【正文】 me|PASSWORD=39。password39。 | DEFAULT_SCHEMA = schema_name 重要事項(xiàng)：密碼過(guò)期策略不應(yīng)用于應(yīng)用程序角色密碼。為此，選擇強(qiáng)密碼時(shí)要格外謹(jǐn)慎。調(diào)用應(yīng)用程序角色的應(yīng)用程序必須存儲(chǔ)其密碼。 例 1033 本示例將同時(shí)更改應(yīng)用程序角色 receipts_ledger的名稱、密碼和默認(rèn)架構(gòu)。 ALTER APPLICATION ROLE receipts_ledger WITH NAME = weekly_ledger, PASSWORD = 39。897yUUbv77bsrEE00nk2i39。, DEFAULT_SCHEMA = Production 應(yīng)用程序角色 90 SQL Server 2022 返回本節(jié)首頁(yè) 3） DROP APPLICATION ROLE 從當(dāng)前數(shù)據(jù)庫(kù)刪除應(yīng)用程序角色。 DROP APPLICATION ROLE rolename 例 1034 本示例從數(shù)據(jù)庫(kù)中刪除應(yīng)用程序角色“ weekly_ledger” DROP APPLICATION ROLE weekly_ledger 應(yīng)用程序角色 91 SQL Server 2022 返回本節(jié)首頁(yè) 4） sp_setapprole與 sp_unsetapprole sp_setapprole 激活與當(dāng)前數(shù)據(jù)庫(kù)中的應(yīng)用程序角色關(guān)聯(lián)的權(quán)限。 語(yǔ)法： sp_setapprole [ @rolename =] 39。role39。,[ @password =] { encrypt N39。password39。 }|39。password39。 [,[@encrypt=]{ 39。none39。|39。odbc39。}] [,[@fCreateCookie = ]true|false ][,[@cookie=]@cookie OUTPUT] sp_unsetapprole 恢復(fù)應(yīng)用程序角色激活前的上下文 語(yǔ)法： sp_unsetapprole @cookie 應(yīng)用程序角色 92 SQL Server 2022 返回本節(jié)首頁(yè) 例 1035 本例使用密碼 fdsd896gfdbfdkjgh700mM 激活 Sales11應(yīng)用程序角色并創(chuàng)建一個(gè) cookie。該示例返回當(dāng)前用戶的名稱，然后通過(guò)執(zhí)行sp_unsetapprole恢復(fù)到原始上下文中。 DECLARE @cookie varbinary(8000)。 EXEC sp_setapprole 39。Sales1139。, 39。fdsd896gfdbfdkjgh700mM39。, @fCreateCookie=true, @cookie=@cookie OUTPUT。 應(yīng)用程序角色現(xiàn)在已被激活 SELECT USER_NAME()。 這將返回應(yīng)用程序角色 ,Sales11 EXEC sp_unsetapprole @cookie。 應(yīng)用程序角色不再激活，恢復(fù)到原始上下文 GO SELECT USER_NAME()。 將返回原始用戶名 應(yīng)用程序角色 93 SQL Server 2022 權(quán)限管理 返回本節(jié)首頁(yè) ? 權(quán)限類型 ? 管理權(quán)限 94 SQL Server 2022 權(quán)限管理 返回本節(jié)首頁(yè) 主體 ? 主體是可以請(qǐng)求 SQL Server 資源的個(gè)體、組和過(guò)程。 ? 與 SQL Server 授權(quán)模型的其它組件一樣，主體也可以按層次結(jié)構(gòu)排列。 ? 主體的影響范圍取決于主體定義的范圍（ Windows、服務(wù)器或數(shù)據(jù)庫(kù)）以及主體是否不可分或是一個(gè)集合。 例如， Windows 登錄名就是一個(gè)不可分主體，而 Windows 組則是一個(gè)集合主體。每個(gè)主體都有一個(gè)唯一的安全標(biāo)識(shí)符 (SID)。 