第15講 數(shù)據(jù)庫的安全管理

1、數(shù)據(jù)庫的安全管理數(shù)據(jù)庫的安全管理 2022-5-182主要內(nèi)容主要內(nèi)容SQL Server 的安全機(jī)制的安全機(jī)制登錄賬號管理登錄賬號管理數(shù)據(jù)庫用戶的管理數(shù)據(jù)庫用戶的管理角色管理角色管理權(quán)限管理權(quán)限管理2022-5-18311.1 SQL Server 的安全機(jī)制的安全機(jī)制11.1.1 身份驗(yàn)證身份驗(yàn)證11.1.2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置2022-5-18411.1.1 身份驗(yàn)證身份驗(yàn)證SQL Server的安全性管理是建立在的安全性管理是建立在身份驗(yàn)證身份驗(yàn)證和訪問和訪問許可兩者機(jī)制上的。許可兩者機(jī)制上的。身份驗(yàn)證是確定登錄身份驗(yàn)證是確定登錄SQL Server的用戶的登錄賬號的

2、用戶的登錄賬號和密碼是否正確，以此來驗(yàn)證其是否具有連接和密碼是否正確，以此來驗(yàn)證其是否具有連接SQL Server的權(quán)限。的權(quán)限。通過認(rèn)證的用戶必須獲取訪問數(shù)據(jù)庫的權(quán)限，才能通過認(rèn)證的用戶必須獲取訪問數(shù)據(jù)庫的權(quán)限，才能對數(shù)據(jù)庫進(jìn)行權(quán)限許可下的操作。對數(shù)據(jù)庫進(jìn)行權(quán)限許可下的操作。2022-5-185SQL Server身份驗(yàn)證模式身份驗(yàn)證模式 (1)Windows身份驗(yàn)證模式身份驗(yàn)證模式該模式使用該模式使用Windows操作系統(tǒng)的安全機(jī)制驗(yàn)證用戶操作系統(tǒng)的安全機(jī)制驗(yàn)證用戶身份，只要用戶能夠通過身份，只要用戶能夠通過Windows用戶賬號驗(yàn)證，即可用戶賬號驗(yàn)證，即可連接到連接到SQL Server

3、而不再進(jìn)行身份驗(yàn)證。而不再進(jìn)行身份驗(yàn)證。這種模式只適用于能夠提供有效身份驗(yàn)證的這種模式只適用于能夠提供有效身份驗(yàn)證的Windows操作系統(tǒng)。操作系統(tǒng)。 2022-5-186 (2)混合身份驗(yàn)證模式混合身份驗(yàn)證模式在該模式下，在該模式下，Windows身份驗(yàn)證和身份驗(yàn)證和SQL server驗(yàn)證驗(yàn)證兩種模式都可用。對于可信任連接用戶兩種模式都可用。對于可信任連接用戶(由由Windows驗(yàn)驗(yàn)證證)，系統(tǒng)直接采用，系統(tǒng)直接采用Windows的身份驗(yàn)證機(jī)制，否則的身份驗(yàn)證機(jī)制，否則SQL Server將通過賬號的存在性和密碼的匹配性自行進(jìn)將通過賬號的存在性和密碼的匹配性自行進(jìn)行驗(yàn)證，即采用行驗(yàn)證，即采

4、用SQL Server身份驗(yàn)證模式。身份驗(yàn)證模式。 2022-5-18711.1.2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置 在該模式下，在該模式下，Windows身份驗(yàn)證和身份驗(yàn)證和SQL server驗(yàn)證驗(yàn)證兩種模式都可用。對于可信任連接用戶兩種模式都可用。對于可信任連接用戶(由由Windows驗(yàn)驗(yàn)證證)，系統(tǒng)直接采用，系統(tǒng)直接采用Windows的身份驗(yàn)證機(jī)制，否則的身份驗(yàn)證機(jī)制，否則SQL Server將通過將通過賬號的存在性和密碼的匹配性賬號的存在性和密碼的匹配性自行進(jìn)自行進(jìn)行驗(yàn)證，即采用行驗(yàn)證，即采用SQL Server身份驗(yàn)證模式。身份驗(yàn)證模式。 2022-5-188身份驗(yàn)證內(nèi)容身份

5、驗(yàn)證內(nèi)容n包括確認(rèn)用戶的賬號是否有效、能否訪問系統(tǒng)、包括確認(rèn)用戶的賬號是否有效、能否訪問系統(tǒng)、能訪問系統(tǒng)的哪些數(shù)據(jù)庫。能訪問系統(tǒng)的哪些數(shù)據(jù)庫。2022-5-18911.1.2 身份驗(yàn)證模式的設(shè)置身份驗(yàn)證模式的設(shè)置 (1)打開企業(yè)管理器，打開企業(yè)管理器，在樹型結(jié)構(gòu)窗口中展在樹型結(jié)構(gòu)窗口中展開一個服務(wù)器組，選開一個服務(wù)器組，選擇要設(shè)置身份驗(yàn)證模擇要設(shè)置身份驗(yàn)證模式的服務(wù)器。式的服務(wù)器。(2)在該服務(wù)器上單在該服務(wù)器上單擊鼠標(biāo)右鍵，在彈出擊鼠標(biāo)右鍵，在彈出的菜單中選擇的菜單中選擇“屬性屬性”項(xiàng)。項(xiàng)。(3)打開打開“屬性屬性”對對話框，選擇話框，選擇“安全性安全性”選項(xiàng)卡選項(xiàng)卡2022-5-1810(

6、4)在在“身份驗(yàn)證身份驗(yàn)證”處選擇要設(shè)置的驗(yàn)證模式，同時處選擇要設(shè)置的驗(yàn)證模式，同時可以在可以在“審核級別審核級別”處選擇任意一個單選按鈕，來決處選擇任意一個單選按鈕，來決定跟蹤記錄用戶登錄時的哪種信息，例如登錄成功或定跟蹤記錄用戶登錄時的哪種信息，例如登錄成功或失敗的信息。失敗的信息。(5)單擊單擊“確定確定”按鈕完成設(shè)置。按鈕完成設(shè)置。 2022-5-1811通過編輯通過編輯SQL Server注冊屬性來完成身份驗(yàn)證模式的設(shè)置注冊屬性來完成身份驗(yàn)證模式的設(shè)置(1)打開企業(yè)管打開企業(yè)管理器，在樹型結(jié)構(gòu)理器，在樹型結(jié)構(gòu)窗口中選擇要設(shè)置窗口中選擇要設(shè)置身份驗(yàn)證模式的服身份驗(yàn)證模式的服務(wù)器。務(wù)器。

7、(2)在該服務(wù)器在該服務(wù)器上單擊鼠標(biāo)右鍵，上單擊鼠標(biāo)右鍵，在彈出菜單中選擇在彈出菜單中選擇“編輯編輯SQL Server注冊屬性注冊屬性”項(xiàng)項(xiàng)2022-5-1812(3)打開打開“已注冊已注冊SQL Server屬性屬性”對對話框話框(4)選擇要設(shè)置的身選擇要設(shè)置的身份驗(yàn)證模式，單擊份驗(yàn)證模式，單擊“確定確定”按鈕。按鈕。2022-5-181311.2 登錄賬號管理登錄賬號管理11.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶11.2.2 修改登錄賬戶修改登錄賬戶11.2.3 刪除登錄賬戶刪除登錄賬戶2022-5-181411.2.1 創(chuàng)建登錄賬戶創(chuàng)建登錄賬戶n創(chuàng)建登錄賬戶的方法有兩種：創(chuàng)建登錄賬戶的方法

