參考文獻
http://database.51cto.com/art/201009/224075.htm
正文
要想成功訪問 SQL Server 數據庫中的數據, 我們需要兩個方面的授權:
- 獲得准許連接 SQL Server 服務器的權利;
- 獲得訪問特定數據庫中數據的權利(select, update, delete, create table ...)。
假設,我們准備建立一個 dba 數據庫帳戶,用來管理數據庫 mydb。
1. 首先在 SQL Server 服務器級別,創建登陸帳戶(create login)
--創建登陸帳戶(create login) create login dba with password='abcd1234@', default_database=mydb
登陸帳戶名為:“dba”,登陸密碼:abcd1234@”,默認連接到的數據庫:“mydb”。 這時候,dba 帳戶就可以連接到 SQL Server 服務器上了。但是此時還不能 訪問數據庫中的對象(嚴格的說,此時 dba 帳戶默認是 guest 數據庫用戶身份, 可以訪問 guest 能夠訪問的數據庫對象)。
要使 dba 帳戶能夠在 mydb 數據庫中訪問自己需要的對象, 需要在數據庫 mydb 中建立一個“數據庫用戶”,賦予這個“數據庫用戶” 某些訪問權限,並且把登陸帳戶“dba” 和這個“數據庫用戶” 映射起來。 習慣上,“數據庫用戶” 的名字和 “登陸帳戶”的名字相同,即:“dba”。 創建“數據庫用戶”和建立映射關系只需要一步即可完成:
2. 創建數據庫用戶(create user):
--為登陸賬戶創建數據庫用戶(create user),在mydb數據庫中的security中的user下可以找到新創建的dba create user dba for login dba with default_schema=dbo
並指定數據庫用戶“dba” 的默認 schema 是“dbo”。這意味着 用戶“dba” 在執行“select * from t”,實際上執行的是 “select * from dbo.t”。
3. 通過加入數據庫角色,賦予數據庫用戶“dba”權限:
--通過加入數據庫角色,賦予數據庫用戶“db_owner”權限 exec sp_addrolemember 'db_owner', 'dba'
此時,dba 就可以全權管理數據庫 mydb 中的對象了。
如果想讓 SQL Server 登陸帳戶“dba”訪問多個數據庫,比如 mydb2。 可以讓 sa 執行下面的語句:
--讓 SQL Server 登陸帳戶“dba”訪問多個數據庫 use mydb2 go create user dba for login dba with default_schema=dbo go exec sp_addrolemember 'db_owner', 'dba' go
此時,dba 就可以有兩個數據庫 mydb, mydb2 的管理權限了!
完整的代碼示例
View Code
--創建數據庫mydb和mydb2 --在mydb和mydb2中創建測試表,默認是dbo這個schema CREATE TABLE DEPT (DEPTNO int primary key, DNAME VARCHAR(14), LOC VARCHAR(13) ); --插入數據 INSERT INTO DEPT VALUES (101, 'ACCOUNTING', 'NEW YORK'); INSERT INTO DEPT VALUES (201, 'RESEARCH', 'DALLAS'); INSERT INTO DEPT VALUES (301, 'SALES', 'CHICAGO'); INSERT INTO DEPT VALUES (401, 'OPERATIONS', 'BOSTON'); --查看數據庫schema, user 的存儲過程 select * from sys.database_principals select * from sys.schemas select * from sys.server_principals --創建登陸帳戶(create login) create login dba with password='abcd1234@', default_database=mydb --為登陸賬戶創建數據庫用戶(create user),在mydb數據庫中的security中的user下可以找到新創建的dba create user dba for login dba with default_schema=dbo --通過加入數據庫角色,賦予數據庫用戶“db_owner”權限 exec sp_addrolemember 'db_owner', 'dba' --讓 SQL Server 登陸帳戶“dba”訪問多個數據庫 use mydb2 go create user dba for login dba with default_schema=dbo go exec sp_addrolemember 'db_owner', 'dba' go --禁用登陸帳戶 alter login dba disable --啟用登陸帳戶 alter login dba enable --登陸帳戶改名 alter login dba with name=dba_tom --登陸帳戶改密碼: alter login dba with password='aabb@ccdd' --數據庫用戶改名: alter user dba with name=dba_tom --更改數據庫用戶 defult_schema: alter user dba with default_schema=sales --刪除數據庫用戶: drop user dba --刪除 SQL Server登陸帳戶: drop login dba
