第10章 SQL Server的安全性管理

第10章

安全與權(quán)限本章學(xué)習(xí)目標(biāo)了解SQLServer2005登錄驗(yàn)證模式掌握管理兩類SQLServer2005登錄帳戶的方法掌握管理SQLServer2005數(shù)據(jù)庫(kù)用戶的方法了解基于角色的權(quán)限管理掌握管理服務(wù)器角色的方法掌握管理數(shù)據(jù)庫(kù)角色的方法掌握管理權(quán)限的方法10.1SQLServer2005的安全機(jī)制SQLServer2005數(shù)據(jù)庫(kù)的安全性通過以下幾個(gè)方面得以保證：網(wǎng)絡(luò)系統(tǒng)的安全性：這可以通過在網(wǎng)絡(luò)系統(tǒng)邊界安裝防火墻系統(tǒng)得以實(shí)施。服務(wù)器的安全性：即保證運(yùn)行SQLServer2005的服務(wù)器本身及其操作系統(tǒng)的安全。SQLServer2005的登錄安全性：即允許哪些用戶登錄SQLServer服務(wù)器。數(shù)據(jù)庫(kù)的安全性：即規(guī)定用戶登錄SQLServer服務(wù)器以后可以使用哪些數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)對(duì)象的安全性：即規(guī)定用戶打開某一數(shù)據(jù)庫(kù)后，可以操作哪些數(shù)據(jù)庫(kù)對(duì)象以及怎樣操作。10.1.1SQLServer2005登錄身份驗(yàn)證模式SQLServer2005登錄身份驗(yàn)證用來確認(rèn)該用戶是否具有連接SQLServer的權(quán)限。任何用戶在使用SQLServer數(shù)據(jù)庫(kù)之前，必須通過系統(tǒng)的安全身份驗(yàn)證。SQLServer2005提供了兩種確認(rèn)用戶的驗(yàn)證模式：Windows身份驗(yàn)證模式SQLServer和Windows身份驗(yàn)證模式10.1.1SQLServer2005登錄身份驗(yàn)證模式1．Windows身份驗(yàn)證用戶通過MicrosoftWindows用戶帳戶連接時(shí)，SQLServer使用Windows操作系統(tǒng)中的信息驗(yàn)證帳戶名和密碼。這是默認(rèn)的身份驗(yàn)證模式，它比混合模式要安全得多，如果可能，請(qǐng)使用Windows身份驗(yàn)證。10.1.1SQLServer2005登錄身份驗(yàn)證模式2．SQLServer和Windows身份驗(yàn)證模式（又稱為混合模式）使用混合模式時(shí)，無論是使用Windows身份驗(yàn)證方式的用戶，還是使用SQLServer身份驗(yàn)證方式的用戶，都可以連接到SQLServer系統(tǒng)上。使用混合模式中的SQLServer身份驗(yàn)證方式時(shí)，系統(tǒng)管理員創(chuàng)建一個(gè)登錄賬號(hào)和口令，并將它們存儲(chǔ)在SQLServer中，當(dāng)用戶連接到SQLServer上時(shí)，必須提供SQLServer登錄賬號(hào)和口令。

