【正文】 數(shù)據(jù)庫(kù)用戶，數(shù)據(jù)庫(kù)用戶在特定的數(shù)據(jù)庫(kù)內(nèi)創(chuàng)建，必須和某個(gè)登錄名相關(guān)聯(lián)。數(shù)據(jù)庫(kù)用戶的定義信息存放在與其相關(guān)的數(shù)據(jù)庫(kù)的sysusers表（用戶名是數(shù)據(jù)庫(kù)級(jí)的）中的，這個(gè)表包含了該數(shù)據(jù)庫(kù)的所有用戶對(duì)象以及和它們相對(duì)應(yīng)的登錄名的標(biāo)識(shí)。用戶名沒有密碼和它相關(guān)聯(lián)，大多數(shù)情況下，用戶名和登錄名使用相同的名稱，數(shù)據(jù)庫(kù)用戶名主要用于數(shù)據(jù)庫(kù)權(quán)限的控制。就如同企業(yè)門口先刷卡進(jìn)入（登錄服務(wù)器），然后再拿鑰匙打開自己的辦公室（進(jìn)入數(shù)據(jù)庫(kù)）一樣。數(shù)據(jù)庫(kù)用戶創(chuàng)建后，通過授予用戶權(quán)限來(lái)指定用戶訪問特定對(duì)象的權(quán)限。用戶用一個(gè)登錄名登錄SQL Server，以數(shù)據(jù)庫(kù)用戶的身份訪問服務(wù)器上的數(shù)據(jù)庫(kù)。當(dāng)一個(gè)登錄賬戶試圖訪問某個(gè)數(shù)據(jù)庫(kù)時(shí)，SQL Server將在庫(kù)中的sysusers表中查找對(duì)應(yīng)的用戶名，如果登錄名不能映射到數(shù)據(jù)庫(kù)的某個(gè)用戶，系統(tǒng)嘗試將該登錄名映射成guest用戶，如果當(dāng)前數(shù)據(jù)庫(kù)不許可guest用戶，這個(gè)用戶訪問數(shù)據(jù)庫(kù)將失敗。在SQL Server中，登錄賬戶和數(shù)據(jù)庫(kù)用戶是SQL Server進(jìn)行權(quán)限管理的兩種不同的對(duì)象。一個(gè)登錄賬戶可以與服務(wù)器上的所有數(shù)據(jù)庫(kù)進(jìn)行關(guān)聯(lián)，而數(shù)據(jù)庫(kù)用戶是一個(gè)登錄賬戶在某數(shù)據(jù)庫(kù)中的映射，也即一個(gè)登錄賬戶可以映射到不同的數(shù)據(jù)庫(kù)，產(chǎn)生多個(gè)數(shù)據(jù)庫(kù)用戶（但一個(gè)登錄賬戶在一個(gè)數(shù)據(jù)庫(kù)至多只能映射一個(gè)數(shù)據(jù)庫(kù)用戶），一個(gè)數(shù)據(jù)庫(kù)用戶只能映射到一個(gè)登錄賬戶。允許數(shù)據(jù)庫(kù)為每個(gè)用戶分配不同的權(quán)限，這一特性為在組內(nèi)分配權(quán)限提供了最大的自由度與可控性。使用Management Studio管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶包括對(duì)數(shù)據(jù)庫(kù)的創(chuàng)建、查看、修改、刪除等管理操作。首先如何創(chuàng)建數(shù)據(jù)庫(kù)用戶呢？一般有兩種方法。一種是在創(chuàng)建登錄帳戶的同時(shí)指定該登錄帳戶允許訪問的數(shù)據(jù)庫(kù)，同時(shí)生成該登錄帳戶在數(shù)據(jù)庫(kù)中的用戶。如前面使用Management Studio創(chuàng)建登錄帳戶時(shí)就能完成數(shù)據(jù)庫(kù)用戶的創(chuàng)建；另一種方法是先創(chuàng)建登錄帳戶，再將登錄帳戶映射到某數(shù)據(jù)庫(kù)，在其中創(chuàng)建同名用戶名（具體步驟參看實(shí)驗(yàn)指導(dǎo)）。五、角色管理SQL Server 2005數(shù)據(jù)庫(kù)管理系統(tǒng)利用角色設(shè)置，管理用戶的權(quán)限。