SQL Server中通用数据库角色权限的处理详解

最新推荐文章于 2024-07-26 09:40:31 发布
最新推荐文章于 2024-07-26 09:40:31 发布
阅读量108 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/scwbky/p/10026938.html
版权

SQL Server中通用数据库角色权限的处理详解

前言

安全性是所有数据库管理系统的一个重要特征。理解安全性问题是理解数据库管理系统安全性机制的前提。

最近和同事在做数据库权限清理的事情,主要是删除一些账号;取消一些账号的较大的权限等,例如,有一些有db_owner权限,我们取消账号的数据库角色db_owner,授予最低要求的相关权限。但是这种工作完全是一个体力活,而且是吃力不讨好,而且推进很慢。另外,为了管理方便和细化,我们又在常用的数据库角色外,新增了6个通用的数据库角色。

如下截图所示。

 

另外,为了减少授权工作量和一些重复的体力活,我们创建了一个作业,每天定期执行一个存储过程db_common_role_grant_rigths,这个存储过程的逻辑如下:

    1:遍历所有用户数据库(排除了系统数据库以及一些特殊数据库),发现该数据库不存在这些通用数据库角色,那么就创建相关数据库角色。

    2:遍历所有用户数据库,为相关数据库角色授权,例如,如果发现某个新增的存储过程,没有授权给db_procedure_execute数据库角色。那么就执行授权操作。

当然目前还在测试、应用阶段,以后会根据具体相关需求,不断完善相关功能。

 

--==================================================================================================================
--  ScriptName   :   db_common_role_grant_rigths.sql
--  Author    :   
--  CreateDate   :   2018-09-13
--  Description   :   创建数据库角色db_procedure_execute等,并授予相关权限给角色。
--  Note     :  
/******************************************************************************************************************
   Parameters    :         参数说明
********************************************************************************************************************
     @RoleName   :   角色名
********************************************************************************************************************
  Modified Date Modified User  Version     Modified Reason
********************************************************************************************************************
  2018-09-12     V01.00.00  新建该脚本。
  2018-09-12     V01.00.01  注意@@ROWCOUNT的生效范围;解决循环逻辑问题。
  2018-09-26     V01.00.02  修正类型为FT(CLR_TABLE_VALUED_FUNCTION)的函数问题。程序集 (CLR) 表值函数
*******************************************************************************************************************/
--===================================================================================================================
USE YourSQLDba;
GO
  
  
IF EXISTS ( SELECT 1 FROM sys.procedures WHERE type= 'P' AND name = 'db_common_role_grant_rigths' )
BEGIN
  DROP PROCEDURE Maint.db_common_role_grant_rigths;
END
GO
  
CREATE PROCEDURE Maint.db_common_role_grant_rigths
AS
BEGIN
  
DECLARE @database_id INT ;
DECLARE @database_name sysname;
DECLARE @cmdText  NVARCHAR( MAX );
DECLARE @prc_text  NVARCHAR( MAX );
DECLARE @RowIndex  INT ;
  
IF OBJECT_ID( 'TempDB.dbo.#databases' ) IS NOT NULL
  DROP TABLE dbo.#databases;
  
CREATE TABLE #databases
(
  database_id  INT ,
  database_name sysname
)
  
IF OBJECT_ID( 'TempDB.dbo.#sql_text' ) IS NOT NULL
  DROP TABLE dbo.#sql_text;
  
  
CREATE TABLE #sql_text
(
  sql_id  INT IDENTITY(1,1),
  sql_cmd  NVARCHAR( MAX )
)
  
INSERT INTO #databases
SELECT database_id ,
   name
FROM sys.databases
WHERE name NOT IN ( 'master' , 'tempdb' , 'model' , 'msdb' ,
       'distribution' , 'ReportServer' ,
       'ReportServerTempDB' , 'YourSQLDba' )
   AND state = 0; --state_desc=ONLINE
  
  
--开始循环每一个用户数据库(排除了上面相关数据库)
WHILE 1= 1
BEGIN
  
  
  SELECT TOP 1 @database_name= database_name
  FROM #databases
  ORDER BY database_id;
  
  
  IF @@ROWCOUNT =0
   BREAK;
  
  --PRINT(@database_name);
  
  -- SP_EXECUTESQL 中切换数据库不能当参数传入。
  
  --创建数据库角色db_procedure_execute
  SET @cmdText = 'USE ' + @database_name + ';' + CHAR (10)
  
  SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_procedure_execute' ')
       BEGIN
        CREATE ROLE [db_procedure_execute] AUTHORIZATION [dbo];
       END ' + CHAR (10);
  
  
  
  --创建数据库角色db_function_execute
  SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_function_execute' ')
       BEGIN
        CREATE ROLE [db_function_execute] AUTHORIZATION [dbo];
       END' + CHAR (10);
  
  
  --创建数据库角色db_view_table_definition
  SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_view_table_definition' ')
       BEGIN
        CREATE ROLE [db_view_table_definition] AUTHORIZATION [dbo];
       END ' + CHAR (10);
  
  --创建数据库角色db_view_view_definition
  SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_view_view_definition' ')
        BEGIN
        CREATE ROLE [db_view_view_definition] AUTHORIZATION [dbo];
        END ' + CHAR (10);
  
  --创建数据库角色db_view_procedure_definition
  SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_view_procedure_definition' ')
       BEGIN
        CREATE ROLE [db_view_procedure_definition] AUTHORIZATION [dbo];
       END ' + CHAR (10);
  
   --创建数据库角色db_view_function_definition
  SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_view_function_definition' ')
       BEGIN
        CREATE ROLE [db_view_function_definition] AUTHORIZATION [dbo];
       END ' + CHAR (10);
  
  --PRINT @cmdText;
  -- EXECUTE SP_EXECUTESQL @cmdText;
  EXECUTE (@cmdText);
  
  
  
  --给角色db_procedure_execute授权
  
  SET @cmdText = 'USE ' + QUOTENAME(@database_name) + ';'
  
  SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)
      SELECT ' 'GRANT EXECUTE ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '
       + QUOTENAME(name) + ' ' TO db_procedure_execute;' '
       FROM sys.procedures s
       WHERE  NOT EXISTS ( SELECT 1
             FROM sys.database_permissions p
             WHERE p.major_id = s.object_id
              AND p.grantee_principal_id = USER_ID(' 'db_procedure_execute' '))' ;
   EXECUTE SP_EXECUTESQL @cmdText;
  
  
  
  
   --给角色db_function_execute(标量函数授权)
  
   SET @cmdText = 'USE ' + QUOTENAME(@database_name) + ';'
  
   SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)
       SELECT ' 'GRANT EXEC ON ' ' + SCHEMA_NAME(schema_id) + ' '.' ' + QUOTENAME(name) + ' ' TO db_function_execute; ' '
       FROM sys.all_objects s
       WHERE SCHEMA_NAME(schema_id) NOT IN (' 'sys' ', ' 'INFORMATION_SCHEMA' ')
       AND NOT EXISTS ( SELECT 1
             FROM sys.database_permissions p
             WHERE p.major_id = s.object_id
             AND p.grantee_principal_id =USER_ID(' 'db_function_execute' ') )
             AND ( s.[type] = ' 'FN' '
               OR s.[type] = ' 'AF' '
               OR s.[type] = ' 'FS' '
               --OR s.[type] = ' 'FT' '
              ) ;'
   EXECUTE SP_EXECUTESQL @cmdText;
  
  
  
   --给角色db_function_execute(表值函数授权)
   SET @cmdText = 'USE ' + @database_name + ';'
  
   SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)
       SELECT ' 'GRANT SELECT ON ' ' + SCHEMA_NAME(schema_id) + ' '.' ' + QUOTENAME(name) + ' ' TO db_function_execute;' '
       FROM sys.all_objects s
       WHERE SCHEMA_NAME(schema_id) NOT IN (' 'sys' ', ' 'INFORMATION_SCHEMA' ')
        AND NOT EXISTS ( SELECT 1
             FROM sys.database_permissions p
             WHERE p.major_id = s.object_id
              AND p.grantee_principal_id = USER_ID(' 'db_function_execute' '))
          AND ( s.[type] = ' 'TF' '
           OR s.[type] = ' 'IF' '
        ) ; '
  
   EXECUTE SP_EXECUTESQL @cmdText;
  
  
   --查看存储过程定义授权
   SET @cmdText = 'USE ' + @database_name + ';'
  