主體分為： 1） Windows 級(jí)別的主體： Windows 域登錄名、 Windows 本地登錄名； 2） SQL Server 級(jí)別的主體： SQL Server 登錄名； 3）數(shù)據(jù)庫(kù)級(jí)別的主體：數(shù)據(jù)庫(kù)用戶、數(shù)據(jù)庫(kù)角色（包括 public角色）、應(yīng)用程序角色。 95 SQL Server 2022 權(quán)限管理 返回本節(jié)首頁(yè) 安全對(duì)象 ? 安全對(duì)象是 SQL Server Database Engine授權(quán)系統(tǒng)控制對(duì)其進(jìn)行訪問(wèn)的資源。通過(guò)創(chuàng)建可以為自己設(shè)置安全性的名為“范圍”的嵌套層次結(jié)構(gòu)，可以將某些安全對(duì)象包含在其它安全對(duì)象中。安全對(duì)象范圍有服務(wù)器、數(shù)據(jù)庫(kù)和架構(gòu)三個(gè)層次。 ? 安全對(duì)象范圍服務(wù)器：包含端點(diǎn)、登錄帳戶、數(shù)據(jù)庫(kù)等安全對(duì)象。 ? 安全對(duì)象范圍數(shù)據(jù)庫(kù)：包含用戶、角色、應(yīng)用程序角色、程序集、消息類型、路由、服務(wù)、遠(yuǎn)程服務(wù)綁定、全文目錄、證書、非對(duì)稱密鑰、對(duì)稱密鑰、約定、架構(gòu)等安全對(duì)象。 ? 安全對(duì)象范圍架構(gòu)：包含類型、 XML架構(gòu)集合、對(duì)象等安全對(duì)象。 ? 對(duì)象，下面是對(duì)象類的成員：聚合、約束、函數(shù)、過(guò)程、隊(duì)列、統(tǒng)計(jì)信息、同義詞、表、視圖。 96 SQL Server 2022 返回本節(jié)首頁(yè) 每個(gè) SQL Server 2022 安全對(duì)象都有可以授予主體的關(guān)聯(lián)權(quán)限。 命名權(quán)限的說(shuō)明 ? CONTROL：為被授權(quán)者授予類似所有權(quán)的功能。 ? 被授權(quán)者實(shí)際上對(duì)安全對(duì)象具有所定義的所有權(quán)限。也可以為已被授予 CONTROL 權(quán)限的主體授予對(duì)安全對(duì)象的權(quán)限。 ? 因?yàn)? SQL Server 安全模型是分層的，所以 CONTROL 權(quán)限在特定范圍內(nèi)隱含著對(duì)該范圍內(nèi)的所有安全對(duì)象的 CONTROL 權(quán)限。 ? 例如，對(duì)數(shù)據(jù)庫(kù)的 CONTROL 權(quán)限隱含著對(duì)數(shù)據(jù)庫(kù)的所有權(quán)限、對(duì)數(shù)據(jù)庫(kù)中所有組件的所有權(quán)限、對(duì)數(shù)據(jù)庫(kù)中所有架構(gòu)的所有權(quán)限以及對(duì)數(shù)據(jù)庫(kù)的所有架構(gòu)中的所有對(duì)象的權(quán)限。 ? ALTER：授予更改特定安全對(duì)象的屬性（所有權(quán)除外）的權(quán)限。 ? 當(dāng)授予對(duì)某個(gè)范圍的 ALTER 權(quán)限時(shí)，也授予更改、創(chuàng)建或刪除該范圍內(nèi)包含的任何安全對(duì)象的權(quán)限。 ? 例如，對(duì)架構(gòu)的 ALTER 權(quán)限包括在該架構(gòu)中創(chuàng)建、更改和刪除對(duì)象的權(quán)限。 權(quán)限類型 97 SQL Server 2022 返回本節(jié)首頁(yè) ? ALTER ANY 服務(wù)器安全對(duì)象 ，服務(wù)器安全對(duì)象可以是任何服務(wù)器安全對(duì)象。授予創(chuàng)建、更改或刪除服務(wù)器安全對(duì)象的各個(gè)實(shí)例的權(quán)限。例如，ALTER ANY LOGIN 將授予創(chuàng)建、更改或刪除實(shí)例中的任何登錄名的權(quán)限。 ? ALTER ANY 數(shù)據(jù)庫(kù)安全對(duì)象 ，其中的數(shù)據(jù)庫(kù)安全對(duì)象可以是數(shù)據(jù)庫(kù)級(jí)別的任何安全對(duì)象。