8、有兩種：一種是從一種是從Windows用戶或組中創(chuàng)建登錄賬戶用戶或組中創(chuàng)建登錄賬戶一種是創(chuàng)建新的一種是創(chuàng)建新的SQL Server登錄賬戶。登錄賬戶。2022-5-18151. 通過通過Windows身份驗(yàn)證創(chuàng)建登錄身份驗(yàn)證創(chuàng)建登錄 (1)創(chuàng)建創(chuàng)建Windows用戶用戶以管理員身以管理員身份登錄到份登錄到Windows 2000，選擇，選擇“開始開始程程序序管理工管理工具具計算機(jī)計算機(jī)管理管理”選項(xiàng)。選項(xiàng)。 2022-5-1816展開展開“本地用戶和本地用戶和組組”文件夾，選擇文件夾，選擇“用戶用戶”圖標(biāo)，單圖標(biāo)，單擊鼠標(biāo)右鍵，在快擊鼠標(biāo)右鍵，在快捷菜單中選擇捷菜單中選擇“新新用戶用戶”項(xiàng)，打

9、開項(xiàng)，打開“新用戶新用戶”對話框，對話框，輸入用戶名、密碼，輸入用戶名、密碼，單擊單擊“創(chuàng)建創(chuàng)建”按鈕，按鈕，然后單擊然后單擊“關(guān)閉關(guān)閉”按鈕完成創(chuàng)建。按鈕完成創(chuàng)建。2022-5-1817(2)使用企業(yè)管理器將使用企業(yè)管理器將Windows 2000賬號加入到賬號加入到SQL Server中，創(chuàng)建中，創(chuàng)建SQL Server登錄登錄以管理員身份登錄到以管理員身份登錄到SQL Server，進(jìn)入企業(yè)管理，進(jìn)入企業(yè)管理器，選擇要訪問的服務(wù)器。器，選擇要訪問的服務(wù)器。展開展開“安全性安全性”文件夾，右鍵單擊文件夾，右鍵單擊“登錄登錄”項(xiàng)，項(xiàng)，在彈出菜單中選擇在彈出菜單中選擇“創(chuàng)建登錄創(chuàng)建登錄”項(xiàng)，打

10、開項(xiàng)，打開“SQL Server登錄屬性登錄屬性”對話框。對話框。2022-5-1818在在“SQL Server登錄屬性登錄屬性”對話對話框的框的“常規(guī)常規(guī)”選選項(xiàng)卡中，單擊項(xiàng)卡中，單擊“名稱名稱”輸入框輸入框旁的旁的“瀏覽瀏覽”按按鈕，在彈出對話鈕，在彈出對話框的框的“名稱名稱”列列表中選擇名為表中選擇名為“xh001”的用戶，的用戶，單擊單擊“添加添加”按按鈕。鈕。2022-5-1819單擊單擊“確定確定”按鈕，返回按鈕，返回“SQL Server登登錄屬性錄屬性”對話框，對話框，Windows用戶用戶xh001就可以連就可以連接接SQL Server了。了。 2022-5-1820對于

11、已經(jīng)創(chuàng)建的對于已經(jīng)創(chuàng)建的Windows用戶或組，可以使用系統(tǒng)用戶或組，可以使用系統(tǒng)存儲過程存儲過程sp_grantlogin授予其登錄授予其登錄SQL Server的權(quán)限。的權(quán)限。其語法格式如下：其語法格式如下： sp_grantlogin loginame= login 其中，其中，loginame= login 為要添加的為要添加的Windows用戶或組的名稱，名稱格式為用戶或組的名稱，名稱格式為“域名域名計計算機(jī)名算機(jī)名用戶名用戶名”。2022-5-1821例例11-1 使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_grantlogin將將Windows用用戶戶huang加入加入SQL Serv

12、er中。中。 EXEC sp_grantlogin jsjx-yphuang或或 EXEC sp_grantlogin jsjx-yphuang該操作授予了該操作授予了Windows用戶用戶jsjx-yphuang連接到連接到SQL Server的權(quán)限。的權(quán)限。例例11-2 授予本地組授予本地組Users中的所有用戶連接中的所有用戶連接SQL Server的權(quán)限。的權(quán)限。 EXEC sp_grantlogin BUILTINUsers該操作由于授予的是該操作由于授予的是本地組中的用戶，所以使用本地組中的用戶，所以使用BUILTIN關(guān)鍵字代替域名和計算機(jī)名。關(guān)鍵字代替域名和計算機(jī)名。2022-5

13、-1822如果使用混合驗(yàn)證模式或不通過如果使用混合驗(yàn)證模式或不通過Windows用戶或用用戶或用戶組連接戶組連接SQL Server，則需要在，則需要在SQL Server下創(chuàng)建用戶下創(chuàng)建用戶登錄權(quán)限，使用戶得以連接使用登錄權(quán)限，使用戶得以連接使用SQL Server身份驗(yàn)證的身份驗(yàn)證的SQL Server實(shí)例。實(shí)例。2. 創(chuàng)建創(chuàng)建SQL Server登錄登錄2022-5-1823(1)使用企業(yè)管理器創(chuàng)建登錄賬戶使用企業(yè)管理器創(chuàng)建登錄賬戶 打開企業(yè)管理器，在樹型結(jié)構(gòu)窗口中展開要設(shè)置打開企業(yè)管理器，在樹型結(jié)構(gòu)窗口中展開要設(shè)置身份驗(yàn)證模式的服務(wù)器。展開身份驗(yàn)證模式的服務(wù)器。展開“安全性安全性”選項(xiàng)

14、，用鼠標(biāo)選項(xiàng)，用鼠標(biāo)右鍵單擊其中的右鍵單擊其中的“登錄登錄”項(xiàng)，在彈出的快捷菜單中單擊項(xiàng)，在彈出的快捷菜單中單擊“新建登錄新建登錄”命令，打開命令，打開“新建登錄新建登錄”對話框，參見圖對話框，參見圖11-7。在在“新建登錄新建登錄”對話框的對話框的“常規(guī)常規(guī)”選項(xiàng)卡的選項(xiàng)卡的“名名稱稱”框中輸入框中輸入SQL Server登錄的名稱，例如登錄的名稱，例如ZG001。選中選中“SQL Server身份驗(yàn)證身份驗(yàn)證”，在，在“密碼密碼”框中框中輸入密碼，例如輸入密碼，例如001。2022-5-1824在在“數(shù)據(jù)庫數(shù)據(jù)庫”下拉框中選擇登錄到下拉框中選擇登錄到SQL Server實(shí)實(shí)例后要連接的默認(rèn)

