項(xiàng)目十三:安全管理創(chuàng)建登陸賬戶禁止或刪除登陸賬號(hào)添加數(shù)據(jù)庫(kù)用戶任務(wù)一任務(wù)二任務(wù)三安全管理任務(wù)四刪除數(shù)據(jù)庫(kù)用戶創(chuàng)建數(shù)據(jù)庫(kù)角色任務(wù)五任務(wù)六數(shù)據(jù)庫(kù)權(quán)限管理13.1任務(wù)1:創(chuàng)建登陸賬戶創(chuàng)建一個(gè)SQLServer登陸賬戶，帳號(hào)名為lgx，使其具有訪問(wèn)Student數(shù)據(jù)庫(kù)的權(quán)限。13.1.1相關(guān)知識(shí)創(chuàng)建登陸賬戶為了保證SQLServer2008數(shù)據(jù)庫(kù)的安全，用戶在訪問(wèn)SQLServer時(shí)需輸入正確的用戶名和密碼方可登陸，本任務(wù)介紹如何創(chuàng)建SQLServer登陸賬戶。1.身份驗(yàn)證模式SQLServer有兩種驗(yàn)證機(jī)制Windows驗(yàn)證機(jī)制和SQLServer驗(yàn)證機(jī)制，由這兩種驗(yàn)證機(jī)制產(chǎn)生了兩種SQLServer身份驗(yàn)證模式：Windows身份驗(yàn)證模式、SQLServer和Windows身份驗(yàn)證模式（混合模式）。Windows身份驗(yàn)證模式只能使用Windows驗(yàn)證機(jī)制，而SQLServer和Windows身份驗(yàn)證模式則既可以使用Windows驗(yàn)證機(jī)制也可以使用SQLServer驗(yàn)證機(jī)制。選擇使用哪個(gè)驗(yàn)證模式是可以改變的，可以在系統(tǒng)安裝過(guò)程中設(shè)置SQLServer的身份驗(yàn)證模式，也可以在安裝完成后修改。修改的方法為：在要修改的服務(wù)器實(shí)例上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，在彈出的“服務(wù)器屬性”窗口中選擇“安全性”，如圖13-1所示，在“服務(wù)器身份驗(yàn)證”選項(xiàng)組中，選擇“Windows身份驗(yàn)證模式（W）”或者“SQLServer和Windows身份驗(yàn)證模式（S）”。圖13-1“服務(wù)器屬性”窗口13.1.1相關(guān)知識(shí)創(chuàng)建登陸賬戶（1）Windows身份驗(yàn)證如果Windows的當(dāng)前用戶在SQLServer中被賦予了權(quán)限，可以直接登陸，不需要再次輸入用戶名和密碼。如果要以其他Windows賬戶登陸SQLServer，則需要先用此賬戶登陸Windows，然后再選擇以Windows身份驗(yàn)證模式登陸SQLServer。（2）SQLServer身份驗(yàn)證因?yàn)镾QLServer管理的帳號(hào)與Windows操作系統(tǒng)無(wú)關(guān)，所以每次登陸時(shí)都需要輸入賬戶和密碼。2.默認(rèn)賬戶不管選擇哪種驗(yàn)證模式，都必須先具備有效的用戶登陸賬戶。SQLServer有3個(gè)默認(rèn)賬戶，分別為sa、administrator和guest。sa是systemadministrator（系統(tǒng)管理員）的簡(jiǎn)稱，在SQLServer系統(tǒng)和所有數(shù)據(jù)庫(kù)中擁有所有權(quán)限。administrator為Windows系統(tǒng)管理員提供的賬戶，也在SQLServer系統(tǒng)和所有數(shù)據(jù)庫(kù)中擁有所有權(quán)限。guest賬戶為默認(rèn)訪問(wèn)系統(tǒng)用戶賬戶。13.1.1相關(guān)知識(shí)創(chuàng)建登陸賬戶3.存儲(chǔ)過(guò)程sp_addlogin系統(tǒng)存儲(chǔ)過(guò)程sp_addlogin也可以創(chuàng)建SQLServer身份驗(yàn)證登陸的登陸賬號(hào)，其基本語(yǔ)法格式如下。EXECUTEsp_addlogin‘登錄名’,‘登陸密碼’,‘默認(rèn)數(shù)據(jù)庫(kù)’,‘默認(rèn)語(yǔ)言’說(shuō)明：登錄名要符合標(biāo)識(shí)符的命名規(guī)則，不能包含‘\’、保留的登錄名或者已經(jīng)存在的登錄名，也不能是空字符串或NULL值。參數(shù)除了登錄名外，其它的參數(shù)為可選項(xiàng)，如果不指定密碼，密碼為NULL；如果不指定默認(rèn)數(shù)據(jù)庫(kù)，則使用master數(shù)據(jù)庫(kù)，如果不指定默認(rèn)語(yǔ)言，則使用服務(wù)器當(dāng)前的默認(rèn)語(yǔ)言。執(zhí)行存儲(chǔ)過(guò)程sp_addlogin時(shí)，需要具有相應(yīng)的權(quán)限，只有sysadmin和securityadmin固定服務(wù)器角色的成員才可以執(zhí)行。13.1.2任務(wù)實(shí)施創(chuàng)建索引方法1.用SSMS創(chuàng)建使用SQLServer身份驗(yàn)證的登陸賬戶“l(fā)gx”步驟1：在“對(duì)象資源管理器”窗口里展開(kāi)“安全性”節(jié)點(diǎn)，右擊“登錄名”，在彈出的快捷菜單中選擇“新建登錄名”命令，如圖13-2所示。

