SQL Server 網(wǎng)絡(luò)數(shù)據(jù)庫管理項目教程課件13項目十三 安全管理VIP

項目十三:安全管理創(chuàng)建登陸賬戶禁止或刪除登陸賬號添加數(shù)據(jù)庫用戶任務一任務二任務三安全管理任務四刪除數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫角色任務五任務六數(shù)據(jù)庫權(quán)限管理13.1任務1:創(chuàng)建登陸賬戶創(chuàng)建一個SQLServer登陸賬戶，帳號名為lgx，使其具有訪問Student數(shù)據(jù)庫的權(quán)限。13.1.1相關(guān)知識創(chuàng)建登陸賬戶為了保證SQLServer2008數(shù)據(jù)庫的安全，用戶在訪問SQLServer時需輸入正確的用戶名和密碼方可登陸，本任務介紹如何創(chuàng)建SQLServer登陸賬戶。1.身份驗證模式SQLServer有兩種驗證機制Windows驗證機制和SQLServer驗證機制，由這兩種驗證機制產(chǎn)生了兩種SQLServer身份驗證模式：Windows身份驗證模式、SQLServer和Windows身份驗證模式（混合模式）。Windows身份驗證模式只能使用Windows驗證機制，而SQLServer和Windows身份驗證模式則既可以使用Windows驗證機制也可以使用SQLServer驗證機制。選擇使用哪個驗證模式是可以改變的，可以在系統(tǒng)安裝過程中設(shè)置SQLServer的身份驗證模式，也可以在安裝完成后修改。修改的方法為：在要修改的服務器實例上單擊鼠標右鍵，在彈出的快捷菜單中選擇“屬性”命令，在彈出的“服務器屬性”窗口中選擇“安全性”，如圖13-1所示，在“服務器身份驗證”選項組中，選擇“Windows身份驗證模式（W）”或者“SQLServer和Windows身份驗證模式（S）”。圖13-1“服務器屬性”窗口13.1.1相關(guān)知識創(chuàng)建登陸賬戶（1）Windows身份驗證如果Windows的當前用戶在SQLServer中被賦予了權(quán)限，可以直接登陸，不需要再次輸入用戶名和密碼。如果要以其他Windows賬戶登陸SQLServer，則需要先用此賬戶登陸Windows，然后再選擇以Windows身份驗證模式登陸SQLServer。（2）SQLServer身份驗證因為SQLServer管理的帳號與Windows操作系統(tǒng)無關(guān)，所以每次登陸時都需要輸入賬戶和密碼。2.默認賬戶不管選擇哪種驗證模式，都必須先具備有效的用戶登陸賬戶。SQLServer有3個默認賬戶，分別為sa、administrator和guest。sa是systemadministrator（系統(tǒng)管理員）的簡稱，在SQLServer系統(tǒng)和所有數(shù)據(jù)庫中擁有所有權(quán)限。administrator為Windows系統(tǒng)管理員提供的賬戶，也在SQLServer系統(tǒng)和所有數(shù)據(jù)庫中擁有所有權(quán)限。guest賬戶為默認訪問系統(tǒng)用戶賬戶。13.1.1相關(guān)知識創(chuàng)建登陸賬戶3.存儲過程sp_addlogin系統(tǒng)存儲過程sp_addlogin也可以創(chuàng)建SQLServer身份驗證登陸的登陸賬號，其基本語法格式如下。EXECUTEsp_addlogin‘登錄名’,‘登陸密碼’,‘默認數(shù)據(jù)庫’,‘默認語言’說明：登錄名要符合標識符的命名規(guī)則，不能包含‘\’、保留的登錄名或者已經(jīng)存在的登錄名，也不能是空字符串或NULL值。參數(shù)除了登錄名外，其它的參數(shù)為可選項，如果不指定密碼，密碼為NULL；如果不指定默認數(shù)據(jù)庫，則使用master數(shù)據(jù)庫，如果不指定默認語言，則使用服務器當前的默認語言。執(zhí)行存儲過程sp_addlogin時，需要具有相應的權(quán)限，只有sysadmin和securityadmin固定服務器角色的成員才可以執(zhí)行。13.1.2任務實施創(chuàng)建索引方法1.用SSMS創(chuàng)建使用SQLServer身份驗證的登陸賬戶“l(fā)gx”步驟1：在“對象資源管理器”窗口里展開“安全性”節(jié)點，右擊“登錄名”，在彈出的快捷菜單中選擇“新建登錄名”命令，如圖13-2所示。

