1、回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 第10章 SQL Server 2005的安全管理 本章主要內容是介紹本章主要內容是介紹SQL Server 2005的安全的安全管理機制，通過本章學習，掌握管理機制，通過本章學習，掌握SQL Server 2005的登錄驗證模式、數據庫用戶管理、角色類型及的登錄驗證模式、數據庫用戶管理、角色類型及角色權限管理等內容。角色權限管理等內容。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理

2、的安全管理 10.1 SQL Server 2005的安全特性 SQL Server 2005具備如下安全特性：1細化的權限控制2用戶和計劃分離3為標準登錄提供強制口令策略4在模塊上執行關聯文本5數據定義語言(DDLData Definition Language )觸發器6數據庫內的數據加密7集群身份驗證8多代理帳號9不依賴本地安全驗證數據庫10SQL事件探查器不再需要系統管理員權限11分析服務器的通訊加密與服務器端定義的策略一致12分析服務器中細化的管理角色13SQL Server代理作業的角色14新的工具和幫助文件15改進針對分析服務的審核功能16安全公告17Microsoft Inte

3、rnet Information Services （IIS）鎖定向導回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.2 SQL Server 2005的安全模型 SQL Server 2005訪問控制不論是SQL Server 2000還是SQL Server 2005，都支持多種協議通信，在SQL Server中對于實際的通信過程中，并不是直接配置通信協議，MircroSoft對通信協議進行了進一步的封裝，SQL Server 2005中封裝成SNI協議層，但SNI并不支持用戶直接配置，而是通過“

4、TDS 端點”對象進行通信。TDS端點是表示SQL Server與客戶端之間通信點的SQL Server對象。SQL Server自動為SQL Server支持的四個協議分別創建一個端點。 我們可以這樣來理解TDS端點：TDS端點實際是與通信協議相關，在實際的SQL Server 2005環境中啟用了什么樣的通信協議，就有什么樣的端點。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.2 SQL Server 2005的安全模型 SQL Server 2005身份驗證模式SQL Server 2005提

5、供了兩種確認用戶對數據庫引擎服務的驗證模式：Windows身份驗證和SQL Server身份驗證。1Windows身份驗證SQL Server數據庫系統通常運行在Windows服務器上，而Windows作為網絡操作系統，本身就具備管理登錄、驗證用戶合法性的能力，因此Windows驗證模式正是利用了這一用戶安全性和帳號管理的機制，允許SQL Server使用Windows的用戶名和口令。在這種模式下，用戶只需要通過Windows的驗證，就可以連接到SQL Server，而SQL Server本身就不再需要管理一套登錄數據。 2SQL Server身份驗證SQL Server身份驗證模式允許用戶使

6、用SQL Server安全驗證，連接到SQL Server。該認證模式下，用戶在連接SQL Server時必須提供登錄名和登錄密碼，這些登錄信息存儲在系統表syslogins中，與Windows的登錄帳號無關。SQL Server自身執行認證處理，如果輸入的登錄信息與系統表syslogins中的某條記錄相匹配，則表明登錄成功。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 登錄賬戶登錄賬戶(LoginName)是指用戶登錄是指用戶登錄(連接連接) SQL Server服務器的賬戶和

7、密碼，是進入數據庫服務器的賬戶和密碼，是進入數據庫服務器的第一張通行證。服務器的第一張通行證。sa：SQL Server數據庫服務器系統管理員登錄數據庫服務器系統管理員登錄賬戶。不可刪除、不能更改。該賬戶擁有最高的管賬戶。不可刪除、不能更改。該賬戶擁有最高的管理權限，不要輕易使用理權限，不要輕易使用sa。BUILTINAdministrators：一個：一個Windows組賬組賬戶，凡屬于該組的戶，凡屬于該組的Windows賬戶都可作為賬戶都可作為SQL Server的登錄賬戶，可刪除。的登錄賬戶，可刪除。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQ

8、L Server 2005的安全管理的安全管理 10.3 服務器的安全性 創建登錄帳戶1利用利用SQL Server Management Studio創建、管理創建、管理SQL Server登錄登錄帳號帳號下面創建一個下面創建一個“login1”的登錄帳號，其具體執行步驟如下：的登錄帳號，其具體執行步驟如下： 打開打開SQL Server Management Studio單擊需要登錄的服務器左單擊需要登錄的服務器左邊的邊的“+”號號展開安全性文件夾展開安全性文件夾右擊登錄名（右擊登錄名（login）圖標）圖標從彈出從彈出的快捷菜單中選擇的快捷菜單中選擇“新建登錄名新建登錄名”選項選項出現出