SQLServer密碼可包含1到128個(gè)字符，包括字母、符號(hào)和數(shù)字的任意組合。10.1.1SQLServer2005登錄身份驗(yàn)證模式當(dāng)采用Windows身份驗(yàn)證模式時(shí)，密碼長(zhǎng)度必須多于8個(gè)字符。強(qiáng)密碼不能使用禁止的條件或字詞，包括：空條件或NULL條件、“Password”、“Admin”、“Administrator”、“sa”、“sysadmin”、當(dāng)前計(jì)算機(jī)的名稱、當(dāng)前登錄到計(jì)算機(jī)上的用戶的名稱。并且要滿足下列四個(gè)條件中的三個(gè)：必須包含大寫字母。必須包含小寫字母。必須包含數(shù)字。必須包含非字母數(shù)字字符；例如，#、%或^。10.1.1SQLServer2005登錄身份驗(yàn)證模式SQLServer2005安裝成功后，默認(rèn)的身份驗(yàn)證模式是“Windows身份驗(yàn)證模式”，利用SQLServer管理控制臺(tái)可以重新設(shè)置身份驗(yàn)證模式。方法如下：打開SQLServer管理控制臺(tái)，右擊SQLServer服務(wù)器名稱，在彈出的快捷菜單中選擇“屬性”選項(xiàng)。會(huì)打開“服務(wù)器屬性”對(duì)話框。在窗口左端選擇“安全性”選擇頁(yè)。10.1.1SQLServer2005登錄身份驗(yàn)證模式根據(jù)需要單擊“服務(wù)器身份驗(yàn)證”下面對(duì)應(yīng)的“Windows身份驗(yàn)證模式”或“SQLServer和Windows身份驗(yàn)證模式”單選按鈕，并單擊“確定”按鈕。打開SQLServer配置管理器，單擊窗口左邊的“SQLServer2005服務(wù)”，在窗口右邊找到“SQLServer服務(wù)”，并重新啟動(dòng)它。10.1.2SQLServer數(shù)據(jù)庫(kù)的安全性用戶成功登錄SQLServer服務(wù)器后，并不自動(dòng)擁有對(duì)所有數(shù)據(jù)庫(kù)的訪問權(quán)限。用戶必須在想要訪問的數(shù)據(jù)庫(kù)中也有一個(gè)與登錄帳戶相對(duì)應(yīng)的數(shù)據(jù)庫(kù)帳戶。當(dāng)需要訪問某個(gè)數(shù)據(jù)庫(kù)時(shí)，SQLServer的安全系統(tǒng)會(huì)根據(jù)這個(gè)數(shù)據(jù)庫(kù)帳戶的權(quán)限決定是否允許用戶訪問該數(shù)據(jù)庫(kù)。10.1.3SQLServer數(shù)據(jù)庫(kù)對(duì)象的

安全性在創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)對(duì)象時(shí)，創(chuàng)建者將自動(dòng)擁有對(duì)該數(shù)據(jù)庫(kù)對(duì)象的所有權(quán)限，即可以完全控制該對(duì)象。當(dāng)一個(gè)非數(shù)據(jù)庫(kù)擁有者想要訪問數(shù)據(jù)庫(kù)中的對(duì)象時(shí)，必須事先由數(shù)據(jù)庫(kù)擁有者賦予該用戶對(duì)指定對(duì)象的操作權(quán)限。10.2管理服務(wù)器的安全性10.2.1SQLServer登錄帳戶在SQLServer2005的SQLServer管理控制臺(tái)的樹形目錄中展開服務(wù)器下的“安全性”，選擇“登錄名”，可以查看當(dāng)前該服務(wù)器所有的登錄帳戶信息。SQLServer2005服務(wù)器在安裝成功后，已經(jīng)自動(dòng)創(chuàng)建了一些登錄帳戶。sa帳戶：給SQLServer2005系統(tǒng)管理員使用的，它是一個(gè)特殊的帳戶，該帳戶擁有最高的管理權(quán)限，可以執(zhí)行服務(wù)器范圍內(nèi)的所有操作。為了安全起見，sa帳戶在默認(rèn)情況下是禁用的。“BUILTIN\Administrators”帳戶：是為Windows系統(tǒng)管理員管理SQLServer2005服務(wù)器而提供的，它也可以執(zhí)行服務(wù)器范圍內(nèi)的所有操作。10.2.2添加登錄帳戶1．使用SQLServer管理控制臺(tái)添加登錄帳戶（1）在SQLServer管理控制臺(tái)中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器。（2）右擊“安全性|登錄名”，選擇“新建登錄名”，會(huì)打開“登錄名-新建”對(duì)話框。（3）根據(jù)所要?jiǎng)?chuàng)建的登錄帳戶的類型選擇相應(yīng)的身份驗(yàn)證類型單選按鈕。10.2.2添加登錄帳戶

