第5章项目数据库安全管理案例.ppt

系统存储过程对固定服务器角色的操作 功能 类型 说明 sp_helpsrvrole 元数据 返回服务器级角色的列表 sp_helpsrvrolemember 元数据 返回有关服务器级角色成员的信息 sp_srvrolepermission 元数据 显示服务器级角色的权限 IS_SRVROLEMEMBER 元数据 指示SQL Server登录名是否为指定服务器级角色的成员 sys.server_role_members 元数据 为每个服务器级角色的每个成员返回一行 sp_addsrvrolemember 命令 将登录名添加为某个服务器级角色的成员 sp_dropsrvrolemember 命令 从服务器级角色中删除SQL Server登录名或者Windows用户或者组 管理服务器角色( 一) 管理服务器角色（二） 5.3.2固定数据库角色 固定数据库角色存在于每个数据库中，在数据库级别提供管理特权分组。管理员可将任何有效的数据库用户添加为固定数据库角色成员。每个成员都获得应用于固定数据库角色的权限。用户不能增加、修改和删除固定数据库角色。 固定数据库角色 db_owner 进行所有数据库角色的活动，以及数据库中的其他维护和配置活动。该角色的权限跨越所有其他的固定数据库角色。 db_accessadmin 这些用户有权通过添加或者删除用户来指定谁可以访问数据库。 db_securityadmin 这个数据库角色的成员可以修改角色成员身份和管理权限。 db_ddladmin 这个数据库角色的成员可以在数据库中运行任何数据定义语言(DDL)命令。这个角色允许他们创建、修改或者删除数据库对象，而不必浏览里面的数据。 db_backupoperator 这个数据库角色的成员可以备份该数据库。 db_datareader 这个数据库角色的成员可以读取所有用户表中的所有数据。 db_datawriter 这个数据库角色的成员可以在所有用户表中添加、删除或者更改数据。 db_denydatareader 这个服务器角色的成员不能读取数据库内用户表中的任何数据，但可以执行架构修改（比如在表中添加列）。 db_denydatawriter 这个服务器角色的成员不能添加、修改或者删除数据库内用户表中的任何数据。 固定数据库角色的操作代码 功能 类型 说明 sp_helpdbfixedrole 元数据 返回固定数据库角色的列表 sp_dbfixedrolepermission 元数据 显示固定数据库角色的权限 sp_helprole 元数据 返回当前数据库中有关角色的信息 sp_helprolemember 元数据 返回有关当前数据库中某个角色的成员的信息 sys.database_role_members 元数据 为每个数据库角色的每个成员返回一行 IS_MEMBER 元数据 指示当前用户是否为指定Microsoft Windows组或者Microsoft SQL Server数据库角色的成员 CREATE ROLE 命令 在当前数据库中创建新的数据库角色 ALTER ROLE 命令 更改数据库角色的名称 DROP ROLE 命令 从数据库中删除角色 sp_addrole 命令 在当前数据库中创建新的数据库角色 sp_droprole 命令 从当前数据库中删除数据库角色 sp_addrolemember 命令 为当前数据库中的数据库角色添加数据库用户、数据库角色、Windows登录名或者Windows组 sp_droprolemember 命令 从当前数据库的SQL Server角色中删除安全账户 5.3.3应用程序角色 应用程序角色是一个数据库主体，他使应用程序能够用其自身的、类似用户的特权来运行。使用应用程序角色，可以只允许通过特定应用程序连接的用户访问特定数据。与数据库角色不同的是，应用程序角色默认情况下不包含任何成员，而且不活动。 应用程序角色的创建 应用程序角色和固定数据库角色的区别 应用程序角色不包含任何成员。不能将Windows组、用户和角色添加到应用程序角色。 当应用程序角色被激活以后，这次服务器连接将暂时失去所有应用于登录账户、数据库用户等的权限，而只拥有与应用程序相关的权限。在断开本次连接以后，应用程序失去作用。 默认情况下，应用程序角色非活动，需要密码激活。 应用程序角色不使用标准权限。 5.3.4用户自定义角色 自定义数据角色当打算为某些数据库用户设置相同的权限但预定义的数据库角色不能满足所实际要求的权限时，就通过自定义新数据库角色来满足这一要求，从而使这些用户能够在数据库中实现某一特定功能。 用户自定义角色的创建（一） 用户自定义角色的创建（二） 用户自定义角色的创建（三） 5．4管理权限 数据库权限指明