9、現SQL Server“登錄名登錄名新新建建”對話框。對話框。 在在“名稱名稱”文本框中輸入登錄名，如輸入：文本框中輸入登錄名，如輸入：login1。在身份驗證選項。在身份驗證選項欄中選擇新建的用戶帳號是欄中選擇新建的用戶帳號是Windows 認證模式，或是認證模式，或是SQL Server認證認證模式（這里選擇的是模式（這里選擇的是SQL Server認證模式）。認證模式）。 選擇選擇“服務器角色服務器角色”選項卡。在服務器角色列表框中，列出了系統選項卡。在服務器角色列表框中，列出了系統的固定服務器角色。在這些固定服務器角色的左端有相應的復選框，打的固定服務器角色。在這些固定服務器角色的左端

10、有相應的復選框，打勾的復選框表示該登錄帳號是相應的服務器角色成員（這里選擇勾的復選框表示該登錄帳號是相應的服務器角色成員（這里選擇“sysadmin”）。）。 選擇選擇“用戶映射用戶映射”選項卡進行設定選項卡進行設定 選擇選擇“安全對象安全對象”選項卡進行設定選項卡進行設定 設置完成后，單擊設置完成后，單擊“確定確定”按鈕即可完成登錄帳號按鈕即可完成登錄帳號“login1”的創建。的創建。 回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 創建登錄帳戶2使用使用Transact-SQ

11、L語句添加登錄帳戶進行設定語句添加登錄帳戶進行設定可以使用可以使用CREATE LOGIN語句添加登錄帳戶，命令格式如下：語句添加登錄帳戶，命令格式如下：CREATE LOGIN login_name WITH | FROM := WINDOWS WITH ,. := PASSWORD = password HASHED MUST_CHANGE , ,. := DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | CHECK_EXPIRATION = ON | OFF | CHECK_POLICY = ON | OFF :=DE

12、FAULT_DATABASE = database|DEFAULT_LANGUAGE = language其中：其中：login_name 指定創建的登錄名。指定創建的登錄名。WINDOWS指定將登錄名映射到指定將登錄名映射到 Windows 登錄名。登錄名。PASSWORD = password 僅適用于僅適用于 SQL Server 登錄名。指定正在登錄名。指定正在創建的登錄名的密碼。創建的登錄名的密碼。示例：示例：通過通過CREATE LOGIN語句添加登錄帳戶語句添加登錄帳戶“login3”，登錄密碼為，登錄密碼為“123456”。CREATE LOGIN login3 WITH PA

13、SSWORD=123456回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 修改登錄帳戶屬性使用使用SQL Server Management Studio修改登修改登錄帳戶屬性，只需雙擊要修改屬性的登錄帳戶，并錄帳戶屬性，只需雙擊要修改屬性的登錄帳戶，并在登錄屬性對話框中進行修改即可。在登錄屬性對話框中進行修改即可。注意：對于注意：對于SQL Server帳戶，可以修改其密帳戶，可以修改其密碼。對于碼。對于Windows帳戶，只能使用帳戶，只能使用Windows控制控制面板中的面板

14、中的“計算機管理器計算機管理器”或或“域用戶管理器域用戶管理器”修修改帳戶密碼。改帳戶密碼。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 禁用登錄帳戶禁用登錄帳戶有時可能需要暫時拒絕或禁用一個登錄帳戶連有時可能需要暫時拒絕或禁用一個登錄帳戶連接到接到SQL Server服務器，過一段時間后再恢復。服務器，過一段時間后再恢復。使用使用SQL Server Management Studio拒絕登錄帳拒絕登錄帳戶的步驟如下：戶的步驟如下：打開打開SQL Server Manageme

15、nt Studio展開展開SQL Server服務器組服務器組選中相應服務器選中相應服務器選擇選擇“安全性安全性|登錄名登錄名” 雙擊要拒絕訪問的登錄帳戶雙擊要拒絕訪問的登錄帳戶打開登錄屬性對話框打開登錄屬性對話框選擇選擇“狀態狀態”選擇頁選擇頁選選中中“拒絕拒絕”或或“禁用禁用”單選按鈕單選按鈕單擊單擊“確定確定”按按鈕。鈕。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 刪除登錄帳戶刪除登錄帳戶（1）使用）使用SQL Server Management Studio刪除刪除登錄

