1、添加用户角色
要想成功访问 SQL Server 数据库中的数据, 我们需要两个方面的授权:
1.获得准许连接 SQL Server 服务器的权利;就像我们获取了进入某栋大楼的权利
2.获得访问特定数据库中数据的权利(select, update, delete, create table ...);就像我们拿到了大楼内某个房间的钥匙
假设,我们准备建立一个 dba 数据库帐户,用来管理数据库 mine。
1. 首先在 SQL Server 服务器级别,创建登陆帐户(create login)
--创建登陆帐户(create login)create login dba with password=‘1234‘, default_database=mine
登陆帐户名为:“dba”,登陆密码:"1234”,默认连接到的数据库:“mine”。 这时候,dba 帐户就可以连接到 SQL Server 服务器上了。但是此时还不能 访问数据库中的对象(严格的说,此时 dba 帐户默认是 guest 数据库用户身份, 可以访问 guest 能够访问的数据库对象)。
要使 dba 帐户能够在 mine数据库中访问自己需要的对象, 需要在数据库 mine中建立一个“数据库用户”,赋予这个“数据库用户” 某些访问权限,并且把登陆帐户“dba” 和这个“数据库用户” 映射起来。 习惯上,“数据库用户” 的名字和 “登陆帐户”的名字相同,即:“dba”。 创建“数据库用户”和建立映射关系只需要一步即可完成:
2. 创建数据库用户(create user):
--为登陆账户创建数据库用户(create user),在mydb数据库中的security中的user下可以找到新创建的dba create user dba for login dba with default_schema=dbo
并指定数据库用户“dba” 的默认 schema 是“dbo”。这意味着 用户“dba” 在执行“select * from t”,实际上执行的是 “select * from dbo.t”。
3. 通过加入数据库角色,赋予数据库用户“dba”权限
--通过加入数据库角色,赋予数据库用户“db_owner”权限 exec sp_addrolemember 'db_owner', 'dba'
此时,dba 就可以全权管理数据库 mine中的对象了。
如果想让 SQL Server 登陆帐户“dba”访问多个数据库,比如 mine2。 可以让 sa 执行下面的语句:
--让 SQL Server 登陆帐户“dba”访问多个数据库 use mine2 go create user dba for login dba with default_schema=dbo go exec sp_addrolemember 'db_owner', 'dba' go
此时,dba 就可以有两个数据库 mine, mine2的管理权限了!
revoke 与 deny的区别
revoke:收回之前被授予的权限
deny:拒绝给当前数据库内的安全帐户授予权限并防止安全帐户通过其组或角色成员资格继承权限。比如UserA所在的角色组有inset权限,但是我们Deny UserA使其没有insert权限,那么以后即使UserA再怎么到其他含有Insert的角色组中去,还是没有insert权限,除非该用户被显示授权。
简单来说,deny就是将来都不许给,revoke就是收回已经给予的。
GRANT INSERT ON TableA TO RoleA GO EXEC sp_addrolemember RoleA, 'UserA' -- 用户UserA将有TableA的INSERT权限 GO REVOKE INSERT ON TableA FROM RoleA -- 用户UserA将没有TableA的INSERT权限,收回权限 GO GRANT INSERT ON TableA TORoleA --重新给RoleA以TableA的INSERT权限 GO DENY INSERT ON TableA TO UserA -- 虽然用户UserA所在RoleA有TableA的INSERT权限,但UserA本身被DENY了,所以用户UserA将没有TableA的INSERT权限。
参考文献:http://database.51cto.com/art/201009/224075.htm