1．將Windows賬號(hào)添加到SQLServer中（1）在SQLServer管理控制臺(tái)的“對(duì)象資源管理器”中，中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器。（2）右擊“安全性|登錄名”，選擇“新建登錄名”，會(huì)打開“登錄名-新建”對(duì)話框。（3）根據(jù)所要?jiǎng)?chuàng)建的登錄帳戶的類型選擇“Windows身份驗(yàn)證”類型單選按鈕。圖15-6新建登錄名對(duì)話框單擊“查找”按鈕，出現(xiàn)如圖15-7所示的對(duì)話框，將Windows賬號(hào)添加到SQLServer中。單擊“OK”按鈕，即完成了登錄名的創(chuàng)建。圖15-7選擇Windows用戶或組2．新建SQLServer賬號(hào)

（1）在SQLServer管理控制臺(tái)的“對(duì)象資源管理器”中，中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器。（2）右擊“安全性|登錄名”，選擇“新建登錄名”，會(huì)打開“登錄名-新建”對(duì)話框。（3）根據(jù)所要?jiǎng)?chuàng)建的登錄帳戶的類型選擇“SQLServer身份驗(yàn)證”類型單選按鈕。在“登陸名”文本框中，輸入新的SQLServer賬號(hào)名，在“密碼”和“確認(rèn)密碼”中，輸入登錄名對(duì)應(yīng)的密碼。單擊“OK”按鈕，完成登錄名的創(chuàng)建。

2．使用Transact-SQL語句添加登錄帳戶（1）將Windows賬號(hào)添加到SQLServer中sp_grantlogin：使WindowsNT用戶或組帳戶得以使用Windows身份驗(yàn)證連接到MicrosoftSQLServer。語法：sp_grantlogin[@loginame=]'login'參數(shù)：[@loginame=]‘login’

是要添加的WindowsNT用戶或組的名稱。WindowsNT組和用戶必須用WindowsNT域名限定，格式為“域\用戶"，例如London\Joeb。10.2.2添加登錄帳戶例1：使WindowsNT用戶Corporate\BobJ

得以連接到SQLServer。EXECsp_grantlogin'Corporate\BobJ'10.2.2添加登錄帳戶（2）可以使用CREATELOGIN語句新建SQLServer

登錄帳戶。CREATELOGINlogin_name{WITH<option_list1>|FROM<sources>}<sources>::=WINDOWS[WITH<windows_options>[,...]]<option_list1>::=PASSWORD='password'[HASHED][MUST_CHANGE][,<option_list2>[,...]]10.2.2添加登錄帳戶<option_list2>::=DEFAULT_DATABASE=database|DEFAULT_LANGUAGE=language|CHECK_EXPIRATION={ON|OFF}|CHECK_POLICY={ON|OFF}<windows_options>::=DEFAULT_DATABASE=database|DEFAULT_LANGUAGE=language10.2.2添加登錄帳戶其中的參數(shù)說明如下：login_name：指定創(chuàng)建的登錄名。WINDOWS：指定將登錄名映射到Windows登錄名。PASSWORD='password'：僅適用于SQLServer登錄名。指定正在創(chuàng)建的登錄名的密碼。HASHED：僅適用于SQLServer登錄名。指定在PASSWORD參數(shù)后輸入的密碼已經(jīng)過哈希運(yùn)算。10.2.2添加登錄帳戶MUST_CHANGE：僅適用于SQLServer登錄名。SQLServer將在首次使用新登錄名時(shí)提示用戶輸入新密碼。DEFAULT_DATABASE=database：指定將指派給登錄名的默認(rèn)數(shù)據(jù)庫(kù)。如果未包括此選項(xiàng)，則默認(rèn)數(shù)據(jù)庫(kù)將設(shè)置為master。DEFAULT_LANGUAGE=language：指定將指派給登錄名的默認(rèn)語言。10.2.2添加登錄帳戶例：創(chuàng)建一個(gè)SQLServer登錄帳戶USER1，密碼為Abc123#$。CREATELOGINuser1

