第13章SQLServer2008的安全性管理

第13章SQLServer2008的安全性管理本章學(xué)習(xí)目標(biāo):登錄身份驗(yàn)證

服務(wù)器登錄帳戶管理用戶帳戶管理角色管理權(quán)限管理架構(gòu)管理

開始第13章SQLServer2008的安全性管理13.1數(shù)據(jù)庫安全性管理概述

13.2登錄管理13.3用戶帳戶管理13.4角色管理13.5權(quán)限管理13.6架構(gòu)13.7本章小結(jié)13.1數(shù)據(jù)庫安全性管理概述對(duì)于任何數(shù)據(jù)庫系統(tǒng)而言，保證數(shù)據(jù)的安全都是最重要的問題之一。安全性包括什么樣的用戶能夠登錄到SQLServer，以及用戶登錄后所能進(jìn)行的操作。SQLServer2008的安全性管理主要包括SQLServer登錄、數(shù)據(jù)庫用戶、角色、權(quán)限和架構(gòu)等方面。13.1數(shù)據(jù)庫安全性管理概述（1）SQLServer登錄要想連接到SQLServer服務(wù)器實(shí)例，必須擁有相應(yīng)的登錄賬戶和密碼。身份驗(yàn)證系統(tǒng)驗(yàn)證用戶是否擁有有效的登錄賬戶和密碼，從而決定是否允許該用戶連接到指定的SQLServer服務(wù)器實(shí)例。

13.1數(shù)據(jù)庫安全性管理概述（2）數(shù)據(jù)庫用戶通過身份驗(yàn)證后，用戶可以連接到SQLServer服務(wù)器實(shí)例。但是，這并不意味著該用戶可以訪問到指定服務(wù)器上的所有數(shù)據(jù)庫。在每個(gè)SQLServer數(shù)據(jù)庫中，都存在一組SQLServer用戶賬戶。登錄賬戶要訪問指定數(shù)據(jù)庫，就要將自身映射到數(shù)據(jù)庫的一個(gè)用戶賬戶上，從而獲得訪問數(shù)據(jù)庫的權(quán)限。一個(gè)登錄賬戶可以對(duì)應(yīng)多個(gè)用戶帳戶。13.1數(shù)據(jù)庫安全性管理概述（3）角色

為便于管理數(shù)據(jù)庫中的權(quán)限，SQLServer提供了若干“角色”，這些角色是用于分組其他主體的安全主體。類似于MicrosoftWindows操作系統(tǒng)中的用戶組，可以對(duì)用戶進(jìn)行分組管理。可以對(duì)角色賦予數(shù)據(jù)庫訪問權(quán)限，此權(quán)限將應(yīng)用于角色中的每一個(gè)用戶。

（4）權(quán)限

權(quán)限是規(guī)定了用戶在指定數(shù)據(jù)庫中所能進(jìn)行的操作。13.1數(shù)據(jù)庫安全性管理概述（5）架構(gòu)

架構(gòu)是指包含表、視圖、過程等的容器。它位于數(shù)據(jù)庫內(nèi)部，而數(shù)據(jù)庫位于服務(wù)器內(nèi)部。這些實(shí)體就像嵌套框放置在一起。服務(wù)器是最外面的框，而架構(gòu)是最里面的框。特定架構(gòu)中的每個(gè)安全對(duì)象都必須有唯一的名稱。架構(gòu)中安全對(duì)象的完全指定名稱包括此安全對(duì)象所在的架構(gòu)的名稱。因此，架構(gòu)也是命名空間。

13.2登錄管理

13.2.1身份驗(yàn)證模式1．在安裝過程中，必須為數(shù)據(jù)庫引擎選擇身份驗(yàn)證模式?？晒┻x擇的模式有兩種：Windows身份驗(yàn)證模式和混合模式。Windows身份驗(yàn)證模式會(huì)啟用Windows身份驗(yàn)證并禁用SQLServer身份驗(yàn)證。混合模式會(huì)同時(shí)啟用Windows身份驗(yàn)證和SQLServer身份驗(yàn)證。Windows身份驗(yàn)證始終可用，并且無法禁用。13.2登錄管理

