创建角色,用户,权限/*--示例说明 示例在数据库pubs中创建一个拥有表jobs的所有权限、拥有表titles的SELECT权限的角色r_test 随后创建了一个登录l_test,然后在数据库pubs中为登录l_test创建了用户账户u_test 同时将用户账户u_test添加到角色r_test中,使其通过权限继承获取了与角色r_test一样的权限 最后使用DENY语句拒绝了用户账户u_test对表titles的SELECT权限。 经过这样的处理,使用l_test登录SQL Server实例后,它只具有表jobs的所有权限。 --*/USE pubs--创建角色 r_test EXEC sp_addrole 'r_test'--授予 r_test 对 jobs 表的所有权限 GRANT ALL ON jobs TO r_test --授予角色 r_test 对 titles 表的 SELECT 权限 GRANT SELECT ON titles TO r_test--添加登录 l_test,设置密码为pwd,默认数据库为pubs EXEC sp_addlogin 'l_test','pwd','pubs'--为登录 l_test 在数据库 pubs 中添加安全账户 u_test EXEC sp_grantdbaccess 'l_test','u_test'--添加 u_test 为角色 r_test 的成员 EXEC sp_addrolemember 'r_test','u_test'--拒绝安全账户 u_test 对 titles 表的 SELECT 权限 DENY SELECT ON titles TO u_test/*--完成上述步骤后,用 l_test 登录,可以对jobs表进行所有操作,但无法对titles表查询,虽然角色 r_test 有titles表的select权限,但已经在安全账户中明确拒绝了对titles的select权限,所以l_test无titles表的select权限--*/--从数据库 pubs 中删除安全账户 EXEC sp_revokedbaccess 'u_test'--删除登录 l_test EXEC sp_droplogin 'l_test'--删除角色 r_test EXEC sp_droprole 'r_test' 本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/htl258/archive/2009/04/03/4038870.aspx
要想成功访问 SQL Server 数据库中的数据,我们需要两个方面的授权:一、获得准许连接 SQL Server 服务器的权利;二、获得访问特定数据库中数据的权利(select, update, delete, create table ...)。假设,我们准备建立一个 dba 数据库帐户,用来管理数据库 mydb。 1. 首先在 SQL Server 服务器级别,创建登陆帐户(create login) create login dba with password='sqlstudy', default_database=mydb登陆帐户名为:“dba”,登陆密码:“sqlstudy”,默认连接到的数据库:“mydb”。这时候,dba 帐户就可以连接到 SQL Server 服务器上了。但是此时还不能访问数据库中的对象(严格的说,此时 dba 帐户默认是 guest 数据库用户身份,可以访问 guest 能够访问的数据库对象)。 要使 dba 帐户能够在 mydb 数据库中访问自己需要的对象,需要在数据库 mydb 中建立一个“数据库用户”,赋予这个“数据库用户” 某些访问权限,并且把登陆帐户“dba” 和这个“数据库用户” 映射起来。习惯上,“数据库用户” 的名字和 “登陆帐户”的名字相同,即:“dba”。创建“数据库用户”和建立映射关系只需要一步即可完成: 2. 创建数据库用户(create user): create user dba for login dba with default_schema=dbo并指定数据库用户“dba” 的默认 schema 是“dbo”。这意味着 用户“dba” 在执行“select * from t”,实际上执行的是 “select * from dbo.t”。 3. 通过加入数据库角色,赋予数据库用户“dba”权限: exec sp_addrolemember 'db_owner', 'dba'此时,dba 就可以全权管理数据库 mydb 中的对象了。 如果想让 SQL Server 登陆帐户“dba”访问多个数据库,比如 mydb2。可以让 sa 执行下面的语句: use mydb2 go create user dba for login dba with default_schema=dbo go exec sp_addrolemember 'db_owner', 'dba' go此时,dba 就可以有两个数据库 mydb, mydb2 的管理权限了! 4. 禁用、启用登陆帐户: alter login dba disable alter login dba enable5. 登陆帐户改名: alter login dba with name=dba_tom提示:在 SQL Server 2005 中也可以给 sa 改名。 《SQL Server 2005 安全性增强:给超级用户 sa 改名》 6. 登陆帐户改密码: alter login dba with password='sqlstudy.com'7. 数据库用户改名: alter user dba with name=dba_tom8. 更改数据库用户 defult_schema: alter user dba with default_schema=sales9. 删除数据库用户: drop user dba10. 删除 SQL Server登陆帐户: drop login dba
[ , [ @passwd = ] 'password' ]
[ , [ @defdb = ] 'database' ]
