的優(yōu)點(diǎn)是：用戶(hù)定義數(shù)據(jù)庫(kù)角色的優(yōu)點(diǎn)是：SQL Server數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)角色可以包含角色可以包含Windows用戶(hù)組或用戶(hù)；同一數(shù)據(jù)庫(kù)的用用戶(hù)組或用戶(hù)；同一數(shù)據(jù)庫(kù)的用戶(hù)可以具有多個(gè)不同的用戶(hù)定義角色，這種角色的組合戶(hù)可以具有多個(gè)不同的用戶(hù)定義角色，這種角色的組合是自由的，而不僅僅是是自由的，而不僅僅是public與其他一種角色的結(jié)合；與其他一種角色的結(jié)合

35、；角色可以進(jìn)行嵌套，從而在數(shù)據(jù)庫(kù)中實(shí)現(xiàn)不同級(jí)別的安角色可以進(jìn)行嵌套，從而在數(shù)據(jù)庫(kù)中實(shí)現(xiàn)不同級(jí)別的安全性。全性。2022-7-34411.4.2 固定服務(wù)器角色管理固定服務(wù)器角色管理 固定服務(wù)器角色不能進(jìn)行添加、刪除或修改等操作，固定服務(wù)器角色不能進(jìn)行添加、刪除或修改等操作，只能將用戶(hù)登錄添加為固定服務(wù)器角色的成員。只能將用戶(hù)登錄添加為固定服務(wù)器角色的成員。1. 添加固定服務(wù)器角色成員添加固定服務(wù)器角色成員例例11-11 使用企業(yè)管理器將登錄使用企業(yè)管理器將登錄ZG001添加為固定服添加為固定服務(wù)器角色務(wù)器角色“Database Creators”成員。成員。(1)打開(kāi)企業(yè)管理器，選擇要訪(fǎng)問(wèn)的服

36、務(wù)器并展開(kāi)。打開(kāi)企業(yè)管理器，選擇要訪(fǎng)問(wèn)的服務(wù)器并展開(kāi)。(2)展開(kāi)展開(kāi)“安全性安全性”文件夾，單擊文件夾，單擊“服務(wù)器角色服務(wù)器角色”項(xiàng)。項(xiàng)。(3)在右窗格中，鼠標(biāo)右鍵單擊服務(wù)器角色在右窗格中，鼠標(biāo)右鍵單擊服務(wù)器角色“Database Creators”項(xiàng)，在彈出的快捷菜單中項(xiàng)，在彈出的快捷菜單中選擇選擇“屬性屬性”項(xiàng)，打開(kāi)項(xiàng)，打開(kāi)“服務(wù)器角色屬性服務(wù)器角色屬性”對(duì)話(huà)對(duì)話(huà)框框 2022-7-345(4)單擊單擊“服務(wù)器角色屬性服務(wù)器角色屬性”對(duì)話(huà)框的對(duì)話(huà)框的“添加添加”按按鈕，打開(kāi)鈕，打開(kāi)“添加成員添加成員”對(duì)話(huà)框。在對(duì)話(huà)框。在“選擇要添加選擇要添加的登錄的登錄”列表中選擇登錄列表中選擇登錄“Z

37、G001”，單擊，單擊“確確定定”按鈕完成操作。按鈕完成操作。2022-7-346固定服務(wù)器角色成員的添加固定服務(wù)器角色成員的添加操作步驟如下：操作步驟如下：(1) 在展開(kāi)的服務(wù)器的在展開(kāi)的服務(wù)器的“安全性安全性”文件夾中，單擊文件夾中，單擊“登錄登錄”項(xiàng)。項(xiàng)。2022-7-347(2) 在右窗格中選擇登錄成員在右窗格中選擇登錄成員“ZG001”，雙擊鼠標(biāo)，雙擊鼠標(biāo)，打開(kāi)打開(kāi)“SQL Server登錄屬性登錄屬性”對(duì)話(huà)框。對(duì)話(huà)框。(3) 在在“SQL Server登錄屬性登錄屬性”對(duì)話(huà)框中選擇對(duì)話(huà)框中選擇“服服務(wù)器角色務(wù)器角色”選項(xiàng)卡，選中選項(xiàng)卡，選中“Database Creators”服務(wù)