步驟2：在彈出的“登錄名-新建”窗口中選擇“SQLServer身份驗證”，在“登錄名”文本框中輸入“l(fā)gx”，在“密碼”和“確認密碼”文本框中輸入相同的密碼，比如“123”，選擇“服務器角色”和“用戶映射”選項，指定服務器角色和訪問的數(shù)據(jù)庫及數(shù)據(jù)庫角色，取消“強制密碼過期”和“用戶在下次登陸時必須更改密碼”前的對勾，如圖13-3所示。

步驟3：單擊“確定”按鈕，“l(fā)gx”登錄名創(chuàng)建完成。操作圖示操作圖示圖13-2“對象資源管理器”窗口圖13-3“登錄名-新建”窗口13.2任務2:禁止或刪除登陸賬號禁止或刪除登陸賬號“l(fā)gx”。13.2.1相關(guān)知識禁止或刪除登陸賬號1．禁止登陸賬號是暫時停止用戶的使用權(quán)限，在必要的時候可以恢復使用。刪除登陸賬號是把該賬號從服務器中移除，移除后不可恢復。2．存儲過程sp_droplogin系統(tǒng)存儲過程sp_droplogin的功能是刪除一個SQLServer身份驗證的登陸賬號，語法格式為：EXECUTEsp_droplogin‘登錄名’其中登錄名只能是SQLServer身份驗證的登陸賬號。3．存儲過程sp_revokelogin系統(tǒng)存儲過程sp_revokelogin的功能是刪除一個Windows身份驗證的登陸賬號，語法格式為：EXECUTEsp_revokelogin‘登錄名’其中登錄名只能是Windows身份驗證的登陸賬號。13.2.2任務實施禁止或刪除登陸賬號步驟1：在“對象資源管理器”窗口里展開“安全性”節(jié)點，展開“登錄名”。步驟2：右擊登陸賬號“l(fā)gx”，選擇“屬性”菜單項，彈出“登陸屬性”窗口，如圖13-5所示。禁止登陸方法1.用SSMS禁止登陸賬戶“l(fā)gx”操作圖示步驟3：在“登陸屬性”窗口中選擇“狀態(tài)”選項，如圖13-6所示，在“設(shè)置”的“是否允許連接到數(shù)據(jù)庫引擎”選項組下選擇“拒絕”前的單選框，在“登陸”選擇項下選擇“禁用”前的單選框。步驟4：單擊“確定”按鈕，完成禁止登陸賬號“l(fā)gx”，如果要恢復，同樣的方法單擊“拒絕”或“禁用”即可恢復登陸賬號“l(fā)gx”，不再贅述。操作圖示圖13-5“登陸屬性”窗口圖13-6禁止登陸賬號窗口13.2.2任務實施禁止或刪除登陸賬號步驟1：在“對象資源管理器”窗口里展開“安全性”節(jié)點，展開“登錄名”。步驟2：右擊登陸賬號“l(fā)gx”，選擇“刪除”菜單項，如圖13-7所示。

