未经作者同意。不论什么人不得以“原创”形式公布，也不得已用于商业用途。本人不负责不论什么法律责任。

前一篇：http://blog.csdn.net/dba_huangzj/article/details/38944121

前言：

在SQL Server 2005之前，全部server和数据库元数据都是全部人可见的。当基于网银的系统把SQL Server实例共享给客户时，有可能能够看到其它用户的信息。

从2005開始，能够通过控制权限来限制登录名或用户查看不必要的元数据。

实现：

假设你须要把数据库对全部登录名隐藏，能够移除public角色上的VIEW ANY DATABASE权限：

USE master;
GO
REVOKE VIEW ANY DATABASE TO public;

同意某些帐号查看全部数据库时。能够创建一个用户自己定义server角色：

USE master;
CREATE SERVER ROLE [DatabaseViewer];
GO
GRANT VIEW ANY DATABASE TO [DatabaseViewer];
ALTER SERVER ROLE [DatabaseViewer] ADD MEMBER [Fred];

注意，master和tempdcb总是对全部登录可见。

你不能选择性地对某些数据库设置可见。一个登录要么能从【对象资源管理器】中看到全部数据库。要么全部库都不能被看到。

假设一个登录名被授予VIEW ANY DATABASEserver权限，那么能够在【对象资源管理器】中看到server全部数据库，或者从sys.databases 文件夹视图中查询全部的数据库。

假设登录名没有这个权限可是映射到某个数据库的用户中，那么它依然不能看到全部数据库。可是能够使用sys.databases返回数据库信息。而且使用USE 数据库命令来切换数据库。

同意选择性地可见数据库的唯一方式是让登录名作为数据库的owner：

ALTER AUTHORIZATION ON DATABASE::marketing TO [Fred];

数据库的owner有数据库内全部权限，可是一个数据库仅仅有一个owner。不能让多个登录名同一时候对一个数据库进行owner设置。

在数据库内，能够定义特定数据库对象为某些用户可见。在SSMS中。右键数据库的【安全性】节点，选择【用户】→【属性】中的【安全对象】，然后在【查找】中加入特定对象，比方表、存储过程或者架构。然后勾选【查看定义】的【授予】列：

也能够用命令实现，这里注意上图中的【脚本】，当你不记得命令时，能够点一下这个button，会自己主动生成代码：

use [AdventureWorks2012]
GO
GRANT VIEW DEFINITION ON [dbo].[AWBuildVersion] TO [test]
GO

原理：

能够用以下语句查看可被授权的元数据权限：

SELECT  parent_class_desc AS parent ,
        class_desc AS class ,
        permission_name AS permission
FROM    sys.fn_builtin_permissions(NULL)
WHERE   permission_name LIKE ‘VIEW%‘
ORDER BY CASE parent_class_desc
           WHEN ‘‘ THEN 0
           WHEN ‘SERVER‘ THEN 1
           WHEN ‘DATABASE‘ THEN 2
           WHEN ‘SCHEMA‘ THEN 3
         END ,
        class ,
        permission;

【查看定义】的权限是能够在非server范围内查看的权限。

假设须要在全部范围内查看。须要使用【VIEW ANY DEFINITION】。授予这个权限能够同意登录查看实例中的全部定义，【查看全部数据库】适合那些仅须要訪问数据库可是不须要訪问server其它对象的登录名。

在数据库中。用户能够看到自己有权限的对象。默认情况下。一个用户仅是public数据库角色的成员，是没有权限的。

使用db_datareader固定数据库角色能够同意这个用户看到全部表，授予VIEW DEFINITION给存储过程、函数或者触发器，同意你看到其底层代码。

假设你不想让别人看到，能够在创建对象时使用WITH ENCRYPTION（在兴许介绍。）

下一篇：http://blog.csdn.net/dba_huangzj/article/details/39473895