SQLServer服务器⾓⾊和数据库⾓⾊权限详解SQLServer中服务器⾓⾊和数据库⾓⾊权限详解
⾓⾊
当⼏个⽤户需要在某个特定的数据库中执⾏类似的动作时(这⾥没有相应的Windows⽤户组),就可以向该数据库中添加⼀个⾓⾊(role)。指定了可以访问相同数据库对象的⼀组数据库⽤户。
的成员可以分为如下⼏类:
Windows⽤户组或⽤户账户
Server登录
其他⾓⾊
Server的安全体系结构中包括了⼏个含有特定隐含的⾓⾊。除了数据库拥有者创建的⾓⾊之外,还有两类预定义的⾓⾊。这些可以创建的⾓⾊可以分为如下⼏类:
固定服务器
固定数据库
⽤户⾃定义
固定服务器
由于固定服务器是在服务器层次上定义的,因此它们位于从属于数据库服务器的数据库外⾯。下表列出了所有现有的固定。
固定说明
sysadmin执⾏ Server中的任何动作
serveradmin配置服务器设置
setupadmin安装复制和管理扩展过程
securityadmin管理登录和CREATE DATABASE的以及阅读审计
processadmin管理 Server进程
dbcreator创建和修改数据库
diskadmin管理磁盘⽂件
下⾯两个系统过程⽤来添加或删除固定成员:
sp_addsrvrolemember
sp_dropsrvrolemember
注意:您不能添加、修改或删除固定。另外,只有固定的成员才能执⾏上述两个系统过程来从⾓⾊中添加或删除登录账户。
sa登录
sa登录是系统管理员的登录。在以前的 Server版本中不存在⾓⾊,sa登录具有所有可能的关于系统管理⼯作的。在 Server 2005中,sa登录保持了向后兼容性。sa登录永远是固定syadmin中的成员,并且不能从该⾓⾊中删除。
注意:只有当没有其他⽅法登录到 Server系统中时,再使⽤sa登录。
固定及其
在某个 Server系统中,每个固定都有其隐含的。使⽤系统过程sp_srvrolepermission可以浏览每个固定的。该系统过程的语法形式为:
sp_srvrolepermission[[@srvrolename =] 'role']
如果没有指定role的值,那么所有的固定的都将显⽰出来。下⾯的部分将讨论每个固定的。
1. sysadmin
固定sysadmin的成员被赋予了 Server系统中所有可能的。例如,只有这个⾓⾊中的成员(或⼀个被这个⾓⾊中的成员赋予了CREATE DATABASE的⽤户)才能够创建数据库。
固定和sa登录之间有着特殊的关系。sa登录⼀直都是固定中的成员,并且不能从该⾓⾊中删除。
2. serveradmin
固定serveradmin的成员可以执⾏如下的动作:
向该中添加其他登录
运⾏dbcc pin命令(从⽽使表常驻于主中)
运⾏系统过程sp_configure(以显⽰或更改系统选项)
运⾏reconfigure选项(以更新系统过程sp_configure所做的所有改动)
使⽤shutdown命令关掉数据库服务器
运⾏系统过程sp_option为⽤户⾃定义表设置选项的值
3. setupadmin
固定setupadmin中的成员可以执⾏如下的动作:
向该中添加其他登录
添加、删除或配置链接的服务器
执⾏⼀些系统过程,如sp_serveroption
4. securityadmin
固定securitypadmin中的成员可以执⾏关于服务器访问和安全的所有动作。这些成员可以进⾏如下的系统动作:
向该中添加其他登录
读取 Server的错误⽇志
运⾏如下的系统过程:如sp_addlinkedsrvlogin、sp_addlogin、sp_defaultdb、sp_defaultlanguage、sp_denylogin、
sp_droplinkedsrvlogin、sp_droplogin、sp_grantlogin、sp_helplogins、sp_remoteoption和sp_revokelogin(所有这些系统过程都与系统安全相关。)
5. processadmin
固定processadmin中的成员⽤来管理 Server进程,如中⽌⽤户正在运⾏的查询。这些成员可以进⾏如下的动作:
向该中添加其他登录
执⾏KILL命令(以取消⽤户进程)
6. dbcreator
固定dbcreator中的成员⽤来管理与数据库创建和修改有关的所有动作。这些成员可以进⾏如下的动作:
向该中添加其他登录
运⾏CREATE DATABASE和ALTER DATABASE
使⽤系统过程sp_renamedb来修改数据库的名称
7. diskadmin
固定diskadmin的成员可以进⾏如下与⽤来存储数据库对象的⽂件和⽂件组有关的动作:
向该中添加其他登录
运⾏如下系统过程:sp_ddumpdevice和sp_dropdevice。
运⾏DISK INIT
固定
固定在数据库层上进⾏定义,因此它们存在于属于数据库服务器的每个数据库中。下表列出了所有的固定。
固定说明
db_owner可以执⾏数据库中技术所有动作的⽤户
db_accessadmin可以添加、删除⽤户的⽤户
db_datareader可以查看所有数据库中⽤户表内数据的⽤户
db_datawriter可以添加、修改或删除所有数据库中⽤户表内数据的⽤
户
db_ddladmin可以在数据库中执⾏所有DDL操作的⽤户
db_securityadmin可以管理数据库中与安全有关所有动作的⽤户
db_backoperator可以备份数据库的⽤户(并可以发布DBCC和