通過角色，可以將用戶集中到一個(gè)單元中，然后對(duì)這個(gè)單元應(yīng)用權(quán)限。對(duì)角色授予、拒絕或吊銷權(quán)限時(shí)，將對(duì)其中的所有成員生效。角色的功能非常強(qiáng)大，其原因如下。（1）除固定的服務(wù)器角色外，其他角色都是在數(shù)據(jù)庫(kù)內(nèi)實(shí)現(xiàn)的。這意味著數(shù)據(jù)庫(kù)管理員無(wú)需依賴Windows管理員來(lái)組織用戶。（2）角色可以嵌套。嵌套的深度沒有限制，但不允循環(huán)嵌套。（3）數(shù)據(jù)庫(kù)用戶可以同時(shí)是多個(gè)角色的成員。這樣只對(duì)角色進(jìn)行權(quán)限設(shè)置便可以實(shí)現(xiàn)對(duì)所有用戶權(quán)限的設(shè)置，大大減少了管理員的工作量。在SQL Server 2005中，可以認(rèn)為有5中角色類型。public角色Public角色在每個(gè)數(shù)據(jù)庫(kù)（包括所有的系統(tǒng)數(shù)據(jù)庫(kù)）中都存在，它也是數(shù)據(jù)庫(kù)角色成員。Public角色提供數(shù)據(jù)庫(kù)中用戶的默認(rèn)權(quán)限，不能刪除。每個(gè)數(shù)據(jù)庫(kù)用戶都自動(dòng)是次角色的成員，因此，無(wú)法在此角色中添加或刪除用戶。當(dāng)尚未對(duì)某個(gè)用戶授予或拒絕對(duì)安全對(duì)象的特定權(quán)限時(shí)，則該用戶將繼承授予該安全對(duì)象在public角色中對(duì)應(yīng)的權(quán)限。SQL Server 2005包括幾個(gè)預(yù)定義的角色，這些角色具有預(yù)定義的、不能授予其他用戶賬戶的內(nèi)在的權(quán)限。其中有兩種最主要的預(yù)定義角色是：固定服務(wù)器角色和固定數(shù)據(jù)庫(kù)角色。固定服務(wù)器角色固定服務(wù)器角色的作用域在服務(wù)器范圍內(nèi)。它們存在于數(shù)據(jù)庫(kù)之外，固定服務(wù)器角色的每個(gè)成員都能夠向該角色中添加其他登錄。打開Management Studio，用鼠標(biāo)單擊“對(duì)象資源管理器”窗口中某數(shù)據(jù)庫(kù)引擎的“安全性”目錄下的“服務(wù)器角色”，顯示當(dāng)前數(shù)據(jù)庫(kù)服務(wù)器的所有服務(wù)器角色，共有8個(gè)，具體名稱及角色描述如下。（1）bulkadmin角色成員：可以運(yùn)行bulk insert語(yǔ)句。（2）dbcreator角色成員：可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫(kù)。（3）diskadmin角色成員：用于管理磁盤文件。（4）processadmin角色成員：可以終止SQL Server實(shí)例中運(yùn)行的進(jìn)程。（5）securityadmin角色成員：將管理登錄名及其屬性。它們可以grant、deny和revoke服務(wù)器級(jí)權(quán)限。也可以grant、deny和revoke數(shù)據(jù)庫(kù)級(jí)權(quán)限。另外，它們可以重置SQL Server登錄名的密碼。（6）serveradmin角色成員：可以更改服務(wù)器范圍配置選項(xiàng)和關(guān)閉服務(wù)器。（7）setupadmin角色成員：可以添加和刪除鏈接服務(wù)器，并且也可以執(zhí)行某些系統(tǒng)存儲(chǔ)過程。（8）sysadmin角色成員：可以在服務(wù)器中執(zhí)行任何活動(dòng)。默認(rèn)情況下，windows administrators組（即本地管理員組）的所有成員都是sysadmin固定服務(wù)器角色的成員。固定服務(wù)器角色成員的添加與刪除（有兩種方法，具體步驟參看實(shí)驗(yàn)指導(dǎo)）數(shù)據(jù)庫(kù)角色固定數(shù)據(jù)庫(kù)角色在數(shù)據(jù)庫(kù)級(jí)別定義以及每個(gè)數(shù)據(jù)庫(kù)中都存在。