SQL Server中通用数据库角色权限处理

 

最近和同事在做数据库权限清理的事情,主要是删除一些账号;取消一些账号的较大的权限等,例如,有一些有db_owner权限,我们取消账号的数据库角色db_owner,授予最低要求的相关权限。但是这种工作完全是一个体力活,而且是吃力不讨好,而且推进很慢。另外,为了管理方便和细化,我们又在常用的数据库角色外,新增了6个通用的数据库角色。如下截图所示。

另外,为了减少授权工作量和一些重复的体力活,我们创建了一个作业,每天定期执行一个存储过程db_common_role_grant_rigths,这个存储过程的逻辑如下:

1:遍历所有用户数据库(排除了系统数据库以及一些特殊数据库),发现该数据库不存在这些通用数据库角色,那么就创建相关数据库角色。

2:遍历所有用户数据库,为相关数据库角色授权,例如,如果发现某个新增的存储过程,没有授权给db_procedure_execute数据库角色。那么就执行授权操作。

当然目前还在测试、应用阶段,以后会根据具体相关需求,不断完善相关功能。

--==================================================================================================================

--        ScriptName            :            db_common_role_grant_rigths.sql

--        Author                :            潇湘隐者    

--        CreateDate            :            2018-09-13

--        Description           :            创建数据库角色db_procedure_execute等,并授予相关权限给角色。

--        Note                  :            

/******************************************************************************************************************

        Parameters              :                                    参数说明

********************************************************************************************************************

             @RoleName          :            角色名

********************************************************************************************************************

   Modified Date    Modified User     Version                 Modified Reason

********************************************************************************************************************

    2018-09-12       潇湘隐者         V01.00.00      新建该脚本。

    2018-09-12       潇湘隐者         V01.00.01      注意@@ROWCOUNT的生效范围;解决循环逻辑问题。

    2018-09-26       潇湘隐者         V01.00.02      修正类型为FT(CLR_TABLE_VALUED_FUNCTION)的函数问题。程序集 (CLR) 表值函数

*******************************************************************************************************************/

--===================================================================================================================

USE YourSQLDba;

GO

 

 

IF EXISTS (SELECT 1 FROM sys.procedures WHERE type='P' AND name='db_common_role_grant_rigths')

BEGIN

    DROP PROCEDURE Maint.db_common_role_grant_rigths;

END

GO

 

CREATE PROCEDURE Maint.db_common_role_grant_rigths

AS

BEGIN

 

DECLARE @database_id    INT;

DECLARE @database_name  sysname;

DECLARE @cmdText        NVARCHAR(MAX);

DECLARE @prc_text        NVARCHAR(MAX);

DECLARE @RowIndex        INT;

 

IF OBJECT_ID('TempDB.dbo.#databases') IS NOT NULL

    DROP TABLE dbo.#databases;

 

CREATE TABLE #databases

(

    database_id        INT,

    database_name   sysname

)

 

IF OBJECT_ID('TempDB.dbo.#sql_text') IS NOT NULL

    DROP TABLE dbo.#sql_text;

 

 

CREATE TABLE #sql_text

(

    sql_id      INT IDENTITY(1,1),

    sql_cmd     NVARCHAR(MAX)

)

 

INSERT  INTO #databases

SELECT  database_id ,

        name

FROM    sys.databases

WHERE   name NOT IN ( 'master', 'tempdb', 'model', 'msdb',

                        'distribution', 'ReportServer',

                        'ReportServerTempDB', 'YourSQLDba' )

        AND state = 0; --state_desc=ONLINE 

 

 

--开始循环每一个用户数据库(排除了上面相关数据库)

WHILE 1= 1

BEGIN

 

 

    SELECT TOP 1 @database_name= database_name   

    FROM #databases

    ORDER BY database_id;

 

    

    IF @@ROWCOUNT =0 

        BREAK;

 

    --PRINT(@database_name);

 

    -- SP_EXECUTESQL 中切换数据库不能当参数传入。

 

    --创建数据库角色db_procedure_execute

    SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)

 

    SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_procedure_execute'')

                        BEGIN

                            CREATE ROLE [db_procedure_execute] AUTHORIZATION [dbo];

                        END ' + CHAR(10);

 

 

 

    --创建数据库角色db_function_execute

    SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_function_execute'')

