数据对象操作权限.ppt

（3）特殊数据库用户 SQL Server为每个新创建的数据库预定义了几个特殊数据库用户 。 ① dbo。dbo是数据库所有者（DataBase Owner），是数据库最高权力所有者，创建数据库的用户即为数据库所有者。具有所有数据库操作权限，并可向其他用户授予权限。dbo不能被删除。 ② Guest。允许具有SQL Server登录帐户但在数据库中没有数据库用户的使用者用Guest的用户身份和权限访问数据库。Guest可以删除。 例如：用“Windows身份验证”或SQL Server的“sa”账号登录后都自动映射为dbo，对所有数据库及其包含的对象具有全部操作权限。 2．数据库角色及其权限管理 按赋予操作权限的不同建立角色，然后将用户作为角色成员，通过对角色的权限管理，自动实现对其所有用户成员的权限管理。 SQL Server可利用角色来批量管理用户的权限，简化安全管理。 一个用户的访问权限集合是其所属每个角色的权限和其自身权限 的累加。 SQL Server预定义了5个角色。 ①public角色。每个数据库（包括系统数据库）中都存在。public角色提供数据库中用户的默认权限，不能删除。每个数据库用户都自动是此角色的成员，因此，无法在此角色中添加或删除用户。 ②固定服务器角色。固定服务器角色可以在服务器上进行相应的管理操作，完全独立于某个具体的数据库。系统提供了8种固定服务器角色。 ③固定数据库角色：系统提供了10种固定数据库角色，设置对数据库的主要管理权限。 ④用户自定义数据库角色：根据系统开发和管理的需要为特定数据库自定义数据库新角色。 ⑤应用程序角色：将数据访问权限授予使用特定应用程序的那些用户。即授权用户使用该应用程序时对该数据对象有访问权限，但其他时候不能访问。 角色 该角色成员的操作权限 sysadmin系统管理员 可以执行SQL Server系统中任何操作 serveradmin服务器管理员 可以配置和关闭SQL Server服务器 setupadmin安装管理员 可以添加和删除链接服务器，并执行某些系统存储过程配置与安装有关的设置 securityadmin安全管理员 管理服务器安全配置和登录，可以创建和删除系统登录帐户、控制创建数据库权限、重设密码等 processadmin进程管理员 管理在 SQL Server 实例中运行的进程 dbcreator数据库创建者 可以实施数据库创建、修改、删除和恢复等数据库修改操作 diskadmin磁盘管理员 管理和重配数据库存储设备，包括数据文件、日志文件等磁盘文件 bulkadmin块拷贝管理员 可以执行向数据库的块插入操作 表5.6 SQL Server 固定服务器角色 表5.7固定数据库角色 角色 该角色成员的操作权限 public 每一用户都自动成为该角色成员，无需指派，不能删除 db_owner数据库所有者 可执行数据库中的任何操作 db_accessadmin数据库访问权限管理者 可以增加或删除数据库用户、组和角色 db_ddladmin数据库DDL管理员 可以增加、修改或删除数据库对象，即可执行DDL语句 db_securityadmin数据库安全管理员 管理数据库中对象的访问权限和执行语句的权限，例如数据库表的插入、删除、修改操作等 db_backupoperator数据库备份操作员 实施数据库备份和恢复 db_datareader数据库数据读取者 可检索数据库中任意表中的数据，即具有Select许可， db_datawriter数据库数据写入者 有增加、修改和删除所有表中数据的权限，即有Insert、Update、Delete许可 db_denydatareader数据库拒绝数据读取者 不能检索任意一个表中数据 db_denydatawriter数据库拒绝数据写入者 不能修改任意一个表中的数据 【例5.13】为School数据库创建一个名称为“Teacher”的数据库角色，并将“Wanghong”添加为其成员。设置角色“Teacher”对Student表具有所有权限。 ① 右击“数据库/School/安全性/角色/数据库角色”，选择“新建数据库角色” 菜单。在角色名称文本框中填写角色名称“Teacher”。 ② 在下部点击“添加”按钮，出现“选择数据库或角色”对话框，浏览添加数据库用户“Wanghong”，按“确定”后返回 “数据库角色窗口”。 ③ 选择“安全对象”选项页，为“Teacher”设置权限。 通过例5.12和例5.13的操作，数据库用户“Wanghong”实际具有的权限是该用户被授予的权限和其所属于角色“Teacher”具有的权限累加。 “Wanghong”对Student表的操作权限： 有SELECT、INSERT、UPDA