WITH

PASSWORD=‘Abc123#$'10.2.3修改登錄帳戶屬性使用SQLServer管理控制臺(tái)修改登錄帳戶屬性，只需雙擊要修改屬性的登錄帳戶，并在登錄屬性對(duì)話框中進(jìn)行修改即可。注意：對(duì)于SQLServer帳戶，可以修改其密碼。對(duì)于Windows帳戶，只能使用Windows的“計(jì)算機(jī)管理器”或“域用戶管理器”修改帳戶密碼。10.2.4拒絕或禁用登錄帳戶有時(shí)可能需要暫時(shí)拒絕或禁用一個(gè)登錄帳戶連接到SQLServer服務(wù)器，過一段時(shí)間后再恢復(fù)。使用SQLServer管理控制臺(tái)拒絕登錄帳戶的步驟如下：（1）在SQLServer管理控制臺(tái)中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器。（2）選擇“安全性|登錄名”，雙擊要拒絕訪問的登錄帳戶，打開登錄屬性對(duì)話框。（3）選擇“狀態(tài)”選擇頁(yè)，并選中“拒絕”或“禁用”單選按鈕。（4）單擊“確定”按鈕。10.2.5刪除登錄帳戶1．使用SQLServer管理控制臺(tái)刪除登錄帳戶（1）在SQLServer管理控制臺(tái)中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器。（2）選擇“安全性|登錄名”，在右側(cè)窗口的登錄帳戶列表中右擊要?jiǎng)h除的帳戶，從彈出的快捷菜單中選擇“刪除”選項(xiàng)。10.2.5刪除登錄帳戶2．使用Transact-SQL語句刪除登錄帳戶（1）使用DROPLOGIN刪除SQLServer登錄帳戶語法形式如下：DROPLOGINlogin_name其中l(wèi)ogin_name是要?jiǎng)h除的登錄名。例：刪除SQLServer帳戶USER1。（2）刪除windows登錄賬號(hào)

sp_revokelogin用來刪除NT用戶或用戶組在SQLSERVER上的登錄信息語法：

sp_revokelogin[@loginname=]‘login’參數(shù)：

[@loginame=]‘login’：是WindowsNT用戶或組的名稱。例：刪除WindowsNT用戶Corporate\MollyA

的登錄條目。

EXECsp_revokelogin'Corporate\BobJ'（3）刪除SQLServer登陸帳戶

sp_droplogin：刪除MicrosoftSQLServer登錄，以阻止使用該登錄名訪問SQLServer。語法：

sp_droplogin[@loginame=]'login'參數(shù)：

[@loginame=]‘login’：將被刪除的登錄。例5：從SQLServer中刪除用戶

student。

EXECsp_droplogin‘student'

