要想成功访问 SQL Server 数据库中的数据, 我们需要两个方面的授权:

  1. 获得准许连接 SQL Server 服务器的权利;
  2. 获得访问特定数据库中数据的权利(select, update, delete, create table ...)。

假设,我们准备建立一个 dba 数据库帐户,用来管理数据库 mydb。

1. 首先在 SQL Server 服务器级别,创建登陆帐户(create login)

--创建登陆帐户(create login)
create login dba with password='abcd1234@', default_database=mydb

登陆帐户名为:“dba”,登陆密码:abcd1234@”,默认连接到的数据库:“mydb”。 这时候,dba 帐户就可以连接到 SQL Server 服务器上了。但是此时还不能 访问数据库中的对象(严格的说,此时 dba 帐户默认是 guest 数据库用户身份, 可以访问 guest 能够访问的数据库对象)。

要使 dba 帐户能够在 mydb 数据库中访问自己需要的对象, 需要在数据库 mydb 中建立一个“数据库用户”,赋予这个“数据库用户” 某些访问权限,并且把登陆帐户“dba” 和这个“数据库用户” 映射起来。 习惯上,“数据库用户” 的名字和 “登陆帐户”的名字相同,即:“dba”。 创建“数据库用户”和建立映射关系只需要一步即可完成:

2. 创建数据库用户(create user):

--为登陆账户创建数据库用户(create user),在mydb数据库中的security中的user下可以找到新创建的dba
create user dba for login dba with default_schema=dbo

并指定数据库用户“dba” 的默认 schema 是“dbo”。这意味着 用户“dba” 在执行“select * from t”,实际上执行的是 “select * from dbo.t”。

3. 通过加入数据库角色,赋予数据库用户“dba”权限:

--通过加入数据库角色,赋予数据库用户“db_owner”权限
exec sp_addrolemember 'db_owner', 'dba'

此时,dba 就可以全权管理数据库 mydb 中的对象了。

如果想让 SQL Server 登陆帐户“dba”访问多个数据库,比如 mydb2。 可以让 sa 执行下面的语句:

--让 SQL Server 登陆帐户“dba”访问多个数据库
use mydb2

go create user dba for login dba with default_schema=dbo

go exec sp_addrolemember 'db_owner', 'dba' go

此时,dba 就可以有两个数据库 mydb, mydb2 的管理权限了!

完整的代码示例

--创建数据库mydb和mydb2
--在mydb和mydb2中创建测试表,默认是dbo这个schema
CREATE TABLE DEPT

       (DEPTNO int primary key,

        DNAME VARCHAR(14),

        LOC VARCHAR(13) );

--插入数据
INSERT INTO DEPT VALUES (101, 'ACCOUNTING', 'NEW YORK');

INSERT INTO DEPT VALUES (201, 'RESEARCH',   'DALLAS');

INSERT INTO DEPT VALUES (301, 'SALES',      'CHICAGO');

INSERT INTO DEPT VALUES (401, 'OPERATIONS', 'BOSTON');

--查看数据库schema, user 的存储过程
select * from sys.database_principals

select * from sys.schemas

select * from sys.server_principals

--创建登陆帐户(create login)
create login dba with password='abcd1234@', default_database=mydb

--为登陆账户创建数据库用户(create user),在mydb数据库中的security中的user下可以找到新创建的dba
create user dba for login dba with default_schema=dbo

--通过加入数据库角色,赋予数据库用户“db_owner”权限
exec sp_addrolemember 'db_owner', 'dba'


--让 SQL Server 登陆帐户“dba”访问多个数据库


use mydb2

go create user dba for login dba with default_schema=dbo

go exec sp_addrolemember 'db_owner', 'dba'go




--禁用登陆帐户


alter login dba disable

--启用登陆帐户


alter login dba enable

--登陆帐户改名


alter login dba with name=dba_tom

--登陆帐户改密码: 


alter login dba with password='aabb@ccdd'


--数据库用户改名: 


alter user dba with name=dba_tom

--更改数据库用户 defult_schema: 


alter user dba with default_schema=sales

--删除数据库用户: 


drop user dba

--删除 SQL Server登陆帐户: 


drop login dba






使用存储过程来完成用户创建


下面一个实例来说明在sqlserver中如何使用存储过程创建角色,重建登录,以及如何为登录授权等问题。




  1. /*--示例说明
    2. 

  2. 示例在数据库InsideTSQL2008中创建一个拥有表HR.Employees的所有权限、拥有表Sales.Orders的SELECT权限的角色r_test
    3. 

  3. 随后创建了一个登录l_test,然后在数据库InsideTSQL2008中为登录l_test创建了用户账户u_test
    4. 

  4. 同时将用户账户u_test添加到角色r_test中,使其通过权限继承获取了与角色r_test一样的权限
    5. 

  5. 最后使用DENY语句拒绝了用户账户u_test对表HR.Employees的SELECT权限。
    6. 

  6. 经过这样的处理,使用l_test登录SQL Server实例后,它只具有表Sales.Orders的select权限和对表HR.Employees出select外的所有权限。
    7. 