38、器角色的復(fù)選框。單擊服務(wù)器角色的復(fù)選框。單擊“確定確定”按鈕完成操按鈕完成操作。作。2022-7-348sp_addsrvrolemember用于添加固定服務(wù)器角色成員用于添加固定服務(wù)器角色成員語(yǔ)法格式為：語(yǔ)法格式為：sp_addsrvrolemember loginame= login, rolename= role例例11-12 使用系統(tǒng)存儲(chǔ)過(guò)程將登錄使用系統(tǒng)存儲(chǔ)過(guò)程將登錄ZG002添加為固添加為固定服務(wù)器角色定服務(wù)器角色sysadmin的成員。的成員。EXEC sp_addsrvrolemember ZG002,sysadmin2022-7-3492. 刪除固定服務(wù)器角色成員刪除固定服務(wù)

39、器角色成員刪除固定服務(wù)器角色成員的語(yǔ)句是刪除固定服務(wù)器角色成員的語(yǔ)句是sp_dropsrvrolemember，其語(yǔ)法格式為：，其語(yǔ)法格式為：sp_dropsrvrolemember loginame= login, rolename= role例例11-13 使用系統(tǒng)存儲(chǔ)過(guò)程從固定服務(wù)器角色使用系統(tǒng)存儲(chǔ)過(guò)程從固定服務(wù)器角色sysadmin中刪除登錄中刪除登錄ZG002。EXEC sp_dropsrvrolemember ZG002,sysadmin2022-7-3503. 查看固定服務(wù)器角色信息使用查看固定服務(wù)器角色信息使用sp_helpsrvrole、sp_helpsrvrolemembe

40、r可了解有關(guān)固可了解有關(guān)固定服務(wù)器角色及其成員的信息。定服務(wù)器角色及其成員的信息。查看固定服務(wù)器角色查看固定服務(wù)器角色sp_helpsrvrole的語(yǔ)法格式為：的語(yǔ)法格式為：sp_helpsrvrole srvrolename= role srvrolename= role為固定服務(wù)器角色名稱(chēng)為固定服務(wù)器角色名稱(chēng)sp_helpsrvrolemember查看固定服務(wù)器角色成員查看固定服務(wù)器角色成員語(yǔ)法格式為：語(yǔ)法格式為：sp_helpsrvrolemember srvrolename= role 2022-7-351例例11-14 查看固定服務(wù)器角色查看固定服務(wù)器角色sysadmin及其成員的及

41、其成員的信息。信息。 EXEC sp_helpsrvrole sysadminGOEXEC sp_helpsrvrolemember sysadmin2022-7-3521. 添加數(shù)據(jù)庫(kù)角色成員添加數(shù)據(jù)庫(kù)角色成員使用系統(tǒng)存儲(chǔ)過(guò)程使用系統(tǒng)存儲(chǔ)過(guò)程sp_addrolemember向數(shù)據(jù)庫(kù)角色中向數(shù)據(jù)庫(kù)角色中添加成員，其語(yǔ)法格式為：添加成員，其語(yǔ)法格式為：sp_addrolemember rolename= role, membername= security_account例例11-15 向數(shù)據(jù)庫(kù)向數(shù)據(jù)庫(kù)Sales添加添加Windows用戶(hù)用戶(hù)“jsjx-ypxh001”。 USE SalesGO

42、EXEC sp_grantdbaccess jsjx-ypxh001, xh001GOEXEC sp_addrolemember db_ddladmin, xh00111.4.3 數(shù)據(jù)庫(kù)角色管理數(shù)據(jù)庫(kù)角色管理2022-7-353例例11-16 向數(shù)據(jù)庫(kù)添加例向數(shù)據(jù)庫(kù)添加例11-3創(chuàng)建的創(chuàng)建的SQL Server用戶(hù)用戶(hù)ZG002為為db_owner角色成員。角色成員。EXEC sp_addrolemember db_owner, ZG0022022-7-3542. 刪除數(shù)據(jù)庫(kù)角色成員使用刪除數(shù)據(jù)庫(kù)角色成員使用sp_droprolemember刪除當(dāng)前數(shù)據(jù)庫(kù)角色中的成員，刪除當(dāng)前數(shù)據(jù)庫(kù)角色中的成