13.2.1身份驗(yàn)證模式

2．更改安全身份驗(yàn)證模式

1）在SQLServerManagementStudio的對(duì)象資源管理器中，右鍵單擊服務(wù)器，再單擊“屬性”。如圖13-1所示。2）在“安全性”頁上的“服務(wù)器身份驗(yàn)證”下，選擇新的服務(wù)器身份驗(yàn)證模式，再單擊“確定”。如圖13-2所示。3）在SQLServerManagementStudio對(duì)話框中，單擊“確定”以確認(rèn)需要重新啟動(dòng)SQLServer。13.2登錄管理

13.2.1身份驗(yàn)證模式

3．通過Windows身份驗(yàn)證進(jìn)行連接

當(dāng)用戶通過Windows用戶帳戶連接時(shí)，如圖13-3所示，SQLServer使用操作系統(tǒng)中的Windows主體標(biāo)記驗(yàn)證帳戶名和密碼。也就是說，用戶身份由Windows進(jìn)行確認(rèn)。SQLServer不要求提供密碼，也不執(zhí)行身份驗(yàn)證。Windows身份驗(yàn)證是默認(rèn)身份驗(yàn)證模式，并且比SQLServer身份驗(yàn)證更為安全。Windows身份驗(yàn)證使用Kerberos安全協(xié)議，提供有關(guān)強(qiáng)密碼復(fù)雜性驗(yàn)證的密碼策略強(qiáng)制，還提供帳戶鎖定支持，并且支持密碼過期。通過Windows身份驗(yàn)證完成的連接有時(shí)也稱為可信連接，這是因?yàn)镾QLServer信任由Windows提供的憑據(jù)。13.2登錄管理

13.2.1身份驗(yàn)證模式

4．通過SQLServer身份驗(yàn)證進(jìn)行連接當(dāng)使用SQLServer身份驗(yàn)證時(shí)，如圖13-4所示，在SQLServer中創(chuàng)建的登錄名并不基于Windows用戶帳戶。用戶名和密碼均通過使用SQLServer創(chuàng)建并存儲(chǔ)在SQLServer中。通過SQLServer身份驗(yàn)證進(jìn)行連接的用戶每次連接時(shí)必須提供其憑據(jù)（登錄名和密碼）。當(dāng)使用SQLServer身份驗(yàn)證時(shí)，必須為所有SQLServer帳戶設(shè)置強(qiáng)密碼。13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

1．創(chuàng)建使用Windows身份驗(yàn)證的SQLServer登錄名（1）在SQLServerManagementStudio中創(chuàng)建登錄名1）在SQLServerManagementStudio中，打開對(duì)象資源管理器并展開要在其中創(chuàng)建新登錄名的服務(wù)器實(shí)例的文件夾。2）右鍵單擊“安全性”文件夾，指向“新建”，然后單擊“登錄名”。如圖13-5所示。13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

1．創(chuàng)建使用Windows身份驗(yàn)證的SQLServer登錄名（1）在SQLServerManagementStudio中創(chuàng)建登錄名3）在“常規(guī)”頁上的“登錄名”框中輸入一個(gè)Windows用戶名。如圖13-6所示。4）選擇“Windows身份驗(yàn)證”。5）單擊“確定”。

13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

1．創(chuàng)建使用Windows身份驗(yàn)證的SQLServer登錄名（2）通過Transact-SQL語句創(chuàng)建登錄名CREATELOGIN<nameofWindowsUser>FROMWINDOWS;GO【例13-1】在查詢編輯器中，輸入以下Transact-SQL命令：如圖13-7所示。CREATELOGIN[C18CABF5E4EE466\gdm]FROMWINDOWS;GO13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

2.