  7. --*/
    8. 

  8. USE InsideTSQL2008
    9. 

  9. --创建角色 r_test
    10. 

  10. EXEC sp_addrole 'r_test'
    11. 

  11. --添加登录 l_test,设置密码为pwd,默认数据库为pubs
    12. 

  12. EXEC sp_addlogin 'l_test','a@cd123','InsideTSQL2008'
    13. 

  13. --为登录 l_test 在数据库 pubs 中添加安全账户 u_test
    14. 

  14. EXEC sp_grantdbaccess 'l_test','u_test'
    15. 

  15. --添加 u_test 为角色 r_test 的成员
    16. 

  16. EXEC sp_addrolemember 'r_test','u_test'
    17. 

  17. --用l_test登陆,发现在SSMS中找不到仍和表,因此执行下述两条语句出错。
    18. 

  18. select * from Sales.Orders
    19. 

  19. select * from HR.Employees
    20. 

  20. --授予角色 r_test 对 HR.Employees 表的所有权限
    21. 

  21. GRANT ALL ON HR.Employees TO r_test
    22. 

  22. --The ALL permission is deprecated and maintained only for compatibility.
    23. 

  23. --It DOES NOT imply ALL permissions defined on the entity.
    24. 

  24. --ALL 权限已不再推荐使用,并且只保留用于兼容性目的。它并不表示对实体定义了 ALL 权限。
    25. 

  25. --测试可以查询表HR.Employees,但是Sales.Orders无法查询
    26. 

  26. select * from HR.Employees
    27. 

  27. --如果要收回权限,可以使用如下语句。(可选择执行)
    28. 

  28. revoke all on HR.Employees from r_test
    29. 

  29. --ALL 权限已不再推荐使用,并且只保留用于兼容性目的。它并不表示对实体定义了 ALL 权限。
    30. 

  30. --授予角色 r_test 对 Sales.Orders 表的 SELECT 权限
    31. 

  31. GRANT SELECT ON Sales.Orders TO r_test
    32. 

  32. --用l_test登陆,发现可以查询Sales.Orders和HR.Employees两张表
    33. 

  33. select * from Sales.Orders
    34. 

  34. select * from HR.Employees
    35. 

  35. --拒绝安全账户 u_test 对 HR.Employees 表的 SELECT 权限
    36. 

  36. DENY SELECT ON HR.Employees TO u_test
    37. 

  37. --再次执行查询HR.Employees表的语句,提示:拒绝了对对象 'Employees' (数据库 'InsideTSQL2008',架构 'HR')的 SELECT 权限。
    38. 

  38. select * from HR.Employees
    39. 

  39. --重新授权
    40. 

  40. GRANT SELECT ON HR.Employees TO u_test
    41. 

  41. --再次查询,可以查询出结果。
    42. 

  42. select * from HR.Employees
    43. 

  43. USE InsideTSQL2008
    44. 

  44. --从数据库中删除安全账户,failed
    45. 

  45. EXEC sp_revokedbaccess 'u_test'
    46. 

  46. --删除角色 r_test,failed
    47. 

  47. EXEC sp_droprole 'r_test'
    48. 

  48. --删除登录 l_test,success
    49. 

  49. EXEC sp_droplogin 'l_test'




revoke 与 deny的区别


revoke:收回之前被授予的权限


deny:拒绝给当前数据库内的安全帐户授予权限并防止安全帐户通过其组或角色成员资格继承权限。比如UserA所在的角色组有inset权限,但是我们Deny UserA使其没有insert权限,那么以后即使UserA再怎么到其他含有Insert的角色组中去,还是没有insert权限,除非该用户被显示授权。


简单来说,deny就是将来都不许给,revoke就是收回已经给予的。


实例






  1. GRANT INSERT ON TableA TO RoleA
    2. 

  2. GO
    3. 

  3. EXEC sp_addrolemember RoleA, 'UserA' -- 用户UserA将有TableA的INSERT权限
    4. 

  4. GO
    5. 

  5. REVOKE INSERT ON TableA FROM RoleA -- 用户UserA将没有TableA的INSERT权限,收回权限
    6. 

  6. GO
    7. 

  7. GRANT INSERT ON TableA TORoleA --重新给RoleA以TableA的INSERT权限
    8. 

  8. GO
    9. 

  9. DENY INSERT ON TableA TO UserA -- 虽然用户UserA所在RoleA有TableA的INSERT权限,但UserA本身被DENY了,所以用户UserA将没有TableA的INSERT权限。
    10. 

  10. 摘自:http://blog.csdn.net/a497785609/article/details/47686659




												


											
SQL语句操作SQL SERVER数据库登录名、用户及权限的更多相关文章
	

    
								
  1. SQL Server客户端登录名与数据库用户关联
		
    数据库迁移之后,在新的SQL Server客户端工具设置关联时,往往会报错: 用户.组或角色 'XXX' 在当前数据库中已存在. 解决方法: 首先介绍一下sql server中“登录”与“用户”的区别 ...
    
		
    2. 
						