43、員，其語(yǔ)法格式為：其語(yǔ)法格式為：sp_droprolemember rolename= role, membername= security_account例例11-17 刪除數(shù)據(jù)庫(kù)角色中的用戶(hù)。刪除數(shù)據(jù)庫(kù)角色中的用戶(hù)。EXEC sp_droprolemember db_owner, ZG0022022-7-3553. 查看數(shù)據(jù)庫(kù)角色及其成員信息查看數(shù)據(jù)庫(kù)角色及其成員信息查看數(shù)據(jù)庫(kù)角色及其成員的信息可以使用系統(tǒng)存儲(chǔ)查看數(shù)據(jù)庫(kù)角色及其成員的信息可以使用系統(tǒng)存儲(chǔ)過(guò)程過(guò)程sp_helpdbfixedrole、sp_helprole和和sp_helpusersp_helpdbfixedrole的語(yǔ)法格

44、式為：的語(yǔ)法格式為：sp_helpdbfixedrole rolename= role sp_helprole的語(yǔ)法格式為：的語(yǔ)法格式為：sp_helprole rolename= role sp_helpuser的語(yǔ)法格式為：的語(yǔ)法格式為：sp_helpuser name_in_db= security_account2022-7-356例例11-18 查看當(dāng)前數(shù)據(jù)庫(kù)中所有用戶(hù)及查看當(dāng)前數(shù)據(jù)庫(kù)中所有用戶(hù)及db_owner數(shù)數(shù)據(jù)庫(kù)角色的信息。據(jù)庫(kù)角色的信息。EXEC sp_helpuserEXEC sp_helpdbfixedrole db_owner2022-7-35711.4.4 用戶(hù)定義

45、數(shù)據(jù)庫(kù)角色用戶(hù)定義數(shù)據(jù)庫(kù)角色1. 創(chuàng)建和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色創(chuàng)建和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色創(chuàng)建和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色可以使用企業(yè)管理創(chuàng)建和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色可以使用企業(yè)管理器和系統(tǒng)存儲(chǔ)過(guò)程實(shí)現(xiàn)。器和系統(tǒng)存儲(chǔ)過(guò)程實(shí)現(xiàn)。例例11-19 使用企業(yè)管理器創(chuàng)建用戶(hù)定義數(shù)據(jù)庫(kù)角色。使用企業(yè)管理器創(chuàng)建用戶(hù)定義數(shù)據(jù)庫(kù)角色。(1)打開(kāi)企業(yè)管理器，展開(kāi)選定的數(shù)據(jù)庫(kù)。打開(kāi)企業(yè)管理器，展開(kāi)選定的數(shù)據(jù)庫(kù)。(2)右鍵單擊右鍵單擊“角色角色”項(xiàng)，在彈出的快捷菜單中單項(xiàng)，在彈出的快捷菜單中單擊擊“新建數(shù)據(jù)庫(kù)角色新建數(shù)據(jù)庫(kù)角色”命令，打開(kāi)命令，打開(kāi)“新建角色新建角色”對(duì)話(huà)框。對(duì)話(huà)框。(3)在在“名稱(chēng)名稱(chēng)”框中輸入角色名框

46、中輸入角色名“wang”，在，在“數(shù)據(jù)數(shù)據(jù)庫(kù)角色類(lèi)型庫(kù)角色類(lèi)型”項(xiàng)下，選擇項(xiàng)下，選擇“標(biāo)準(zhǔn)角色標(biāo)準(zhǔn)角色”單選按鈕。單選按鈕。(4)單擊單擊“確定確定”按鈕完成操作。按鈕完成操作。2022-7-3582022-7-359例例11-20 使用企業(yè)管理器刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色使用企業(yè)管理器刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色“wang”。(1)打開(kāi)企業(yè)管理器，展開(kāi)選定的數(shù)據(jù)庫(kù)，單擊打開(kāi)企業(yè)管理器，展開(kāi)選定的數(shù)據(jù)庫(kù)，單擊“角角色色”項(xiàng)。項(xiàng)。(2)在若窗格中右鍵單擊要?jiǎng)h除的數(shù)據(jù)庫(kù)角色在若窗格中右鍵單擊要?jiǎng)h除的數(shù)據(jù)庫(kù)角色“wang”，在彈出的菜單中選擇，在彈出的菜單中選擇“刪除刪除”命令。命令。 (3)在彈出的對(duì)話(huà)框中