                        BEGIN

                            CREATE ROLE [db_function_execute] AUTHORIZATION [dbo];

                        END' + CHAR(10);

 

 

    --创建数据库角色db_view_table_definition

    SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_view_table_definition'')

                        BEGIN

                            CREATE ROLE [db_view_table_definition] AUTHORIZATION [dbo];

                        END ' + CHAR(10);

 

    --创建数据库角色db_view_view_definition

    SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_view_view_definition'')

                         BEGIN

                            CREATE ROLE [db_view_view_definition] AUTHORIZATION [dbo];

                         END ' + CHAR(10);

 

    --创建数据库角色db_view_procedure_definition

    SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_view_procedure_definition'')

                        BEGIN

                            CREATE ROLE [db_view_procedure_definition] AUTHORIZATION [dbo];

                        END ' + CHAR(10);

 

     --创建数据库角色db_view_function_definition

    SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_view_function_definition'')

                        BEGIN

                            CREATE ROLE [db_view_function_definition] AUTHORIZATION [dbo];

                        END ' + CHAR(10);

 

    --PRINT @cmdText;

    -- EXECUTE SP_EXECUTESQL @cmdText;

    EXECUTE (@cmdText);

 

 

    

    --给角色db_procedure_execute授权

    

    SET @cmdText ='USE ' + QUOTENAME(@database_name) + ';' 

 

    SET @cmdText +='INSERT INTO #sql_text(sql_cmd)

                    SELECT  ''GRANT EXECUTE  ON '' + SCHEMA_NAME(schema_id) + ''.''

                       + QUOTENAME(name) + '' TO db_procedure_execute;''

                       FROM   sys.procedures s

                       WHERE     NOT EXISTS ( SELECT 1

                                             FROM   sys.database_permissions p

                                             WHERE  p.major_id = s.object_id 

                                                    AND  p.grantee_principal_id = USER_ID(''db_procedure_execute''))';

     EXECUTE SP_EXECUTESQL @cmdText;

 

 

 

 

     --给角色db_function_execute(标量函数授权)

 

     SET @cmdText ='USE ' + QUOTENAME(@database_name) + ';' 

 

     SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)

                     SELECT  ''GRANT EXEC ON '' + SCHEMA_NAME(schema_id) + ''.'' + QUOTENAME(name) + '' TO  db_function_execute; ''  

                     FROM    sys.all_objects s

                     WHERE  SCHEMA_NAME(schema_id) NOT IN (''sys'', ''INFORMATION_SCHEMA'')  

                        AND    NOT EXISTS ( SELECT 1

                                                FROM   sys.database_permissions p

                                                WHERE  p.major_id = s.object_id 

                                                AND  p.grantee_principal_id =USER_ID(''db_function_execute'') )

                                                AND ( s.[type] = ''FN''

                                                        OR s.[type] = ''AF''

                                                        OR s.[type] = ''FS''

                                                        --OR s.[type] = ''FT''

                                                    ) ;'

        EXECUTE SP_EXECUTESQL @cmdText;

 

 

 

      --给角色db_function_execute(表值函数授权)

      SET @cmdText ='USE ' + @database_name + ';'

 

      SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)

                       SELECT  ''GRANT SELECT ON '' + SCHEMA_NAME(schema_id) + ''.'' + QUOTENAME(name) + '' TO  db_function_execute;''

                       FROM    sys.all_objects s

                       WHERE  SCHEMA_NAME(schema_id) NOT IN (''sys'', ''INFORMATION_SCHEMA'')   

                          AND    NOT EXISTS ( SELECT 1

                                             FROM   sys.database_permissions p

                                             WHERE  p.major_id = s.object_id 

                                                    AND  p.grantee_principal_id = USER_ID(''db_function_execute''))

                                  AND ( s.[type] = ''TF''

                                        OR s.[type] = ''IF''

                            ) ;    '

 

      EXECUTE SP_EXECUTESQL @cmdText;

 

 

      --查看存储过程定义授权

      SET @cmdText ='USE ' + @database_name + ';'

 

      SET @cmdText +=' INSERT INTO #sql_text(sql_cmd)

                       SELECT  ''GRANT VIEW DEFINITION ON '' + SCHEMA_NAME(schema_id) + ''.''