10.2.6服務(wù)器角色SQLServer管理者可以將某一組用戶設(shè)置為某一角色，這樣只要對(duì)角色進(jìn)行權(quán)限設(shè)置便可以實(shí)現(xiàn)對(duì)所有用戶權(quán)限的設(shè)置，大大減少了管理員的工作量。SQLServer提供了通常管理工作的預(yù)定義服務(wù)器角色和數(shù)據(jù)庫(kù)角色。用戶還可以創(chuàng)建自己的數(shù)據(jù)庫(kù)角色。10.2.6服務(wù)器角色服務(wù)器角色是指根據(jù)SQLServer的管理任務(wù)，以及這些任務(wù)相對(duì)的重要性等級(jí)來把具有SQLServer管理職能的用戶劃分為不同的用戶組，每一組所具有的管理SQLServer的權(quán)限都是SQLServer內(nèi)置的，即不能對(duì)其進(jìn)行添加、修改和刪除，只能向其中加入用戶或者其他角色。10.2.6服務(wù)器角色固定服務(wù)器角色描述bulkadmin允許非sysadmin用戶運(yùn)行BULKINSERT語句dbcreator創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫(kù)diskadmin管理磁盤文件processadmin終止SQLServer實(shí)例中運(yùn)行的進(jìn)程securityadmin管理登錄名及其屬性serveradmin更改服務(wù)器范圍的配置選項(xiàng)和關(guān)閉服務(wù)器setupadmin添加和刪除鏈接的服務(wù)器，并且也可以執(zhí)行某些系統(tǒng)存儲(chǔ)過程sysadmin在服務(wù)器中執(zhí)行任何活動(dòng)10.2.6服務(wù)器角色使用SQLServer管理控制臺(tái)更改服務(wù)器角色成員的步驟如下：（1）在SQLServer管理控制臺(tái)中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器。（2）選擇“安全性|服務(wù)器角色”，雙擊右側(cè)窗口的服務(wù)器角色列表中要更改的服務(wù)器角色，將彈出“服務(wù)器角色屬性”對(duì)話框，其中顯示出當(dāng)前服務(wù)器角色成員列表。10.3管理數(shù)據(jù)庫(kù)的用戶一臺(tái)服務(wù)器除了有一套服務(wù)器登錄帳戶列表外，每個(gè)數(shù)據(jù)庫(kù)中也都有一套相互獨(dú)立的數(shù)據(jù)庫(kù)用戶列表。每個(gè)數(shù)據(jù)庫(kù)用戶都和服務(wù)器登錄帳戶之間存在著一種映射關(guān)系。系統(tǒng)管理員可以將一個(gè)服務(wù)器登錄帳戶映射到用戶需要訪問的每一個(gè)數(shù)據(jù)庫(kù)中的一個(gè)用戶帳戶和角色上。一個(gè)登錄帳戶在不同的數(shù)據(jù)庫(kù)中可以映射成不同的用戶，從而擁有不同的權(quán)限。10.3管理數(shù)據(jù)庫(kù)的用戶在SQLServer中，每個(gè)數(shù)據(jù)庫(kù)一般都有兩個(gè)默認(rèn)的用戶：dbo和guest。dbo代表數(shù)據(jù)庫(kù)的擁有者。例如，sysadmin服務(wù)器角色的成員被自動(dòng)映射成dbo。Guest用戶主要是讓那些沒有屬于自己的用戶帳戶的SQLServer登錄者作為其默認(rèn)的用戶，從而使該登錄者能夠訪問具有g(shù)uest用戶的數(shù)據(jù)庫(kù)。不能刪除guest用戶，但可通過撤消該用戶的CONNECT權(quán)限將其禁用。10.3管理數(shù)據(jù)庫(kù)的用戶在SQLServer管理控制臺(tái)中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器，在“數(shù)據(jù)庫(kù)”目錄樹中，選擇某個(gè)數(shù)據(jù)庫(kù)名稱下面包含的“安全性|用戶”，可以在右側(cè)窗口中看到該數(shù)據(jù)庫(kù)的所有用戶。10.3.1添加數(shù)據(jù)庫(kù)用戶1．使用SQLServer管理控制臺(tái)添加數(shù)據(jù)庫(kù)用戶（1）在SQLServer管理控制臺(tái)中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器。（2）展開“數(shù)據(jù)庫(kù)”目錄樹，再展開待添加用戶的數(shù)據(jù)庫(kù)，右擊“安全性|用戶”，在彈出的快捷菜單中選擇“新建用戶”選項(xiàng)。將彈出“數(shù)據(jù)庫(kù)用戶-新建”對(duì)話框。10.3.1添加數(shù)據(jù)庫(kù)用戶2．使用Transact-SQL語句添加數(shù)據(jù)庫(kù)用戶可以使用CREATEUSER添加數(shù)據(jù)庫(kù)用戶，其基本語法形式如下：CREATEUSERuser_name[{FOR|FROM}