16、帳戶登錄帳戶打開打開SQL Server Management Studio展開展開SQL Server服務器組服務器組選中相應服務器選中相應服務器選擇選擇“安全性安全性|登錄名登錄名” 在右側窗口的登錄帳戶列表中右擊要在右側窗口的登錄帳戶列表中右擊要刪除的帳戶刪除的帳戶從彈出的快捷菜單中選擇從彈出的快捷菜單中選擇“刪除刪除”選選項。項。（2）使用）使用Transact-SQL語句刪除登錄帳戶語句刪除登錄帳戶可以使用可以使用DROP LOGIN刪除登錄帳戶，語法形式如刪除登錄帳戶，語法形式如下：下：DROP LOGIN login_name其中：其中：login_name是要刪除的登錄名。是要

17、刪除的登錄名。示例：示例：通過通過DROP LOGIN語句刪除登錄帳戶語句刪除登錄帳戶“login3”。DROP LOGIN login3回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 服務器角色角色角色 角色定義了常規的角色定義了常規的 SQL Server 用戶類別，每用戶類別，每種角色將該類別的用戶與其使用種角色將該類別的用戶與其使用 SQL Server時執時執行的任務集相關聯。利用角色，行的任務集相關聯。利用角色，SQL Server管理管理者可以將設置用戶的角色，這樣只

18、要對角色進行權者可以將設置用戶的角色，這樣只要對角色進行權限設置便可以實現對所有相關用戶權限的設置，大限設置便可以實現對所有相關用戶權限的設置，大大減少了管理員的工作量。大減少了管理員的工作量。 SQL Server提供了用戶通常使用的提供了用戶通常使用的預定義服預定義服務器角色和數據庫角色務器角色和數據庫角色。用戶還可以創建自己的數。用戶還可以創建自己的數據庫角色，以便表示某一類進行同樣操作的用戶。據庫角色，以便表示某一類進行同樣操作的用戶。當用戶需要執行不同的操作時，只需將該用戶加入當用戶需要執行不同的操作時，只需將該用戶加入不同的角色中即可，而不必對該用戶反復授權許可不同的角色中即可，而

19、不必對該用戶反復授權許可和收回許可。和收回許可。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 服務器角色定義服務器角色定義服務器角色服務器角色說說 明明系統管理員（sysadmin）擁有SQL Server所有的權限許可服務器管理員（serveradmin）管理SQL Server服務器端的設置磁盤管理員（diskadmin）管理磁盤文件進程管理員（processadmin）管理SQL Server系統進程安全管理員（securityadmin）管理和審核SQL Server系統

20、登錄安裝管理員（setupadmin）增加、刪除連接服務器，建立數據庫復制以及管理擴展存儲過程數據庫創建者（dbcreator）創建數據庫，并對數據庫進行修改批量數據輸入管理員（bulkadmin）管理同時輸入大量數據的操作回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 服務器角色管理服務器角色管理1.使用使用SQL Server Management Studio管理管理角色角色 打開打開SQL Server Management Studio展開指定展開指定的服務器的服務器單擊

21、單擊“安全性安全性”文件夾文件夾單擊單擊“服務器服務器角色角色”圖標圖標在右邊的對話框中右擊所要的角色在右邊的對話框中右擊所要的角色從彈出的快捷菜單中選擇從彈出的快捷菜單中選擇“屬性屬性”選項選項出現服務出現服務器角色屬性對話框。器角色屬性對話框。 在該對話框中我們可以看到屬于該角色的成員，在該對話框中我們可以看到屬于該角色的成員，單擊單擊“添加添加”按鈕則彈出添加成員對話框，其中可按鈕則彈出添加成員對話框，其中可以選擇添加新的登錄帳號作為該服務器角色成員，以選擇添加新的登錄帳號作為該服務器角色成員，單擊單擊“刪除刪除”按鈕則可以從服務器角色中刪除選定按鈕則可以從服務器角色中刪除選定的帳號。的

