sql server角色管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,角色管理,在数据库中，为了简化对用户操作权限的管理，可以将具有相同权限的一组用户组织在一起，形成数据库中的角色（Role）。,对一个角色授予、撤销和拒绝的权限也适用于该角色的任何成员。使用角色来管理数据库权限可以简化授权过程。,1,（一）系统预定义角色,固定服务器角色,固定数据库角色,2,1、固定服务器角色,服务器角色是负责管理和维护SQL Server的组，一般只是设置需要管理服务器的登录帐号属于服务器角色。,3,固定服务器角色及权限描述,固定服务器角色,权限,sysadmin,该角色可以在服务器中执行任何操作。Windows BUILTINAdnimistrators组的所有成员都是sysadmin角色的成员。,securityadmin,管理服务器登录帐户和创建数据库的权限。,serveradmin,能够配置服务器的设置选项，关闭服务器,setupadmin,能执行某些系统存储过程，以及管理链接服务器,processadmin,管理SQL Server实例中运行的进程,diskadmin,管理磁盘文件,dbcreator,创建、修改和删除数据库,bulkadmin,执行大容量数据的插入操作,4,利用对象资源管理器将登录帐号tch_admin添加到固定服务器角色dbcreate中,步骤1：,启动“Microsoft SQL Server Management Studio”管理器，在“对象资源管理器”窗口逐级展开“服务器”,【安全性】,【服务器角色】，显示预定义的固定服务器角色。,步骤2：,右击添加登录帐号的服务器角色dbcreate，在弹出的快捷菜单中选择【属性】选项，打开【服务器角色属性】对话框。,步骤3：,单击【添加】按钮，出现【添加成员】对话框。在该对话框中选择相应的登录帐号tch_admin。单击【确定】按钮即可选定的登录添加到服务器角色中。,5,利用T-SQL语句为登录帐号指定和删除服务器角色,格式,sp_addsrvrolemember ,login_name,，,role_name,参数说明：,login_name,：指定添加到服务器角色中的登录帐号。,role_name,：指定服务器角色的名称。,SQL Server还提供了系统存储过程sp_dropsrvrolemember为服务器角色删除登录帐户，其语法格式为：,sp_dropsrvrolemember ,login_name,，,role_name,6,例17,为登录帐号,tch_admin添加到固定服务器角色sysadmin中。,sp_addsrvrolemember tch_admin, sysadmin,7,2. 固定数据库角色,固定数据库角色是数据库级别上的一些预定义的角色。,在创建每个数据库时，都会自动添加这些角色到新创建的数据库中，每个角色对应着相应的权限。,固定的数据库角色为管理数据库一级的权限提供了方便，它的成员是来自每个数据库的用户。用户不能被添加、更改和删除固定数据库角色，但是可以将用户帐号添加到固定的数据库角色中。,8,（1）固定数据库角色与权限,固定的数据库角色,权 限,db_accessadmin,添加或删除Windows用户、组和SQL Server登录的访问权限,db_backupoperator,可以进行数据库的备份和恢复操作,db_datareader,可以查询所有用户表中的所有数据,db_datawriter,可以添加、删除和更改所有用户表中的数据,db_ddladmin,在数据库中运行所有数据定义语句(DDL)，可以建立、删除和修改数据库对象,db_denydatareader,禁止查询数据库的所有用户表中的任何数据,db_denydatawriter,禁止添加、删除和更改所有用户表中的数据,db_owner,在数据库中拥有全部权限,db_securityadmin,可以管理数据库角色和角色成员，并管理权限,public,默认不具有任何权限，但用户可以对此角色授权,9,public角色,public角色是一个特殊的数据库角色，每个数据库的用户都自动是public数据库角色的成员。,用户无法在public角色中添加和删除成员，但是用户可以对这个角色进行授权，而其他的固定数据库角色的权限是固定的，用户不可改变。,如果想让数据库的所有用户都具有某个权限，则可以将该权限授予public。同时，如果没有给用户专门授予某个对象的权限，他们就只能使用授public角色的权限。,10,(2)为固定数据库角色添加用户帐号,对象资源管理器,T-SQL命令,11,利用对象资源管理器为固定数据库角色db_owner添加用户帐号U1,步骤1：,启动“Microsoft SQL Server Management Studio”管理器，在“对象资源管理器”窗口逐级展开“服务器”,【数据库】,用户数据库TeachingData,【安全性】,【角色】,【数据库角色】，这时可以看到10个默认的数据库角色。,步骤2：,右击添加用户帐号的数据库角色db_owner，在弹出的快捷菜单中选择【属性】选项，打开【数据库角色属性】对话框，显示db_owner角色拥有的框架和成员。,步骤3：,单击【添加】按钮，出现【选择数据库用户或角色】对话框，在此选择用户U1并单击【确定】按钮返回。,步骤4：,在完成用户帐号的添加后，单击【确定】按钮即可将所选用户帐号添加到db_owner数据库角色中。,12,利用T-SQL语句为数据库角色添加用户帐号,语法格式为：,sp_addrolemember,role,security_account,参数说明：,role：当前数据库中的数据库角色的名称。role数据类型为sysname，无默认值。,security_account：是添加到该角色的安全用户帐户。security_account 可以是数据库用户、数据库角色、Windows 登录或 Windows 组。,13,例18,为数据库角色db_accessadmin添加用户帐号U1.,sp_addrolemember db_accessadmin,U1,14,（二）,用户自定义角色,当为一组数据库用户在SQL Server中设置相同的一组权限时，但这些权限的集合不等同于固定数据库角色所具有的权限时，可以通过用户自定义角色来满足这一要求，轻松地管理数据库中的权限。,15,1、创建用户自定义角色,使用对象资源管理器创建,使用T-SQL语句创建,16,（1） 使用对象资源管理器创建用户自定义角色,步骤1：,启动“SQL Server Management Studio”管理器，在对象资源管理器中，逐级展开【服务器】,【数据库】,【TeachingData】,【安全性】,【角色】；,步骤2：,右击“角色”项，在弹出的快捷菜单中选择【新建角色】命令.,步骤3：,单击对话框的【常规】标签，在【角色名称】对应的文本框中输入创建的数据库角色的名称R1；在“此角色拥有的架构”列表框中也可以选择当前新创建的角色要添加到哪个固定数据库角色。,步骤4：,单击对话框底部的【添加】按钮，直接为此角色添加成员用户帐号U1，返回【数据库角色】对话框后，单击【确定】按钮即可；也可以不添加成员，直接单击【确定】按钮完成角色的创建，此时创建的角色时无成员的，可以在以后的应用中添加。,17,18,（2）使用T-SQL语句创建用户自定义角色,语法格式：,sp_addrole,role,owner,参数说明：,role：要创建的数据库角色的名称。,owner：数据库角色的拥有者，默认值为dbo。,19,例19，,在TeachingData数据库中创建新的数据库角色Teacher。,sp_addrole Teacher,20,3、为用户定义的角色授权,步骤1：,在对象资源管理器中，右击要授权的用户自定义角色的名称，在弹出的快捷菜单中选择【属性】选项；,步骤2：,在出现的对话框中选择【安全对象】标签，在此界面下即可实现对角色的授权。,21,步骤,1、创建多个登陆帐户,2、创建多个数据库用户,3、将数据库用户加入到角色中,4、为角色分配权限,5、验证,22,