{LOGINlogin_name}|WITHOUTLOGIN][WITHDEFAULT_SCHEMA=schema_name]10.3.1添加數(shù)據(jù)庫(kù)用戶參數(shù)說明如下：user_name：指定在此數(shù)據(jù)庫(kù)中用于識(shí)別該用戶的名稱。user_name的長(zhǎng)度最多是128個(gè)字符。LOGINlogin_name：指定要?jiǎng)?chuàng)建數(shù)據(jù)庫(kù)用戶的SQLServer登錄名。login_name必須是服務(wù)器中有效的登錄名。WITHDEFAULT_SCHEMA=schema_name：指定服務(wù)器為此數(shù)據(jù)庫(kù)用戶解析對(duì)象名時(shí)將搜索的第一個(gè)架構(gòu)。WITHOUTLOGIN：指定不應(yīng)將用戶映射到現(xiàn)有登錄名。10.3.1添加數(shù)據(jù)庫(kù)用戶例10-3-1：在STUDENT數(shù)據(jù)庫(kù)中為SQLServer用戶USER1添加數(shù)據(jù)庫(kù)用戶，并取名為USER1，默認(rèn)架構(gòu)為STU。USESTUDENTCREATEUSERUSER1FORLOGINUSER1WITHDEFAULT_SCHEMA=STU10.3.2刪除數(shù)據(jù)庫(kù)用戶刪除數(shù)據(jù)庫(kù)用戶實(shí)際上就是刪除一個(gè)登錄帳戶到一個(gè)數(shù)據(jù)庫(kù)中的映射。在SQLServer管理控制臺(tái)中刪除一個(gè)數(shù)據(jù)庫(kù)用戶可以用鼠標(biāo)右擊欲刪除的用戶，從彈出的快捷菜單中選擇“刪除”選項(xiàng)，在隨后彈出的“刪除對(duì)象”對(duì)話框中單擊“確定”按鈕即可將該用戶從數(shù)據(jù)庫(kù)中刪除。10.3.2刪除數(shù)據(jù)庫(kù)用戶利用Transact-SQL語句同樣可以刪除數(shù)據(jù)庫(kù)用戶，其語法形式如下：DROPUSERuser_name其中的參數(shù)user_name指定在此數(shù)據(jù)庫(kù)中用于識(shí)別該用戶的名稱。例：從STUDENT數(shù)據(jù)庫(kù)中刪除數(shù)據(jù)庫(kù)用戶USER1。10.3.3數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色是為某一用戶或某一組用戶授予不同級(jí)別的管理或訪問數(shù)據(jù)庫(kù)以及數(shù)據(jù)庫(kù)對(duì)象的權(quán)限，這些權(quán)限是數(shù)據(jù)庫(kù)專有的，并且還可以給一個(gè)用戶授予屬于同一數(shù)據(jù)庫(kù)的多個(gè)角色。SQLServer在安裝成功后，提供了十種固定數(shù)據(jù)庫(kù)角色。固定數(shù)據(jù)庫(kù)角色是在數(shù)據(jù)庫(kù)級(jí)別定義的，并且存在于每個(gè)數(shù)據(jù)庫(kù)中。固定數(shù)據(jù)庫(kù)角色描述db_accessadmin添加或刪除Windows登錄賬戶、Windows組和SQLServer登錄賬戶的訪問權(quán)限db_backupoperator備份數(shù)據(jù)庫(kù)固定數(shù)據(jù)庫(kù)角色描述固定數(shù)據(jù)庫(kù)角色描述db_datareader讀取所有用戶表中的所有數(shù)據(jù)db_datawriter添加、刪除或更改所有用戶表中的數(shù)據(jù)db_ddladmin在數(shù)據(jù)庫(kù)中運(yùn)行任何數(shù)據(jù)定義語言（DDL）命令db_denydatareader不能讀取數(shù)據(jù)庫(kù)內(nèi)用戶表中的任何數(shù)據(jù)db_denydatawriter不能添加、修改或刪除數(shù)據(jù)庫(kù)內(nèi)用戶表中的任何數(shù)據(jù)db_owner執(zhí)行數(shù)據(jù)庫(kù)的所有配置和維護(hù)活動(dòng)db_securityadmin修改角色成員身份和管理權(quán)限10.3.3數(shù)據(jù)庫(kù)角色在固定的數(shù)據(jù)庫(kù)角色中，public是一個(gè)特殊的數(shù)據(jù)庫(kù)角色，每個(gè)數(shù)據(jù)庫(kù)用戶都屬于public數(shù)據(jù)庫(kù)角色。當(dāng)尚未對(duì)某個(gè)用戶授予或拒絕對(duì)安全對(duì)象的特定權(quán)限時(shí)，則該用戶將繼承授予該安全對(duì)象的public角色的權(quán)限。110.3.3數(shù)據(jù)庫(kù)角色在SQLServer管理控制臺(tái)中，展開SQLServer服務(wù)器組中相應(yīng)服務(wù)器，展開“數(shù)據(jù)庫(kù)”目錄樹，再展開某個(gè)具體的數(shù)據(jù)庫(kù)，選擇“安全性|角色|數(shù)據(jù)庫(kù)角色”，在右側(cè)窗口中會(huì)看到數(shù)據(jù)庫(kù)中已存在的角色。在未創(chuàng)建新角色之前，數(shù)據(jù)庫(kù)中只有固定數(shù)據(jù)庫(kù)角色。角色管理：2.角色管理的內(nèi)容（1）管理服務(wù)器角色使用企業(yè)管理器 增加服務(wù)器角色成員、 查看服務(wù)器角色權(quán)限、 刪除服務(wù)器角色成員。使用系統(tǒng)過程sp_addsrvrolemember