[ , [ @deflanguage = ] 'language' ]
[ , [ @sid = ] sid ]
[ , [ @encryptopt = ] 'encryption_option' ]语法
示例在数据库pubs中创建一个拥有表jobs的所有权限、拥有表titles的SELECT权限的角色r_test
随后创建了一个登录l_test,然后在数据库pubs中为登录l_test创建了用户账户u_test
同时将用户账户u_test添加到角色r_test中,使其通过权限继承获取了与角色r_test一样的权限
最后使用DENY语句拒绝了用户账户u_test对表titles的SELECT权限。
经过这样的处理,使用l_test登录SQL Server实例后,它只具有表jobs的所有权限。
--*/USE pubs--创建角色 r_test
EXEC sp_addrole 'r_test'--授予 r_test 对 jobs 表的所有权限
GRANT ALL ON jobs TO r_test
--授予角色 r_test 对 titles 表的 SELECT 权限
GRANT SELECT ON titles TO r_test--添加登录 l_test,设置密码为pwd,默认数据库为pubs
EXEC sp_addlogin 'l_test','pwd','pubs'--为登录 l_test 在数据库 pubs 中添加安全账户 u_test
EXEC sp_grantdbaccess 'l_test','u_test'--添加 u_test 为角色 r_test 的成员
EXEC sp_addrolemember 'r_test','u_test'--拒绝安全账户 u_test 对 titles 表的 SELECT 权限
DENY SELECT ON titles TO u_test/*--完成上述步骤后,用 l_test 登录,可以对jobs表进行所有操作,但无法对titles表查询,虽然角色 r_test 有titles表的select权限,但已经在安全账户中明确拒绝了对titles的select权限,所以l_test无titles表的select权限--*/--从数据库 pubs 中删除安全账户
EXEC sp_revokedbaccess 'u_test'--删除登录 l_test
EXEC sp_droplogin 'l_test'--删除角色 r_test
EXEC sp_droprole 'r_test'
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/htl258/archive/2009/04/03/4038870.aspx
要想成功访问 SQL Server 数据库中的数据,我们需要两个方面的授权:一、获得准许连接 SQL Server 服务器的权利;二、获得访问特定数据库中数据的权利(select, update, delete, create table ...)。假设,我们准备建立一个 dba 数据库帐户,用来管理数据库 mydb。 1. 首先在 SQL Server 服务器级别,创建登陆帐户(create login)
create login dba with password='sqlstudy', default_database=mydb登陆帐户名为:“dba”,登陆密码:“sqlstudy”,默认连接到的数据库:“mydb”。这时候,dba 帐户就可以连接到 SQL Server 服务器上了。但是此时还不能访问数据库中的对象(严格的说,此时 dba 帐户默认是 guest 数据库用户身份,可以访问 guest 能够访问的数据库对象)。 要使 dba 帐户能够在 mydb 数据库中访问自己需要的对象,需要在数据库 mydb 中建立一个“数据库用户”,赋予这个“数据库用户” 某些访问权限,并且把登陆帐户“dba” 和这个“数据库用户” 映射起来。习惯上,“数据库用户” 的名字和 “登陆帐户”的名字相同,即:“dba”。创建“数据库用户”和建立映射关系只需要一步即可完成: 2. 创建数据库用户(create user):
create user dba for login dba with default_schema=dbo并指定数据库用户“dba” 的默认 schema 是“dbo”。这意味着 用户“dba” 在执行“select * from t”,实际上执行的是 “select * from dbo.t”。 3. 通过加入数据库角色,赋予数据库用户“dba”权限:
exec sp_addrolemember 'db_owner', 'dba'此时,dba 就可以全权管理数据库 mydb 中的对象了。 如果想让 SQL Server 登陆帐户“dba”访问多个数据库,比如 mydb2。可以让 sa 执行下面的语句: use mydb2
go
create user dba for login dba with default_schema=dbo
go
exec sp_addrolemember 'db_owner', 'dba'
go此时,dba 就可以有两个数据库 mydb, mydb2 的管理权限了! 4. 禁用、启用登陆帐户:
alter login dba disable
alter login dba enable5. 登陆帐户改名:
alter login dba with name=dba_tom提示:在 SQL Server 2005 中也可以给 sa 改名。 《SQL Server 2005 安全性增强:给超级用户 sa 改名》 6. 登陆帐户改密码:
alter login dba with password='sqlstudy.com'7. 数据库用户改名:
alter user dba with name=dba_tom8. 更改数据库用户 defult_schema:
alter user dba with default_schema=sales9. 删除数据库用户:
drop user dba10. 删除 SQL Server登陆帐户:
drop login dba