步驟3：彈出“刪除對象”窗口，如圖13-8所示，單擊“確定”按鈕，刪除賬號“l(fā)gx”。

刪除登陸方法1.用SSMS刪除登陸賬戶“l(fā)gx”操作圖示操作圖示圖13-7刪除登陸窗口圖13-8刪除對象窗口13.2.2任務實施禁止或刪除登陸賬號步驟1：進入SSMS管理界面后，在工具欄中單擊“新建查詢”按鈕，打開“查詢編輯器”窗口。步驟2：在“查詢編輯器”窗口中輸入命令：EXECUTEsp_droplogin'lgx'，單擊“執(zhí)行”按鈕，刪除登陸賬戶成功，如圖13-9所示。

刪除登陸方法2.用T-SQL命令刪除登陸賬戶lgx操作圖示圖13-9刪除賬號命令窗口13.3任務3:添加數(shù)據(jù)庫用戶在當前數(shù)據(jù)庫Student創(chuàng)建數(shù)據(jù)庫用戶lgx。13.3.1相關(guān)知識添加數(shù)據(jù)庫用戶一般情況下，當用戶用登陸帳號登陸到SQLServer后，還不能訪問數(shù)據(jù)庫，要訪問數(shù)據(jù)庫，還需要為登陸帳號映射一個數(shù)據(jù)庫用戶。添加數(shù)據(jù)庫用戶的方式有多種，可以在創(chuàng)建或者修改登陸帳號時的“登陸屬性”窗口的“用戶映射”中建立登陸名到指定數(shù)據(jù)庫的映射，或者在數(shù)據(jù)庫中直接建立數(shù)據(jù)庫用戶?？梢允褂么鎯^程sp_grantdbaccess添加數(shù)據(jù)庫用戶，格式如下：Executesp_grantdbaccess‘登陸名’,’用戶名’說明：登陸名既可以是Windows身份驗證的登陸名，也可以是SQLServer身份驗證的登陸名，用戶名是在該數(shù)據(jù)庫使用的，如果沒有指定，直接使用登陸名，需要注意的是只能向當前數(shù)據(jù)庫中添加用戶登陸帳號的用戶名，不能添加sa的用戶名。1．dbo是數(shù)據(jù)庫的所有者，擁有數(shù)據(jù)庫的所有權(quán)限，每個數(shù)據(jù)庫都有自己的dbo用戶，默認情況下，固定服務器角色sysadmin的成員都自動映射到所有數(shù)據(jù)庫的dbo用戶，該用戶不能被刪除。當一個登錄帳號可以創(chuàng)建數(shù)據(jù)庫時，該登陸帳號就映射到該數(shù)據(jù)庫的dbo用戶。2．guest用戶是來賓用戶，不能刪除，在默認情況下該用戶是禁用的。13.3.2任務實施添加數(shù)據(jù)庫用戶步驟1：在SSMS中，依次展開“數(shù)據(jù)庫”|“Student”|“安全性”|“用戶”，右擊“用戶”節(jié)點，在彈出的快捷菜單中選擇“新建用戶”命令，彈出“數(shù)據(jù)庫用戶-新建”對話框，在用戶名中輸入“l(fā)gx”，如圖13-10所示。

步驟2：輸入登陸名或者單擊“登陸名”右側(cè)的“…”按鈕，彈出“選擇登錄名”對話框，如圖13-11所示。方法1.在SSMS中創(chuàng)建Student數(shù)據(jù)庫用戶lgx。操作圖示操作圖示圖13-10“數(shù)據(jù)庫用戶-新建”對話框圖13-11“查找對象”對話框13.3.2任務實施步驟3：單擊“瀏覽”按鈕，彈出“選擇對象”對話框，如圖13-12所示。