22、帳號。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.3 服務器的安全性 服務器角色管理服務器角色管理2.使用存儲過程管理角色使用存儲過程管理角色 在在SQL Server中，管理服務器角色的存儲過程主要有兩個：中，管理服務器角色的存儲過程主要有兩個： sp_addsrvrolemember和和sp_dropsrvrolemember。 系統存儲過程系統存儲過程sp_addsrvrolemember可以將某一登錄帳號加入到可以將某一登錄帳號加入到服務器角色中，使其成為該服務器角色的成員。其語法形式如下

23、：服務器角色中，使其成為該服務器角色的成員。其語法形式如下： sp_addsrvrolemember loginame= login , rolename = role 其中：其中：loginame 為登錄者名稱。為登錄者名稱。rolename 為服務器角色。為服務器角色。系統存儲過程系統存儲過程sp_dropsrvrolemember可以將某一登錄者從某一服可以將某一登錄者從某一服務器角色中刪除，當該成員從服務器角色中被刪除后，便不再具有該服務器角色中刪除，當該成員從服務器角色中被刪除后，便不再具有該服務器角色所設置的權限。其語法形式如下：務器角色所設置的權限。其語法形式如下： sp_dro

24、psrvrolemember loginame=login，rolename=role 其中：其中：loginame為登錄者名稱。為登錄者名稱。rolename為服務器角色。為服務器角色。示例：示例：通過存儲過程通過存儲過程sp_addsrvrolemember將登錄帳戶將登錄帳戶“login2”加入到服務器角色加入到服務器角色“sysadmin”中。中。sp_addsrvrolemember login2 , sysadmin;回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.4 數據庫的用戶管理 一

25、臺服務器除了有一套服務器登錄帳戶列表外，一臺服務器除了有一套服務器登錄帳戶列表外，每個數據庫中也都有一套相互獨立的數據庫用戶列每個數據庫中也都有一套相互獨立的數據庫用戶列表。每個數據庫用戶都和服務器登錄帳戶之間存在表。每個數據庫用戶都和服務器登錄帳戶之間存在著一種映射關系。系統管理員可以將一個服務器登著一種映射關系。系統管理員可以將一個服務器登錄帳戶映射到用戶需要訪問的每一個數據庫中的一錄帳戶映射到用戶需要訪問的每一個數據庫中的一個用戶帳戶和角色上。一個登錄帳戶在不同的數據個用戶帳戶和角色上。一個登錄帳戶在不同的數據庫中可以映射成不同的用戶，從而擁有不同的權限。庫中可以映射成不同的用戶，從而擁

26、有不同的權限。有關信息保存在各自數據庫有關信息保存在各自數據庫sysusers表中。表中。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.4 數據庫的用戶管理 添加數據庫用戶1使用使用SQL Server Management Studio添加用戶添加用戶 在一個數據庫中，用戶帳號惟一標識一個用戶，用戶對數據庫的訪在一個數據庫中，用戶帳號惟一標識一個用戶，用戶對數據庫的訪問權限以及對數據庫對象的所有關系都是通過用戶帳號來控制的。問權限以及對數據庫對象的所有關系都是通過用戶帳號來控制的。 利用利用SQL

27、 Server Management Studio可以授予可以授予SQL Server登錄登錄訪問數據庫的許可權限。訪問數據庫的許可權限。 利用利用SQL Server Management Studio創建一個新數據庫用戶帳創建一個新數據庫用戶帳號號“user1”的步驟如下：的步驟如下： 打開打開SQL Server Management Studio展開要登錄的服務器展開要登錄的服務器展開要創建用戶的數據庫及安全文件夾展開要創建用戶的數據庫及安全文件夾右擊用戶圖標右擊用戶圖標從快捷菜單從快捷菜單中選擇中選擇“新建用戶新建用戶”選項選項出現出現“數據庫用戶數據庫用戶新建新建”對話框。對話框。

28、 在用戶名框內輸入數據庫用戶名稱，在登錄名選擇框內選擇已經在用戶名框內輸入數據庫用戶名稱，在登錄名選擇框內選擇已經創建的登錄帳號創建的登錄帳號“login1”，然后在下面的數據庫角色成員選擇框中，然后在下面的數據庫角色成員選擇框中，為該用戶選擇數據庫角色，最后單擊為該用戶選擇數據庫角色，最后單擊“確定確定”按鈕即可完成數據庫用戶按鈕即可完成數據庫用戶的創建。的創建。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.4 數據庫的用戶管理 添加數據庫用戶2使用使用Transact-SQL語句添加數據庫用戶語