47、單擊在彈出的對(duì)話(huà)框中單擊“是是”按鈕，完成刪除操按鈕，完成刪除操作。作。2022-7-3602022-7-361使用使用sp_addrole和和sp_droprole可以創(chuàng)建和刪除用戶(hù)可以創(chuàng)建和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色定義數(shù)據(jù)庫(kù)角色其語(yǔ)法格式分別為：其語(yǔ)法格式分別為：sp_addrole rolename= role , ownername= owner sp_droprole rolename= role例例11-21 使用系統(tǒng)存儲(chǔ)過(guò)程創(chuàng)建名為使用系統(tǒng)存儲(chǔ)過(guò)程創(chuàng)建名為“role01”的用的用戶(hù)定義數(shù)據(jù)庫(kù)角色到戶(hù)定義數(shù)據(jù)庫(kù)角色到Sales數(shù)據(jù)庫(kù)中。數(shù)據(jù)庫(kù)中。 Use SalesGOEXEC sp

48、_addrole role012022-7-362例例11-22 使用系統(tǒng)存儲(chǔ)過(guò)程刪除數(shù)據(jù)庫(kù)使用系統(tǒng)存儲(chǔ)過(guò)程刪除數(shù)據(jù)庫(kù)Sales中名為中名為“role01”的用戶(hù)定義數(shù)據(jù)庫(kù)角色。的用戶(hù)定義數(shù)據(jù)庫(kù)角色。USE SalesGOEXEC SP_droprole role012022-7-3632. 添加和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色成員添加和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色成員添加和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色成員可以使用企業(yè)添加和刪除用戶(hù)定義數(shù)據(jù)庫(kù)角色成員可以使用企業(yè)管理器和系統(tǒng)存儲(chǔ)過(guò)程來(lái)完成。管理器和系統(tǒng)存儲(chǔ)過(guò)程來(lái)完成。例例11-23 使用企業(yè)管理器將成員添加到用戶(hù)定義數(shù)據(jù)庫(kù)角色使用企業(yè)管理器將成員添加到用戶(hù)定義數(shù)據(jù)

49、庫(kù)角色ZG001中。中。(1)打開(kāi)企業(yè)管理器，展開(kāi)打開(kāi)企業(yè)管理器，展開(kāi)Sales數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)。(2)單擊單擊“角色角色”項(xiàng)，在右窗格中，右鍵單擊角色項(xiàng)，在右窗格中，右鍵單擊角色“role01”，在彈出的菜單中選擇，在彈出的菜單中選擇“屬性屬性”項(xiàng)，打項(xiàng)，打開(kāi)開(kāi)“數(shù)據(jù)庫(kù)角色屬性數(shù)據(jù)庫(kù)角色屬性”對(duì)話(huà)框。對(duì)話(huà)框。2022-7-3642022-7-365(3)在在“數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色屬性屬性”對(duì)話(huà)框中單對(duì)話(huà)框中單擊擊“添加添加”按鈕，按鈕，打開(kāi)打開(kāi)“添加角色成添加角色成員員”對(duì)話(huà)框。對(duì)話(huà)框。(4)在在“選擇要添加選擇要添加的用戶(hù)的用戶(hù)”列表中選列表中選擇登錄擇登錄“ZG001”，單擊單擊“確定確定

50、”按鈕按鈕完成操作。完成操作。2022-7-366例例11-24 使用系統(tǒng)存儲(chǔ)過(guò)程將使用系統(tǒng)存儲(chǔ)過(guò)程將ZG002添加為添加為Sales數(shù)數(shù)據(jù)庫(kù)的據(jù)庫(kù)的role01角色的成員。角色的成員。USE SalesGOEXEC sp_addrolemember role01,ZG0022022-7-367例例11-25 將將SQL Server登錄賬號(hào)登錄賬號(hào)“ZG003”添加到添加到Sales數(shù)據(jù)庫(kù)中，其用戶(hù)名為數(shù)據(jù)庫(kù)中，其用戶(hù)名為“ZG003”，然后再將，然后再將ZG003添加為該數(shù)據(jù)庫(kù)的添加為該數(shù)據(jù)庫(kù)的role01角色的成員。角色的成員。USE SalesGOEXEC sp_grantdbacce