步驟2：在彈出的“登錄名-新建”窗口中選擇“SQLServer身份驗(yàn)證”，在“登錄名”文本框中輸入“l(fā)gx”，在“密碼”和“確認(rèn)密碼”文本框中輸入相同的密碼，比如“123”，選擇“服務(wù)器角色”和“用戶映射”選項(xiàng)，指定服務(wù)器角色和訪問(wèn)的數(shù)據(jù)庫(kù)及數(shù)據(jù)庫(kù)角色，取消“強(qiáng)制密碼過(guò)期”和“用戶在下次登陸時(shí)必須更改密碼”前的對(duì)勾，如圖13-3所示。

步驟3：?jiǎn)螕簟按_定”按鈕，“l(fā)gx”登錄名創(chuàng)建完成。操作圖示操作圖示圖13-2“對(duì)象資源管理器”窗口圖13-3“登錄名-新建”窗口13.2任務(wù)2:禁止或刪除登陸賬號(hào)禁止或刪除登陸賬號(hào)“l(fā)gx”。13.2.1相關(guān)知識(shí)禁止或刪除登陸賬號(hào)1．禁止登陸賬號(hào)是暫時(shí)停止用戶的使用權(quán)限，在必要的時(shí)候可以恢復(fù)使用。刪除登陸賬號(hào)是把該賬號(hào)從服務(wù)器中移除，移除后不可恢復(fù)。2．存儲(chǔ)過(guò)程sp_droplogin系統(tǒng)存儲(chǔ)過(guò)程sp_droplogin的功能是刪除一個(gè)SQLServer身份驗(yàn)證的登陸賬號(hào)，語(yǔ)法格式為：EXECUTEsp_droplogin‘登錄名’其中登錄名只能是SQLServer身份驗(yàn)證的登陸賬號(hào)。3．存儲(chǔ)過(guò)程sp_revokelogin系統(tǒng)存儲(chǔ)過(guò)程sp_revokelogin的功能是刪除一個(gè)Windows身份驗(yàn)證的登陸賬號(hào)，語(yǔ)法格式為：EXECUTEsp_revokelogin‘登錄名’其中登錄名只能是Windows身份驗(yàn)證的登陸賬號(hào)。13.2.2任務(wù)實(shí)施禁止或刪除登陸賬號(hào)步驟1：在“對(duì)象資源管理器”窗口里展開(kāi)“安全性”節(jié)點(diǎn)，展開(kāi)“登錄名”。步驟2：右擊登陸賬號(hào)“l(fā)gx”，選擇“屬性”菜單項(xiàng)，彈出“登陸屬性”窗口，如圖13-5所示。禁止登陸方法1.用SSMS禁止登陸賬戶“l(fā)gx”操作圖示步驟3：在“登陸屬性”窗口中選擇“狀態(tài)”選項(xiàng)，如圖13-6所示，在“設(shè)置”的“是否允許連接到數(shù)據(jù)庫(kù)引擎”選項(xiàng)組下選擇“拒絕”前的單選框，在“登陸”選擇項(xiàng)下選擇“禁用”前的單選框。步驟4：?jiǎn)螕簟按_定”按鈕，完成禁止登陸賬號(hào)“l(fā)gx”，如果要恢復(fù)，同樣的方法單擊“拒絕”或“禁用”即可恢復(fù)登陸賬號(hào)“l(fā)gx”，不再贅述。操作圖示圖13-5“登陸屬性”窗口圖13-6禁止登陸賬號(hào)窗口13.2.2任務(wù)實(shí)施禁止或刪除登陸賬號(hào)步驟1：在“對(duì)象資源管理器”窗口里展開(kāi)“安全性”節(jié)點(diǎn)，展開(kāi)“登錄名”。步驟2：右擊登陸賬號(hào)“l(fā)gx”，選擇“刪除”菜單項(xiàng)，如圖13-7所示。