15、數(shù)據(jù)庫，例如例后要連接的默認(rèn)數(shù)據(jù)庫，例如master數(shù)據(jù)庫。數(shù)據(jù)庫。在在“語言語言”對話框中，選擇顯示給用戶的信息所對話框中，選擇顯示給用戶的信息所用的默認(rèn)語言。用的默認(rèn)語言。單擊單擊“確定確定”按鈕，按鈕，“確認(rèn)密碼確認(rèn)密碼”對話框輸入確對話框輸入確認(rèn)新密碼，如認(rèn)新密碼，如001，單擊，單擊“確定確定”按鈕完成操作。按鈕完成操作。2022-5-1825(2)使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_addlongin創(chuàng)建登錄創(chuàng)建登錄sp_addlogin語法格式如下：語法格式如下：sp_addlogin loginame= login, passwd= password , defdb= dat

16、abase, deflanguage= language , sid=sid, encryptopt= encryption_option 2022-5-1826例例11-3 使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_addlongin創(chuàng)建登錄，創(chuàng)建登錄，新登錄名為新登錄名為“ZG002”，密碼為，密碼為“002”默認(rèn)數(shù)據(jù)庫為默認(rèn)數(shù)據(jù)庫為“Sales”。EXEC sp_addlogin ZG002,002,Sales例例11-3 使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_addlongin創(chuàng)建登錄，創(chuàng)建登錄，新登錄名為新登錄名為“ZG002”，密碼為，密碼為“002”默認(rèn)數(shù)據(jù)庫為默認(rèn)數(shù)據(jù)庫為“Sale

17、s”。EXEC sp_addlogin ZG002,002,Sales2022-5-1827例例11-4 創(chuàng)建沒有密碼和默認(rèn)數(shù)據(jù)庫的登錄，登錄名創(chuàng)建沒有密碼和默認(rèn)數(shù)據(jù)庫的登錄，登錄名為為“ZG003”。EXEC sp_addlogin ZG003該操作為用戶該操作為用戶ZG003創(chuàng)建一個創(chuàng)建一個SQL Server登錄名，登錄名，沒有指定密碼和默認(rèn)數(shù)據(jù)庫，使用沒有指定密碼和默認(rèn)數(shù)據(jù)庫，使用默認(rèn)密碼默認(rèn)密碼NULL和默和默認(rèn)數(shù)據(jù)庫認(rèn)數(shù)據(jù)庫master。2022-5-1828創(chuàng)建了登錄賬戶后，如果需要確定用戶是否有連接創(chuàng)建了登錄賬戶后，如果需要確定用戶是否有連接SQL Server實(shí)例的權(quán)限，以及

18、可以訪問哪些數(shù)據(jù)庫的信實(shí)例的權(quán)限，以及可以訪問哪些數(shù)據(jù)庫的信息時，可以使用系統(tǒng)存儲過程息時，可以使用系統(tǒng)存儲過程sp_helplogins查看。查看。sp_helplogins的語法格式如下：的語法格式如下：sp_helplogins LoginNamePattern= login例例11-5 查看賬戶信息。查看賬戶信息。EXEC sp_helplogins ZG002該操作查詢有關(guān)登錄該操作查詢有關(guān)登錄ZG002的信息的信息3. 查看用戶查看用戶2022-5-1829sp_password的語法格式為：的語法格式為：sp_password old=old_password,new=new_p

19、assword , loginame=loginsp_defaultdb的語法格式為：的語法格式為：sp_defaultdb logname= login, defdb=databasessp_defaultlanguage的語法格式為：的語法格式為：sp_defaultlanguage loginame=login , language=language11.2.2 修改登錄賬戶修改登錄賬戶聯(lián)機(jī)叢書聯(lián)機(jī)叢書2022-5-183011.2.3 刪除登錄賬戶刪除登錄賬戶 1使用企業(yè)管理器刪除登錄使用企業(yè)管理器刪除登錄其操作步驟如下：其操作步驟如下：(1)打開企業(yè)管理器，在樹型結(jié)構(gòu)窗口中展開一個打

20、開企業(yè)管理器，在樹型結(jié)構(gòu)窗口中展開一個服務(wù)器組，選擇服務(wù)器并展開。服務(wù)器組，選擇服務(wù)器并展開。(2)展開展開“安全性安全性”文件夾，單擊文件夾，單擊“登錄登錄”項(xiàng)。項(xiàng)。(3)在在“登錄登錄”詳細(xì)列表中鼠標(biāo)右鍵單擊要刪除的詳細(xì)列表中鼠標(biāo)右鍵單擊要刪除的用戶，這里選擇用戶，這里選擇“jsjx-ypxh001”，確定刪除。，確定刪除。2. 使用使用Transact-SQL語句刪除登錄賬號語句刪除登錄賬號刪除登錄賬號有兩種形式：刪除刪除登錄賬號有兩種形式：刪除Windows用戶或組用戶或組登錄和刪除登錄和刪除SQL Server登錄。登錄。2022-5-1831(1)刪除刪除Windows用戶或組登錄

21、用戶或組登錄sp_revokelogin的語法格式為：的語法格式為：sp_revokelogin liginame=login其中，其中，liginame=login為為Windows用戶或組的名用戶或組的名稱。稱。例例11-7 使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_revokelogin刪除例刪除例11-1創(chuàng)建的創(chuàng)建的Windows用戶用戶jsjx-yp huang的登錄賬號的登錄賬號 EXEC sp_revokelogin jsjx-yphuang或或 EXEC sp_revokelogin jsjx-yphuang2022-5-1832(2)刪除刪除SQL Server登錄登錄使用使用s

22、p_droplogin可以刪除可以刪除SQL Server登錄。其語法登錄。其語法格式如下：格式如下：sp_droplogin loginame= login例例11-8 使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_droplogin刪除刪除SQL Server登錄賬號登錄賬號ZG001。EXEC sp_droplogin ZG0012022-5-183311.3 數(shù)據(jù)庫用戶的管理數(shù)據(jù)庫用戶的管理 1. 使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫用戶使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫用戶其操作步驟如下：其操作步驟如下：(1)打開企業(yè)管理器，選定要訪問的服務(wù)器。打開企業(yè)管理器，選定要訪問的服務(wù)器。(2)展開展開“數(shù)據(jù)庫數(shù)據(jù)庫”文

23、件夾，選定需要增加用戶的文件夾，選定需要增加用戶的數(shù)據(jù)庫。數(shù)據(jù)庫。(3)鼠標(biāo)右鍵單擊該數(shù)據(jù)庫，從彈出的快捷菜單中鼠標(biāo)右鍵單擊該數(shù)據(jù)庫，從彈出的快捷菜單中選擇選擇“新建新建數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶”選項(xiàng)，打開選項(xiàng)，打開“數(shù)據(jù)庫數(shù)據(jù)庫用戶屬性用戶屬性”對話框。對話框。(4)打開打開“數(shù)據(jù)庫用戶屬性數(shù)據(jù)庫用戶屬性”對話框?qū)υ捒?022-5-1834(4)在在“數(shù)據(jù)庫用戶屬數(shù)據(jù)庫用戶屬性性”對話框的對話框的“登登錄名錄名”下拉框中選下拉框中選擇允許訪問數(shù)據(jù)庫擇允許訪問數(shù)據(jù)庫的登錄賬號，如的登錄賬號，如ZG001，并指定使，并指定使用的用戶名和該用用的用戶名和該用戶所屬的數(shù)據(jù)庫角戶所屬的數(shù)據(jù)庫角色等信息，用