sp_dropsrvrrolemember管理服務(wù)器角色。

①sp_addsrvrolemember

添加登錄，使其成為固定服務(wù)器角色的成員。語法：

sp_addsrvrolemember[@loginame=]‘login’，

[@rolename=]'role'參數(shù)：

[@loginame=]‘login’：是添加到固定服務(wù)器角色的登錄名稱。login

可以是MicrosoftSQLServer登錄或MicrosoftWindowsNT用戶帳戶。

[@rolename=]‘role’：要將登錄添加到的固定服務(wù)器角色的名稱。例：添加用戶‘a(chǎn)dmin\user01’為’sysadmin’服務(wù)器角色的成員；添加用戶‘user01’為’dbcreator’服務(wù)器角色的成員。sp_addsrvrolemember‘a(chǎn)dmin\user01’,’sysadmin’sp_addsrvrolemember‘user01’,’dbcreator’②sp_dropsrvrolemember

從固定服務(wù)器角色中刪除Microsoft?SQLServer?登錄或MicrosoftWindowsNT?用戶或組。語法:

sp_dropsrvrolemember[@loginame=]'login',[@rolename=]'role'參數(shù): [@loginame=]'login‘:將要從固定服務(wù)器角色刪除的登錄的名稱。login

必須已經(jīng)存在。

@rolename=]'role‘:服務(wù)器角色的名稱。例：把用戶‘a(chǎn)dmin\user01’從’sysadmin’服務(wù)器角色的成員中刪除；把用戶‘user01’從’dbcreator’服務(wù)器角色的成員中刪除。sp_dropsrvrolemember‘a(chǎn)dmin\user01’,’sysadmin’sp_dropsrvrolemember‘user01’,’dbcreator’（2）管理數(shù)據(jù)庫(kù)角色使用企業(yè)管理器 增加數(shù)據(jù)庫(kù)角色成員、 授予數(shù)據(jù)庫(kù)角色權(quán)限、 刪除數(shù)據(jù)庫(kù)角色成員。使用存儲(chǔ)過程管理數(shù)據(jù)庫(kù)角色成員、

sp_addrole、sp_addapprole、sp_droprole、sp_dropapprole、sp_helprole、sp_helprolemember、sp_addrolemember、sp_droprolemember

sp_addrole:在當(dāng)前數(shù)據(jù)庫(kù)創(chuàng)建新的數(shù)據(jù)庫(kù)角色。sp_droprole:從當(dāng)前數(shù)據(jù)庫(kù)刪除數(shù)據(jù)庫(kù)角色。sp_addapprole:在當(dāng)前數(shù)據(jù)庫(kù)中添加一個(gè)特殊類型的角色以使應(yīng)用程序安全。sp_dropapprole:從當(dāng)前數(shù)據(jù)庫(kù)刪除應(yīng)用程序角色。sp_helprole:顯示當(dāng)前數(shù)據(jù)庫(kù)中角色的信息。sp_addrolemember:將指定用戶添加為當(dāng)前數(shù)據(jù)庫(kù)中某一角色的成員。sp_droprolemember:從當(dāng)前數(shù)據(jù)庫(kù)中的角色中刪除某一成員。