步驟3：彈出“刪除對(duì)象”窗口，如圖13-8所示，單擊“確定”按鈕，刪除賬號(hào)“l(fā)gx”。

刪除登陸方法1.用SSMS刪除登陸賬戶“l(fā)gx”操作圖示操作圖示圖13-7刪除登陸窗口圖13-8刪除對(duì)象窗口13.2.2任務(wù)實(shí)施禁止或刪除登陸賬號(hào)步驟1：進(jìn)入SSMS管理界面后，在工具欄中單擊“新建查詢”按鈕，打開(kāi)“查詢編輯器”窗口。步驟2：在“查詢編輯器”窗口中輸入命令：EXECUTEsp_droplogin'lgx'，單擊“執(zhí)行”按鈕，刪除登陸賬戶成功，如圖13-9所示。

刪除登陸方法2.用T-SQL命令刪除登陸賬戶lgx操作圖示圖13-9刪除賬號(hào)命令窗口13.3任務(wù)3:添加數(shù)據(jù)庫(kù)用戶在當(dāng)前數(shù)據(jù)庫(kù)Student創(chuàng)建數(shù)據(jù)庫(kù)用戶lgx。13.3.1相關(guān)知識(shí)添加數(shù)據(jù)庫(kù)用戶一般情況下，當(dāng)用戶用登陸帳號(hào)登陸到SQLServer后，還不能訪問(wèn)數(shù)據(jù)庫(kù)，要訪問(wèn)數(shù)據(jù)庫(kù)，還需要為登陸帳號(hào)映射一個(gè)數(shù)據(jù)庫(kù)用戶。添加數(shù)據(jù)庫(kù)用戶的方式有多種，可以在創(chuàng)建或者修改登陸帳號(hào)時(shí)的“登陸屬性”窗口的“用戶映射”中建立登陸名到指定數(shù)據(jù)庫(kù)的映射，或者在數(shù)據(jù)庫(kù)中直接建立數(shù)據(jù)庫(kù)用戶。可以使用存儲(chǔ)過(guò)程sp_grantdbaccess添加數(shù)據(jù)庫(kù)用戶，格式如下：Executesp_grantdbaccess‘登陸名’,’用戶名’說(shuō)明：登陸名既可以是Windows身份驗(yàn)證的登陸名，也可以是SQLServer身份驗(yàn)證的登陸名，用戶名是在該數(shù)據(jù)庫(kù)使用的，如果沒(méi)有指定，直接使用登陸名，需要注意的是只能向當(dāng)前數(shù)據(jù)庫(kù)中添加用戶登陸帳號(hào)的用戶名，不能添加sa的用戶名。1．dbo是數(shù)據(jù)庫(kù)的所有者，擁有數(shù)據(jù)庫(kù)的所有權(quán)限，每個(gè)數(shù)據(jù)庫(kù)都有自己的dbo用戶，默認(rèn)情況下，固定服務(wù)器角色sysadmin的成員都自動(dòng)映射到所有數(shù)據(jù)庫(kù)的dbo用戶，該用戶不能被刪除。當(dāng)一個(gè)登錄帳號(hào)可以創(chuàng)建數(shù)據(jù)庫(kù)時(shí)，該登陸帳號(hào)就映射到該數(shù)據(jù)庫(kù)的dbo用戶。2．guest用戶是來(lái)賓用戶，不能刪除，在默認(rèn)情況下該用戶是禁用的。13.3.2任務(wù)實(shí)施添加數(shù)據(jù)庫(kù)用戶步驟1：在SSMS中，依次展開(kāi)“數(shù)據(jù)庫(kù)”|“Student”|“安全性”|“用戶”，右擊“用戶”節(jié)點(diǎn)，在彈出的快捷菜單中選擇“新建用戶”命令，彈出“數(shù)據(jù)庫(kù)用戶-新建”對(duì)話框，在用戶名中輸入“l(fā)gx”，如圖13-10所示。

步驟2：輸入登陸名或者單擊“登陸名”右側(cè)的“…”按鈕，彈出“選擇登錄名”對(duì)話框，如圖13-11所示。方法1.在SSMS中創(chuàng)建Student數(shù)據(jù)庫(kù)用戶lgx。操作圖示操作圖示圖13-10“數(shù)據(jù)庫(kù)用戶-新建”對(duì)話框圖13-11“查找對(duì)象”對(duì)話框13.3.2任務(wù)實(shí)施步驟3：?jiǎn)螕簟盀g覽”按鈕，彈出“選擇對(duì)象”對(duì)話框，如圖13-12所示。