24、戶名色等信息，用戶名與登錄名可以不同與登錄名可以不同(5)單擊單擊“確定確定”完成完成該數(shù)據(jù)庫用戶的創(chuàng)該數(shù)據(jù)庫用戶的創(chuàng)建。建。2022-5-18352. 使用系統(tǒng)存儲過程創(chuàng)建數(shù)據(jù)庫用戶使用系統(tǒng)存儲過程創(chuàng)建數(shù)據(jù)庫用戶SQL Server使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_grantdbaccess為數(shù)為數(shù)據(jù)庫添加用戶，其語法格式如下：據(jù)庫添加用戶，其語法格式如下：sp_grantdbaccess loginame= login , name_in_db= name_in_db例例11-9在當(dāng)前數(shù)據(jù)庫中為在當(dāng)前數(shù)據(jù)庫中為 Windows NT 用戶用戶 CorporateGeorgeW 添加帳戶

25、，并取名為添加帳戶，并取名為 GeorgieEXEC sp_grantdbaccess CorporateGeorgeW, Georgie 2022-5-18363. 刪除數(shù)據(jù)庫中的用戶或組刪除數(shù)據(jù)庫中的用戶或組(1)使用企業(yè)管理器刪除數(shù)據(jù)庫用戶使用企業(yè)管理器刪除數(shù)據(jù)庫用戶在在SQL Server企業(yè)管理器中，選中企業(yè)管理器中，選中“用戶用戶”圖標(biāo)，圖標(biāo)，在右面窗格中右鍵單擊想要刪除的數(shù)據(jù)庫用戶，在右面窗格中右鍵單擊想要刪除的數(shù)據(jù)庫用戶，在彈出菜單中選擇在彈出菜單中選擇“刪除刪除”項(xiàng)，則從當(dāng)前數(shù)據(jù)庫項(xiàng)，則從當(dāng)前數(shù)據(jù)庫中刪除該數(shù)據(jù)庫用戶。中刪除該數(shù)據(jù)庫用戶。(2)使用系統(tǒng)存儲過程刪除數(shù)據(jù)庫用戶使

26、用系統(tǒng)存儲過程刪除數(shù)據(jù)庫用戶sp_revokedbaccess的語法格式為：的語法格式為：sp_revokedbaccess name_in_db=name例例11-10 使用系統(tǒng)存儲過程在當(dāng)前數(shù)據(jù)庫中刪除指使用系統(tǒng)存儲過程在當(dāng)前數(shù)據(jù)庫中刪除指定的用戶。定的用戶。EXEC sp_revokedbaccess ZG0022022-5-183711.4 角色管理角色管理 11.4.1 SQL Server角色的類型角色的類型11.4.2 固定服務(wù)器角色管理固定服務(wù)器角色管理11.4.3 數(shù)據(jù)庫角色管理數(shù)據(jù)庫角色管理11.4.4 用戶定義數(shù)據(jù)庫角色用戶定義數(shù)據(jù)庫角色2022-5-183811.4.1

27、 SQL Server角色的類型角色的類型SQL Server中有兩種角色類型：中有兩種角色類型：固定角色和用固定角色和用戶定義數(shù)據(jù)庫角色。戶定義數(shù)據(jù)庫角色。1. 固定角色固定角色固定角色分為固定角色分為固定服務(wù)器角色：獨(dú)立于各個數(shù)據(jù)庫，具有固定固定服務(wù)器角色：獨(dú)立于各個數(shù)據(jù)庫，具有固定的權(quán)限。的權(quán)限。固定數(shù)據(jù)庫角色：是指角色所具有的管理、訪問固定數(shù)據(jù)庫角色：是指角色所具有的管理、訪問數(shù)據(jù)庫權(quán)限已被數(shù)據(jù)庫權(quán)限已被SQL Server定義，并且定義，并且SQL Server管理者不能對其所具有的權(quán)限進(jìn)行任何修管理者不能對其所具有的權(quán)限進(jìn)行任何修改。改。 2022-5-1839角色名稱角色名稱權(quán)權(quán)

28、 限限Sysadmin系統(tǒng)管理員，可以在系統(tǒng)管理員，可以在SQL Server服務(wù)器中執(zhí)行任何操作服務(wù)器中執(zhí)行任何操作Serveradmin可以設(shè)置服務(wù)器范圍的配置選項(xiàng)，關(guān)閉服務(wù)器?？梢栽O(shè)置服務(wù)器范圍的配置選項(xiàng)，關(guān)閉服務(wù)器。Setupadmin設(shè)置管理員，添加和刪除鏈接服務(wù)器，并執(zhí)行某些系統(tǒng)存設(shè)置管理員，添加和刪除鏈接服務(wù)器，并執(zhí)行某些系統(tǒng)存儲過程。儲過程。Securityadmin可以管理登錄和可以管理登錄和create database權(quán)限，還可以讀取錯誤日志權(quán)限，還可以讀取錯誤日志和更改密碼。和更改密碼。processadmin 進(jìn)程管理員，管理在進(jìn)程管理員，管理在SQL Server服

29、務(wù)器中運(yùn)行的進(jìn)程。服務(wù)器中運(yùn)行的進(jìn)程。Dbcreator數(shù)據(jù)庫創(chuàng)建者，可創(chuàng)建、更改和刪除數(shù)據(jù)庫。數(shù)據(jù)庫創(chuàng)建者，可創(chuàng)建、更改和刪除數(shù)據(jù)庫。Diskadmin管理系統(tǒng)磁盤文件管理系統(tǒng)磁盤文件bulkadmin可執(zhí)行可執(zhí)行BULK INSERT語句，但必須有語句，但必須有INSERT權(quán)限。權(quán)限。表11-1 固定服務(wù)器角色參看：角色參看：角色-sql server 預(yù)定義預(yù)定義2022-5-1840Bulk insert以用戶指定的格式復(fù)制一個數(shù)據(jù)文件至數(shù)據(jù)庫或視圖中。2022-5-1841表表11-2 固定數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色角色名稱角色名稱權(quán)權(quán) 限限db_owner數(shù)據(jù)庫的所有者，可以執(zhí)行任何

30、數(shù)據(jù)庫管理工作，可以對數(shù)據(jù)庫內(nèi)的任數(shù)據(jù)庫的所有者，可以執(zhí)行任何數(shù)據(jù)庫管理工作，可以對數(shù)據(jù)庫內(nèi)的任何對象進(jìn)行任何操作，如刪除、創(chuàng)建對象，將對象權(quán)限指定給其他用戶。何對象進(jìn)行任何操作，如刪除、創(chuàng)建對象，將對象權(quán)限指定給其他用戶。該角色包含各其他數(shù)據(jù)庫角色的所有權(quán)限。該角色包含各其他數(shù)據(jù)庫角色的所有權(quán)限。db_accessadmin添加或者刪除數(shù)據(jù)庫用戶。添加或者刪除數(shù)據(jù)庫用戶。db_securityadmin管理數(shù)據(jù)庫角色和角色成員、對象所有權(quán)、語句執(zhí)行權(quán)限、數(shù)據(jù)庫訪問管理數(shù)據(jù)庫角色和角色成員、對象所有權(quán)、語句執(zhí)行權(quán)限、數(shù)據(jù)庫訪問權(quán)限。權(quán)限。db_ddladmin數(shù)據(jù)庫數(shù)據(jù)庫DDL管理員，在數(shù)據(jù)庫

