《数据库原理及应用-(SQLServer2008版)》唐国良蔡中民-第10章要素.ppt

GO USE stu_info GO EXEC SP_GRANTDBACCESS Suny_pro 10.4 权限管理 权限是执行操作、访问数据的通行证。只有拥有了针对某种安全对象的指定权限，才能对该对象执行相应的操作。在SQL Server 2008中，不同的对象有不同的权限，为了更好地理解权限管理的内容，下面从权限类型、常用的权限和权限的操作等几个方面分别做介绍。 10.4.1 权限类型 权限确定了用户能在SQL Server 2008或数据库中执行的操作，并根据登录ID、组成员关系和角色成员关系对用户授予相应权限。在用户执行更改数据库定义或访问数据库的任何操作之前，他们必须有适当的权限。在SQL Server 2008中可以使用的权限分为3种类型，即：对象权限、语句权限和隐式权限。 1. 对象权限 在SQL Server 2008中，所有对象权限都是可授予的。可以为特定的对象、特定类型的所有对象和所有属于特定架构的对象管理权限。用户可以管理权限的对象依赖于作用范围。在服务器级别上，可以为服务器、站点、登录和服务器角色授予对象权限，也可以为当前服务器实例管理权限。 在数据库级别上，可以为应用程序角色、程序集、非对称密钥、凭据、数据库角色、数据库、全文目录、函数、架构、存储过程、对称密钥、同义词、表、用户定义的数据类型、用户、视图和XML架构集管理对象的权限。 通过授予、拒绝或撤销执行特殊语句或存储过程的操作来控制对这些对象的访问。例如，可以授予用户在表中选择（SELECT）信息的权限，但是拒绝在表中插入（INSETT）、更新（UPDATE）或删除（DELETE）信息的权限。 2. 语句权限 语句权限是用于控制创建数据库或数据库中对象所涉及的权限。例如，如果用户需要在数据库中创建表，则应该向该用户授予（CREATE TABLE）语句权限。某些语句权限（如CREATE DATABASE）适用于语句自身，而不适用于数据库中定义的特定对象。只有sysadmin、db_owner和db_securityadmin角色的成员才能够授予用户语句权限。 在表10-10中列出了SQL Server 2008中可以授予、拒绝或撤销的语句权限。 表10-10 语句权限 确定用户是否具有备份事务日志的权限 BACKUP LOG 确定用户是否具有备份数据库的权限 BACKUP DATABASE 确定用户是否具有创建视图的权限 CREATE VIEW 确定用户是否具有创建表的权限 CREATE TABLE 确定用户是否具有创建表的列规则的权限 CREATE RULE 确定用户是否具有创建存储过程的权限 CREATE PROCEDURE 确定用户是否具有在数据库中创建用户自定义函数的权限 CREATE FUNCTION 确定用户是否具有创建表的列默认值的权限 CREATE DEFAULT 确定登录是否能创建数据库，要求用户必须在master数据库中或必须是sysadmin服务器角色的成员 CREATE DATABASE 描述 语句权限 3. 隐式权限 仅预定义系统角色的成员或数据库和数据库对象所有者有隐式的权限。角色的隐式权限不能被更改，而且可以让角色成员的其他账户给予相关的隐式权限。例如，sysadmin服务器角色的成员能在SQL Server 2008中执行任何的活动。它们能扩展数据库、终止进程等。任何添加到sysadmin角色的账户都能执行这些任务。 服务器角色应用于服务器级别，并且需要预定义它们。这意味着，这些权限影响整个服务器，并且不能更改权限集。使用系统存储过程sp_helpsrvrole可以查看预定义服务器角色的内容，如图10-31所示。 图10-31 预定义服务器角色 提示：可以通过SQL Server Management Studio来浏览服务器角色。方法是：从【对象资源管理器】窗格中展开【安全性】|【服务器角色】节点。 下面按照从最低级别的角色（bulkadmin）到最高级别角色（sysadmin）顺序，对图10-3中所示的角色进行描述。 （1）bulkadmin 这个服务器角色的成员可以运行BULK INSERT语句。这条语句允许从文本文件中将数据导入到SQL Server 2008数据库中，为需要执行大容量插入到数据库的域账户而设计。 （2）dbcreator 这个服务器角色的成员可以创建、更改、删除和还原任何数据库。这不仅是适合助理DBA的角色，也可能是适合开发人员的角色。 （3）diskadmin 这个服务器角色用于管理磁盘文件，比如镜像数据库和添加备份设备。它适合助理DBA。 （4）processadmin SQL Server 2008能够多任务化，也就是说可以通过执行多个进程做多个事件。例如，SQL Se