   SET @cmdText += ' INSERT INTO #sql_text(sql_cmd)
       SELECT ' 'GRANT VIEW DEFINITION ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '
       + QUOTENAME(name) + ' ' TO db_view_procedure_definition;' '
       FROM sys.procedures s
       WHERE  NOT EXISTS ( SELECT 1
             FROM sys.database_permissions p
             WHERE p.major_id = s.object_id
              AND p.grantee_principal_id = USER_ID(' 'db_view_procedure_definition' '))'
  
   EXECUTE (@cmdText);
  
   --查看函数定义的授权
   SET @cmdText = 'USE ' + @database_name + ';'
  
   SELECT @cmdText += 'INSERT INTO #sql_text(sql_cmd)
        SELECT ' 'GRANT VIEW DEFINITION ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '
        + QUOTENAME(name) + ' ' TO db_view_function_definition;' '
        FROM sys.objects s
        WHERE type_desc IN (' 'SQL_SCALAR_FUNCTION' ', ' 'SQL_TABLE_VALUED_FUNCTION' ',
          ' 'AGGREGATE_FUNCTION' ' )
          AND NOT EXISTS ( SELECT 1
             FROM sys.database_permissions p
             WHERE p.major_id = s.object_id
              AND p.grantee_principal_id = USER_ID(' 'db_view_function_definition' '))' ;
  
   EXECUTE SP_EXECUTESQL @cmdText;
  
  
   --查看表定义的授权
   SET @cmdText = 'USE ' + @database_name + ';'
  
   SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)
       SELECT ' 'GRANT VIEW DEFINITION ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '
       + QUOTENAME(name) + ' ' TO db_view_table_definition ;' '
       FROM sys.tables s
       WHERE NOT EXISTS ( SELECT 1
             FROM sys.database_permissions p
             WHERE p.major_id = s.object_id
              AND p.grantee_principal_id = USER_ID(' 'db_view_table_definition' '))' ;
  
   EXECUTE SP_EXECUTESQL @cmdText;
  
  
   --查看视图定义的授权
   SET @cmdText = 'USE ' + @database_name + ';'
  
   SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)
       SELECT ' 'GRANT VIEW DEFINITION ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '
         + QUOTENAME(name) + ' ' TO db_view_view_definition; ' '
       FROM sys.views s
       WHERE NOT EXISTS ( SELECT 1
             FROM sys.database_permissions p
             WHERE p.major_id = s.object_id
              AND p.grantee_principal_id = USER_ID(' 'db_view_view_definition' '))' ;
  
   EXECUTE SP_EXECUTESQL @cmdText;
  
  
  
   WHILE 1= 1
   BEGIN
    
    
    SELECT TOP 1 @RowIndex=sql_id, @cmdText = 'USE ' + @database_name + '; ' + sql_cmd FROM #sql_text ORDER BY sql_id;
  
    IF @@ROWCOUNT =0
     BREAK;
  
   
    PRINT(@cmdText);
    EXECUTE (@cmdText);
  
    DELETE FROM #sql_text WHERE sql_id =@RowIndex
  
  
   END
   
    
   DELETE FROM #databases WHERE database_name=@database_name;
END
   
   DROP TABLE #databases;
   DROP TABLE #sql_text;
  
END
 

 