步驟4：選擇要授權(quán)訪問(wèn)Student數(shù)據(jù)庫(kù)的SQLServer登錄帳號(hào)“l(fā)gx”，連續(xù)三次單擊“確定”按鈕，完成數(shù)據(jù)庫(kù)用戶的創(chuàng)建。操作圖示圖13-12“選擇對(duì)象”對(duì)話框13.3.2任務(wù)實(shí)施添加數(shù)據(jù)庫(kù)步驟1：進(jìn)入SSMS管理界面后，在工具欄中單擊“新建查詢”按鈕，打開(kāi)“查詢編輯器”窗口。步驟2：在“查詢編輯器”窗口中輸入命令：EXECUTEsp_grantdbaccess'lgx','lgx'，單擊“執(zhí)行”按鈕，創(chuàng)建成功，如圖13-13所示。方法2：使用存儲(chǔ)過(guò)程sp_grantdbaccess創(chuàng)建Student數(shù)據(jù)庫(kù)用戶lgx。操作圖示圖13-13創(chuàng)建用戶命令窗口13.3任務(wù)4:刪除數(shù)據(jù)庫(kù)用戶刪除數(shù)據(jù)庫(kù)Student中的數(shù)據(jù)庫(kù)用戶“l(fā)gx”。13.4.1相關(guān)知識(shí)刪除數(shù)據(jù)庫(kù)用戶從當(dāng)前數(shù)據(jù)庫(kù)中刪除一個(gè)數(shù)據(jù)庫(kù)用戶，即刪除了登陸帳號(hào)到當(dāng)前數(shù)據(jù)庫(kù)用戶的映射。13.4.2任務(wù)實(shí)施刪除數(shù)據(jù)庫(kù)用戶步驟1：在SSMS中，依次展開(kāi)“數(shù)據(jù)庫(kù)”|“Student”|“安全性”|“用戶”，右擊要?jiǎng)h除的用戶名節(jié)點(diǎn)“l(fā)gx”，在彈出的快捷菜單中選擇“刪除命令”命令，彈出“刪除對(duì)象”對(duì)話框，如圖13-14所示。

步驟2：?jiǎn)螕簟按_定”按鈕，刪除數(shù)據(jù)庫(kù)用戶成功。方法1.在SSMS中刪除Student數(shù)據(jù)庫(kù)用戶lgx。操作圖示圖13-14“刪除對(duì)象”對(duì)話框13.4.2任務(wù)實(shí)施刪除數(shù)據(jù)庫(kù)用戶步驟1：進(jìn)入SSMS管理界面后，在工具欄中單擊“新建查詢”按鈕，打開(kāi)“查詢編輯器”窗口。步驟2：在“查詢編輯器”窗口中輸入命令：EXECUTEsp_revokedbaccess'lgx'，單擊“執(zhí)行”按鈕，刪除成功，如圖13-15所示。

方法2：使用存儲(chǔ)過(guò)程sp_revokedbaccess刪除Student數(shù)據(jù)庫(kù)用戶lgx。操作圖示圖13-15刪除用戶命令窗口13.5任務(wù)5:創(chuàng)建數(shù)據(jù)庫(kù)角色在數(shù)據(jù)庫(kù)Student中創(chuàng)建數(shù)據(jù)庫(kù)角色myrole，該角色中的成員有數(shù)據(jù)庫(kù)用戶lgx。13.5.1相關(guān)知識(shí)創(chuàng)建數(shù)據(jù)庫(kù)角色角色是用來(lái)集中服務(wù)器和數(shù)據(jù)庫(kù)權(quán)限的，管理員把權(quán)限賦給角色，角色再賦給數(shù)據(jù)庫(kù)用戶或者登陸帳號(hào)，則登陸帳號(hào)或數(shù)據(jù)庫(kù)用戶就擁有了該角色的權(quán)限。在創(chuàng)建登陸帳號(hào)時(shí)可以對(duì)服務(wù)器角色進(jìn)行設(shè)置，在創(chuàng)建數(shù)據(jù)庫(kù)用戶時(shí)可以對(duì)數(shù)據(jù)庫(kù)角色進(jìn)行設(shè)置。在SQLServer中有兩種角色，分別是服務(wù)器角色和數(shù)據(jù)庫(kù)角色。角色的概念比較抽象，比如在學(xué)校的教務(wù)管理系統(tǒng)中存在3類不同權(quán)限的用戶，管理員、教師和學(xué)生，可以在數(shù)據(jù)庫(kù)中定義三種角色，管理員角色、教師角色和學(xué)生角色。所有的管理員都是管理員角色的成員，所有的教師都是教師角色的成員，所有的學(xué)生都是學(xué)生角色的成員。在數(shù)據(jù)庫(kù)的設(shè)計(jì)時(shí)把所有的用戶都作為這三種角色的成員之一，只需要對(duì)三種角色進(jìn)行權(quán)限設(shè)置，該角色的成員就擁有了相應(yīng)角色的權(quán)限，不需要對(duì)每個(gè)用戶進(jìn)行權(quán)限設(shè)置。13.5.1相關(guān)知識(shí)創(chuàng)建數(shù)據(jù)庫(kù)角色1．服務(wù)器角色服務(wù)器角色獨(dú)立于各個(gè)數(shù)據(jù)庫(kù)，當(dāng)創(chuàng)建一個(gè)登陸帳號(hào)后，要賦予該登陸帳號(hào)管理服務(wù)器的權(quán)限，可以設(shè)置該登陸帳號(hào)為服務(wù)器角色的成員。SQLServer2008中提供的固定服務(wù)器角色如表13-1所示。表13-1固定服務(wù)器角色角色名稱角色含義說(shuō)明sysadmin系統(tǒng)管理員該角色成員擁有所有的權(quán)限許可，是最高管理角色serveradmin服務(wù)器管理員該角色成員可對(duì)服務(wù)器進(jìn)行設(shè)置diskadmin磁盤管理員該角色成員可管理磁盤文件processadmin進(jìn)程管理員該角色成員可管理系統(tǒng)進(jìn)程securityadmin安全管理員該角色成員可管理登陸名及屬性，可授予、拒絕、撤銷服務(wù)器級(jí)和數(shù)據(jù)庫(kù)級(jí)的權(quán)限，可重置登陸名的密碼setupadmin設(shè)置管理員該角色成員可增加、刪除連接服務(wù)器，并執(zhí)行某些系統(tǒng)存儲(chǔ)過(guò)程dbcreator數(shù)據(jù)庫(kù)創(chuàng)建者該角色成員可創(chuàng)建、修改或刪除數(shù)據(jù)庫(kù)blkadmin批量數(shù)據(jù)輸入管理員該角色成員可執(zhí)行BULKINSERT語(yǔ)句，但是該角色的成員對(duì)要插入數(shù)據(jù)的表具有INSERT權(quán)限public