步驟4：選擇要授權(quán)訪問Student數(shù)據(jù)庫的SQLServer登錄帳號“l(fā)gx”，連續(xù)三次單擊“確定”按鈕，完成數(shù)據(jù)庫用戶的創(chuàng)建。操作圖示圖13-12“選擇對象”對話框13.3.2任務實施添加數(shù)據(jù)庫步驟1：進入SSMS管理界面后，在工具欄中單擊“新建查詢”按鈕，打開“查詢編輯器”窗口。步驟2：在“查詢編輯器”窗口中輸入命令：EXECUTEsp_grantdbaccess'lgx','lgx'，單擊“執(zhí)行”按鈕，創(chuàng)建成功，如圖13-13所示。方法2：使用存儲過程sp_grantdbaccess創(chuàng)建Student數(shù)據(jù)庫用戶lgx。操作圖示圖13-13創(chuàng)建用戶命令窗口13.3任務4:刪除數(shù)據(jù)庫用戶刪除數(shù)據(jù)庫Student中的數(shù)據(jù)庫用戶“l(fā)gx”。13.4.1相關(guān)知識刪除數(shù)據(jù)庫用戶從當前數(shù)據(jù)庫中刪除一個數(shù)據(jù)庫用戶，即刪除了登陸帳號到當前數(shù)據(jù)庫用戶的映射。13.4.2任務實施刪除數(shù)據(jù)庫用戶步驟1：在SSMS中，依次展開“數(shù)據(jù)庫”|“Student”|“安全性”|“用戶”，右擊要刪除的用戶名節(jié)點“l(fā)gx”，在彈出的快捷菜單中選擇“刪除命令”命令，彈出“刪除對象”對話框，如圖13-14所示。

步驟2：單擊“確定”按鈕，刪除數(shù)據(jù)庫用戶成功。方法1.在SSMS中刪除Student數(shù)據(jù)庫用戶lgx。操作圖示圖13-14“刪除對象”對話框13.4.2任務實施刪除數(shù)據(jù)庫用戶步驟1：進入SSMS管理界面后，在工具欄中單擊“新建查詢”按鈕，打開“查詢編輯器”窗口。步驟2：在“查詢編輯器”窗口中輸入命令：EXECUTEsp_revokedbaccess'lgx'，單擊“執(zhí)行”按鈕，刪除成功，如圖13-15所示。

方法2：使用存儲過程sp_revokedbaccess刪除Student數(shù)據(jù)庫用戶lgx。操作圖示圖13-15刪除用戶命令窗口13.5任務5:創(chuàng)建數(shù)據(jù)庫角色在數(shù)據(jù)庫Student中創(chuàng)建數(shù)據(jù)庫角色myrole，該角色中的成員有數(shù)據(jù)庫用戶lgx。13.5.1相關(guān)知識創(chuàng)建數(shù)據(jù)庫角色角色是用來集中服務器和數(shù)據(jù)庫權(quán)限的，管理員把權(quán)限賦給角色，角色再賦給數(shù)據(jù)庫用戶或者登陸帳號，則登陸帳號或數(shù)據(jù)庫用戶就擁有了該角色的權(quán)限。在創(chuàng)建登陸帳號時可以對服務器角色進行設(shè)置，在創(chuàng)建數(shù)據(jù)庫用戶時可以對數(shù)據(jù)庫角色進行設(shè)置。在SQLServer中有兩種角色，分別是服務器角色和數(shù)據(jù)庫角色。角色的概念比較抽象，比如在學校的教務管理系統(tǒng)中存在3類不同權(quán)限的用戶，管理員、教師和學生，可以在數(shù)據(jù)庫中定義三種角色，管理員角色、教師角色和學生角色。所有的管理員都是管理員角色的成員，所有的教師都是教師角色的成員，所有的學生都是學生角色的成員。在數(shù)據(jù)庫的設(shè)計時把所有的用戶都作為這三種角色的成員之一，只需要對三種角色進行權(quán)限設(shè)置，該角色的成員就擁有了相應角色的權(quán)限，不需要對每個用戶進行權(quán)限設(shè)置。13.5.1相關(guān)知識創(chuàng)建數(shù)據(jù)庫角色1．服務器角色服務器角色獨立于各個數(shù)據(jù)庫，當創(chuàng)建一個登陸帳號后，要賦予該登陸帳號管理服務器的權(quán)限，可以設(shè)置該登陸帳號為服務器角色的成員。SQLServer2008中提供的固定服務器角色如表13-1所示。表13-1固定服務器角色角色名稱角色含義說明sysadmin系統(tǒng)管理員該角色成員擁有所有的權(quán)限許可，是最高管理角色serveradmin服務器管理員該角色成員可對服務器進行設(shè)置diskadmin磁盤管理員該角色成員可管理磁盤文件processadmin進程管理員該角色成員可管理系統(tǒng)進程securityadmin安全管理員該角色成員可管理登陸名及屬性，可授予、拒絕、撤銷服務器級和數(shù)據(jù)庫級的權(quán)限，可重置登陸名的密碼setupadmin設(shè)置管理員該角色成員可增加、刪除連接服務器，并執(zhí)行某些系統(tǒng)存儲過程dbcreator數(shù)據(jù)庫創(chuàng)建者該角色成員可創(chuàng)建、修改或刪除數(shù)據(jù)庫blkadmin批量數(shù)據(jù)輸入管理員該角色成員可執(zhí)行BULKINSERT語句，但是該角色的成員對要插入數(shù)據(jù)的表具有INSERT權(quán)限public