51、ss ZG003,ZG003EXEC sp_addrolemember role01,ZG0032022-7-36811.5 權(quán)限管理權(quán)限管理 11.5.1 權(quán)限的種類(lèi)權(quán)限的種類(lèi)11.5.2 授予權(quán)限授予權(quán)限11.5.3 禁止與撤消權(quán)限禁止與撤消權(quán)限11.5.4 查看權(quán)限查看權(quán)限2022-7-369 11.5.1 權(quán)限的種類(lèi)權(quán)限的種類(lèi)權(quán)限是指用戶(hù)對(duì)數(shù)據(jù)庫(kù)中對(duì)象的使用及操作的權(quán)利，權(quán)限是指用戶(hù)對(duì)數(shù)據(jù)庫(kù)中對(duì)象的使用及操作的權(quán)利，當(dāng)用戶(hù)連接到當(dāng)用戶(hù)連接到SQL Server實(shí)例后，該用戶(hù)要進(jìn)行的任何實(shí)例后，該用戶(hù)要進(jìn)行的任何涉及修改數(shù)據(jù)庫(kù)或訪(fǎng)問(wèn)數(shù)據(jù)的活動(dòng)都必須具有相應(yīng)的權(quán)涉及修改數(shù)據(jù)庫(kù)或訪(fǎng)問(wèn)數(shù)據(jù)的活

52、動(dòng)都必須具有相應(yīng)的權(quán)限，也就是用戶(hù)可以執(zhí)行的操作均由其被授予的權(quán)限決限，也就是用戶(hù)可以執(zhí)行的操作均由其被授予的權(quán)限決定。定。SQL Server中的權(quán)限包括中的權(quán)限包括3種類(lèi)型：種類(lèi)型：對(duì)象權(quán)限、語(yǔ)句對(duì)象權(quán)限、語(yǔ)句權(quán)限和隱含權(quán)限。權(quán)限和隱含權(quán)限。2022-7-3701. 對(duì)象權(quán)限對(duì)象權(quán)限對(duì)象權(quán)限用于對(duì)象權(quán)限用于用戶(hù)對(duì)數(shù)據(jù)庫(kù)對(duì)象執(zhí)行操作的權(quán)力用戶(hù)對(duì)數(shù)據(jù)庫(kù)對(duì)象執(zhí)行操作的權(quán)力，即處理數(shù)據(jù)或執(zhí)行存儲(chǔ)過(guò)程即處理數(shù)據(jù)或執(zhí)行存儲(chǔ)過(guò)程(INSERT、UPDATE、DELETE、EXECUTE等等)所需要的權(quán)限，這些數(shù)據(jù)庫(kù)所需要的權(quán)限，這些數(shù)據(jù)庫(kù)對(duì)象包括表、視圖、存儲(chǔ)過(guò)程。對(duì)象包括表、視圖、存儲(chǔ)過(guò)程。2022-

53、7-371表表11-3 對(duì)象及作用的操作對(duì)象及作用的操作對(duì)對(duì) 象象操操 作作表表SELECT、INSERT、UPDATE、DELETE、REFERANCES視圖視圖SELECT、INSERT、UPDATE、DELETE存儲(chǔ)過(guò)程存儲(chǔ)過(guò)程EXECUTE列列SELECT、UPDATE2022-7-3722. 語(yǔ)句權(quán)限語(yǔ)句權(quán)限語(yǔ)句權(quán)限主要指用戶(hù)是否具有權(quán)限來(lái)執(zhí)行某一語(yǔ)句，語(yǔ)句權(quán)限主要指用戶(hù)是否具有權(quán)限來(lái)執(zhí)行某一語(yǔ)句，這些語(yǔ)句通常是一些具有管理性的操作，這些語(yǔ)句通常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫(kù)、如創(chuàng)建數(shù)據(jù)庫(kù)、表、存儲(chǔ)過(guò)程等表、存儲(chǔ)過(guò)程等。這種語(yǔ)句雖然也包含有操作。這種語(yǔ)句雖然也包含有操作(如如C