29、句添加數據庫用戶可以使用可以使用CREATE USER添加數據庫用戶，其基本語法形式如下：添加數據庫用戶，其基本語法形式如下：CREATE USER user_name FOR | FROM LOGIN login_name | WITHOUT LOGIN WITH DEFAULT_SCHEMA = schema_name 其中：其中：user_name 指定在此數據庫中用于識別該用戶的名稱，指定在此數據庫中用于識別該用戶的名稱，user_name的長度最多是的長度最多是128個字符。個字符。LOGIN login_name 指定要創建數據庫用戶的指定要創建數據庫用戶的SQL Server登錄

30、名，登錄名，login_name必須是服務器中有效的登錄名。必須是服務器中有效的登錄名。WITH DEFAULT_SCHEMA = schema_name 指定服務器為此數據庫指定服務器為此數據庫用戶解析對象名時將搜索的第一個架構。用戶解析對象名時將搜索的第一個架構。WITHOUT LOGIN 指定不應將用戶映射到現有登錄名指定不應將用戶映射到現有登錄名 注意：示例：如果已忽略如果已忽略FOR LOGIN，則新的數據庫用戶將被，則新的數據庫用戶將被映射到同名的映射到同名的SQL Server登錄名。登錄名。如果未定義如果未定義DEFAULT_SCHEMA，則數據庫用戶，則數據庫用戶將使用將使用

31、dbo作為默認架構。作為默認架構。如果用戶是如果用戶是sysadmin固定服務器角色的成員，則忽固定服務器角色的成員，則忽略略DEFAULT_SCHEMA的值。的值。映射到映射到SQL Server的登錄名不能包含反斜杠字符（的登錄名不能包含反斜杠字符（）。）。通過通過CREATE USER語句添加對應登錄帳戶語句添加對應登錄帳戶“login2”的數據庫用戶的數據庫用戶“user2”。USE studCREATE USER user2 FOR LOGIN login2回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安

32、全管理 10.4 數據庫的用戶管理 修改數據庫用戶 可以使用SQL Server Management Studio修改數據庫用戶的授權，具體步驟如下： 打開SQL Server Management Studio展開服務器和數據庫單擊用戶圖標，此時在右面的對話框中將顯示數據庫的所有用戶。在數據庫用戶清單中，右擊要進行許可設置的用戶（這里選擇“user1”）從彈出的快捷菜單中選擇“屬性”選項出現數據庫用戶屬性對話框選擇“安全對象”選項卡。 在上述對話框中單擊“添加”按鈕，則彈出“添加對象”對話框。選擇“特定對象”單選鈕后，出現對話框，選擇對象類型“表”，對象名稱選擇庫下面的表。 點擊“確定”后

33、則出現對話框，在該對話框中可以進行對象許可的設置，點擊對話框底部“列權限”按鈕，出現對話框，在該對話框中可以選擇用戶對哪些列具有哪些權限，最后單擊“確定”按鈕即可完成許可的設置。 回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.4 數據庫的用戶管理 刪除數據庫用戶1使用使用SQL Server Management Studio刪除數據庫用戶刪除數據庫用戶 在在SQL Server Management Studio中，也可以查看中，也可以查看或者刪除數據庫用戶，方法是：展開某一數據庫，選中用戶或者刪

34、除數據庫用戶，方法是：展開某一數據庫，選中用戶圖標，在左面的對話框中顯示當前的數據庫的所有用戶。要圖標，在左面的對話框中顯示當前的數據庫的所有用戶。要刪除數據庫用戶，則在左面的對話框中右擊所要刪除的數據刪除數據庫用戶，則在左面的對話框中右擊所要刪除的數據庫用戶從彈出的快捷菜單中選擇庫用戶從彈出的快捷菜單中選擇“刪除刪除”選項，則會從當前選項，則會從當前的數據庫中刪除該數據庫用戶。的數據庫中刪除該數據庫用戶。 2使用Transact-SQL命令刪除數據庫用戶 其語法形式如下：DROP USER user_name其中：user_name 指定在此數據庫中用于識別該用戶的名稱。 示例：通過通過DR

