第09章角色和权限(免费阅读).pptVIP

第9章　角色和权限 第9章　角色和权限 Contents 9.1.1权限概述 权限是SQL Server 2000安全性管理的重要内容，它表示一个用户帐号所有可以执行的操作的范围。 权限简单来讲就是“用户能不能做某个操作”。比如，一个用户如果有访问NorthWind数据库的权限，他才可以访问NorthWind数据库，若他不具有访问 NorthWind数据库的权限，则在访问时会报错。又如，一个用户对数据库拥有除添加以外的所有权限，则他可以对数据库查询，修改，删除操作都能够正常进行，而进进添加操作将会报错。 权限按作用的对象来分，可分为对象存取权限和语句权限和暗示性权限两种。 对象存取权限是指处理数据和执行存储过程所需要的权限。它在以下几种情况中需要： (1). SELECT 在影响表，视图、单个列或自定义的函数时需要。 (2). INSERT 在影响表、视图时需要。 (3). UPDATE在影响表、视图时或单个列时需要。 (4). DELETE在影响表、视图时需要。 (5). EXECUTE 在执行存储过程时需要。 9.1.1权限概述 语句权限在创建数据库或数据库中的项时所要求的权限。语句权限在下面几种情况中需要： (1). BACKUP DATABASE 在备份数据库时需要 (2). BACKUP LOG在备份事务日志时需要。 (3). CREATE DATABASE在创建数据库时需要。 (4). CREATE DEFAULT在创建默认值时需要。 (5). CREATE FUNCTION 在创建函数时需要。 (6). CREATE PROCEDURE 在创建存储过程时需要。 (7). CREATE RULE 在创建规则时需要。 (8). CREATE VIEW在创建视图时需要。 (9). CREATE TABLE在创建数据表时需要。 暗示性权限是指由系统内定角色所给予的权限，比如，sysadmin 固定服务器角色成员暗示了在 SQL Server 安装中进行操作或查看的权限。 9.1.2 对象权限的设置 2. 使用T-SQL语句进行设置 (1).授予对象权限： 其中 ALL指可以包含所有的权限。 permission指可授予的权限它可以是SELECT、INSERT、DELETE 或 UPDATE。 column指要授予权限的列。 ON　table　指要授予权限的表。 ON view 指要授予权限的视图。 ON {stored_procedure | extended_procedure} 指要授予权限的的存储过程。 TO security_account指授予给某一个安全帐户。 WITH GRANT OPTION　可以指定授予的选项。 AS {group | role}　指将某个角色的权限授予给用户 9.1.2 对象权限的设置 比如，用下面语句来将UPDATE, DELETE权限授予用户HR 应该注意的是，将权限授予某个角色并不能保得该角色的这个权限可以立即应用于这个角色的所有成员。 比如，若成员Aspol属于角色Manage中的一个成员，下面的语句 9.1.2 对象权限的设置 并不能保证Aspol能得到对于Employees表的UPDATE权限。只有用下面的语句显示地授予后才能拥有UPDATE权限： (2).禁止对象权限： 9.1.2 对象权限的设置 参数说明同GRANT，用于禁止某一对象的某一权限。 比如要禁止用户Aspol在表Employees上的的所有权限可以用： (3). 取消对象权限 9.1.2 对象权限的设置 参数说明同GRANT，用于取消掉对象的授予或禁止权限。 比如要取消掉用户Aspol的在表Employees上的SELECT权限可以用： 9.1.3 语句权限的设置 1.使用企业管理器进行设置 用企业管理器可以很方便地设置语句权限： 步骤1：在如图9-5所示的企业管理器窗口中，在Northwind用户上单击鼠标右键，在弹出的快捷菜单中选择“属性”命令。 步骤2：在如图9-6所示的Northwind属性窗口中，单击“权限”选项卡。可以看到这里列出了NorthWind数据库中有的用户和角色，其中创建表，创建视图等列可以设置是否拥有这项权限。 单击任一一个数据库即可设置某一角色或用户的语句属性。 9.2.1 角色概述 用户在SQL Server 2000系统内进行任何操作，必须要有相应的权限。所以为不同的用户分配合适的权限是数据库管理员例行的公事。然而，如果在一个稍大型的企业中，若有五千名名职员，要为他们一一分配权限的工作量就显得太大，并且，若还有人事调动，则有过人事调动的职员还必须为他们修改相应的权限，例如一个公司的员工