31、中創(chuàng)建、刪除或修改數(shù)據(jù)庫對象。管理員，在數(shù)據(jù)庫中創(chuàng)建、刪除或修改數(shù)據(jù)庫對象。db_backupoperator 執(zhí)行數(shù)據(jù)庫備份權(quán)限。執(zhí)行數(shù)據(jù)庫備份權(quán)限。db_datareader能且僅能對數(shù)據(jù)庫中任何表執(zhí)行能且僅能對數(shù)據(jù)庫中任何表執(zhí)行SELECT操作，從而讀取所有表的信息。操作，從而讀取所有表的信息。db_datawriter能對數(shù)據(jù)庫中任何表執(zhí)行能對數(shù)據(jù)庫中任何表執(zhí)行INSERT、UPDATE、DELETE操作，但操作，但不能不能進(jìn)行進(jìn)行SELECT操作。操作。db_denydatawriter 不能對任何表進(jìn)行增、刪、修改操作。不能對任何表進(jìn)行增、刪、修改操作。db_denydatarea

32、der 不能讀取數(shù)據(jù)庫中任何表的內(nèi)容。不能讀取數(shù)據(jù)庫中任何表的內(nèi)容。public每個數(shù)據(jù)庫用戶都是每個數(shù)據(jù)庫用戶都是public角色成員。角色成員。因此，不能將用戶、組或角色指因此，不能將用戶、組或角色指派為派為public角色的成員，也不能刪除角色的成員，也不能刪除public角色的成員。角色的成員。2022-5-1842Public角色和角色和guest用戶用戶lPublic角色角色一個特殊的一個特殊的數(shù)據(jù)庫角色數(shù)據(jù)庫角色，所有數(shù)據(jù)庫用戶都屬于它，它捕獲數(shù)，所有數(shù)據(jù)庫用戶都屬于它，它捕獲數(shù)據(jù)庫中用戶所有默認(rèn)權(quán)限。據(jù)庫中用戶所有默認(rèn)權(quán)限。a.無法將用戶指派給它，因?yàn)樗杏脩粢呀?jīng)屬于它。無法將

33、用戶指派給它，因?yàn)樗杏脩粢呀?jīng)屬于它。b.每個數(shù)據(jù)庫中都有這個角色。并無法刪除它。每個數(shù)據(jù)庫中都有這個角色。并無法刪除它。lGuest用戶用戶Guest用戶賬戶允許沒有用戶賬戶的登錄訪問數(shù)據(jù)庫。用戶賬戶允許沒有用戶賬戶的登錄訪問數(shù)據(jù)庫。當(dāng)滿足當(dāng)滿足下列所有條件是，登錄采用下列所有條件是，登錄采用guest用戶標(biāo)示：用戶標(biāo)示：a.登錄有訪問登錄有訪問Sql server實(shí)例的權(quán)限，但沒有訪問某數(shù)據(jù)庫的實(shí)例的權(quán)限，但沒有訪問某數(shù)據(jù)庫的權(quán)限。權(quán)限。b.這個數(shù)據(jù)庫含有這個數(shù)據(jù)庫含有g(shù)uest賬戶。賬戶。2022-5-18432. 用戶定義數(shù)據(jù)庫角色用戶定義數(shù)據(jù)庫角色當(dāng)某些數(shù)據(jù)庫用戶需要被設(shè)置為相同的權(quán)

34、限，但是當(dāng)某些數(shù)據(jù)庫用戶需要被設(shè)置為相同的權(quán)限，但是這些權(quán)限不同于固定數(shù)據(jù)庫角色所具有的權(quán)限時，就可這些權(quán)限不同于固定數(shù)據(jù)庫角色所具有的權(quán)限時，就可以定義新的數(shù)據(jù)庫角色來滿足這一要求，從而使這些用以定義新的數(shù)據(jù)庫角色來滿足這一要求，從而使這些用戶能夠在數(shù)據(jù)庫中實(shí)現(xiàn)某一特定功能。戶能夠在數(shù)據(jù)庫中實(shí)現(xiàn)某一特定功能。用戶定義數(shù)據(jù)庫角色的優(yōu)點(diǎn)是：用戶定義數(shù)據(jù)庫角色的優(yōu)點(diǎn)是：SQL Server數(shù)據(jù)庫數(shù)據(jù)庫角色可以包含角色可以包含Windows用戶組或用戶；同一數(shù)據(jù)庫的用用戶組或用戶；同一數(shù)據(jù)庫的用戶可以具有多個不同的用戶定義角色，這種角色的組合戶可以具有多個不同的用戶定義角色，這種角色的組合是自由的，

35、而不僅僅是是自由的，而不僅僅是public與其他一種角色的結(jié)合；與其他一種角色的結(jié)合；角色可以進(jìn)行嵌套，從而在數(shù)據(jù)庫中實(shí)現(xiàn)不同級別的安角色可以進(jìn)行嵌套，從而在數(shù)據(jù)庫中實(shí)現(xiàn)不同級別的安全性。全性。2022-5-184411.4.2 固定服務(wù)器角色管理固定服務(wù)器角色管理 固定服務(wù)器角色不能進(jìn)行添加、刪除或修改等操作，固定服務(wù)器角色不能進(jìn)行添加、刪除或修改等操作，只能將用戶登錄添加為固定服務(wù)器角色的成員。只能將用戶登錄添加為固定服務(wù)器角色的成員。1. 添加固定服務(wù)器角色成員添加固定服務(wù)器角色成員例例11-11 使用企業(yè)管理器將登錄使用企業(yè)管理器將登錄ZG001添加為固定服添加為固定服務(wù)器角色務(wù)器角色

36、“Database Creators”成員。成員。(1)打開企業(yè)管理器，選擇要訪問的服務(wù)器并展開。打開企業(yè)管理器，選擇要訪問的服務(wù)器并展開。(2)展開展開“安全性安全性”文件夾，單擊文件夾，單擊“服務(wù)器角色服務(wù)器角色”項(xiàng)。項(xiàng)。(3)在右窗格中，鼠標(biāo)右鍵單擊服務(wù)器角色在右窗格中，鼠標(biāo)右鍵單擊服務(wù)器角色“Database Creators”項(xiàng)，在彈出的快捷菜單中項(xiàng)，在彈出的快捷菜單中選擇選擇“屬性屬性”項(xiàng)，打開項(xiàng)，打開“服務(wù)器角色屬性服務(wù)器角色屬性”對話對話框框 2022-5-1845(4)單擊單擊“服務(wù)器角色屬性服務(wù)器角色屬性”對話框的對話框的“添加添加”按按鈕，打開鈕，打開“添加成員添加成員”

37、對話框。在對話框。在“選擇要添加選擇要添加的登錄的登錄”列表中選擇登錄列表中選擇登錄“ZG001”，單擊，單擊“確確定定”按鈕完成操作。按鈕完成操作。2022-5-1846固定服務(wù)器角色成員的添加固定服務(wù)器角色成員的添加操作步驟如下：操作步驟如下：(1) 在展開的服務(wù)器的在展開的服務(wù)器的“安全性安全性”文件夾中，單擊文件夾中，單擊“登錄登錄”項(xiàng)。項(xiàng)。2022-5-1847(2) 在右窗格中選擇登錄成員在右窗格中選擇登錄成員“ZG001”，雙擊鼠標(biāo)，雙擊鼠標(biāo)，打開打開“SQL Server登錄屬性登錄屬性”對話框。對話框。(3) 在在“SQL Server登錄屬性登錄屬性”對話框中選擇對話框中選