                       + QUOTENAME(name) + '' TO db_view_procedure_definition;'' 

                       FROM   sys.procedures s

                       WHERE     NOT EXISTS ( SELECT 1

                                             FROM   sys.database_permissions p

                                             WHERE  p.major_id = s.object_id 

                                                    AND  p.grantee_principal_id = USER_ID(''db_view_procedure_definition''))'

 

       EXECUTE(@cmdText);

 

       --查看函数定义的授权

       SET @cmdText ='USE ' + @database_name + ';'

 

       SELECT   @cmdText += 'INSERT INTO #sql_text(sql_cmd)

                            SELECT ''GRANT VIEW DEFINITION ON '' + SCHEMA_NAME(schema_id) + ''.''

                            + QUOTENAME(name) + '' TO  db_view_function_definition;'' 

                            FROM sys.objects s

                            WHERE type_desc IN (''SQL_SCALAR_FUNCTION'', ''SQL_TABLE_VALUED_FUNCTION'',

                                 ''AGGREGATE_FUNCTION'' )

                                    AND    NOT EXISTS ( SELECT 1

                                             FROM   sys.database_permissions p

                                             WHERE  p.major_id = s.object_id 

                                                    AND  p.grantee_principal_id = USER_ID(''db_view_function_definition''))';

 

        EXECUTE SP_EXECUTESQL @cmdText;

 

 

       --查看表定义的授权

       SET @cmdText ='USE ' + @database_name + ';'

 

       SET @cmdText +='INSERT INTO #sql_text(sql_cmd)

                      SELECT ''GRANT VIEW DEFINITION ON '' + SCHEMA_NAME(schema_id) + ''.''

                      + QUOTENAME(name) + '' TO db_view_table_definition ;'' 

                      FROM  sys.tables s

                      WHERE  NOT EXISTS ( SELECT 1

                                             FROM   sys.database_permissions p

                                             WHERE  p.major_id = s.object_id 

                                                    AND  p.grantee_principal_id = USER_ID(''db_view_table_definition''))';

    

       EXECUTE SP_EXECUTESQL @cmdText;

 

 

       --查看视图定义的授权

       SET @cmdText ='USE ' + @database_name + ';'

 

       SET @cmdText +='INSERT INTO #sql_text(sql_cmd)

                      SELECT  ''GRANT VIEW DEFINITION ON '' + SCHEMA_NAME(schema_id) + ''.''

                             + QUOTENAME(name) + '' TO db_view_view_definition; ''

                      FROM    sys.views s

                      WHERE  NOT EXISTS ( SELECT 1

                                             FROM   sys.database_permissions p

                                             WHERE  p.major_id = s.object_id 

                                                    AND  p.grantee_principal_id = USER_ID(''db_view_view_definition''))';

    

       EXECUTE SP_EXECUTESQL @cmdText;

 

 

 

        WHILE 1= 1

        BEGIN

            

            

            SELECT TOP 1 @RowIndex=sql_id, @cmdText =  'USE ' + @database_name + '; '+ sql_cmd FROM #sql_text ORDER BY sql_id;

 

            IF @@ROWCOUNT =0 

                BREAK;

 

        

            PRINT(@cmdText);

            EXECUTE(@cmdText);

 

            DELETE FROM #sql_text WHERE sql_id =@RowIndex

 

 

        END

        

            

     DELETE FROM #databases WHERE database_name=@database_name;

END

     

     DROP TABLE #databases;

     DROP TABLE #sql_text;

 

END

 

 

 

 

 

SQL Server中通用数据库角色权限处理的更多相关文章

  1. SQL Server中通用数据库角色权限的处理详解

    SQL Server中通用数据库角色权限的处理详解 前言 安全性是所有数据库管理系统的一个重要特征.理解安全性问题是理解数据库管理系统安全性机制的前提. 最近和同事在做数据库权限清理的事情,主要是删除 ...

  2. SQL Server中查询数据库及表的信息语句

    /* -- 本文件主要是汇总了 Microsoft SQL Server 中有关数据库与表的相关信息查询语句. -- 下面的查询语句中一般给出两种查询方法, -- A方法访问系统表,适应于SQL 20 ...

  3. SQL Server 中为何拥有db_owner权限的账号删除不掉数据库

    今天在公司的SQL Server服务器上,使用了一个只有public和dbcreator角色的账号"user1"在SMSS中去删除一个数据库,但是死活报错说没有权限,报错如下: D ...

