转 在SQL Server中创建用户角色及授权(使用SQL语句)

 目录

1. 要想成功访问 SQL Server 数据库中的数据 我们需要两个方面的授权
   1. 完整的代码示例
2. 使用存储过程来完成用户创建
   1. 实例

要想成功访问 SQL Server 数据库中的数据， 我们需要两个方面的授权：

1. 获得准许连接 SQL Server 服务器的权利；
2. 获得访问特定数据库中数据的权利（select, update, delete, create table ...）。

假设，我们准备建立一个 dba 数据库帐户，用来管理数据库 mydb。

1. 首先在 SQL Server 服务器级别，创建登陆帐户（create login）

--创建登陆帐户（create login）

create login dba with password='abcd1234@', default_database=mydb

登陆帐户名为：“dba”，登陆密码：abcd1234@”，默认连接到的数据库：“mydb”。 这时候，dba 帐户就可以连接到 SQL Server 服务器上了。但是此时还不能 访问数据库中的对象（严格的说，此时 dba 帐户默认是 guest 数据库用户身份， 可以访问 guest 能够访问的数据库对象）。

要使 dba 帐户能够在 mydb 数据库中访问自己需要的对象， 需要在数据库 mydb 中建立一个“数据库用户”，赋予这个“数据库用户” 某些访问权限，并且把登陆帐户“dba” 和这个“数据库用户” 映射起来。 习惯上，“数据库用户” 的名字和 “登陆帐户”的名字相同，即：“dba”。 创建“数据库用户”和建立映射关系只需要一步即可完成：

2. 创建数据库用户（create user）：

--为登陆账户创建数据库用户（create user）,在mydb数据库中的security中的user下可以找到新创建的dba

create user dba for login dba with default_schema=dbo

并指定数据库用户“dba” 的默认 schema 是“dbo”。这意味着 用户“dba” 在执行“select * from t”，实际上执行的是 “select * from dbo.t”。

3. 通过加入数据库角色，赋予数据库用户“dba”权限：

--通过加入数据库角色，赋予数据库用户“db_owner”权限

exec sp_addrolemember 'db_owner', 'dba'

此时，dba 就可以全权管理数据库 mydb 中的对象了。

如果想让 SQL Server 登陆帐户“dba”访问多个数据库，比如 mydb2。 可以让 sa 执行下面的语句：

--让 SQL Server 登陆帐户“dba”访问多个数据库

use mydb2
go create user dba for login dba with default_schema=dbo
go exec sp_addrolemember 'db_owner', 'dba' go

此时，dba 就可以有两个数据库 mydb, mydb2 的管理权限了！

完整的代码示例

 1 --创建数据库mydb和mydb2
 2 --在mydb和mydb2中创建测试表，默认是dbo这个schema
 3 CREATE TABLE DEPT
 4        (DEPTNO int primary key,
 5         DNAME VARCHAR(14),
 6         LOC VARCHAR(13) );
 7 
 8 --插入数据
 9 INSERT INTO DEPT VALUES (101, 'ACCOUNTING', 'NEW YORK');
10 INSERT INTO DEPT VALUES (201, 'RESEARCH',   'DALLAS');
11 INSERT INTO DEPT VALUES (301, 'SALES',      'CHICAGO');
12 INSERT INTO DEPT VALUES (401, 'OPERATIONS', 'BOSTON');
13 
14 --查看数据库schema, user 的存储过程
15 select * from sys.database_principals
16 select * from sys.schemas 
17 select * from sys.server_principals
18 
19 --创建登陆帐户（create login）
20 create login dba with password='abcd1234@', default_database=mydb
21 
22 --为登陆账户创建数据库用户（create user）,在mydb数据库中的security中的user下可以找到新创建的dba
23 create user dba for login dba with default_schema=dbo
24 
25 --通过加入数据库角色，赋予数据库用户“db_owner”权限
26 exec sp_addrolemember 'db_owner', 'dba'
27 
28 --让 SQL Server 登陆帐户“dba”访问多个数据库
29 use mydb2
30 go create user dba for login dba with default_schema=dbo
31 go exec sp_addrolemember 'db_owner', 'dba'go
32 
33 --禁用登陆帐户
34 alter login dba disable
35 --启用登陆帐户
36 alter login dba enable
37 --登陆帐户改名
38 alter login dba with name=dba_tom
39 --登陆帐户改密码： 
40 alter login dba with password='aabb@ccdd'
41 --数据库用户改名： 
42 alter user dba with name=dba_tom
43 --更改数据库用户 defult_schema： 
44 alter user dba with default_schema=sales
45 --删除数据库用户： 
46 drop user dba
47 --删除 SQL Server登陆帐户： 
48 drop login dba

 

使用存储过程来完成用户创建

下面一个实例来说明在sqlserver中如何使用存储过程创建角色，重建登录，以及如何为登录授权等问题。

[sql]