38、擇“服服務(wù)器角色務(wù)器角色”選項(xiàng)卡，選中選項(xiàng)卡，選中“Database Creators”服務(wù)器角色的復(fù)選框。單擊服務(wù)器角色的復(fù)選框。單擊“確定確定”按鈕完成操按鈕完成操作。作。2022-5-1848sp_addsrvrolemember用于添加固定服務(wù)器角色成員用于添加固定服務(wù)器角色成員語法格式為：語法格式為：sp_addsrvrolemember loginame= login, rolename= role例例11-12 使用系統(tǒng)存儲過程將登錄使用系統(tǒng)存儲過程將登錄ZG002添加為固添加為固定服務(wù)器角色定服務(wù)器角色sysadmin的成員。的成員。EXEC sp_addsrvrolememb

39、er ZG002,sysadmin2022-5-18492. 刪除固定服務(wù)器角色成員刪除固定服務(wù)器角色成員刪除固定服務(wù)器角色成員的語句是刪除固定服務(wù)器角色成員的語句是sp_dropsrvrolemember，其語法格式為：，其語法格式為：sp_dropsrvrolemember loginame= login, rolename= role例例11-13 使用系統(tǒng)存儲過程從固定服務(wù)器角色使用系統(tǒng)存儲過程從固定服務(wù)器角色sysadmin中刪除登錄中刪除登錄ZG002。EXEC sp_dropsrvrolemember ZG002,sysadmin2022-5-18503. 查看固定服務(wù)器角色信息

40、使用查看固定服務(wù)器角色信息使用sp_helpsrvrole、sp_helpsrvrolemember可了解有關(guān)固可了解有關(guān)固定服務(wù)器角色及其成員的信息。定服務(wù)器角色及其成員的信息。查看固定服務(wù)器角色查看固定服務(wù)器角色sp_helpsrvrole的語法格式為：的語法格式為：sp_helpsrvrole srvrolename= role srvrolename= role為固定服務(wù)器角色名稱為固定服務(wù)器角色名稱sp_helpsrvrolemember查看固定服務(wù)器角色成員查看固定服務(wù)器角色成員語法格式為：語法格式為：sp_helpsrvrolemember srvrolename= role 2

41、022-5-1851例例11-14 查看固定服務(wù)器角色查看固定服務(wù)器角色sysadmin及其成員的及其成員的信息。信息。 EXEC sp_helpsrvrole sysadminGOEXEC sp_helpsrvrolemember sysadmin2022-5-18521. 添加數(shù)據(jù)庫角色成員添加數(shù)據(jù)庫角色成員使用系統(tǒng)存儲過程使用系統(tǒng)存儲過程sp_addrolemember向數(shù)據(jù)庫角色中向數(shù)據(jù)庫角色中添加成員，其語法格式為：添加成員，其語法格式為：sp_addrolemember rolename= role, membername= security_account例例11-15 向數(shù)據(jù)庫

42、向數(shù)據(jù)庫Sales添加添加Windows用戶用戶“jsjx-ypxh001”。 USE SalesGOEXEC sp_grantdbaccess jsjx-ypxh001, xh001GOEXEC sp_addrolemember db_ddladmin, xh00111.4.3 數(shù)據(jù)庫角色管理數(shù)據(jù)庫角色管理2022-5-1853例例11-16 向數(shù)據(jù)庫添加例向數(shù)據(jù)庫添加例11-3創(chuàng)建的創(chuàng)建的SQL Server用戶用戶ZG002為為db_owner角色成員。角色成員。EXEC sp_addrolemember db_owner, ZG0022022-5-18542. 刪除數(shù)據(jù)庫角色成員使用刪

43、除數(shù)據(jù)庫角色成員使用sp_droprolemember刪除當(dāng)前數(shù)據(jù)庫角色中的成員，刪除當(dāng)前數(shù)據(jù)庫角色中的成員，其語法格式為：其語法格式為：sp_droprolemember rolename= role, membername= security_account例例11-17 刪除數(shù)據(jù)庫角色中的用戶。刪除數(shù)據(jù)庫角色中的用戶。EXEC sp_droprolemember db_owner, ZG0022022-5-18553. 查看數(shù)據(jù)庫角色及其成員信息查看數(shù)據(jù)庫角色及其成員信息查看數(shù)據(jù)庫角色及其成員的信息可以使用系統(tǒng)存儲查看數(shù)據(jù)庫角色及其成員的信息可以使用系統(tǒng)存儲過程過程sp_helpdbfi

44、xedrole、sp_helprole和和sp_helpusersp_helpdbfixedrole的語法格式為：的語法格式為：sp_helpdbfixedrole rolename= role sp_helprole的語法格式為：的語法格式為：sp_helprole rolename= role sp_helpuser的語法格式為：的語法格式為：sp_helpuser name_in_db= security_account2022-5-1856例例11-18 查看當(dāng)前數(shù)據(jù)庫中所有用戶及查看當(dāng)前數(shù)據(jù)庫中所有用戶及db_owner數(shù)數(shù)據(jù)庫角色的信息。據(jù)庫角色的信息。EXEC sp_helpus

45、erEXEC sp_helpdbfixedrole db_owner2022-5-185711.4.4 用戶定義數(shù)據(jù)庫角色用戶定義數(shù)據(jù)庫角色1. 創(chuàng)建和刪除用戶定義數(shù)據(jù)庫角色創(chuàng)建和刪除用戶定義數(shù)據(jù)庫角色創(chuàng)建和刪除用戶定義數(shù)據(jù)庫角色可以使用企業(yè)管理創(chuàng)建和刪除用戶定義數(shù)據(jù)庫角色可以使用企業(yè)管理器和系統(tǒng)存儲過程實(shí)現(xiàn)。器和系統(tǒng)存儲過程實(shí)現(xiàn)。例例11-19 使用企業(yè)管理器創(chuàng)建用戶定義數(shù)據(jù)庫角色。使用企業(yè)管理器創(chuàng)建用戶定義數(shù)據(jù)庫角色。(1)打開企業(yè)管理器，展開選定的數(shù)據(jù)庫。打開企業(yè)管理器，展開選定的數(shù)據(jù)庫。(2)右鍵單擊右鍵單擊“角色角色”項(xiàng)，在彈出的快捷菜單中單項(xiàng)，在彈出的快捷菜單中單擊擊“新建數(shù)據(jù)庫角