  4. 解决SQL Server中无管理员账户权限问题

    遇到忘记SQL Server管理员账户密码或管理员账户被意外删除的情况,如何在SQL Server中添加一个新的管理员账户?按一下步骤操作可添加一个windows账户到SQL Server中,并分配数 ...

  5. SQL Server:查看数据库用户权限(SQL 2005)

    1. 查看 SQL 2005 用户所属数据库角色 use yourdb go select DbRole = g.name, MemberName = u.name, MemberSID = u.si ...

  6. 服务器重启可能会导致SQL Server中部分数据库变为single user mode

    今天检查公司生产服务器的SQL Server数据库,惊讶的发现有三个生产数据库变为了single user mode.奇怪的是没有任何人和程序执行过SQL语句将这三个数据库设置为single user ...

  7. 转 在SQL Server中创建用户角色及授权(使用SQL语句)

     目录 要想成功访问 SQL Server 数据库中的数据 我们需要两个方面的授权 完整的代码示例 使用存储过程来完成用户创建 实例 要想成功访问 SQL Server 数据库中的数据, 我们需要两个 ...

  8. 在SQL Server中创建用户角色及授权

    参考文献 http://database.51cto.com/art/201009/224075.htm 正文 要想成功访问 SQL Server 数据库中的数据, 我们需要两个方面的授权: 获得准许 ...

  9. 【转】在SQL Server中创建用户角色及授权(使用SQL语句)

    1. 首先在 SQL Server 服务器级别,创建登陆帐户(create login) --创建登陆帐户(create login) create login dba with password=' ...

随机推荐

  1. springboot Aop 统一处理Web请求日志

    1.增加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId> ...

  2. kafka和storm集群的环境安装

    前言 storm和kafka集群安装是没有必然联系的,我将这两个写在一起,是因为他们都是由zookeeper进行管理的,也都依赖于JDK的环境,为了不重复再写一遍配置,所以我将这两个写在一起.若只需一 ...

  3. 了解Java内存模型,看完这一篇就够了

    前言(此文草稿是年前写的,但由于杂事甚多一直未完善好.清明假无事,便收收尾发布了) 年关将近,个人工作学习怠惰了不少.两年前刚做开发的时候,信心满满想看看一个人通过自己的努力,最终能达到一个什么样的高 ...

  4. Mysql加锁过程详解(6)-数据库隔离级别(2)-通过例子理解事务的4种隔离级别

    Mysql加锁过程详解(1)-基本知识 Mysql加锁过程详解(2)-关于mysql 幻读理解 Mysql加锁过程详解(3)-关于mysql 幻读理解 Mysql加锁过程详解(4)-select fo ...

  5. 弹窗查看内容时 内容滚动区域设置为body区

    看到渣浪的查看文章或者查看大图有个效果:弹窗查看内容时,如果内容过长有滚动条,则滚动条会被放到body区滚动 什么意思呢? 看个图片,一般正常弹窗是有宽高限制的,如果内容过长则直接在弹窗中进行滚动 点 ...

  6. Ansible剧本介绍及使用演示(week5_day2)--技术流ken

    Ansible剧本编写说明 一. 缩进 yaml 的缩进要求比较严格.一定不能使用tab键 注意:编写yaml文件,就忘掉shell的tab吧. 二. 冒号 每个冒号后面一定要有一个空格 注意:1. ...

  7. Redis基础知识补充及持久化、备份介绍(二)--技术流ken

    Redis知识补充 在上一篇博客<Redis基础认识及常用命令使用(一)--技术流ken>中已经介绍了redis的一些基础知识,以及常用命令的使用,本篇博客将补充一些基础知识以及redis ...

  8. nginx详解反向代理、负载均衡、LNMP架构上线动态网站(week4_day1_part1)-技术流ken

    nginx介绍 Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为“engine X”,是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP 代理 ...

  9. Java_文件夹分割与合并

    一.思路: 1.文件切割: 使用类RandomAccessFile ,其中方法seek可以自定义读取位置,读一段,通过字节输出流(我使用BufferedOutputStream)写一段 2.文件合并 ...

  10. 改变eclipse默认的Tomcat部署路径

    eclipse中默认的项目部署路径是在项目的路径,不像myeclipse那样部署后项目在Tomcat的安装路径webapps下.这样虽然可以运行,但是不方便开发和调试,本文将介绍如何改变eclipse ...