【正文】 如表 。其中：登錄賬號(hào) (LoginName)是登錄服務(wù)器的賬號(hào)與密碼，數(shù)據(jù)庫(kù)用戶 (dbAccess)是進(jìn)入數(shù)據(jù)庫(kù)訪問的賬戶，權(quán)限是是否能進(jìn)行訪問數(shù)據(jù)庫(kù)資源的相應(yīng)操作，角色是指服務(wù)器管理、數(shù)據(jù)庫(kù)管理和訪問的機(jī)制，包含兩方面的內(nèi)涵，一是角色的成員，二是角色的權(quán)限，即指定角色中成員允許行使的權(quán)限。 第 11章 數(shù)據(jù)庫(kù)的安全性 本章小結(jié) ? 理解 SQL Server 2022 的六級(jí)安全訪問機(jī)制，計(jì)算機(jī)的連接、服務(wù)器登錄與固定服務(wù)器角色、數(shù)據(jù)庫(kù)訪問與固定數(shù)據(jù)庫(kù)角色、數(shù)據(jù)表或視圖的訪問權(quán)限、存儲(chǔ)過程與內(nèi)嵌表值函數(shù)的訪問權(quán)限、數(shù)據(jù)表或視圖列的訪問權(quán)限。 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 5數(shù)據(jù)庫(kù)角色 6管理權(quán)限 權(quán)限 管理權(quán)限 (1) 管理權(quán)限 (2) 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 實(shí)訓(xùn) ? 目的 ? 內(nèi)容與過程 ? 小結(jié) 學(xué)員理解 SQL Server的安全機(jī)制，掌握用企業(yè)管理器進(jìn)行安全管理的基本操作，掌握用 T_SQL語(yǔ)句實(shí)現(xiàn)建立登錄賬戶、設(shè)置數(shù)據(jù)訪問權(quán)限等功能的方法與語(yǔ)句。 注意： 若 [安全賬戶 ]指定的是 windows登錄賬戶，雖然撤銷了指定語(yǔ)句執(zhí)行權(quán)，但并沒有從當(dāng)前數(shù)據(jù)庫(kù)中刪除與 windows登錄賬戶同名的數(shù)據(jù)庫(kù)用戶。 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 5數(shù)據(jù)庫(kù)角色 6管理權(quán)限 權(quán)限 管理權(quán)限 (1) 管理權(quán)限 (2) 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 使用 TSQL語(yǔ)句管理權(quán)限 語(yǔ)句權(quán)限 語(yǔ)法格式： DENY 語(yǔ)句 [,...] TO 安全賬戶 [,... ] 對(duì)象權(quán)限 語(yǔ)法格式： DENY 權(quán)限 [,...] ON 表或視圖 [(列 [,... ])] | ON 存儲(chǔ)過程 | ON 用戶自定義函數(shù) TO 安全賬戶 [,... ] 功能： 使當(dāng)前數(shù)據(jù)庫(kù)中的數(shù)據(jù)庫(kù)用戶、數(shù)據(jù)庫(kù)角色或windows登錄賬戶在當(dāng)前數(shù)據(jù)庫(kù)中的不能執(zhí)行 [語(yǔ)句 /權(quán)限 ]指定的 TSQL 語(yǔ)句。 (續(xù) ) 若 [安全賬戶 ]指定的是 windows登錄賬戶 ，則先以 windows登錄賬戶名相同的名字在當(dāng)前數(shù)據(jù)庫(kù)中創(chuàng)建數(shù)據(jù)庫(kù)用戶，并與 windows登錄賬戶同名關(guān)聯(lián)，然后授予指定語(yǔ)句執(zhí)行權(quán)。 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 5數(shù)據(jù)庫(kù)角色 6管理權(quán)限 權(quán)限 管理權(quán)限 (1) 管理權(quán)限 (2) 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 使用 TSQL語(yǔ)句管理權(quán)限 語(yǔ)句權(quán)限 語(yǔ)法格式： GRANT 語(yǔ)句 [,...] TO 安全用戶 [ ,... ] 對(duì)象權(quán)限 語(yǔ)法格式： GRANT 權(quán)限 [,...] ON 表或視圖 [( 列 [,...])] | ON 存儲(chǔ)過程 | ON 用戶自定義函數(shù) TO 安全賬戶 [,...] 數(shù)據(jù)控制語(yǔ)句： GRANT、 DENY或 REVOKE語(yǔ)句授予、拒絕或撤銷安全賬戶的語(yǔ)句執(zhí)行權(quán)限。 (4)在 【 權(quán)限 】 選項(xiàng)卡信息表格，左側(cè)列出 【 用戶 /數(shù)據(jù)庫(kù)角色 /public】 ，上方列出權(quán)限，單擊其中 行列的交叉點(diǎn) 的方框可以設(shè)置對(duì)象的授權(quán)狀況。 (3)在詳細(xì)信息窗格中，右擊要管理權(quán)限的對(duì)象單擊 【 所有任務(wù) 】 、 【 管理權(quán)限 】 菜單， 如圖 。 (6) 設(shè)置完畢后，單擊 【 確定 】 ，使設(shè)置生效。 (4)【 權(quán)限 】 單擊 對(duì)象與權(quán)限的交叉點(diǎn) 的方框可以設(shè)置用戶或角色的授權(quán)狀況。 (2)根據(jù)用戶類型，單擊 【 用戶 】 或 【 角色 】 ，在右側(cè)詳細(xì)信息窗格顯示 【 用戶 】 或 【 角色 】 列表。 【例 】使用企業(yè)管理器管理語(yǔ)句權(quán)限 。 (3)權(quán)限選項(xiàng)卡中信息表格左側(cè)列出了數(shù)據(jù)庫(kù)中所有用戶和角色，在上方列出所有語(yǔ)句權(quán)限，單擊用戶 /角色與權(quán)限的 交叉點(diǎn)的方框 可以設(shè)置用戶或角色的授權(quán)狀況。 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 5數(shù)據(jù)庫(kù)角色 6管理權(quán)限 權(quán)限 管理權(quán)限 (1) 管理權(quán)限 (2) 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 使用企業(yè)管理器管理權(quán)限 (1)展開 【 服務(wù)器組 】 ，右擊要設(shè)置的數(shù)據(jù)庫(kù)，選擇 【 屬性 】 菜單項(xiàng)，彈出數(shù)據(jù)庫(kù) 【 屬性 】 對(duì)話框。 對(duì)象 操作 表或視圖 select、 insert、 update 和 delete 存儲(chǔ)過程 Execute 內(nèi)嵌表值函數(shù) Select 表或視圖的列 select和 update 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 5數(shù)據(jù)庫(kù)角色 6管理權(quán)限 權(quán)限 管理權(quán)限 (1) 管理權(quán)限 (2) 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 權(quán)限 暗示性權(quán)限 是指將用戶 (成員 )加入角色，系統(tǒng)自動(dòng)將角色的權(quán)限傳遞給成員的權(quán)限，特別是預(yù)定義角色，如固定服務(wù)器角色成員所具有的權(quán)限。 權(quán)限 :語(yǔ)句權(quán)限、對(duì)象權(quán)限和暗示性權(quán)限。總之，管理權(quán)限就是將 用戶、資源和操作權(quán)限 的有機(jī)配置。即 權(quán)限 就是 用戶 是否可以執(zhí)行訪問數(shù)據(jù)庫(kù) 資源 的相應(yīng) 操作語(yǔ)句或存儲(chǔ)過程。 數(shù)據(jù)庫(kù)角色 指當(dāng)前數(shù)據(jù)庫(kù)中的數(shù)據(jù)庫(kù)角色的名稱，包括固定數(shù)據(jù)庫(kù)角色 (public角色除外 )和自定義角色； 安全賬戶 指當(dāng)前數(shù)據(jù)庫(kù)用戶、當(dāng)前數(shù)據(jù)庫(kù)角色或 windows登錄賬戶。 功能：從數(shù)據(jù)庫(kù)角色中刪除成員。, 39。 語(yǔ)法： sp_droprolemember 39。安全賬戶 39。數(shù)據(jù)庫(kù)角色 39。 TSql創(chuàng)建或刪除自定義數(shù)據(jù)庫(kù)角色 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 5數(shù)據(jù)庫(kù)角色 固定數(shù)據(jù)庫(kù)角色 自定義數(shù)據(jù)庫(kù)角色 管理數(shù)據(jù)庫(kù)角色 6管理權(quán)限 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 管理數(shù)據(jù)庫(kù)角色成員 (1)展開 【 服務(wù)器組 】 、服務(wù)器、 【 數(shù)據(jù)庫(kù) 】 、數(shù)據(jù)庫(kù)； (2)單擊 【 角色 】 ，在右側(cè)詳細(xì)信息窗格中選定角色右擊，單擊 【 屬性 】 ，彈出 【 數(shù)據(jù)庫(kù)角色屬性 】 對(duì)話框 (3)單擊 【 添加 … 】 添加角色成員，選中成員單擊 【 刪除 】刪除角色成員。角色名 39。新角色的所有者必須是當(dāng)前數(shù)據(jù)庫(kù)中的某個(gè)用戶或角色，默認(rèn)值為 dbo。角色的所有者 39。角色名 39。 【 例 】 創(chuàng)建 [SQL考試數(shù)據(jù)庫(kù) ]庫(kù)角色 [考生 ]。 自定義數(shù)據(jù)庫(kù)角色 是由用戶定義，存在于數(shù)據(jù)庫(kù)之中，作用在各自數(shù)據(jù)庫(kù)之內(nèi)，允許用戶增減權(quán)限、添加或刪除成員的角色。 （ 4）單擊 【 添加 】 ，可以為角色添加用戶，也可不添加用戶創(chuàng)建一個(gè)暫無成員的角色。如圖 。 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 5數(shù)據(jù)庫(kù)角色 固定數(shù)據(jù)庫(kù)角色 自定義數(shù)據(jù)庫(kù)角色 管理數(shù)據(jù)庫(kù)角色 6管理權(quán)限 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 自定義數(shù)據(jù)庫(kù)角色 （ 1）展開 【 服務(wù)器組 】 、服務(wù)器、 【 數(shù)據(jù)庫(kù) 】 、數(shù)據(jù)庫(kù)。 db_denydatareader 不能讀庫(kù)內(nèi)任何表中任何數(shù)據(jù)用戶。 ? 查詢分析器中，執(zhí)行 sp_helpdbfixedrole 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 5數(shù)據(jù)庫(kù)角色 固定數(shù)據(jù)庫(kù)角色 自定義數(shù)據(jù)庫(kù)角色 管理數(shù)據(jù)庫(kù)角色 6管理權(quán)限 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 固定數(shù)據(jù)庫(kù)角色 角色 描述 Public 所有人 db_owner 所有者，在數(shù)據(jù)庫(kù)中擁有全部權(quán)限 db_accessadmin 用戶管理者，可以添加或刪除用戶 ID db_securityadmin 安全管理者，管理權(quán)限、所有權(quán)、角色和成員資格 db_ddladmin 可以發(fā)出 ALL DDL(除 GRANT、 REVOKE、 DENY) db_backupoperator 備份操作者。 可以通過授予、拒絕或撤銷方法增減權(quán)限，提供數(shù)據(jù)庫(kù)中所有用戶的默認(rèn)權(quán)限。每個(gè)數(shù)據(jù)庫(kù)都有 10個(gè)固定數(shù)據(jù)庫(kù)角色，如下表所示。本書只介紹前 2種角色。數(shù)據(jù)庫(kù)角色的成員是數(shù)據(jù)庫(kù)用戶 (dbAccess)。可以在除 master 和 tempdb 外（在這兩個(gè)數(shù)據(jù)庫(kù)中它必須始終存在）的所有數(shù)據(jù)庫(kù)中添加或刪除 guest 用戶。 guest 用戶可以同其他用戶賬戶一樣被授于權(quán)限。戶與該數(shù)據(jù)庫(kù)創(chuàng)建者的登錄賬戶 關(guān)聯(lián) ，自動(dòng)關(guān)聯(lián) 固定服務(wù)器角色 sysadmin中的所有成員，同時(shí) sysadmin的任何成員創(chuàng)建的任何對(duì)象都自動(dòng)屬于 dbo。數(shù)據(jù)庫(kù)用戶名 39。 查看數(shù)據(jù)庫(kù)用戶： 1安全機(jī)制 2服務(wù)器登錄 3服務(wù)器角色 4數(shù)據(jù)庫(kù)用戶 添加用戶 修改查看用戶 刪除用戶 特殊用戶 5數(shù)據(jù)庫(kù)角色 6管理權(quán)限 7本章實(shí)訓(xùn) 8本章小結(jié) 第 11章 數(shù)據(jù)庫(kù)的安全性 刪除數(shù)據(jù)庫(kù)用戶 (1)展開 【 服務(wù)器組 】 、服務(wù)器、 【 數(shù)據(jù)庫(kù) 】 、數(shù)據(jù)庫(kù)； (2)單擊 【 用戶 】 ，在詳細(xì)信息窗格中右擊想要?jiǎng)h除的數(shù)據(jù)庫(kù)用戶，選擇 【 刪除 】 ，在確認(rèn)對(duì)話框中單擊 【 是 】 。這些內(nèi)容分別在介紹數(shù)據(jù)庫(kù)角色和管理權(quán)限的部分介紹。 【 例 】 在當(dāng)前數(shù)據(jù)庫(kù) [SQL考試數(shù)據(jù)庫(kù) ]中，創(chuàng)建 [SQL考試教師 ]名字的數(shù)據(jù)庫(kù)用戶，并與 [SQL考試數(shù)據(jù)庫(kù) ]登錄賬戶關(guān)聯(lián)。數(shù)據(jù)庫(kù)用戶名 39。登錄賬戶名 39。 (6) 單擊 【 確定 】 按鈕。 (4) 從登錄名下拉列表框中選擇一個(gè)登錄賬號(hào)。 (3)右擊 【 用戶 】 ，單擊 【 新建數(shù)據(jù)庫(kù)用戶 … .】 菜單，彈出 【 數(shù)據(jù)庫(kù)用戶屬性 ——新建用戶 】 對(duì)話框。 (1)展開 【 服務(wù)器組 】 ，展開要查看的服務(wù)器名。有關(guān)信息保存在各自數(shù)據(jù)庫(kù) sysusers表中。否則，該登錄賬戶就無法進(jìn)入該數(shù)據(jù)庫(kù)訪問。固定服務(wù)器角色名 39。登錄用戶名 39。 (5)選擇要?jiǎng)h除的登錄賬戶、單擊 【 刪除 】 、 【 確定 】 。 (3)右擊要?jiǎng)h除成員的服務(wù)器角色行，單擊 【 屬性 】