該角色的成員可以查看數(shù)據(jù)庫13.5.1相關(guān)知識創(chuàng)建數(shù)據(jù)庫角色2．數(shù)據(jù)庫角色在SQLServer中包括兩種數(shù)據(jù)庫角色，分別是固定數(shù)據(jù)庫角色和用戶自定義角色。固定數(shù)據(jù)庫角色定義在數(shù)據(jù)庫級別上，用戶不能增加、修改或者刪除固定數(shù)據(jù)庫角色。由于用戶有時需要一些特殊的權(quán)限，固定數(shù)據(jù)庫角色無法實現(xiàn)，因此需要用戶自定義角色，這是對固定數(shù)據(jù)庫角色的補充。在數(shù)據(jù)庫角色中添加用戶，可以使用戶獲得相關(guān)的管理或訪問數(shù)據(jù)庫及數(shù)據(jù)庫對象的權(quán)限。固定的數(shù)據(jù)庫角色如表13-2所示。表13-2固定數(shù)據(jù)庫角色角色名稱說明db_owner數(shù)據(jù)庫所有者，該角色成員可執(zhí)行數(shù)據(jù)庫的所有管理操作db_accessadmin數(shù)據(jù)庫訪問權(quán)限管理員，該角色成員可添加或刪除數(shù)據(jù)庫用戶、工作組和角色db_securityadmin數(shù)據(jù)庫安全管理員，該角色成員可修改成員身份和管理數(shù)據(jù)庫的權(quán)限db_ddladmin數(shù)據(jù)庫DDL管理員，該角色成員可在數(shù)據(jù)庫中運行數(shù)據(jù)定義語言DDL命令，允許創(chuàng)建、修改或者刪除數(shù)據(jù)庫對象db_backupoperator數(shù)據(jù)庫備份操作者，該角色成員可備份數(shù)據(jù)庫db_datareader數(shù)據(jù)庫數(shù)據(jù)讀取者，該角色成員可讀取所有用戶表中的數(shù)據(jù)db_datawriter數(shù)據(jù)庫數(shù)據(jù)寫入者，該角色成員可向所有用戶表中添加、更改或者刪除數(shù)據(jù)db_denydatareader數(shù)據(jù)庫拒絕數(shù)據(jù)讀取者，該角色成員不能讀取數(shù)據(jù)庫中任何表的內(nèi)容db_denydatawriter數(shù)據(jù)庫拒絕數(shù)據(jù)寫入者，該角色成員不能對任何表進行添加、刪除或者修改操作public特殊的數(shù)據(jù)庫角色，每個數(shù)據(jù)庫用戶都是public角色的成員，在沒有對某個用戶授予特定權(quán)限時，此用戶將繼承授予該安全對象的public角色的權(quán)限。public角色不可以被刪除13.5.2任務實施創(chuàng)建數(shù)據(jù)庫角色步驟1：在SSMS中，依次展開“數(shù)據(jù)庫”|“Student”|“安全性”|“角色”，右擊“角色”節(jié)點，在彈出的快捷菜單中依次選擇“新建”|“新建數(shù)據(jù)庫角色”命令，如圖13-16所示。