1.  1 /*--示例说明  
    2         示例在数据库InsideTSQL2008中创建一个拥有表HR.Employees的所有权限、拥有表Sales.Orders的SELECT权限的角色r_test  
    3     随后创建了一个登录l_test，然后在数据库InsideTSQL2008中为登录l_test创建了用户账户u_test  
    4     同时将用户账户u_test添加到角色r_test中，使其通过权限继承获取了与角色r_test一样的权限  
    5     最后使用DENY语句拒绝了用户账户u_test对表HR.Employees的SELECT权限。  
    6     经过这样的处理，使用l_test登录SQL Server实例后，它只具有表Sales.Orders的select权限和对表HR.Employees出select外的所有权限。  
    7 --*/  
    8   
    9   
   10 USE InsideTSQL2008  
   11   
   12 --创建角色 r_test  
   13 EXEC sp_addrole 'r_test'  
   14   
   15 --添加登录 l_test,设置密码为pwd,默认数据库为pubs  
   16 EXEC sp_addlogin 'l_test','a@cd123','InsideTSQL2008'  
   17   
   18 --为登录 l_test 在数据库 pubs 中添加安全账户 u_test  
   19 EXEC sp_grantdbaccess 'l_test','u_test'  
   20   
   21 --添加 u_test 为角色 r_test 的成员  
   22 EXEC sp_addrolemember 'r_test','u_test'  
   23   
   24   
   25 --用l_test登陆,发现在SSMS中找不到仍和表，因此执行下述两条语句出错。  
   26 select * from Sales.Orders  
   27 select * from HR.Employees  
   28   
   29 --授予角色 r_test 对 HR.Employees 表的所有权限  
   30 GRANT ALL ON HR.Employees TO r_test  
   31 --The ALL permission is deprecated and maintained only for compatibility.   
   32 --It DOES NOT imply ALL permissions defined on the entity.  
   33 --ALL 权限已不再推荐使用，并且只保留用于兼容性目的。它并不表示对实体定义了 ALL 权限。  
   34   
   35 --测试可以查询表HR.Employees，但是Sales.Orders无法查询  
   36 select * from HR.Employees  
   37   
   38   
   39 --如果要收回权限，可以使用如下语句。（可选择执行）  
   40 revoke all on HR.Employees from r_test  
   41 --ALL 权限已不再推荐使用，并且只保留用于兼容性目的。它并不表示对实体定义了 ALL 权限。  
   42   
   43   
   44 --授予角色 r_test 对 Sales.Orders 表的 SELECT 权限  
   45 GRANT SELECT ON Sales.Orders TO r_test  
   46   
   47 --用l_test登陆,发现可以查询Sales.Orders和HR.Employees两张表  
   48 select * from Sales.Orders  
   49 select * from HR.Employees  
   50   
   51 --拒绝安全账户 u_test 对 HR.Employees 表的 SELECT 权限  
   52 DENY SELECT ON HR.Employees TO u_test  
   53   
   54 --再次执行查询HR.Employees表的语句，提示：拒绝了对对象 'Employees' (数据库 'InsideTSQL2008'，架构 'HR')的 SELECT 权限。  
   55 select * from HR.Employees  
   56   
   57 --重新授权  
   58 GRANT SELECT ON HR.Employees TO u_test  
   59   
   60 --再次查询，可以查询出结果。  
   61 select * from HR.Employees  
   62   
   63   
   64 USE InsideTSQL2008  
   65 --从数据库中删除安全账户,failed  
   66 EXEC sp_revokedbaccess 'u_test'  
   67 --删除角色 r_test,failed  
   68 EXEC sp_droprole 'r_test'  
   69 --删除登录 l_test,success  
   70 EXEC sp_droplogin 'l_test'  

    

 

revoke 与 deny的区别

revoke：收回之前被授予的权限

deny：拒绝给当前数据库内的安全帐户授予权限并防止安全帐户通过其组或角色成员资格继承权限。比如UserA所在的角色组有inset权限，但是我们Deny UserA使其没有insert权限，那么以后即使UserA再怎么到其他含有Insert的角色组中去，还是没有insert权限，除非该用户被显示授权。

简单来说，deny就是将来都不许给，revoke就是收回已经给予的。

实例

[sql]

 1 GRANT INSERT ON TableA TO RoleA  
 2 GO  
 3 EXEC sp_addrolemember RoleA, 'UserA' -- 用户UserA将有TableA的INSERT权限  
 4 GO  
 5   
 6 REVOKE INSERT ON TableA FROM RoleA -- 用户UserA将没有TableA的INSERT权限，收回权限  
 7 GO  
 8   
 9 GRANT INSERT ON TableA TORoleA --重新给RoleA以TableA的INSERT权限  
10 GO   
11   
12 DENY INSERT ON TableA TO UserA -- 虽然用户UserA所在RoleA有TableA的INSERT权限，但UserA本身被DENY了，所以用户UserA将没有TableA的INSERT权限。  

转载于:https://www.cnblogs.com/clever-time-is-money/p/5489437.html