創(chuàng)建使用SQLServer身份驗(yàn)證的SQLServer登錄名

（1）

在SQLServerManagementStudio中創(chuàng)建登錄名1）在SQLServerManagementStudio中，打開對(duì)象資源管理器并展開要在其中創(chuàng)建新登錄名的服務(wù)器實(shí)例的文件夾。2）右鍵單擊“安全性”文件夾，指向“新建”，然后單擊“登錄名”。3）在“常規(guī)”頁上的“登錄名”框中輸入一個(gè)新登錄名的名稱。如圖13-8所示。13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

2.

創(chuàng)建使用SQLServer身份驗(yàn)證的SQLServer登錄名

4）選擇“SQLServer身份驗(yàn)證”。Windows身份驗(yàn)證是更安全的選擇。5）輸入登錄名的密碼。6）選擇應(yīng)當(dāng)應(yīng)用于新登錄名的密碼策略選項(xiàng)。通常，強(qiáng)制密碼策略是更安全的選擇。7）單擊“確定”。

13.2登錄管理

13.2.2創(chuàng)建SQLServer登錄名

2.

創(chuàng)建使用SQLServer身份驗(yàn)證的SQLServer登錄名

（2）通過Transact-SQL創(chuàng)建登錄名

CREATELOGIN<loginname>WITHPASSWORD='<password>';GO【例13-2】在查詢編輯器中，輸入以下Transact-SQL命令：如圖13-9所示。

CREATELOGINgdm_sqlWITHPASSWORD=‘gdm1234';GO

13.3用戶帳戶管理

擁有登錄賬戶的用戶通過SQLServer身份驗(yàn)證后，就獲得了對(duì)SQLServer實(shí)例的訪問權(quán)限，但是如果要訪問某個(gè)具體的數(shù)據(jù)庫，還必須有一個(gè)用于控制在數(shù)據(jù)庫中所執(zhí)行的活動(dòng)的SQLServer用戶賬戶。登錄賬戶映射到SQLServer用戶賬戶，就可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的訪問了。如果數(shù)據(jù)庫中沒有用戶帳戶，那么即使用戶能夠連接到SQLServer實(shí)例，也無法訪問該數(shù)據(jù)庫。數(shù)據(jù)庫用戶是數(shù)據(jù)庫級(jí)別上的主體。每個(gè)數(shù)據(jù)庫用戶都是public角色的成員。

13.3用戶帳戶管理

13.3.1系統(tǒng)用戶

在數(shù)據(jù)庫內(nèi)使用用戶標(biāo)識(shí)符（ID）標(biāo)識(shí)用戶。在數(shù)據(jù)庫內(nèi)，對(duì)象的全部權(quán)限和所有權(quán)由用戶賬戶控制。用戶賬戶與數(shù)據(jù)庫相關(guān)。創(chuàng)建數(shù)據(jù)庫對(duì)象（表、索引、視圖、觸發(fā)器、函數(shù)或存儲(chǔ)過程）的用戶稱為數(shù)據(jù)庫對(duì)象所有者。創(chuàng)建數(shù)據(jù)庫對(duì)象的權(quán)限必須由數(shù)據(jù)庫所有者或系統(tǒng)管理員授予。數(shù)據(jù)庫對(duì)象所有者沒有特殊的登錄ID或密碼。對(duì)象創(chuàng)建者被隱性授予數(shù)據(jù)庫的所有權(quán)限，但其他用戶必須被顯式授予權(quán)限后才能訪問該對(duì)象。

13.3用戶帳戶管理

13.3.1系統(tǒng)用戶

1.dbodbo是具有在數(shù)據(jù)庫中執(zhí)行所有活動(dòng)權(quán)限的用戶。將固定服務(wù)器角色sysadmin的任何成員都映射到每個(gè)數(shù)據(jù)庫內(nèi)稱為dbo的一個(gè)特殊用戶上。另外，由固定服務(wù)器角色sysadmin的任何成員創(chuàng)建的任何對(duì)象都自動(dòng)屬于dbo。