46、色新建數(shù)據(jù)庫角色”命令，打開命令，打開“新建角色新建角色”對話框。對話框。(3)在在“名稱名稱”框中輸入角色名框中輸入角色名“wang”，在，在“數(shù)據(jù)數(shù)據(jù)庫角色類型庫角色類型”項(xiàng)下，選擇項(xiàng)下，選擇“標(biāo)準(zhǔn)角色標(biāo)準(zhǔn)角色”單選按鈕。單選按鈕。(4)單擊單擊“確定確定”按鈕完成操作。按鈕完成操作。2022-5-18582022-5-1859例例11-20 使用企業(yè)管理器刪除用戶定義數(shù)據(jù)庫角色使用企業(yè)管理器刪除用戶定義數(shù)據(jù)庫角色“wang”。(1)打開企業(yè)管理器，展開選定的數(shù)據(jù)庫，單擊打開企業(yè)管理器，展開選定的數(shù)據(jù)庫，單擊“角角色色”項(xiàng)。項(xiàng)。(2)在若窗格中右鍵單擊要刪除的數(shù)據(jù)庫角色在若窗格中右鍵單擊要

47、刪除的數(shù)據(jù)庫角色“wang”，在彈出的菜單中選擇，在彈出的菜單中選擇“刪除刪除”命令。命令。 (3)在彈出的對話框中單擊在彈出的對話框中單擊“是是”按鈕，完成刪除操按鈕，完成刪除操作。作。2022-5-18602022-5-1861使用使用sp_addrole和和sp_droprole可以創(chuàng)建和刪除用戶可以創(chuàng)建和刪除用戶定義數(shù)據(jù)庫角色定義數(shù)據(jù)庫角色其語法格式分別為：其語法格式分別為：sp_addrole rolename= role , ownername= owner sp_droprole rolename= role例例11-21 使用系統(tǒng)存儲過程創(chuàng)建名為使用系統(tǒng)存儲過程創(chuàng)建名為“rol

48、e01”的用的用戶定義數(shù)據(jù)庫角色到戶定義數(shù)據(jù)庫角色到Sales數(shù)據(jù)庫中。數(shù)據(jù)庫中。 Use SalesGOEXEC sp_addrole role012022-5-1862例例11-22 使用系統(tǒng)存儲過程刪除數(shù)據(jù)庫使用系統(tǒng)存儲過程刪除數(shù)據(jù)庫Sales中名為中名為“role01”的用戶定義數(shù)據(jù)庫角色。的用戶定義數(shù)據(jù)庫角色。USE SalesGOEXEC SP_droprole role012022-5-18632. 添加和刪除用戶定義數(shù)據(jù)庫角色成員添加和刪除用戶定義數(shù)據(jù)庫角色成員添加和刪除用戶定義數(shù)據(jù)庫角色成員可以使用企業(yè)添加和刪除用戶定義數(shù)據(jù)庫角色成員可以使用企業(yè)管理器和系統(tǒng)存儲過程來完成。管

49、理器和系統(tǒng)存儲過程來完成。例例11-23 使用企業(yè)管理器將成員添加到用戶定義數(shù)據(jù)庫角色使用企業(yè)管理器將成員添加到用戶定義數(shù)據(jù)庫角色ZG001中。中。(1)打開企業(yè)管理器，展開打開企業(yè)管理器，展開Sales數(shù)據(jù)庫。數(shù)據(jù)庫。(2)單擊單擊“角色角色”項(xiàng)，在右窗格中，右鍵單擊角色項(xiàng)，在右窗格中，右鍵單擊角色“role01”，在彈出的菜單中選擇，在彈出的菜單中選擇“屬性屬性”項(xiàng)，打項(xiàng)，打開開“數(shù)據(jù)庫角色屬性數(shù)據(jù)庫角色屬性”對話框。對話框。2022-5-18642022-5-1865(3)在在“數(shù)據(jù)庫角色數(shù)據(jù)庫角色屬性屬性”對話框中單對話框中單擊擊“添加添加”按鈕，按鈕，打開打開“添加角色成添加角色成員

50、員”對話框。對話框。(4)在在“選擇要添加選擇要添加的用戶的用戶”列表中選列表中選擇登錄擇登錄“ZG001”，單擊單擊“確定確定”按鈕按鈕完成操作。完成操作。2022-5-1866例例11-24 使用系統(tǒng)存儲過程將使用系統(tǒng)存儲過程將ZG002添加為添加為Sales數(shù)數(shù)據(jù)庫的據(jù)庫的role01角色的成員。角色的成員。USE SalesGOEXEC sp_addrolemember role01,ZG0022022-5-1867例例11-25 將將SQL Server登錄賬號登錄賬號“ZG003”添加到添加到Sales數(shù)據(jù)庫中，其用戶名為數(shù)據(jù)庫中，其用戶名為“ZG003”，然后再將，然后再將ZG0

51、03添加為該數(shù)據(jù)庫的添加為該數(shù)據(jù)庫的role01角色的成員。角色的成員。USE SalesGOEXEC sp_grantdbaccess ZG003,ZG003EXEC sp_addrolemember role01,ZG0032022-5-186811.5 權(quán)限管理權(quán)限管理 11.5.1 權(quán)限的種類權(quán)限的種類11.5.2 授予權(quán)限授予權(quán)限11.5.3 禁止與撤消權(quán)限禁止與撤消權(quán)限11.5.4 查看權(quán)限查看權(quán)限2022-5-1869 11.5.1 權(quán)限的種類權(quán)限的種類權(quán)限是指用戶對數(shù)據(jù)庫中對象的使用及操作的權(quán)利，權(quán)限是指用戶對數(shù)據(jù)庫中對象的使用及操作的權(quán)利，當(dāng)用戶連接到當(dāng)用戶連接到SQL Se

52、rver實(shí)例后，該用戶要進(jìn)行的任何實(shí)例后，該用戶要進(jìn)行的任何涉及修改數(shù)據(jù)庫或訪問數(shù)據(jù)的活動都必須具有相應(yīng)的權(quán)涉及修改數(shù)據(jù)庫或訪問數(shù)據(jù)的活動都必須具有相應(yīng)的權(quán)限，也就是用戶可以執(zhí)行的操作均由其被授予的權(quán)限決限，也就是用戶可以執(zhí)行的操作均由其被授予的權(quán)限決定。定。SQL Server中的權(quán)限包括中的權(quán)限包括3種類型：種類型：對象權(quán)限、語句對象權(quán)限、語句權(quán)限和隱含權(quán)限。權(quán)限和隱含權(quán)限。2022-5-18701. 對象權(quán)限對象權(quán)限對象權(quán)限用于對象權(quán)限用于用戶對數(shù)據(jù)庫對象執(zhí)行操作的權(quán)力用戶對數(shù)據(jù)庫對象執(zhí)行操作的權(quán)力，即處理數(shù)據(jù)或執(zhí)行存儲過程即處理數(shù)據(jù)或執(zhí)行存儲過程(INSERT、UPDATE、DELET

53、E、EXECUTE等等)所需要的權(quán)限，這些數(shù)據(jù)庫所需要的權(quán)限，這些數(shù)據(jù)庫對象包括表、視圖、存儲過程。對象包括表、視圖、存儲過程。2022-5-1871表表11-3 對象及作用的操作對象及作用的操作對對 象象操操 作作表表SELECT、INSERT、UPDATE、DELETE、REFERANCES視圖視圖SELECT、INSERT、UPDATE、DELETE存儲過程存儲過程EXECUTE列列SELECT、UPDATE2022-5-18722. 語句權(quán)限語句權(quán)限語句權(quán)限主要指用戶是否具有權(quán)限來執(zhí)行某一語句，語句權(quán)限主要指用戶是否具有權(quán)限來執(zhí)行某一語句，這些語句通常是一些具有管理性的操作，這些語句通