54、REATE)的對(duì)象，的對(duì)象，但這些對(duì)象在執(zhí)行該語(yǔ)句之前并不但這些對(duì)象在執(zhí)行該語(yǔ)句之前并不存在于數(shù)據(jù)庫(kù)中，所以將其歸為語(yǔ)句權(quán)限范疇存在于數(shù)據(jù)庫(kù)中，所以將其歸為語(yǔ)句權(quán)限范疇。2022-7-373表11-4 語(yǔ)句權(quán)限及其作用語(yǔ)語(yǔ) 句句作作 用用CREATE DATABASE創(chuàng)建數(shù)據(jù)庫(kù)創(chuàng)建數(shù)據(jù)庫(kù)CREATE TABLE在數(shù)據(jù)庫(kù)中創(chuàng)建表在數(shù)據(jù)庫(kù)中創(chuàng)建表CREATE VIEW在數(shù)據(jù)庫(kù)中創(chuàng)建視圖在數(shù)據(jù)庫(kù)中創(chuàng)建視圖CREATE DEFAULT在數(shù)據(jù)庫(kù)中創(chuàng)建默認(rèn)對(duì)象在數(shù)據(jù)庫(kù)中創(chuàng)建默認(rèn)對(duì)象CREATE PROCEDURE在數(shù)據(jù)庫(kù)中創(chuàng)建存儲(chǔ)過(guò)程在數(shù)據(jù)庫(kù)中創(chuàng)建存儲(chǔ)過(guò)程CREATE RULE在數(shù)據(jù)庫(kù)中創(chuàng)建規(guī)則在數(shù)據(jù)庫(kù)中

55、創(chuàng)建規(guī)則CREATE FUNCTION在數(shù)據(jù)庫(kù)中創(chuàng)建函數(shù)在數(shù)據(jù)庫(kù)中創(chuàng)建函數(shù)BACKUP DATABASE備份數(shù)據(jù)庫(kù)備份數(shù)據(jù)庫(kù)BACKUP LOG備份日志備份日志2022-7-3743. 隱含權(quán)限隱含權(quán)限隱含權(quán)限是指系統(tǒng)自行預(yù)定義而不需要授權(quán)就有的隱含權(quán)限是指系統(tǒng)自行預(yù)定義而不需要授權(quán)就有的權(quán)限，包括權(quán)限，包括固定服務(wù)器角色固定服務(wù)器角色、固定數(shù)據(jù)庫(kù)角色固定數(shù)據(jù)庫(kù)角色和和數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)對(duì)象所有者所擁有的權(quán)限對(duì)象所有者所擁有的權(quán)限。固定角色擁有確定的權(quán)限，例如固定服務(wù)器角色固定角色擁有確定的權(quán)限，例如固定服務(wù)器角色sysadmin擁有完成任何操作的全部權(quán)限，其成員自動(dòng)繼擁有完成任何操作的全部權(quán)限，其

56、成員自動(dòng)繼承這個(gè)固定角色的全部權(quán)限。數(shù)據(jù)庫(kù)對(duì)象所有者可以對(duì)承這個(gè)固定角色的全部權(quán)限。數(shù)據(jù)庫(kù)對(duì)象所有者可以對(duì)所擁有的對(duì)象執(zhí)行一切活動(dòng)，如查看、添加或刪除數(shù)據(jù)所擁有的對(duì)象執(zhí)行一切活動(dòng)，如查看、添加或刪除數(shù)據(jù)等操作，也可以控制其他用戶(hù)使用其所擁有的對(duì)象的權(quán)等操作，也可以控制其他用戶(hù)使用其所擁有的對(duì)象的權(quán)限。限。2022-7-37511.5.2 授予權(quán)限授予權(quán)限1. 使用企業(yè)管理器授予使用企業(yè)管理器授予用戶(hù)或角色用戶(hù)或角色 語(yǔ)句權(quán)限語(yǔ)句權(quán)限操作步驟如下：操作步驟如下：(1)打開(kāi)企業(yè)管理器，打開(kāi)企業(yè)管理器，展開(kāi)數(shù)據(jù)庫(kù)。展開(kāi)數(shù)據(jù)庫(kù)。(2)在選擇的數(shù)據(jù)庫(kù)上在選擇的數(shù)據(jù)庫(kù)上單擊鼠標(biāo)右鍵，在單擊鼠標(biāo)右鍵，在彈出