13.3用戶帳戶管理

13.3.1系統(tǒng)用戶

2.guestguest用戶賬戶沒有相關(guān)聯(lián)的登錄賬戶，它允許沒有用戶賬戶的登錄訪問數(shù)據(jù)庫。當(dāng)滿足下列所有條件時(shí)，登錄采用guest用戶的標(biāo)識(shí)：（1）登錄有訪問SQLServer實(shí)例的權(quán)限，但沒有通過自己的用戶賬戶訪問數(shù)據(jù)庫的權(quán)限。（2）數(shù)據(jù)庫中含有g(shù)uest用戶賬戶

13.3用戶帳戶管理

13.3.1系統(tǒng)用戶2.guest創(chuàng)建數(shù)據(jù)庫時(shí)，該數(shù)據(jù)庫默認(rèn)包含guest用戶。授予guest用戶的權(quán)限由在數(shù)據(jù)庫中沒有用戶帳戶的用戶繼承。不能刪除guest用戶，但可通過撤消該用戶的CONNECT權(quán)限將其禁用?？梢酝ㄟ^在master或tempdb以外的任何數(shù)據(jù)庫中執(zhí)行REVOKECONNECTFROMGUEST來撤消CONNECT權(quán)限。

13.3用戶帳戶管理

13.3.2創(chuàng)建數(shù)據(jù)庫用戶（1）

使用SQLServerManagementStudio創(chuàng)建數(shù)據(jù)庫用戶1）打開對(duì)象資源管理器，然后展開“數(shù)據(jù)庫”文件夾。2）展開要在其中創(chuàng)建新數(shù)據(jù)庫用戶的數(shù)據(jù)庫。3）右鍵單擊“安全性”文件夾，指向“新建”，再單擊“新建用戶”。如圖13-10所示。4）在“常規(guī)”頁的“用戶名”框中輸入新用戶的名稱。5）在“登錄名”框中，輸入要映射到數(shù)據(jù)庫用戶的SQLServer登錄名的名稱。6）單擊“確定”。如圖13-11所示。

13.3用戶帳戶管理

13.3.2創(chuàng)建數(shù)據(jù)庫用戶（2）使用Transact-SQL創(chuàng)建數(shù)據(jù)庫用戶

1）在查詢編輯器中，通過執(zhí)行以下Transact-SQL命令連接至要在其中創(chuàng)建新數(shù)據(jù)庫用戶的數(shù)據(jù)庫：USE<databasename>;GO2）通過執(zhí)行以下Transact-SQL命令創(chuàng)建用戶：CREATEUSER<newusername>FORLOGIN<loginname>;GO

13.3用戶帳戶管理

13.3.2創(chuàng)建數(shù)據(jù)庫用戶（2）使用Transact-SQL創(chuàng)建數(shù)據(jù)庫用戶

【例13-3】在查詢編輯器中，輸入以下Transact-SQL命令：如圖13-12所示。USECJMSGOCREATEUSERgdm_sqlFROMLOGINgdm_sql

13.4角色管理

在SQLServer中，可以通過定義角色對(duì)用戶進(jìn)行分組，規(guī)范用戶的權(quán)限。角色是一個(gè)強(qiáng)大的工具，它可以將用戶集中到一個(gè)單元中，然后對(duì)該單元應(yīng)用權(quán)限。對(duì)一個(gè)角色授予、拒絕或廢除的權(quán)限也適用于該角色的任何成員。權(quán)限在用戶成為角色成員時(shí)自動(dòng)生效。角色分為服務(wù)器角色、數(shù)據(jù)庫角色和應(yīng)用程序角色。服務(wù)器角色是服務(wù)器級(jí)的一個(gè)對(duì)象，只能包含登錄名。數(shù)據(jù)庫角色是數(shù)據(jù)庫級(jí)的一個(gè)對(duì)象，只能包含數(shù)據(jù)庫用戶名。