該角色的成員可以查看數(shù)據(jù)庫(kù)13.5.1相關(guān)知識(shí)創(chuàng)建數(shù)據(jù)庫(kù)角色2．?dāng)?shù)據(jù)庫(kù)角色在SQLServer中包括兩種數(shù)據(jù)庫(kù)角色，分別是固定數(shù)據(jù)庫(kù)角色和用戶自定義角色。固定數(shù)據(jù)庫(kù)角色定義在數(shù)據(jù)庫(kù)級(jí)別上，用戶不能增加、修改或者刪除固定數(shù)據(jù)庫(kù)角色。由于用戶有時(shí)需要一些特殊的權(quán)限，固定數(shù)據(jù)庫(kù)角色無(wú)法實(shí)現(xiàn)，因此需要用戶自定義角色，這是對(duì)固定數(shù)據(jù)庫(kù)角色的補(bǔ)充。在數(shù)據(jù)庫(kù)角色中添加用戶，可以使用戶獲得相關(guān)的管理或訪問(wèn)數(shù)據(jù)庫(kù)及數(shù)據(jù)庫(kù)對(duì)象的權(quán)限。固定的數(shù)據(jù)庫(kù)角色如表13-2所示。表13-2固定數(shù)據(jù)庫(kù)角色角色名稱說(shuō)明db_owner數(shù)據(jù)庫(kù)所有者，該角色成員可執(zhí)行數(shù)據(jù)庫(kù)的所有管理操作db_accessadmin數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限管理員，該角色成員可添加或刪除數(shù)據(jù)庫(kù)用戶、工作組和角色db_securityadmin數(shù)據(jù)庫(kù)安全管理員，該角色成員可修改成員身份和管理數(shù)據(jù)庫(kù)的權(quán)限db_ddladmin數(shù)據(jù)庫(kù)DDL管理員，該角色成員可在數(shù)據(jù)庫(kù)中運(yùn)行數(shù)據(jù)定義語(yǔ)言DDL命令，允許創(chuàng)建、修改或者刪除數(shù)據(jù)庫(kù)對(duì)象db_backupoperator數(shù)據(jù)庫(kù)備份操作者，該角色成員可備份數(shù)據(jù)庫(kù)db_datareader數(shù)據(jù)庫(kù)數(shù)據(jù)讀取者，該角色成員可讀取所有用戶表中的數(shù)據(jù)db_datawriter數(shù)據(jù)庫(kù)數(shù)據(jù)寫入者，該角色成員可向所有用戶表中添加、更改或者刪除數(shù)據(jù)db_denydatareader數(shù)據(jù)庫(kù)拒絕數(shù)據(jù)讀取者，該角色成員不能讀取數(shù)據(jù)庫(kù)中任何表的內(nèi)容db_denydatawriter數(shù)據(jù)庫(kù)拒絕數(shù)據(jù)寫入者，該角色成員不能對(duì)任何表進(jìn)行添加、刪除或者修改操作public特殊的數(shù)據(jù)庫(kù)角色，每個(gè)數(shù)據(jù)庫(kù)用戶都是public角色的成員，在沒(méi)有對(duì)某個(gè)用戶授予特定權(quán)限時(shí)，此用戶將繼承授予該安全對(duì)象的public角色的權(quán)限。public角色不可以被刪除13.5.2任務(wù)實(shí)施創(chuàng)建數(shù)據(jù)庫(kù)角色步驟1：在SSMS中，依次展開(kāi)“數(shù)據(jù)庫(kù)”|“Student”|“安全性”|“角色”，右擊“角色”節(jié)點(diǎn)，在彈出的快捷菜單中依次選擇“新建”|“新建數(shù)據(jù)庫(kù)角色”命令，如圖13-16所示。