步驟2：在彈出“數(shù)據(jù)庫角色-新建”對話框中輸入角色名稱“myrole”，在“所有者”框中選擇“dbo”，單擊“添加”按鈕，彈出“選擇數(shù)據(jù)庫用戶或角色”對話框，單擊“瀏覽”按鈕，選擇“l(fā)gx”，如圖13-17所示。

方法1.在SSMS中創(chuàng)建數(shù)據(jù)庫角色myrole。操作圖示操作圖示圖13-16“新建數(shù)據(jù)庫角色”對話框圖13-17“選擇數(shù)據(jù)庫用戶或角色”對話框13.5.2任務實施創(chuàng)建數(shù)據(jù)庫角色步驟3：單擊“確定”按鈕，“l(fā)gx”出現(xiàn)在角色成員列表中，如圖13-18所示。

步驟4：單擊“確定”按鈕，完成角色創(chuàng)建，此時僅僅創(chuàng)建了一個角色名，在后面的任務中將為該角色指定權(quán)限。說明：如果要刪除角色“myrole”，則選中角色名稱，單擊鼠標右鍵，在彈出的菜單中選擇“刪除”命令，操作比較簡單，不再贅述。操作圖示圖13-18“數(shù)據(jù)庫角色-新建”對話框13.5.2任務實施創(chuàng)建數(shù)據(jù)庫角色步驟1：進入SSMS管理界面后，在工具欄中單擊“新建查詢”按鈕，打開“查詢編輯器”窗口。步驟2：在“查詢編輯器”窗口中輸入命令：EXECUTEsp_addrole'myrole'，單擊“執(zhí)行”按鈕，創(chuàng)建成功，如圖13-19所示。