Db_owner和db_security管理員角色的成員可以管理固定數(shù)據(jù)庫(kù)角色的成員身份。但是，只有Db_owner角色可以將其他用戶添加到Db_owner固定數(shù)據(jù)庫(kù)角色中。打開Management Studio，用鼠標(biāo)單擊“對(duì)象資源管理器”窗口中某數(shù)據(jù)庫(kù)下的“安全性”目錄下的“角色”的“數(shù)據(jù)庫(kù)角色”，顯示的所有數(shù)據(jù)庫(kù)角色，共有10個(gè)，具體名稱及角色描述如下。（1）db_accessadmin：可以為Windows登錄賬戶、Windows組和SQL Server登錄賬戶添加或刪除訪問權(quán)限。（2）db_backupoperator：可以備份該數(shù)據(jù)庫(kù)。（3）db_datareader：可以讀取所有用戶表中的所有數(shù)據(jù)。（4）db_datawriter：可以在所有用戶表中添加、刪除或更改數(shù)據(jù)。（5）db_ddladmin：可以在數(shù)據(jù)庫(kù)中運(yùn)行任何數(shù)據(jù)定義語(yǔ)言（DDL）命令。（6）db_denydatareader：不能讀取數(shù)據(jù)庫(kù)內(nèi)用戶表中的任何數(shù)據(jù)。（7）db_denywriter：不能添加、修改或刪除數(shù)據(jù)庫(kù)內(nèi)用戶表中的任何數(shù)據(jù)。（8）db_owner：可以執(zhí)行數(shù)據(jù)庫(kù)的所有配置和維護(hù)活動(dòng)。（9）db_securityadmin：可以修改角色成員身份和管理權(quán)限。固定數(shù)據(jù)庫(kù)角色到權(quán)限有映射關(guān)系，請(qǐng)參閱聯(lián)機(jī)幫助查詢。固定數(shù)據(jù)庫(kù)角色與固定服務(wù)器角色不能被刪除，用戶自定義的角色可以刪除。用戶定義的角色當(dāng)一組用戶執(zhí)行SQL Server中一組指定的活動(dòng)時(shí)，通過用戶定義的角色可以輕松地管理數(shù)據(jù)庫(kù)中的權(quán)限。在沒有合適的Windows組，或數(shù)據(jù)庫(kù)管理員無(wú)權(quán)管理Windows用戶賬戶的情況下，用戶定義的角色為數(shù)據(jù)庫(kù)管理員提供了與Windows組同等的靈活性。用戶定義的角色只適用于數(shù)據(jù)庫(kù)級(jí)別，并且只對(duì)創(chuàng)建時(shí)所在的數(shù)據(jù)庫(kù)起作用。（1）數(shù)據(jù)庫(kù)角色創(chuàng)建、修改與刪除（具體步驟參看實(shí)驗(yàn)指導(dǎo)）（2）數(shù)據(jù)庫(kù)角色成員的添加與刪除（具體步驟參看實(shí)驗(yàn)指導(dǎo)）應(yīng)用程序角色（略，不作要求）六、權(quán)限管理（數(shù)據(jù)庫(kù)應(yīng)用技術(shù)SQL Server2005提高篇，參看復(fù)印資料） 設(shè)置安全驗(yàn)證模式——Windows身份驗(yàn)證模式——默認(rèn)的系統(tǒng)管理員登錄賬戶：administrators。 Windows身份 混合身份驗(yàn)證模式 SQL Server身份——默認(rèn)的系統(tǒng)管理員登錄賬戶：sa創(chuàng)建SQL Server登錄賬戶——映射Windows登錄賬戶為SQL Server登錄賬戶 將驗(yàn)證模式設(shè)為SQL Server驗(yàn)證模式，在management studio中創(chuàng)建SQL Server登錄賬戶數(shù)據(jù)庫(kù)A—1— 用戶名a1 用戶名b登錄名a 1 數(shù)據(jù)庫(kù)B—1— 用戶名a 1