57、菜單中選擇彈出菜單中選擇“屬性屬性”項(xiàng)，打開(kāi)項(xiàng)，打開(kāi)“數(shù)據(jù)庫(kù)屬性數(shù)據(jù)庫(kù)屬性”對(duì)對(duì)話(huà)框。話(huà)框。(3)在在“數(shù)據(jù)庫(kù)屬性數(shù)據(jù)庫(kù)屬性”對(duì)話(huà)框中選擇對(duì)話(huà)框中選擇“權(quán)權(quán)限限”選項(xiàng)卡，進(jìn)行選項(xiàng)卡，進(jìn)行相應(yīng)的語(yǔ)句權(quán)限設(shè)相應(yīng)的語(yǔ)句權(quán)限設(shè)置。置。2022-7-3762. 使用企業(yè)管理器授使用企業(yè)管理器授予用戶(hù)或角色對(duì)象權(quán)限予用戶(hù)或角色對(duì)象權(quán)限(1)打開(kāi)企業(yè)管理器，打開(kāi)企業(yè)管理器，選定數(shù)據(jù)庫(kù)。選定數(shù)據(jù)庫(kù)。(2)選擇授予權(quán)限的選擇授予權(quán)限的對(duì)象對(duì)象(如表如表employee)，單擊鼠標(biāo)右鍵，選擇單擊鼠標(biāo)右鍵，選擇菜單命令菜單命令“屬性屬性” 。2022-7-377(3)在在“表屬性表屬性”對(duì)話(huà)框中單擊對(duì)話(huà)框中單擊“權(quán)

58、限權(quán)限”按鈕，打開(kāi)按鈕，打開(kāi)“對(duì)象屬性對(duì)象屬性”對(duì)話(huà)框。對(duì)話(huà)框。2022-7-378(4)在在“對(duì)象屬性對(duì)象屬性”對(duì)對(duì)話(huà)框中授予對(duì)象權(quán)限。其話(huà)框中授予對(duì)象權(quán)限。其中，中，表示授予權(quán)限，表示授予權(quán)限，表示禁止權(quán)限，空表示撤表示禁止權(quán)限，空表示撤消權(quán)限。消權(quán)限。(5)在選擇一個(gè)特定用在選擇一個(gè)特定用戶(hù)或角色后，單擊戶(hù)或角色后，單擊“列列”按鈕，打開(kāi)按鈕，打開(kāi)“列權(quán)限列權(quán)限”對(duì)對(duì)話(huà)框，將權(quán)限控制到字段話(huà)框，將權(quán)限控制到字段的級(jí)別。的級(jí)別。(6)單擊單擊“確定確定”按鈕，按鈕，完成對(duì)象權(quán)限的設(shè)置。完成對(duì)象權(quán)限的設(shè)置。2022-7-3793. 使用使用Transact-SQL語(yǔ)句語(yǔ)句GRANT授予用戶(hù)或

59、角色權(quán)限授予用戶(hù)或角色權(quán)限GRANT語(yǔ)句授予對(duì)象權(quán)限的語(yǔ)法格式為：語(yǔ)句授予對(duì)象權(quán)限的語(yǔ)法格式為：GRANT ALL PRIVILEGES | permission , n (column , n) ON table | view | ON table | view ( column , n) | ON stored_procedure | extended_procedure | ON user_defined_function TO security_account , n WITH GRANT OPTIONAS group | role With grant option 可否進(jìn)行權(quán)限傳遞

60、可否進(jìn)行權(quán)限傳遞As group|role指當(dāng)前數(shù)據(jù)庫(kù)中有執(zhí)行指當(dāng)前數(shù)據(jù)庫(kù)中有執(zhí)行 GRANT 語(yǔ)句權(quán)力的安全帳戶(hù)語(yǔ)句權(quán)力的安全帳戶(hù)的可選名的可選名 2022-7-380GRANT授予語(yǔ)句權(quán)限的語(yǔ)法格式為：授予語(yǔ)句權(quán)限的語(yǔ)法格式為：GRANT ALL | statement ,.n TO security_account ,.n 例例11-26 使用使用GRANT語(yǔ)句給用戶(hù)語(yǔ)句給用戶(hù)ZG001授予授予CREATE TABLE 的權(quán)限。的權(quán)限。 USE Sales GO GRANT CREATE TABLE TO ZG001通過(guò)企業(yè)管理器的通過(guò)企業(yè)管理器的Sales數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)的“屬性屬性”對(duì)