Security3: 架构和权限

架构(Schema)是数据库对象(比如,Table,View,存储过程等)的容器,授予用户对Schema访问的权限,就是授予用户对Schema下所有object的访问权限。

一,架构(Schema)是数据库对象的容器

1,创建架构,指定数据库主体(database-level principal)为该架构的Owner

CREATE SCHEMA schema_name
AUTHORIZATION owner_name

2,改变数据库对象的架构名

执行alter schema命令只能在同一个数据库中转移数据库对象的schema,跟该表相关的权限配置都将被移除。

alter schema hr 
transfer object::dbo.usres

二,授予用户访问Schema的权限

1,将Schema作为安全对象(Securable),授予用户访问Schema的权限

一旦用户能够访问Schema,就能访问架构(Schema)容纳的所有数据库对象。

GRANT permission  [ ,...n ] ON SCHEMA :: schema_name
TO database_principal [ ,...n ]
[ WITH GRANT OPTION ]

2,示例,授予用户或角色访问Schema的权限

GRANT INSERT 
ON SCHEMA :: HumanResources 
TO guest;

GRANT SELECT 
ON SCHEMA :: Person 
TO WilJo 
WITH GRANT OPTION;

三,schema的所有者

通过系统视图:sys.schemas 查看schema的所有者,在删除用户时,如果该用户是schema的所有者,那么在删除时,系统抛出错误:

Error: 15138 The database principal owns a schema in the database, and cannot be dropped.

通过命令,修改schema的所有者,把schema的所有者转移到dbo用户:

ALTER AUTHORIZATION 
ON SCHEMA::SchemaName 
TO dbo

四,特殊的shecma

在每个数据库中,都存在三个特殊的schema:dbo,sys 和 INFORMATION_SCHEMA:

  • dbo是数据库对象默认的schema,其owner是用户dbo;
  • guest:是schema,其owner是用户guest;
  • sys 和 INFORMATION_SCHEMA 是数据库引擎内部使用的schema,用户不能删除和修改,其Owner默认是用户sys和INFORMATION_SCHEMA;

五,真实经历

项目经理(PM)要求给某一个User 授予一个只读的权限,避免其对数据进行修改,影响数据库的数据,但是仅仅授予只读的权限不行,因为这个User还要执行一些查询,查询语句中包括临时表,表变量,变量,自定义数据类型等,所以,必须授予其Select 和 Execute的权限。

--Create Login
create login [domain\login_xxx]
from windows
with default_database=[HR_DataWarehouse];

--Create User
create user [domain\login_xxx]
from login [domain\login_xxx]
with default_schema=dbo;

--Create role
create role DBReaderExecute_NoModify
AUTHORIZATION [domain\login_xxx];

--Add member to role
alter role DBReaderExecute_NoModify
add member [domain\login_xxx];

--Grant Permission
grant EXECUTE,SELECT     
on schema::dbo       
to DBReaderExecute_NoModify; 

grant EXECUTE,SELECT     
on schema::hr       
to DBReaderExecute_NoModify; 

参考文档:

CREATE SCHEMA (Transact-SQL)

ALTER SCHEMA (Transact-SQL)

GRANT Schema Permissions (Transact-SQL)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

悦光阴

你的鼓励是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值