CHECKPOINT,这两个⼀般在备份前都会被执⾏)
db_denydatareader不能看到数据库中任何数据的⽤户
db_denydatawriter不能改变数据库中任何数据的⽤户
除了上表中列出的固定之外,还有⼀种特殊的固定,名为public,这⾥将⾸先介绍这⼀⾓⾊。
acess数据库
public⾓⾊
public⾓⾊是⼀种特殊的固定,数据库的每个合法⽤户都属于该⾓⾊。它为数据库中的⽤户提供了所有默认。这样就提供了⼀种机制,即给予那些没有适当的所有⽤户以⼀定的(通常是有限的)。public⾓⾊为数据库中的所有⽤户都保留了默认的,因此是不能被删除的。
⼀般情况下,public⾓⾊允许⽤户进⾏如下的操作:
使⽤某些系统过程查看并显⽰master数据库中的信息
执⾏⼀些不需要⼀些的(例如PRINT)
固定及其
在数据库中,每个固定都有其特定的。这就意味着对于某个数据库来说,固定的成员的是有限的。使⽤系统过程sp_dbfixedrolepermission 就可以查看每个固定的。该系统过程的语法为:
drolepermission [[@rolename =] 'role']
如果没有指定role的值,那么所有固定的都可以显⽰出来。下⾯的⼏节将讨论每个固定的。
1. db_owner
固定db_owner的成员可以在特定的数据库中进⾏如下的动作:
向其他固定中添加成员,或从其中删除成员
运⾏所有的DDL
运⾏BACKUP DATABASE和BACKUP LOG
使⽤CHECKPOINT显式地启动检查点进程
运⾏下列dbcc命令:dbcc checkalloc、dbcc checkcatalog、dbcc checkdb、dbcc updateusage
授予、取消或剥夺每⼀个数据库对象上的下列:SELECT、INSERT、UPDATE、DELETE和REFERENCES
使⽤下列系统过程向数据库中添加⽤户或⾓⾊:sp_addapprole、sp_addrole、sp_addrolemember、sp_approlepassword、
sp_changeobjectowner、sp_dropapprole、sp_droprole、sp_droprolemember、sp_dropuser、sp_gra
ntdbaccess
使⽤系统过程sp_rename为任何数据库对象重新命名
2. db_accessadmin
固定db_accessadmin的成员可以执⾏与数据库访问有关的所有动作。这些⾓⾊可以在具体的数据库中执⾏下列操作:
运⾏下列系统过程:sp_addalias、sp_dropalias、sp_dropuser、sp_grantdbacess、sp_revokedbaccess
为Windows⽤户账户、Windows组和 Server登录添加或删除访问
3. dbdatareader
固定dbdatareader的成员对数据库中的数据库对象(表或视图)具有SELECT。然⽽,这些成员不能把这个授予其他任何⽤户或⾓⾊。(这个限制对REVOKE来说同样成⽴。)
4. dbdatawriter
固定dbdatawriter的成员对数据库中的数据库对象(表或视图)具有INSERT、UPDATE和DELETE。然⽽,这些成员不能把这个授予其他任何⽤户或⾓⾊。(这个限制对REVOKE来说也同样成⽴。)
5. db_ddladmin
固定db_ddladmin的成员可以进⾏如下的动作:
运⾏所有DDL
对任何表上授予REFERENCESE
使⽤系统过程sp_procoption和sp_recompile来修改任何存储过程的结构
使⽤系统过程sp_rename为任何数据库对象重命名
使⽤系统过程sp_option和sp_changeobjectowner分别修改表的选项和任何数据库对象的拥有者
6. db_securityadmin
固定db_securityadmin的成员可以管理数据库中的安全。这些成员可以进⾏如下的动作:
运⾏与安全有关的所有Transact-(GRANT、DENY和REVOKE)
运⾏以下系统过程:sp_addapprole、sp_addrole、sp_addrolemember、sp_approlepassword、sp_changeobjectowner、
sp_dropapprole、sp_droprole、sp_droprolemember
7. db_backupoperator
固定db_backupoperator的成员可以管理数据库备份的过程。这些成员可以进⾏如下动作:
运⾏BACKUP DATABASE和BACKUP LOG
⽤CHECKPOINT显式地启动检查点进程
运⾏如下dbcc命令:dbcc checkalloc、dbcc checkcatalog、dbcc checkdb、dbcc updateusage
8. db_denydatareader和db_denydatawriter
顾名思义,固定db_denydatareader的成员对数据库中的数据库对象(表或视图)没有SELECT。如果数据库中含有敏感数据并且其他⽤户不能读取这些数据,那么就可以使⽤这个⾓⾊。
固定db_denydatawriter的成员对数据库中的任何数据库对象(表或视图)没有INSERT、UPDATE和DELE
TE。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论