转载于:https://www.cnblogs.com/scwbky/p/10026938.html

weixin_30563319
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server删除distribution数据库及相关问题解决方案
zhangyuchao618的博客
12-25 1804
         在数据库服务器删除复制(发布订阅)后,如何删除掉数据库distribution呢?如果你通过SSMS工具去删除数据库distribution,你会发现没有删除选项。那么怎么删除呢?   删除distribution步骤 步骤1: 查看订阅服务器的信息,如果还存在对应的订阅服务器,从注册的服务器删除订阅服务器名称                 exec sp_helps...
SQL Server 高级技术(三)—— 角色权限管理
wuxinwudai的专栏
09-02 227
SQL Server 服务器角色由高级到低级排列如下: 角色 说明 授予角色权限 public 提供数据库用户的默认权限 sysadmin 最高权限 CONTROL SERVER setupadmin 管理链接服务器和启动控制 ALTER ANY LINKED SERVER serveradmin 可以更改服务...
实现自己的权限管理系统(十一):角色用户模块、角色权限模块、权限过滤
LinDongTian
09-12 4630
前面弄了那么多,都是单独的模块。现在我们需要把用户和权限通过角色关联起来。 一、角色权限模块 1、角色权限列表更新操作 public void changeRoleAcls(int roleId, List<Integer> aclIdList) { //取出当前角色已分配的权限ID List<Integer> originAclI...
用户和角色:通用权限管理系统数据库表结构设计
qq_34387962的博客
05-20 3236
转:用户和角色:通用权限管理系统数据库表结构设计 一、前言 权限管理系统的应用者应该有三种不同性质上的使用 使用权限 分配权限 授权权限 本文只从《使用权限》和《分配权限》这两种应用层面分析,暂时不考虑《授权权限》这种。 二、初步分析用户和角色 说到权限管理,首先应该想到,当然要设计一个用户表,一个权限表。这样就决定了一个人有什么样的权限。 做着做着就会发现这样设计过繁琐,如果公司里面所有员工都有这样的权限呢,每一个人都要配置?那是一件很痛苦的事情。因此再添加一个角色表,把某些人归为一类,然
SQLServer服务器角色数据库角色权限详解
热门推荐
e_online的专栏
09-26 3万+
SQLServer服务器角色数据库角色权限详解by e-online 26. 九月 2009 18:55角色当几个用户需要在某个特定的数据库执行类似的动作时(这里没有相应的Windows用户组),就可以向该数据库添加一个角色(role)。数据库角色指定了可以访问相同数据库对象的一组数据库用户。数据库角色的成员可以分为如下几类:Windows用户组或用户账户SQL Serve
sqlserver数据库详解
qq_54054566的博客
07-15 1万+
先建立主表的主键,然后再定义从表的外键。两个表一旦建立外键关系,外键表里的对应的外键列,它的值必须是它对应的主键表里的主键值,不如果你想插入一个不存在的值,你是插入不进去的。前面带n,存储文汉字还是英文或数字,长度都是1,存储大小2个字节,不带n,英文或数字,就是1个长度,文就是两个长度。3.文件组是数据库文件的一种逻辑管理单位,它将数据库文件分成不同的文件组,方便对文件的分配和管理。一个表里可以有多个外键,也可以没有,一个表只能有一个主键,也可以没主键,但一般都会设置一个主键。...........
SQLServer 操作详解
qq_38199336的博客
02-20 878
/* 缩写: DDL(Database Definition Language): 数据库定义语言 DML(Database Manipulation Language): 数据库操作语言 DCL(Database Control Language): 数据库控制语言 DTM(Database Trasaction Management): 数据库事物管理 知识概要: |---1.查询Select | ...
sql-server数据库课程.docx
07-15
- **角色管理**:通过角色来简化权限管理,例如创建固定服务器角色数据库角色。 - **许可管理**:为用户或角色授予特定的权限,如读取、写入等。 #### 五、管理数据库 - **数据库对象**:了解数据库的各种对象...
C#Winform 改查增删 SqlServer类型(附数据库).zip
06-17
《C# Winform在SqlServer数据库操作的应用详解》 C# Winform是Microsoft .NET框架下用于构建桌面应用程序的强大工具,而Sql Server作为企业级的关系型数据库管理系统,两者结合可以构建功能丰富的数据管理应用。...
SQL Server通用数据库角色权限处理
weixin_33929309的博客
09-28 90
SQL Server通用数据库角色权限处理   最近和同事在做数据库权限清理的事情,主要是删除一些账号;取消一些账号的较大的权限等,例如,有一些有db_owner权限,我们取消账号的数据库角色db_owner,授予最低要求的相关权限。但是这种工作完全是一个体力活,而且是吃力不讨好,而且推进很慢。另外,为了管理方便和细化,我们又在常用的数据库角色外,新增了6个通用数据库角色。如下截图所示。   ...
Apollo使用(3):分布式docker部署
游王子的博客
07-24 502
Apollo 1.7.0版本开始会默认上传Docker镜像到,可以按照如下步骤获取。
数据库查询与操作指南-以Nebula图数据库为例
最新发布
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 251
数据库查询与操作指南-以Nebula图数据库为例
ODBC连接达梦数据库
qq_55187735的博客
07-24 251
用户执行,因为环境变量配置在。
SQLServer 2008 定时全/差/日志备份存储过程详解
"本文档介绍了如何在SQL Server 2008环境下设置数据库的定时自动备份功能。首先,你需要通过SQL Server Management Studio(SSMS)连接到数据库服务器,例如DEMO数据库。然后,作者Ryan Ding提供了一个名为`sp_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值