(SQL Server数据库系统基础)第10章SQLServer安全管理.ppt

10.3.3 使用Transact-SQL语句设置权限 Transact-SQL语句中有GRANT、DENY、REVOKE三种命令可以设置权限。 (1) GRANT命令：用于把权限授予某一用户，以允许该用户执行针对该对象的操作或允许其运行某些语句。 (2) DENY命令：用来禁止用户对某一对象或语句的权限，它不允许该用户执行针对数据库对象的某些操作或不允许其运行某些语句。 (3) ?REVOKE命令：用来撤消用户对某一对象或语句的权限，使其不能执行操作。(如果该用户是角色成员，且角色被授权，则另当别论，这种情况将在10.5.3节中讨论。) 用上述命令管理对象权限的语法如下： GRANT|DENY|REVOKE a11|权限名ON表名|其他对象名TO用户|角色 角色可以理解为用户组。 【例10-13】将数据库college中名为“学生表”的SELECT权限赋予stu用户。 程序清单如下： USE college GRANT SELECT ON 学生表 TO stu 数据库用户stu因此拥有了对学生表读的权限。如果要一次授予增、删、改、读多种权限，则可在GRANT后面写上INSERT、DELETE、UPDATE、SELECT中的任意几个，用“，”分开即可。 【例10-14】下面是对象权限的示例，本例将禁止stu对学生表的SELECT权限。 程序清单如下： USE college DENY SELECT ON 学生表 TO stu 在数据库管理员执行了上述语句后，如果用户stu再次对学生表执行SELECT语句，则系统将提示没有权限，操作遭到拒绝，如图10-24所示。 【例10-15】授予用户stu在college数据库中创建表的语句权限。 程序清单如下： USE college GRANT CREATE TABLE TO stu 运行上述语句后，可以得到如图10-17所示的“√”，也就是用户stu获得了创建表的权限。 图10-24 出错信息示例 10.4 服?务?器?角?色 角色是从SQL Server 7.0开始引进的新概念，它代替了以前版本中组的概念。利用角色，SQL Server管理者可以将某一组用户设置为某一角色，这样只要对角色进行权限设置便可以实现对所有用户权限的设置，大大减少了数据库管理员的工作量。SQL Server提供了通常管理工作的预定义服务器角色和数据库角色。用户还可以创建自己的数据库角色，以表示某一类用户可以进行同样的操作。当用户需要执行不同的操作时，只需将该用户加入到不同的角色中即可，从而避免了对每个类似的用户反复进行同样的授权许可。 服务器角色是指根据SQL Server的管理任务以及这些任务相对的重要性等级，把具有SQL Server管理职能的用户划分为不同的用户组，每一组所具有的管理SQL Server的权限都是SQL Server内置的，不能增加或减少服务器角色，也不能修改服务器角色的权限，只能向其中加入用户或者其他角色。要加入服务器角色，必须要有登录帐户。 10.4.1 固定的服务器角色 SQL Server提供的固定服务器角色如下： ● 系统管理员(sysadmin)：拥有SQL Server所有的权限许可。 ● 服务器管理员(serveradmin)：管理SQL Server服务器端的设置。 ● 磁盘管理员(diskadmin)：管理磁盘文件。 ● 进程管理员(processadmin)：管理SQL Server系统进程。 ● 安全管理员(securityadmin)：管理和审核SQL Server系统登录。 ● 安装管理员(setupadmin)：增加、删除联接服务器，建立数据库复制以及管理扩展存储过程。 ● 数据库创建者(dbcreator)：创建数据库并对数据库进行修改。 ● 大容量插入操作管理者(bulkadmin)：可以执行大容量插入操作。 在企业管理器中，展开SQL Server服务器组中相应的服务器，选择“安全性”→“服务