使用存儲過程來完成用戶創建
下面一個實例來說明在sqlserver中如何使用存儲過程創建角色,重建登錄,以及如何為登錄授權等問題。
/*--示例說明 示例在數據庫InsideTSQL2008中創建一個擁有表HR.Employees的所有權限、擁有表Sales.Orders的SELECT權限的角色r_test 隨后創建了一個登錄l_test,然后在數據庫InsideTSQL2008中為登錄l_test創建了用戶賬戶u_test 同時將用戶賬戶u_test添加到角色r_test中,使其通過權限繼承獲取了與角色r_test一樣的權限 最后使用DENY語句拒絕了用戶賬戶u_test對表HR.Employees的SELECT權限。 經過這樣的處理,使用l_test登錄SQL Server實例后,它只具有表Sales.Orders的select權限和對表HR.Employees出select外的所有權限。 --*/ USE InsideTSQL2008 --創建角色 r_test EXEC sp_addrole 'r_test' --添加登錄 l_test,設置密碼為pwd,默認數據庫為pubs EXEC sp_addlogin 'l_test','a@cd123','InsideTSQL2008' --為登錄 l_test 在數據庫 pubs 中添加安全賬戶 u_test EXEC sp_grantdbaccess 'l_test','u_test' --添加 u_test 為角色 r_test 的成員 EXEC sp_addrolemember 'r_test','u_test' --用l_test登陸,發現在SSMS中找不到仍和表,因此執行下述兩條語句出錯。 select * from Sales.Orders select * from HR.Employees --授予角色 r_test 對 HR.Employees 表的所有權限 GRANT ALL ON HR.Employees TO r_test --The ALL permission is deprecated and maintained only for compatibility. --It DOES NOT imply ALL permissions defined on the entity. --ALL 權限已不再推薦使用,並且只保留用於兼容性目的。它並不表示對實體定義了 ALL 權限。 --測試可以查詢表HR.Employees,但是Sales.Orders無法查詢 select * from HR.Employees --如果要收回權限,可以使用如下語句。(可選擇執行) revoke all on HR.Employees from r_test --ALL 權限已不再推薦使用,並且只保留用於兼容性目的。它並不表示對實體定義了 ALL 權限。 --授予角色 r_test 對 Sales.Orders 表的 SELECT 權限 GRANT SELECT ON Sales.Orders TO r_test --用l_test登陸,發現可以查詢Sales.Orders和HR.Employees兩張表 select * from Sales.Orders select * from HR.Employees --拒絕安全賬戶 u_test 對 HR.Employees 表的 SELECT 權限 DENY SELECT ON HR.Employees TO u_test --再次執行查詢HR.Employees表的語句,提示:拒絕了對對象 'Employees' (數據庫 'InsideTSQL2008',架構 'HR')的 SELECT 權限。 select * from HR.Employees --重新授權 GRANT SELECT ON HR.Employees TO u_test --再次查詢,可以查詢出結果。 select * from HR.Employees USE InsideTSQL2008 --從數據庫中刪除安全賬戶,failed EXEC sp_revokedbaccess 'u_test' --刪除角色 r_test,failed EXEC sp_droprole 'r_test' --刪除登錄 l_test,success EXEC sp_droplogin 'l_test'
revoke 與 deny的區別
revoke:收回之前被授予的權限
deny:拒絕給當前數據庫內的安全帳戶授予權限並防止安全帳戶通過其組或角色成員資格繼承權限。比如UserA所在的角色組有inset權限,但是我們Deny UserA使其沒有insert權限,那么以后即使UserA再怎么到其他含有Insert的角色組中去,還是沒有insert權限,除非該用戶被顯示授權。
簡單來說,deny就是將來都不許給,revoke就是收回已經給予的。
實例
GRANT INSERT ON TableA TO RoleA GO EXEC sp_addrolemember RoleA, 'UserA' -- 用戶UserA將有TableA的INSERT權限 GO REVOKE INSERT ON TableA FROM RoleA -- 用戶UserA將沒有TableA的INSERT權限,收回權限 GO GRANT INSERT ON TableA TORoleA --重新給RoleA以TableA的INSERT權限 GO DENY INSERT ON TableA TO UserA -- 雖然用戶UserA所在RoleA有TableA的INSERT權限,但UserA本身被DENY了,所以用戶UserA將沒有TableA的INSERT權限。