13.4角色管理

13.4.1服務(wù)器級(jí)別角色為便于管理服務(wù)器上的權(quán)限，SQLServer提供了若干“角色”——服務(wù)器級(jí)角色，也稱為“固定服務(wù)器角色”，用戶不能創(chuàng)建新的服務(wù)器級(jí)角色。服務(wù)器級(jí)角色的權(quán)限作用域?yàn)榉?wù)器范圍。服務(wù)器級(jí)角色及其能夠執(zhí)行的操作見表13-1所示。

13.4角色管理

13.4.1服務(wù)器級(jí)別角色（1）可以向服務(wù)器級(jí)角色中添加SQLServer登錄名、Windows帳戶和Windows組。固定服務(wù)器角色的每個(gè)成員都可以向其所屬角色添加其他登錄名。

可以使用SQLServerManagementStudio將登錄名添加到固定服務(wù)器角色

13.4角色管理

13.4.1服務(wù)器級(jí)別角色具體操作步驟如下：1）在SQLServerManagementStudio中，打開對(duì)象資源管理器，然后展開“服務(wù)器”文件夾。2）展開“安全性”文件夾，然后展開“服務(wù)器角色”文件夾。如圖13-13所示。3）雙擊需要添加登錄賬戶的服務(wù)器角色，彈出“服務(wù)器角色屬性”對(duì)話框。如圖13-14所示。4）單擊“添加”按鈕，然后選擇要添加的登錄名。5）單擊“確定”按鈕，完成操作。

13.4角色管理

13.4.1服務(wù)器級(jí)別角色（2）可以在登錄賬戶的“屬性”對(duì)話框中，如圖13-15所示，在彈出的“登錄屬性”對(duì)話框中，如圖13-16所示，選擇“服務(wù)器角色”選項(xiàng)卡，選中相應(yīng)的服務(wù)器角色的復(fù)選框，將登錄賬戶添加到該服務(wù)器角色中，如圖13-17所示。

13.4角色管理

13.4.2數(shù)據(jù)庫級(jí)別的角色為便于管理數(shù)據(jù)庫中的權(quán)限，SQLServer提供了若干“角色”——數(shù)據(jù)庫級(jí)角色，數(shù)據(jù)庫級(jí)角色的權(quán)限作用域?yàn)閿?shù)據(jù)庫范圍。SQLServer中有兩種類型的數(shù)據(jù)庫級(jí)角色：數(shù)據(jù)庫中預(yù)定義的“固定數(shù)據(jù)庫角色”和用戶創(chuàng)建的“靈活數(shù)據(jù)庫角色”。固定數(shù)據(jù)庫角色是在數(shù)據(jù)庫級(jí)別定義的，并且存在于每個(gè)數(shù)據(jù)庫中。固定數(shù)據(jù)庫角色及其能夠執(zhí)行的操作見表13-2所示。

13.4角色管理

13.4.2數(shù)據(jù)庫級(jí)別的角色db_owner和db_securityadmin數(shù)據(jù)庫角色的成員可以管理固定數(shù)據(jù)庫角色成員身份。但是，只有db_owner數(shù)據(jù)庫角色的成員能夠向db_owner固定數(shù)據(jù)庫角色中添加成員。msdb數(shù)據(jù)庫中還有一些特殊用途的固定數(shù)據(jù)庫角色。

13.4角色管理

13.4.2數(shù)據(jù)庫級(jí)別的角色（1）可以向數(shù)據(jù)庫級(jí)角色中添加任何數(shù)據(jù)庫帳戶和其他SQLServer角色。固定數(shù)據(jù)庫角色的每個(gè)成員都可向同一個(gè)角色添加其他登錄名。可以使用SQLServerManagementStudio將用戶添加到固定數(shù)據(jù)庫角色具體操作步驟如下:

13.4角色管理

13.4.2數(shù)據(jù)庫級(jí)別的角色1）在SQLServerManagementStudio中，打開對(duì)象資源管理器，然后展開“服務(wù)器”文件夾。2）展開“數(shù)據(jù)庫”文件夾，展開要添加用戶的數(shù)據(jù)庫，展開“安全性”文件夾，然后展開“數(shù)據(jù)庫角色”文件夾。如圖13-18所示。3）雙擊需要添加用戶登錄賬戶的數(shù)據(jù)庫角色，彈出“數(shù)據(jù)庫角色屬性”對(duì)話框。如圖13-19所示。4）單擊“添加”按鈕，然后選擇要添加的登錄名。5）單擊“確定”按鈕，完成操作。

13.4角色管理

13.4.2數(shù)據(jù)庫級(jí)別的角色（2）可以在用戶的“屬性”對(duì)話框中，選中相應(yīng)的數(shù)據(jù)庫角色的復(fù)選框，將用戶添加到該數(shù)據(jù)庫角色中，如圖13-20所示。

13.4角色管理

13.4.3應(yīng)用程序角色應(yīng)用程序角色使應(yīng)用程序能夠以其自身的、類似用戶的權(quán)限來運(yùn)行。使用應(yīng)用程序角色，可以只允許應(yīng)用程序連接的用戶訪問特定數(shù)據(jù)。與數(shù)據(jù)庫角色不同的是，應(yīng)用程序角色默認(rèn)情況下不包含任何成員，而且是非活動(dòng)的。應(yīng)用程序角色使用兩種身份驗(yàn)證模式，可以使用sp_setapprole來激活，并且需要密碼。在SQLServerManagementStudio中，打開對(duì)象資源管理器，然后展開“數(shù)據(jù)庫”—“安全性”—“角色”，可以看到指定數(shù)據(jù)庫中的角色信息。每個(gè)數(shù)據(jù)庫內(nèi)都包含數(shù)據(jù)庫角色和應(yīng)用程序角色。

13.5權(quán)限管理

13.5.1權(quán)限的類型可以對(duì)SQLServer2008中的各種數(shù)據(jù)庫對(duì)象設(shè)置權(quán)限，包括數(shù)據(jù)庫、表、視圖、存儲(chǔ)過程、架構(gòu)等。權(quán)限用來控制用戶如何訪問數(shù)據(jù)庫對(duì)象。一個(gè)用戶可以直接分配到權(quán)限，以可以作為一個(gè)角色的成員來間接的得到權(quán)限。一個(gè)用戶可以同時(shí)屬于具有不同權(quán)限的多個(gè)角色。權(quán)限分為：對(duì)象權(quán)限、語句權(quán)限、暗示性權(quán)限。

13.5權(quán)限管理

13.5.1權(quán)限的類型1．對(duì)象權(quán)限對(duì)象權(quán)限是指用戶訪問和操作數(shù)據(jù)庫中表、視圖、存儲(chǔ)過程等對(duì)象的權(quán)限。有五個(gè)不同的權(quán)限：查詢（select）插入（insert）更新（update）刪除（delete）執(zhí)行（execute）前四個(gè)權(quán)限用于表和視圖，執(zhí)行只用于存儲(chǔ)過程。

13.5權(quán)限管理

13.5.1權(quán)限的類型2．語句權(quán)限

語句權(quán)限是指用戶創(chuàng)建數(shù)據(jù)庫或在數(shù)據(jù)庫中創(chuàng)建或修改對(duì)象、執(zhí)行數(shù)據(jù)庫或事務(wù)日志備份的權(quán)限。語句權(quán)限有：BACKUPDATABASEBACKUPLOGCREATEDATABASEDEFAULT

13.5權(quán)限管理

13.5.1權(quán)限的類型2．語句權(quán)限

CREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEW

13.5權(quán)限管理

13.5.1權(quán)限的類型3．暗示性權(quán)限暗示性權(quán)限是指系統(tǒng)預(yù)定義角色的成員或數(shù)據(jù)庫對(duì)象所有者所擁有的權(quán)限。例如，sysadmin固定服務(wù)器角色成員自動(dòng)繼承在SQLServer安裝中進(jìn)行操作或查看的全部權(quán)限。數(shù)據(jù)庫對(duì)象所有者還有暗示性權(quán)限，可以對(duì)所擁有的對(duì)象執(zhí)行一切活動(dòng)。