sp_helprolemember:顯示當(dāng)前數(shù)據(jù)庫(kù)中某個(gè)角色的成員的信息。10.4權(quán)限管理權(quán)限用來指定授權(quán)用戶可以使用的數(shù)據(jù)庫(kù)對(duì)象以及對(duì)這些數(shù)據(jù)庫(kù)對(duì)象可以執(zhí)行的操作。用戶在登錄到SQLServer之后，根據(jù)其用戶帳戶所屬的Windows組或角色，決定了該用戶能夠?qū)δ男?shù)據(jù)庫(kù)對(duì)象執(zhí)行哪種操作以及能夠訪問、修改哪些數(shù)據(jù)。在每個(gè)數(shù)據(jù)庫(kù)中，用戶的權(quán)限獨(dú)立于用戶帳戶和用戶在數(shù)據(jù)庫(kù)中的角色，每個(gè)數(shù)據(jù)庫(kù)都有自己獨(dú)立的權(quán)限系統(tǒng)。權(quán)限的管理主要是完成對(duì)權(quán)限的授權(quán)、拒絕和回收。10.4權(quán)限管理管理權(quán)限可以通過以下的方式來實(shí)現(xiàn)：從數(shù)據(jù)庫(kù)的角度來管理。從用戶或角色的角度來管理。從數(shù)據(jù)庫(kù)對(duì)象的角度來管理。在SQLServer中，可以通過SQLServer管理控制臺(tái)或Transact-SQL語句管理權(quán)限。四、權(quán)限管理：1.權(quán)限管理簡(jiǎn)介對(duì)象權(quán)限語句權(quán)限管理權(quán)限的命令：（1）GRANT： 在安全系統(tǒng)中創(chuàng)建項(xiàng)目，使當(dāng)前數(shù)據(jù)庫(kù)中的用戶得以處理當(dāng)前數(shù)據(jù)庫(kù)中的數(shù)據(jù)或執(zhí)行特定的Transact-SQL語句。（2）REVOKE： 刪除以前在當(dāng)前數(shù)據(jù)庫(kù)內(nèi)的用戶上授予或拒絕的權(quán)限。（3）DENY： 在安全系統(tǒng)中創(chuàng)建一項(xiàng)，以拒絕給當(dāng)前數(shù)據(jù)庫(kù)內(nèi)的安全帳戶授予權(quán)限并防止安全帳戶通過其組或角色成員資格繼承權(quán)限。10.4.2使用Transact-SQL語句管理權(quán)限在Transact-SQL語言中，使用GRANT、DENY和REVOKE三種命令來管理權(quán)限。GRANT:把指定的權(quán)限授予某一用戶。語法：GRANT{ALL[PRIVILEGES]}|權(quán)限名[(列名[,...n])][,...n]ON數(shù)據(jù)庫(kù)對(duì)象名TO用戶/角色[WITHGRANTOPTION]說明：GRANTOPTION選項(xiàng)指示被授權(quán)者在獲得指定權(quán)限的同時(shí)還可以將指定權(quán)限授予其他用戶或角色。10.4.2使用Transact-SQL語句管理權(quán)限D(zhuǎn)ENY：命令用來禁止用戶使用指定的權(quán)限。語法：DENY{ALL[PRIVILEGES]}|權(quán)限名[(列名[,...n])][,...n][ON數(shù)據(jù)庫(kù)對(duì)象名TO用戶/角色[CASCADE]說明：CASCADE選項(xiàng)指示拒絕授予指定用戶該權(quán)限，同時(shí)，對(duì)該用戶授予了該權(quán)限的所有其他用戶，也拒絕授予該權(quán)限。如果授權(quán)時(shí)使用了WITHGRANTOPTION選項(xiàng)，則此處為必選項(xiàng)。10.4.2使用Transact-SQL語句管理權(quán)限REVOKE：命令用來收回用戶所