  2. Django中使用mysql数据库并使用原生sql语句操作
		
    Django自身默认使用sqlite3这个轻量级的数据库,但是当我们开发网站时,sqlite3就没有mysql好,sqlite3适合一些手机上开发使用的数据库. 准备的软件mysql数据库,版本5.7 ...
    
		
    3. 
						
  3. 在myeclipse中配置DB Driver(数据库用MySql),并在myeclipse执行sql语句操作
		
    在myeclipse中配置DB Driver(数据库用MySql),并在myeclipse执行sql语句操作 MyEclipse6.5    ,  mysq驱动jar包为mysql-connector ...
    
		
    4. 
						
  4. SQL Server数据库实例名与服务器名不一致的解决办法
		
    SQL Server数据库实例名与服务器名不一致的解决办法 --EXEC sp_addlinkedserver --   @server = 'PSHGQ' --GO --select * from  ...
    
		
    5. 
						
  5. sql server数据库字段名要注意不能叫file
		
    sql server数据库字段名要注意不能叫file 如java 中  private string  file,这是sql 的关键字
    
		
    6. 
						
  6. Oracle数据库SQL语句操作大全汇总
		
    数据库各个表空间增长情况的检查: SQL >SELECT A.TABLESPACE_NAME,( 1-(A.TOTAL)/B.TOTAL)* 100 USED_PERCENT FROM (SEL ...
    
		
    7. 
						
  7. Android中SQLite数据库操作(1)——使用SQL语句操作SQLite数据库
		
    下面是最原始的方法,用SQL语句操作数据库.后面的"Android中SQLite数据库操作(2)--SQLiteOpenHelper类"将介绍一种常用的android封装操作SQL ...
    
		
    8. 
						
  8. 043:Django使用原生SQL语句操作数据库
		
    Django使用原生SQL语句操作数据库 Django配置连接数据库: 在操作数据库之前,首先先要连接数据库.这里我们以配置 MySQL 为例来讲解. Django 连接数据库,不需要单独的创建一个连 ...
    
		
    9. 
						
  9. SQL语句操作大全
		
    SQL语句操作大全   本文分为以下六个部分: 基础部分 提升部分 技巧部分 数据开发–经典部分 SQL Server基本函数部分 常识部分 一.基础 1.说明:创建数据库CREATE DATABAS ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. cocos2d-html5基础
			
    1 环境搭建 版本Cocos2d-html5-v2.2,tomcat7.0 配置tomcat,然后直接解压Cocos2d-html5-v2.2.zip,访问解压后的根目录的index.html就可以看 ...
    
			
    2. 
						
  2. shell Syntax error: Bad fd number 错误解决
			
    最近在玩spark , 需要看一下python的spark lib 是怎么加入环境变量的. 执行: sh -x bin/pyspark 报错 + dirname bin/pyspark + cd bi ...
    
			
    3. 
						
  3. 常用JSTL标签
			
    1.判断是否为空 <c:choose> <c:when test="${not empty reportInfo.user_register_orgs.register_o ...
    
			
    4. 
						
  4. 9-25模拟赛 By cellur925
			
    1.相遇(railway.cpp/c/pas)时间限制:1s内存限制:256MB[问题描述]已知我国有 n 座城市,这些城市通过 n-1 条高铁相连.且任意两个城市联通.小 A 想从 x1 号城市出发 ...
    
			
    5. 
						
  5. Eclipse的ant调用maven
			
    需要在 eclipse 的 windows - preferences - ant - runtime - classpath - global entries 加入 eclipse 里面的 jsch ...
    
			
    6. 
						
  6. Cannot call sendRedirect()/forward after the response has been committed的问题
			
    问题其实已经很明确了,说明就是不能重定向,因为已经有response了. 然后一检查,是前面已经用servlet的printWriter打印东西了. 所以,重定向前 必须先保证没有任何的输出,包括:1 ...
    
			
    7. 
						
  7. RHEL 6.5----SCSI存储
			
    主机名 IP master 192.168.30.130 node-1 192.168.30.131 node-2 192.168.30.132 安装并启动 [root@master ~]# ll / ...
    
			
    8. 
						
  8. android开发学习 ------- Retrofit+Rxjava+MVP网络请求的实例
			
    http://www.jianshu.com/p/7b839b7c5884   推荐 ,照着这个敲完 , 测试成功 , 推荐大家都去看一下 . 下面贴一下我照着这个敲完的代码: Book实体类 - 用 ...
    
			
    9. 
						
  9. poj2677 Tour
			
    题意: 双调欧几里得旅行商问题. 思路: dp.定义dp[i][j](i <= j)为从点j从右向左严格按照x坐标递减顺序走到点1,之后再从点1从左向右严格按照x坐标递增的顺序走到点i,并且在此 ...
    
			
    10. 
						
  10. BZOJ1132: [POI2008]Tro(叉积 排序)
			
    题意 世上最良心题目描述qwq 平面上有N个点. 求出所有以这N个点为顶点的三角形的面积和 N<=3000 Sol 直接模拟是$n^3$的. 考虑先枚举一个$i$,那么我们要算的就是$\sum_ ...
    
			
    11.