授予創(chuàng)建、更改或刪除數(shù)據(jù)庫(kù)安全對(duì)象的各個(gè)實(shí)例的權(quán)限。例， ALTER ANY SCHEMA 將授予創(chuàng)建、更改或刪除任何架構(gòu)的權(quán)限。 ? TAKE OWNERSHIP：允許被授權(quán)者獲取所授予的安全對(duì)象的所有權(quán)。 ? IMPERSONATE 登錄名 ：允許被授權(quán)者模擬該登錄名。 ? IMPERSONATE 用戶 ：允許被授權(quán)者模擬該用戶。 ? CREATE 服務(wù)器安全對(duì)象 ：授予被授權(quán)者創(chuàng)建服務(wù)器安全對(duì)象的權(quán)限。 ? CREATE 數(shù)據(jù)庫(kù)安全對(duì)象 ：授予被授權(quán)者創(chuàng)建數(shù)據(jù)庫(kù)安全對(duì)象的權(quán)限。 ? CREATE 包含在架構(gòu)中的安全對(duì)象 ：授予創(chuàng)建包含在架構(gòu)中的安全對(duì)象的權(quán)限，須對(duì)該架構(gòu)具有 ALTER 權(quán)限。 ? VIEW DEFINITION：允許被授權(quán)者訪問(wèn)元數(shù)據(jù)。 權(quán)限類型 98 SQL Server 2022 返回本節(jié)首頁(yè) 下表列出了主要的權(quán)限類別以及可應(yīng)用這些權(quán)限的安全對(duì)象的種類。 表 102 權(quán)限類別以及可應(yīng)用這些權(quán)限的安全對(duì)象的種類 權(quán)限 適用于 SELECT 同義詞、表和列、表值函數(shù) [TSQL和公共語(yǔ)言運(yùn)行時(shí) (CLR)]和列、視圖和列 UPDATE 同義詞、表和列 、視圖和列 REFERENCES 標(biāo)量函數(shù)和聚合函數(shù)（ TSQL和 CLR）、 SQL Server 2022 Service Broker 隊(duì)列、表和列、表值函數(shù)（ TSQL和 CLR）和列、視圖和列 INSERT 同義詞、表和列 、視圖和列 DELETE 同義詞、表和列 、視圖和列 EXECUTE 過(guò)程（ TSQL和 CLR）、標(biāo)量函數(shù)和聚合函數(shù)（ TSQL和 CLR）、同義詞 RECEIVE Service Broker 隊(duì)列 VIEW DEFINITION 過(guò)程（ TSQL和 CLR）、 Service Broker 隊(duì)列、標(biāo)量函數(shù)和聚合函數(shù)（ TSQL和 CLR）、同義詞、表、表值函數(shù)（ TSQL和 CLR）、視圖 ALTER 過(guò)程（ TSQL和 CLR）、標(biāo)量函數(shù)和聚合函數(shù)（ TSQL和 CLR）、 Service Broker 隊(duì)列、表、表值函數(shù)（ TSQL和 CLR）、視圖 TAKE OWNERSHIP 過(guò)程（ TSQL和 CLR）、標(biāo)量函數(shù)和聚合函數(shù)（ TSQL和 CLR）、同義詞、表、表值函數(shù)（ TSQL和CLR）、視圖 CONTROL 過(guò)程（ TSQL和 CLR）、標(biāo)量函數(shù)和聚合函數(shù)（ TSQL和 CLR）、 Service Broker 隊(duì)列、同義詞、表、表值函數(shù)（ TSQL和 CLR）、視圖 權(quán)限類型 99 SQL Server 2022 返回本節(jié)首頁(yè) SQL Server提供了權(quán)限的完整列表（篇幅限制略）。下列示例說(shuō)明如何通過(guò)編程方式檢索權(quán)限信息。 例 1036 本例返回可授予權(quán)限的完整列表 SELECT * FROM (default) 2）返回對(duì)某類對(duì)象的權(quán)限 例 1037 本例將返回對(duì)組件的權(quán)限。 SELECT * FROM (39。assembly‘) 權(quán)限類型 100 SQL Server 2022 返回本節(jié)首頁(yè) 權(quán)限層次結(jié)構(gòu) ? SQL Server 2022 Database Engine管理著可以通過(guò)權(quán)限進(jìn)行保護(hù)的實(shí)體（或稱資源）的分層集合。