說明：刪除數(shù)據(jù)庫角色命令為存儲過程：sp_droprole角色名，刪除時特別需要注意的是如果角色中有成員，則刪除失敗，為了保證操刪除作成功運行，在刪除角色前需要先刪除角色成員，其他與創(chuàng)建過程類似，不再贅述。方法2.使用存儲過程sp_addrole創(chuàng)建數(shù)據(jù)庫角色。操作圖示圖13-19刪除數(shù)據(jù)庫角色對話框13.6任務6:數(shù)據(jù)庫權(quán)限管理給數(shù)據(jù)庫用戶lgx授予在Student數(shù)據(jù)庫上的CREATETABLE語句的權(quán)限；給數(shù)據(jù)庫用戶lgx授予在學生表上的SELECT、INSERT權(quán)限。13.6.1相關(guān)知識數(shù)據(jù)庫權(quán)限管理數(shù)據(jù)庫的權(quán)限是指用戶可以獲得哪些數(shù)據(jù)庫對象的使用權(quán)，以及用戶能夠?qū)@些對象執(zhí)行哪種操作。把一個登錄名映射為一個數(shù)據(jù)庫用戶，把用戶名添加到某個數(shù)據(jù)庫角色中，或者直接對數(shù)據(jù)庫用戶進行設(shè)置，都是為了對數(shù)據(jù)庫的訪問權(quán)限進行設(shè)置，使用戶可以執(zhí)行被授權(quán)的操作。1. 基本概念權(quán)限管理是指把安全對象的權(quán)限授予主體，撤銷或者禁止主體對安全對象的權(quán)限。（1）主體主體是可以請求SQLServer資源的個體、組和過程。主體的分類如表13-3所示。13.6.1相關(guān)知識數(shù)據(jù)庫權(quán)限管理（2）安全對象安全對象是數(shù)據(jù)庫引擎授權(quán)系統(tǒng)控制對其進行訪問的資源。每個SQLServer安全對象都有可能授予主體的關(guān)聯(lián)權(quán)限，安全對象如表13-4所示。表13-4安全對象內(nèi)容主體內(nèi)容Windows級別主體Windows域名登錄名、Windows本地登錄名SQLServer級別主體SQLServer登錄名數(shù)據(jù)庫級別主體數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色、應用程序角色表13-3主體的分類13.6.1相關(guān)知識數(shù)據(jù)庫權(quán)限管理（2）安全對象安全對象是數(shù)據(jù)庫引擎授權(quán)系統(tǒng)控制對其進行訪問的資源。每個SQLServer安全對象都有可能授予主體的關(guān)聯(lián)權(quán)限，安全對象如表13-4所示。表13-4安全對象內(nèi)容安全對象內(nèi)容服務器端點、登陸賬號、數(shù)據(jù)庫數(shù)據(jù)庫用戶、角色、應用程序角色、程序集、消息類型、路由、服務、遠程服務綁定、安全索引、證書、非對稱密鑰、約定和架構(gòu)架構(gòu)類型、XML架構(gòu)集合和對象對象聚合、約束、函數(shù)、過程、隊列、統(tǒng)計信息、同義詞、表和視圖13.6.1相關(guān)知識數(shù)據(jù)庫權(quán)限管理（3）架構(gòu)數(shù)據(jù)庫架構(gòu)是一個獨立于數(shù)據(jù)庫用戶的非重復的命名空間，數(shù)據(jù)庫中的對象都屬于某一個架構(gòu)。一個架構(gòu)只能有一個所有者，所有者可以使用用戶、數(shù)據(jù)庫角色等。（4）權(quán)限主要安全對象的權(quán)限如表13-5所示。安全對象權(quán)限數(shù)據(jù)庫BACKUPDATABASE、BACKUPLOG、CREATEDATABASE、CREATEFUNCTION、CREATEPROCEDURE、CREATERULE、CREATETABLE、CREATEVIEW標量函數(shù)REFERENCES、EXECUTE表值函數(shù)、表和視圖DELETE、INSERT、SELECT、UPDATE、REFERENCES存儲過程DELETE、EXECUTE、INSERT、SELECT、UPDATE表13-5主要安全對象權(quán)限13.6.1相關(guān)知識數(shù)據(jù)庫權(quán)限管理2.權(quán)限管理權(quán)限管理主要包括授予權(quán)限、拒絕訪問和撤銷權(quán)限三種操作。（1）授予權(quán)限允許某個用戶或角色對某個對象執(zhí)行某種操作?？梢允褂肧QL命令GRANT實現(xiàn)該功能，也可以在SSMS中的復選框中選擇對號“”實現(xiàn)。使用GRANT語句可以給數(shù)據(jù)庫用戶或者數(shù)據(jù)庫角色授予數(shù)據(jù)庫級別或者對象級別的權(quán)限，語法格式如下：GRANT{ALL[PRIVILEGES]}|權(quán)限[(列[,…])][,…][ON安全對象]TO主體[,…][WITHGRANTOPTION][AS主體]13.6.1相關(guān)知識數(shù)據(jù)庫權(quán)限管理

ALL：指所有權(quán)限。ALLPRIVILIGES是SQL-92標準用法。

權(quán)限：權(quán)限名稱。不同的安全對象，權(quán)限的取值也不同。數(shù)據(jù)庫的權(quán)限取值可以為BACKUPDATABASE、BACKUPLOG、CREATEDATABASE、CREATEDEFAULT、CREATEFUNCTION、CREATEPROCEDURE、CREATERULE、CREATETABLE和CREATEVIEW等；表、視圖或表值函數(shù)的權(quán)限可以是SELECT、INSERT、DELETE、UPDATE或REFERENCES；存儲過程的權(quán)限為EXECUTE。