13.5權(quán)限管理

13.5.2權(quán)限的管理暗示性權(quán)限不需要設(shè)置，它是數(shù)據(jù)庫角色和用戶默認(rèn)擁有的權(quán)限?？梢詫?duì)對(duì)象權(quán)限和語句權(quán)限進(jìn)行設(shè)置。設(shè)置權(quán)限包括授予權(quán)限（GRANT）：賦予用戶某權(quán)限、拒絕權(quán)限（DENY）：禁止用戶的某權(quán)限、廢除權(quán)限（REVOKE）：撤銷以前授予或拒絕的權(quán)限等。

13.5權(quán)限管理

13.5.2權(quán)限的管理(1)

使用SQLServerManagementStudio管理權(quán)限

在SQLServerManagementStudio中，右鍵單擊一個(gè)表、視圖或存儲(chǔ)過程，在快捷菜單中選擇“屬性”，打開表屬性窗口。在“選擇項(xiàng)”列表中選擇“權(quán)限”，可以設(shè)置權(quán)限。如圖13-21所示。

13.5權(quán)限管理

13.5.2權(quán)限的管理(2)使用Transact-SQL語句管理權(quán)限1)語句權(quán)限GRANT/DENY/REVOKE{ALL|statement[,...n]}TOsecurity_account[,...n]【例13-4】給用戶gdm創(chuàng)建表的權(quán)限。USECJMSGOGRANTCREATETABLETOgdm

13.5權(quán)限管理

13.5.2權(quán)限的管理(2)使用Transact-SQL語句管理權(quán)限2)對(duì)象權(quán)限GRANT/DENY/REVOKE

{ALL[PRIVILEGES]|permission[,...n]}

{

[(column[,...n])]ON{table|view}

|ON{table|view}[(column[,...n])]

|ON{stored_procedure|extended_procedure}

}

13.5權(quán)限管理

13.5.2權(quán)限的管理(2)使用Transact-SQL語句管理權(quán)限【例13-5】授予用戶gdm在tblStudents表上的SELECT、UPDATE和INSERT權(quán)限。USECJMSGOGRANTSELECT,UPDATE,INSERTONtblStudentsTOgdm

13.5權(quán)限管理

13.5.2權(quán)限的管理(2)使用Transact-SQL語句管理權(quán)限【例13-6】拒絕用戶gdm創(chuàng)建視圖的權(quán)限?！纠?3-7】廢除用戶gdm創(chuàng)建表和視圖的權(quán)限。DENYCREATEVIEWTOgdmREVOKECREATETABLE，CREATEVIEWTOgdm

13.6架構(gòu)

架構(gòu)是形成單個(gè)命名空間的數(shù)據(jù)庫實(shí)體的集合。命名空間是一個(gè)集合，其中每個(gè)元素的名稱都是唯一的。為了避免名稱沖突，同一架構(gòu)中不能有兩個(gè)同名的表。

13.6架構(gòu)

（1）使用SQLServerManagementStudio創(chuàng)建架構(gòu)1）在SQLServerManagementStudio的對(duì)象資源管理器中，展開“數(shù)據(jù)庫”文件夾，展開“安全性”文件夾，展開“架構(gòu)”文件夾，如圖13-22所示。2）右鍵單擊“架構(gòu)”，在彈出菜單中選擇“新建架構(gòu)”，打開“新建架構(gòu)”窗口，如圖13-23所示。填寫架構(gòu)名稱和架構(gòu)的所有者，然后單擊“確定”按鈕。新建的架構(gòu)會(huì)出現(xiàn)在對(duì)象資源管理器中。

13.6架構(gòu)

（2）使用Transact-SQ