第12章 安全管理.ppt

12.5 角色 为便于对用户及权限的管理，可以将一组具有相同权限的用户组织在一起，这一组具有相同权限的用户就称为角色（Role）。 SQL Server 2005中，角色分为： 固定的服务器角色 固定的数据库角色 用户自定义的角色 * * 固定的服务器角色 固定的服务器角色 描述 bulkadmin 具有执行 BULK INSERT 语句的权限 dbcreator 具有创建数据库的权限 diskadmin 具有管理磁盘资源的权限。 processadmin 具有管理全部的连接以及服务器状态的权限 securityadmin 具有管理服务器登录帐户的权限 serveradmin 具有全部配置服务器范围的设置 setupadmin 具有更改任何链接服务器的权限 sysadmin 系统管理员角色。具有服务器及数据库上的全部操作权限 * * 给固定的服务器角色添加成员 sp_addsrvrolemember [ @loginame= ] login , [ @rolename = ] role‘ 例1．将HYJ\Win_User1登录名添加到sysadmin角色中。 EXEC sp_addsrvrolemember HYJ\Win_User1, sysadmin * * 示例2 例2．将SQL身份验证的SQL_User2登录名添加到dbcreator角色中。 EXEC sp_addsrvrolemember SQL_User2, dbcreator * * 删除固定的服务器角色成员 sp_dropsrvrolemember [ @loginame = ] login , [ @rolename = ] role 例．从 dbcreator固定服务器角色中删除SQL_User2。 EXEC sp_dropsrvrolemember SQL_User2, dbcreator * * 固定的数据库角色 固定的数据库角色 描述 db_accessadmin 具有添加或删除数据库用户、创建架构的权限 db_backupoperator 具有备份数据库、备份日志的权限 db_datareader 具有查询数据库中所有用户表中的数据的权限 db_datawriter 具有更改数据库中所有用户表中的数据的权限 db_ddladmin 具有建立、修改和删除数据库对象的权限 db_denydatareader 不允许具有查询数据库中所有用户表中的数据的权限 db_denydatawriter 不允许具有更改数据库中所有用户表中的数据的权限 db_owner 具有数据库中的全部操作权限 db_securityadmin 具有管理数据库角色和角色成员以及数据库中的语句权限和对象权限 public 默认不具有任何权限，但用户可对此角色进行授权 * * 给数据库角色添加成员 sp_addrolemember [ @rolename = ] role, [ @membername = ] security_account 例1．将HYJ\Win_User1加db_datareader角色中 EXEC sp_addrolemember db_datareader, HYJ\Win_User1 例2．将SQL_User2加db_datawriter角色中。 EXEC sp_addrolemember db_datawriter, SQL_User2 * * 删除固定的数据库角色成员 sp_droprolemember [ @rolename = ] role , [ @membername = ] security_account 例．删除db_datawriter角色中的SQL_User2 EXEC sp_droprolemember db_datawriter, SQL_User2 * * 12.5.3 用户自定义的角色 属于数据库一级的角色。 用户可以根据实际的工作职能情况定义自己的一系列角色，并给每个角色授予合适的权限。 用户自定义的角色的成员可以是数据库的用户，也可以是用户定义的角色。 * * 建立用户定义的角色 CREATE ROLE role_name [ AUTHORIZATION owner_name ] role_name：待创建角色的名称。 AUTHORIZATION owner_name：将拥有新角色的数据库用户或角色。如果未指定用户，则执行CREATE ROLE的用户将拥有该角色。 * * 示例 例1.创建用户自定义角色：CompDept，拥有者为创建该角色的用户。 CREATE ROLE CompDept; 例2.创建用户自