列：指定表、視圖或表值函數(shù)中要授予其權(quán)限的列的名稱。

ON安全對象：指定將授予其權(quán)限的安全對象。

主體：被授予權(quán)限的對象，可以是當前數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色。

WITHGRANTOPTION：被授權(quán)者可以把獲得的權(quán)限授予其他用戶。

AS主體：當前數(shù)據(jù)庫中執(zhí)行GRANT語句的用戶所屬的角色名或組名。13.6.1相關(guān)知識數(shù)據(jù)庫權(quán)限管理（2）拒絕訪問拒絕某個用戶或角色對某個對象執(zhí)行某種操作?？梢允褂肧QL命令DENY實現(xiàn)該功能，也可以在SSMS中的復選框中選擇叉號“”實現(xiàn)。使用DENY語句可以拒絕給當前數(shù)據(jù)庫中的用戶授予權(quán)限，防止數(shù)據(jù)庫用戶通過組或者角色成員資格繼承權(quán)限，語法格式如下：DENY{ALL[PRIVILEGES]}|權(quán)限[(列[,…])][,…][ON安全對象]TO主體[,…][CASCADE][AS主體]說明：

DENY語法格式中各項的含義與GRANT中的相同項含義類似，不再贅述。

CASCADE：拒絕授予指定用戶或者角色的權(quán)限，同時對該用戶或者角色授予該權(quán)限的所有其他用戶和角色也拒絕授予該權(quán)限。13.6.1相關(guān)知識數(shù)據(jù)庫權(quán)限管理（3）撤銷權(quán)限撤銷以前給當前數(shù)據(jù)庫用戶授予或拒絕的權(quán)限，語法格式如下：REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|權(quán)限[(列[,…])][,…]}[ON安全對象]{TO|FROM}主體[,…][CASCADE][AS主體]說明：

REVOKE語法格式中各項的含義與GRANT中的相同項含義類似，不再贅述。

CASCADE：回收指定用戶或者角色的權(quán)限，同時回收轉(zhuǎn)授出的權(quán)限。13.6.2任務實施數(shù)據(jù)庫權(quán)限管理步驟1：以系統(tǒng)管理員身份登陸到SQLServer服務器，在SSMS中，依次展開“數(shù)據(jù)庫”|“Student”，右擊“Student”節(jié)點，在彈出的快捷菜單中依次選擇“屬性”菜單項進入到“數(shù)據(jù)庫屬性”對話框，在該窗口中選擇“權(quán)限”頁，如圖13-20所示。

步驟2：在“用戶或角色”欄中選擇需要授予權(quán)限的用戶或角色“l(fā)gx”，在窗口下方的權(quán)限列表中找到需要設(shè)置的權(quán)限“創(chuàng)建表”后的復選框中打鉤，如圖13-20所示，單擊“確定”按鈕，完成數(shù)據(jù)庫權(quán)限的設(shè)置。步驟3：在SSMS中，依次展開“數(shù)據(jù)庫”|“Student”|“表”|“學生表”，右擊“學生表”節(jié)點，在彈出的快捷菜單中依次選擇“屬性”菜單項進入到“表屬性”對話框，在該窗口中選擇“權(quán)限”頁，如圖13-21所示。方法1.在SSMS中授予權(quán)限。操作圖示操作圖示圖13-20“數(shù)據(jù)庫屬性”對話框圖13-21“表屬性”對話框13.6.2任務實施數(shù)據(jù)庫權(quán)限管理步驟4：單擊“搜索”按鈕，在彈出的“選擇用戶或角色”對話框中單擊“瀏覽”按鈕，