54、常是一些具有管理性的操作，如創(chuàng)建數(shù)據(jù)庫、如創(chuàng)建數(shù)據(jù)庫、表、存儲過程等表、存儲過程等。這種語句雖然也包含有操作。這種語句雖然也包含有操作(如如CREATE)的對象，的對象，但這些對象在執(zhí)行該語句之前并不但這些對象在執(zhí)行該語句之前并不存在于數(shù)據(jù)庫中，所以將其歸為語句權(quán)限范疇存在于數(shù)據(jù)庫中，所以將其歸為語句權(quán)限范疇。2022-5-1873表11-4 語句權(quán)限及其作用語語 句句作作 用用CREATE DATABASE創(chuàng)建數(shù)據(jù)庫創(chuàng)建數(shù)據(jù)庫CREATE TABLE在數(shù)據(jù)庫中創(chuàng)建表在數(shù)據(jù)庫中創(chuàng)建表CREATE VIEW在數(shù)據(jù)庫中創(chuàng)建視圖在數(shù)據(jù)庫中創(chuàng)建視圖CREATE DEFAULT在數(shù)據(jù)庫中創(chuàng)建默認(rèn)對象在數(shù)

55、據(jù)庫中創(chuàng)建默認(rèn)對象CREATE PROCEDURE在數(shù)據(jù)庫中創(chuàng)建存儲過程在數(shù)據(jù)庫中創(chuàng)建存儲過程CREATE RULE在數(shù)據(jù)庫中創(chuàng)建規(guī)則在數(shù)據(jù)庫中創(chuàng)建規(guī)則CREATE FUNCTION在數(shù)據(jù)庫中創(chuàng)建函數(shù)在數(shù)據(jù)庫中創(chuàng)建函數(shù)BACKUP DATABASE備份數(shù)據(jù)庫備份數(shù)據(jù)庫BACKUP LOG備份日志備份日志2022-5-18743. 隱含權(quán)限隱含權(quán)限隱含權(quán)限是指系統(tǒng)自行預(yù)定義而不需要授權(quán)就有的隱含權(quán)限是指系統(tǒng)自行預(yù)定義而不需要授權(quán)就有的權(quán)限，包括權(quán)限，包括固定服務(wù)器角色固定服務(wù)器角色、固定數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色和和數(shù)據(jù)庫數(shù)據(jù)庫對象所有者所擁有的權(quán)限對象所有者所擁有的權(quán)限。固定角色擁有確定的權(quán)限，

56、例如固定服務(wù)器角色固定角色擁有確定的權(quán)限，例如固定服務(wù)器角色sysadmin擁有完成任何操作的全部權(quán)限，其成員自動繼擁有完成任何操作的全部權(quán)限，其成員自動繼承這個固定角色的全部權(quán)限。數(shù)據(jù)庫對象所有者可以對承這個固定角色的全部權(quán)限。數(shù)據(jù)庫對象所有者可以對所擁有的對象執(zhí)行一切活動，如查看、添加或刪除數(shù)據(jù)所擁有的對象執(zhí)行一切活動，如查看、添加或刪除數(shù)據(jù)等操作，也可以控制其他用戶使用其所擁有的對象的權(quán)等操作，也可以控制其他用戶使用其所擁有的對象的權(quán)限。限。2022-5-187511.5.2 授予權(quán)限授予權(quán)限1. 使用企業(yè)管理器授予使用企業(yè)管理器授予用戶或角色用戶或角色 語句權(quán)限語句權(quán)限操作步驟如下：操

57、作步驟如下：(1)打開企業(yè)管理器，打開企業(yè)管理器，展開數(shù)據(jù)庫。展開數(shù)據(jù)庫。(2)在選擇的數(shù)據(jù)庫上在選擇的數(shù)據(jù)庫上單擊鼠標(biāo)右鍵，在單擊鼠標(biāo)右鍵，在彈出菜單中選擇彈出菜單中選擇“屬性屬性”項(xiàng)，打開項(xiàng)，打開“數(shù)據(jù)庫屬性數(shù)據(jù)庫屬性”對對話框。話框。(3)在在“數(shù)據(jù)庫屬性數(shù)據(jù)庫屬性”對話框中選擇對話框中選擇“權(quán)權(quán)限限”選項(xiàng)卡，進(jìn)行選項(xiàng)卡，進(jìn)行相應(yīng)的語句權(quán)限設(shè)相應(yīng)的語句權(quán)限設(shè)置。置。2022-5-18762. 使用企業(yè)管理器授使用企業(yè)管理器授予用戶或角色對象權(quán)限予用戶或角色對象權(quán)限(1)打開企業(yè)管理器，打開企業(yè)管理器，選定數(shù)據(jù)庫。選定數(shù)據(jù)庫。(2)選擇授予權(quán)限的選擇授予權(quán)限的對象對象(如表如表employ

58、ee)，單擊鼠標(biāo)右鍵，選擇單擊鼠標(biāo)右鍵，選擇菜單命令菜單命令“屬性屬性” 。2022-5-1877(3)在在“表屬性表屬性”對話框中單擊對話框中單擊“權(quán)限權(quán)限”按鈕，打開按鈕，打開“對象屬性對象屬性”對話框。對話框。2022-5-1878(4)在在“對象屬性對象屬性”對對話框中授予對象權(quán)限。其話框中授予對象權(quán)限。其中，中，表示授予權(quán)限，表示授予權(quán)限，表示禁止權(quán)限，空表示撤表示禁止權(quán)限，空表示撤消權(quán)限。消權(quán)限。(5)在選擇一個特定用在選擇一個特定用戶或角色后，單擊戶或角色后，單擊“列列”按鈕，打開按鈕，打開“列權(quán)限列權(quán)限”對對話框，將權(quán)限控制到字段話框，將權(quán)限控制到字段的級別。的級別。(6)單擊

59、單擊“確定確定”按鈕，按鈕，完成對象權(quán)限的設(shè)置。完成對象權(quán)限的設(shè)置。2022-5-18793. 使用使用Transact-SQL語句語句GRANT授予用戶或角色權(quán)限授予用戶或角色權(quán)限GRANT語句授予對象權(quán)限的語法格式為：語句授予對象權(quán)限的語法格式為：GRANT ALL PRIVILEGES | permission , n (column , n) ON table | view | ON table | view ( column , n) | ON stored_procedure | extended_procedure | ON user_defined_function TO se

60、curity_account , n WITH GRANT OPTIONAS group | role With grant option 可否進(jìn)行權(quán)限傳遞可否進(jìn)行權(quán)限傳遞As group|role指當(dāng)前數(shù)據(jù)庫中有執(zhí)行指當(dāng)前數(shù)據(jù)庫中有執(zhí)行 GRANT 語句權(quán)力的安全帳戶語句權(quán)力的安全帳戶的可選名的可選名 2022-5-1880GRANT授予語句權(quán)限的語法格式為：授予語句權(quán)限的語法格式為：GRANT ALL | statement ,.n TO security_account ,.n 例例11-26 使用使用GRANT語句給用戶語句給用戶ZG001授予授予CREATE TABLE 的權(quán)限。的權(quán)