35、OP USER語句刪除語句刪除stud庫的數據庫用戶庫的數據庫用戶“user2”。USE studDROP USER user2 回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.5 數據庫的用戶角色 數據庫角色是為某一用戶或某一組用戶授予不同級別的管理或訪問數據庫以及數據庫對象的權限，這些權限是數據庫專有的，并且還可以使一個用戶具有屬于同一數據庫的多個角色。 SQL Server提供了兩種類型的數據庫角色：固定的數據庫角色與用戶自定義的數據庫角色。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章

36、SQL Server 2005SQL Server 2005的安全管理的安全管理 10.5 數據庫的用戶角色固定的數據庫角色 數據庫角色數據庫角色說說 明明public每個數據庫用戶都屬于 public 數據庫角色，當尚未對某個用戶授予或拒絕對安全對象的特定權限時，則該用戶將繼承授予該安全對象的 public 角色的權限db_owner可以執行數據庫的所有配置和維護活動db_accessadmin可以增加或者刪除數據庫用戶、工作組和角色db_ ddladmin可以在數據庫中運行任何數據定義語言 (DDL) 命令db_securityadmin可以修改角色成員身份和管理權限db_backupop

37、erator可以備份和恢復數據庫db_datareader能且僅能對數據庫中的任何表執行select操作，從而讀取所有表的信息db_datawriter能夠增加、修改和刪除表中的數據，但不能進行SELECT操作db_denydatareader不能讀取數據庫中任何表中的數據db_denydatawriter不能對數據庫中的任何表執行增加、修改和刪除數據操作回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.5 數據庫的用戶角色自定義的數據庫角色 創建用戶定義的數據庫角色就是創建一組用戶，這些用戶具有一組相

38、同的許可。如果一組用戶需要執行在SQL Server中指定的一組操作并且不存在對應的Windows組，或者沒有管理Windows用戶帳號的許可，就可以在數據庫中建立一個用戶自定義的數據庫角色。用戶自定義的數據庫角色有兩種類型：即標準角色和應用程序角色。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.5 數據庫的用戶角色增刪數據庫角色的成員1使用SQL Server Management Studio管理角色 創建數據庫角色的步驟如下所示：打開SQL Server Management Studio展開

39、指定的服務器以及指定的數據庫展開“安全性”文件夾右擊“數據庫角色”圖標從彈出的快捷菜單中選擇“新建數據庫角色”選項出現新建數據庫角色對話框在名稱文本框中輸入該數據庫角色的名稱點擊架構前的復選框設定此角色擁有的架構單擊“添加”按鈕將數據庫用戶增加到新建的數據庫角色中單擊“確定”按鈕完成新的數據庫角色的創建。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.5 數據庫的用戶角色增刪數據庫角色的成員2使用存儲過程管理角色 在SQL Server中，支持數據庫管理的存儲過程主要有六種：（1）CREATE ROL

40、ECREATE ROLE role_name AUTHORIZATION owner_name （2）DROP ROLEDrop role role_name （3）sp_helprolesp_helprole role（4）sp_addrolemembersp_addrolemember role，security_account （5）sp_droprolemembersp_droprolemember role，security_account （6）sp_helprolemembersp_helprolemember role 示例：通過通過sp_helprolemembe存儲過程顯示

41、存儲過程顯示stud庫中屬于角庫中屬于角色色“db_owner”的所有數據庫用戶。的所有數據庫用戶。USE studsp_helprolemember db_owner回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.6 權限管理許可（權限）的種類 許可（權限）用來指定授權用戶可以使用的數據庫對象和這些授權用戶可以對這些數據庫對象執行的操作。用戶在登錄到SQL Server之后，其用戶帳號所歸屬的Windwos組或角色所被賦予的許可（權限）決定了該用戶能夠對哪些數據庫對象執行哪種操作以及能夠訪問、修改哪些數據。在每個數據庫中用戶的許可獨立于用戶帳號和用戶在數據庫中的角色，每個數據庫都有自己獨立的許可系統。在SQL Server中包括三種類型的許可：即對象許可、語句許可和預定義許可。回目錄回目錄上一頁上一頁下一頁下一頁第第1010章章 SQL Server 2005SQL Server 2005的安全管理的安全管理 10.6 權限管理 權限的管理1通過SQL Server Management Studio管理權限（1）管理數據庫的權限（2）管理用戶的權限（3）管理數據