步驟2：在彈出“數(shù)據(jù)庫(kù)角色-新建”對(duì)話框中輸入角色名稱“myrole”，在“所有者”框中選擇“dbo”，單擊“添加”按鈕，彈出“選擇數(shù)據(jù)庫(kù)用戶或角色”對(duì)話框，單擊“瀏覽”按鈕，選擇“l(fā)gx”，如圖13-17所示。

方法1.在SSMS中創(chuàng)建數(shù)據(jù)庫(kù)角色myrole。操作圖示操作圖示圖13-16“新建數(shù)據(jù)庫(kù)角色”對(duì)話框圖13-17“選擇數(shù)據(jù)庫(kù)用戶或角色”對(duì)話框13.5.2任務(wù)實(shí)施創(chuàng)建數(shù)據(jù)庫(kù)角色步驟3：?jiǎn)螕簟按_定”按鈕，“l(fā)gx”出現(xiàn)在角色成員列表中，如圖13-18所示。

步驟4：?jiǎn)螕簟按_定”按鈕，完成角色創(chuàng)建，此時(shí)僅僅創(chuàng)建了一個(gè)角色名，在后面的任務(wù)中將為該角色指定權(quán)限。說(shuō)明：如果要?jiǎng)h除角色“myrole”，則選中角色名稱，單擊鼠標(biāo)右鍵，在彈出的菜單中選擇“刪除”命令，操作比較簡(jiǎn)單，不再贅述。操作圖示圖13-18“數(shù)據(jù)庫(kù)角色-新建”對(duì)話框13.5.2任務(wù)實(shí)施創(chuàng)建數(shù)據(jù)庫(kù)角色步驟1：進(jìn)入SSMS管理界面后，在工具欄中單擊“新建查詢”按鈕，打開(kāi)“查詢編輯器”窗口。步驟2：在“查詢編輯器”窗口中輸入命令：EXECUTEsp_addrole'myrole'，單擊“執(zhí)行”按鈕，創(chuàng)建成功，如圖13-19所示。