這些實(shí)體稱為“安全對(duì)象”。 ? 在安全對(duì)象中，最突出的是服務(wù)器和數(shù)據(jù)庫(kù)，但可以在更細(xì)的級(jí)別上設(shè)置離散權(quán)限。 ? SQL Server通過(guò)驗(yàn)證主體是否已獲得適當(dāng)?shù)臋?quán)限來(lái)控制主體對(duì)安全對(duì)象執(zhí)行的操作。 ? 可以使用常見(jiàn)的 TSQL查詢 GRANT、 DENY和 REVOKE來(lái)操作權(quán)限。 ? 有關(guān)權(quán)限的信息，可以從 目錄視圖中看到。 ? 也可以使用內(nèi)置函數(shù)來(lái)查詢權(quán)限信息。 權(quán)限類型 101 SQL Server 2022 返回本節(jié)首頁(yè) ? SQL Server 2022中的權(quán)限管理操作，可以通過(guò)在 Management Studio中對(duì)用戶的權(quán)限進(jìn)行交互式設(shè)置（包括授權(quán)、撤銷、禁止或拒絕等）， ? 可以使用 TSQL提供的 GRANT、 REVOKE和 DENY等語(yǔ)句來(lái)完成設(shè)置功能。 在 Management Studio中管理權(quán)限 選擇主體：某個(gè)數(shù)據(jù)庫(kù)用戶或角色，進(jìn)入屬性 選擇客體體：某個(gè)數(shù)據(jù)庫(kù)或某個(gè)表，進(jìn)入屬性 管理權(quán)限 102 SQL Server 2022 返回本節(jié)首頁(yè) 圖 104 數(shù)據(jù)庫(kù)用戶屬性對(duì)話框 管理權(quán)限 103 SQL Server 2022 返回本節(jié)首頁(yè) 在 Management Studio中管理憑據(jù) ?憑據(jù)是包含連接到 SQL Server 以外的資源時(shí)所需的身份驗(yàn)證信息的記錄。 ?大多數(shù)憑據(jù)由一個(gè) Windows 登錄名和密碼組成。通過(guò)憑據(jù)，使用 SQL Server身份驗(yàn)證連接到 SQL Server 實(shí)例的用戶可以連接到 Windows或 SQL Server 實(shí)例以外的其它資源。 ?這些憑據(jù)還可以與標(biāo)記為 EXTERNAL_ACCESS的程序集關(guān)聯(lián)。 ?在創(chuàng)建憑據(jù)之后，可以使用“登錄屬性” (“ 常規(guī)”頁(yè) )將該憑據(jù)映射到登錄名。 ?單個(gè)憑據(jù)可映射到多個(gè) SQL Server登錄名。但是，一個(gè) SQL Server登錄名只能映射到一個(gè)憑據(jù)。 管理權(quán)限 104 SQL Server 2022 返回本節(jié)首頁(yè) （ 1）創(chuàng)建憑據(jù) 1）在對(duì)象資源管理器中，展開(kāi)“安全性”，右鍵單擊“憑據(jù)”，然后單擊“新建憑據(jù)”。 2）在“新建憑據(jù)”對(duì)話框中的“憑據(jù)名稱”框中，鍵入憑據(jù)的名稱。 3）在“標(biāo)識(shí)”框中，鍵入用于對(duì)外連接的帳戶名稱（在離開(kāi) SQL Server 的上下文時(shí)）。通常為 Windows 用戶帳戶。但標(biāo)識(shí)可以是其它類型的帳戶。 4）在“密碼”和“確認(rèn)密碼”框中，鍵入“標(biāo)識(shí)”框中指定的帳戶的密碼。如果“標(biāo)識(shí)”為 Windows 用戶帳戶，則密碼為 Windows 密碼。如果不需要密碼，“密碼”可為空。 5）單擊“確定”。 管理權(quán)限 105 SQL Server 2022 返回本節(jié)首頁(yè) （ 2）將登錄名映射到憑據(jù) 1）在對(duì)象資源管理器中，展開(kāi)“安全性”，右鍵單擊 SQL Server 登錄名，然后單擊“屬性”； 2）在“登錄屬性”對(duì)話框的“常規(guī)”頁(yè)的“憑據(jù)”框中，鍵入憑據(jù)的名稱，然后單擊“確定”。 管理權(quán)限 106 SQL Server 2022 返回本節(jié)首頁(yè) 用 TSQL命令管理權(quán)限 管理權(quán)限同樣能通過(guò) TSQL命令