說(shuō)明：刪除數(shù)據(jù)庫(kù)角色命令為存儲(chǔ)過(guò)程：sp_droprole角色名，刪除時(shí)特別需要注意的是如果角色中有成員，則刪除失敗，為了保證操刪除作成功運(yùn)行，在刪除角色前需要先刪除角色成員，其他與創(chuàng)建過(guò)程類似，不再贅述。方法2.使用存儲(chǔ)過(guò)程sp_addrole創(chuàng)建數(shù)據(jù)庫(kù)角色。操作圖示圖13-19刪除數(shù)據(jù)庫(kù)角色對(duì)話框13.6任務(wù)6:數(shù)據(jù)庫(kù)權(quán)限管理給數(shù)據(jù)庫(kù)用戶lgx授予在Student數(shù)據(jù)庫(kù)上的CREATETABLE語(yǔ)句的權(quán)限；給數(shù)據(jù)庫(kù)用戶lgx授予在學(xué)生表上的SELECT、INSERT權(quán)限。13.6.1相關(guān)知識(shí)數(shù)據(jù)庫(kù)權(quán)限管理數(shù)據(jù)庫(kù)的權(quán)限是指用戶可以獲得哪些數(shù)據(jù)庫(kù)對(duì)象的使用權(quán)，以及用戶能夠?qū)@些對(duì)象執(zhí)行哪種操作。把一個(gè)登錄名映射為一個(gè)數(shù)據(jù)庫(kù)用戶，把用戶名添加到某個(gè)數(shù)據(jù)庫(kù)角色中，或者直接對(duì)數(shù)據(jù)庫(kù)用戶進(jìn)行設(shè)置，都是為了對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限進(jìn)行設(shè)置，使用戶可以執(zhí)行被授權(quán)的操作。1. 基本概念權(quán)限管理是指把安全對(duì)象的權(quán)限授予主體，撤銷或者禁止主體對(duì)安全對(duì)象的權(quán)限。（1）主體主體是可以請(qǐng)求SQLServer資源的個(gè)體、組和過(guò)程。主體的分類如表13-3所示。13.6.1相關(guān)知識(shí)數(shù)據(jù)庫(kù)權(quán)限管理（2）安全對(duì)象安全對(duì)象是數(shù)據(jù)庫(kù)引擎授權(quán)系統(tǒng)控制對(duì)其進(jìn)行訪問(wèn)的資源。每個(gè)SQLServer安全對(duì)象都有可能授予主體的關(guān)聯(lián)權(quán)限，安全對(duì)象如表13-4所示。表13-4安全對(duì)象內(nèi)容主體內(nèi)容Windows級(jí)別主體Windows域名登錄名、Windows本地登錄名SQLServer級(jí)別主體SQLServer登錄名數(shù)據(jù)庫(kù)級(jí)別主體數(shù)據(jù)庫(kù)用戶、數(shù)據(jù)庫(kù)角色、應(yīng)用程序角色表13-3主體的分類13.6.1相關(guān)知識(shí)數(shù)據(jù)庫(kù)權(quán)限管理（2）安全對(duì)象安全對(duì)象是數(shù)據(jù)庫(kù)引擎授權(quán)系統(tǒng)控制對(duì)其進(jìn)行訪問(wèn)的資源。每個(gè)SQLServer安全對(duì)象都有可能授予主體的關(guān)聯(lián)權(quán)限，安全對(duì)象如表13-4所示。表13-4安全對(duì)象內(nèi)容安全對(duì)象內(nèi)容服務(wù)器端點(diǎn)、登陸賬號(hào)、數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)用戶、角色、應(yīng)用程序角色、程序集、消息類型、路由、服務(wù)、遠(yuǎn)程服務(wù)綁定、安全索引、證書、非對(duì)稱密鑰、約定和架構(gòu)架構(gòu)類型、XML架構(gòu)集合和對(duì)象對(duì)象聚合、約束、函數(shù)、過(guò)程、隊(duì)列、統(tǒng)計(jì)信息、同義詞、表和視圖13.6.1相關(guān)知識(shí)數(shù)據(jù)庫(kù)權(quán)限管理（3）架構(gòu)數(shù)據(jù)庫(kù)架構(gòu)是一個(gè)獨(dú)立于數(shù)據(jù)庫(kù)用戶的非重復(fù)的命名空間，數(shù)據(jù)庫(kù)中的對(duì)象都屬于某一個(gè)架構(gòu)。一個(gè)架構(gòu)只能有一個(gè)所有者，所有者可以使用用戶、數(shù)據(jù)庫(kù)角色等。（4）權(quán)限主要安全對(duì)象的權(quán)限如表13-5所示。安全對(duì)象權(quán)限數(shù)據(jù)庫(kù)BACKUPDATABASE、BACKUPLOG、CREATEDATABASE、CREATEFUNCTION、CREATEPROCEDURE、CREATERULE、CREATETABLE、CREATEVIEW標(biāo)量函數(shù)REFERENCES、EXECUTE表值函數(shù)、表和視圖DELETE、INSERT、SELECT、UPDATE、REFERENCES存儲(chǔ)過(guò)程DELETE、EXECUTE、INSERT、SELECT、UPDATE表13-5主要安全對(duì)象權(quán)限13.6.1相關(guān)知識(shí)數(shù)據(jù)庫(kù)權(quán)限管理2.權(quán)限管理權(quán)限管理主要包括授予權(quán)限、拒絕訪問(wèn)和撤銷權(quán)限三種操作。（1）授予權(quán)限允許某個(gè)用戶或角色對(duì)某個(gè)對(duì)象執(zhí)行某種操作。可以使用SQL命令GRANT實(shí)現(xiàn)該功能，也可以在SSMS中的復(fù)選框中選擇對(duì)號(hào)“”實(shí)現(xiàn)。使用GRANT語(yǔ)句可以給數(shù)據(jù)庫(kù)用戶或者數(shù)據(jù)庫(kù)角色授予數(shù)據(jù)庫(kù)級(jí)別或者對(duì)象級(jí)別的權(quán)限，語(yǔ)法格式如下：GRANT{ALL[PRIVILEGES]}|權(quán)限[(列[,…])][,…][ON安全對(duì)象]TO主體[,…][WITHGRANTOPTION][AS主體]13.6.1相關(guān)知識(shí)數(shù)據(jù)庫(kù)權(quán)限管理

ALL：指所有權(quán)限。ALLPRIVILIGES是SQL-92標(biāo)準(zhǔn)用法。

權(quán)限：權(quán)限名稱。不同的安全對(duì)象，權(quán)限的取值也不同。數(shù)據(jù)庫(kù)的權(quán)限取值可以為BACKUPDATABASE、BACKUPLOG、CREATEDATABASE、CREATEDEFAULT、CREATEFUNCTION、CREATEPROCEDURE、CREATERULE、CREATETABLE和CREATEVIEW等；表、視圖或表值函數(shù)的權(quán)限可以是SELECT、INSERT、DELETE、UPDATE或REFERENCES；存儲(chǔ)過(guò)程的權(quán)限為EXECUTE。

列：指定表、視圖或表值函數(shù)中要授予其權(quán)限的列的名稱。

ON安全對(duì)象：指定將授予其權(quán)限的安全對(duì)象。

主體：被授予權(quán)限的對(duì)象，可以是當(dāng)前數(shù)據(jù)庫(kù)用戶、數(shù)據(jù)庫(kù)角色。

WITHGRANTOPTION：被授權(quán)者可以把獲得的權(quán)限授予其他用戶。

AS主體：當(dāng)前數(shù)據(jù)庫(kù)中執(zhí)行GRANT語(yǔ)句的用戶所屬的角色名或組名。13.6.1相關(guān)知識(shí)數(shù)據(jù)庫(kù)權(quán)限管理（2）拒絕訪問(wèn)拒絕某個(gè)用戶或角色對(duì)某個(gè)對(duì)象執(zhí)行某種操作。可以使用SQL命令DENY實(shí)現(xiàn)該功能，也可以在SSMS中的復(fù)選框中選擇叉號(hào)“”實(shí)現(xiàn)。使用DENY語(yǔ)句可以拒絕給當(dāng)前數(shù)據(jù)庫(kù)中的用戶授予權(quán)限，防止數(shù)據(jù)庫(kù)用戶通過(guò)組或者角色成員資格繼承權(quán)限，語(yǔ)法格式如下：DENY{ALL[PRIVILEGES]}|權(quán)限[(列[,…])][,…][ON安全對(duì)象]TO主體[,…][CASCADE][AS主體]說(shuō)明：

DENY語(yǔ)法格式中各項(xiàng)的含義與GRANT中的相同項(xiàng)含義類似，不再贅述。

CASCADE：拒絕授予指定用戶或者角色的權(quán)限，同時(shí)對(duì)該用戶或者角色授予該權(quán)限的所有其他用戶和角色也拒絕授予該權(quán)限。13.6.1相關(guān)知識(shí)數(shù)據(jù)庫(kù)權(quán)限管理（3）撤銷權(quán)限撤銷以前給當(dāng)前數(shù)據(jù)庫(kù)用戶授予或拒絕的權(quán)限，語(yǔ)法格式如下：REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|權(quán)限[(列[,…])][,…]}[ON安全對(duì)象]{TO|FROM}主體[,…][CASCADE][AS主體]說(shuō)明：

REVOKE語(yǔ)法格式中各項(xiàng)的含義與GRANT中的相同項(xiàng)含義類似，不再贅述。

CASCADE：回收指定用戶或者角色的權(quán)限，同時(shí)回收轉(zhuǎn)授出的權(quán)限。13.6.2任務(wù)實(shí)施數(shù)據(jù)庫(kù)權(quán)限管理步驟1：以系統(tǒng)管理員身份登陸到SQLServer服務(wù)器，在SSMS中，依次展開(kāi)“數(shù)據(jù)庫(kù)”|“Student”，右擊“Student”節(jié)點(diǎn)，在彈出的快捷菜單中依次選擇“屬性”菜單項(xiàng)進(jìn)入到“數(shù)據(jù)庫(kù)屬性”對(duì)話框，在該窗口中選擇“權(quán)限”頁(yè)，如圖13-20所示。

步驟2：在“用戶或角色”欄中選擇需要授予權(quán)限的用戶或角色“l(fā)gx”，在窗口下方的權(quán)限列表中找到需要設(shè)置的權(quán)限“創(chuàng)建表”后的復(fù)選框中打鉤，如圖13-20所示，單擊“確定”按鈕，完成數(shù)據(jù)庫(kù)權(quán)限的設(shè)置。步驟3：在SSMS中，依次展開(kāi)“數(shù)據(jù)庫(kù)”|“Student”|“表”|“學(xué)生表”，右擊“學(xué)生表”節(jié)點(diǎn)，在彈出的快捷菜單中依次選擇“屬性”菜單項(xiàng)進(jìn)入到“表屬性”對(duì)話框，在該窗口中選擇“權(quán)限”頁(yè)，如圖13-21所示。方法1.在SSMS中授予權(quán)限。操作圖示操作圖示圖13-20“數(shù)據(jù)庫(kù)屬性”對(duì)話框圖13-21“表屬性”對(duì)話框13.6.2任務(wù)實(shí)施數(shù)據(jù)庫(kù)權(quán)限管理步驟4：?jiǎn)螕簟八阉鳌卑粹o，在彈出的“選擇用戶或角色”對(duì)話框中單擊“瀏覽”按鈕，