【正文】 權(quán)限、語句權(quán)限和隱含權(quán)限。 使用企業(yè)管理器也可以刪除用戶定義的數(shù)據(jù)庫角色。 空：撤消權(quán)限 。 ：禁止權(quán)限 。單擊數(shù)據(jù)庫角色權(quán)限設(shè)置對話框中數(shù)據(jù)對象訪問權(quán)限的選擇方格有三種狀況： √ ：授予權(quán)限 。使用企業(yè)管理器進行操作的步驟為：打開操作數(shù)據(jù)庫，選中用戶定義的數(shù)據(jù)庫角色，右擊此角色在彈出的菜單中選擇【屬性】命令，然后單擊【權(quán)限】按鈕，則會出現(xiàn)當(dāng)前數(shù)據(jù)庫的全部數(shù)據(jù)對象以及該角色的權(quán)限標記（若對角色設(shè)置過權(quán)限，也可以僅列出該角色具有權(quán)限的數(shù)據(jù)對象）。而應(yīng)用程序角色是一種特殊角色，需要指定口令，是一種安全機制。 用戶定義的數(shù)據(jù)庫角色類型有兩種：標準角色 (Standard Role)和應(yīng)用程序角色 (Application Role)。 使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫角色的步驟為：在企業(yè)管理器中打開要操作的數(shù)據(jù)庫文件夾，右擊【角色】文件夾，并在彈出的菜單中選擇【新建數(shù)據(jù)庫角色】命令，則出現(xiàn)新建數(shù)據(jù)庫角色對話框如圖 99所示，按提示回答角色名稱等相應(yīng)信息后，單擊【確定】按鈕即可。2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 圖 98 數(shù)據(jù)庫角色屬性對話框 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 167。 注意：(1)SQL Server 2023提供的 10種固定數(shù)據(jù)庫角色不能被刪除和修改。也可以將固定數(shù)據(jù) 庫 角色的成 員刪 除。 SQL Server 2023提供了 10種固定數(shù)據(jù)庫角色，如表 93所示。167。 固定數(shù)據(jù)庫角色是指 SQL Server 2023為每個數(shù)據(jù)庫提供的固定角色。數(shù)據(jù)庫角色對應(yīng)于單個數(shù)據(jù)庫。 注意： (1)固定服務(wù)器角色不能被刪除、修改和增加； (2)固定服務(wù)器角色的任何成員都可以將其他的登錄賬號增加到該服務(wù)器角色中。 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 圖 97固定服務(wù)器角色 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 可以使用企業(yè)管理器將登錄賬號添加到某一指定的固定服務(wù)器角色作為其成員。 固定服務(wù)器角色的信息存儲在 master數(shù)據(jù)庫的 sysxlogins系統(tǒng)表中。它是指在登錄時授予該登錄賬號對當(dāng)前服務(wù)器范圍內(nèi)的權(quán)限。v 服務(wù)器角色 一臺計算機可以承擔(dān)多個 SQL Server服務(wù)器的管理任務(wù)。當(dāng)對該角色進行權(quán)限設(shè)置時，其成員自動繼承該角色的權(quán)限。 進行上述操作需要對當(dāng)前數(shù)據(jù)庫擁有用戶管理及其以上的權(quán)限。通過此界面也可以設(shè)定該數(shù)據(jù)庫用戶的權(quán)限和角色的成員。 單獨創(chuàng)建數(shù)據(jù)庫用戶 這種方法適于在創(chuàng)建登錄賬號時沒有創(chuàng)建數(shù)據(jù)庫用戶的情況，操作步驟如下：右擊【用戶】文件夾，在彈出的菜單中選擇【新建數(shù)據(jù)庫用戶】命令后，會出現(xiàn)圖 96所示新建用戶對話框界面，在【登錄名】下拉框中選擇 預(yù)創(chuàng)建用戶對應(yīng)的登錄名，然后在【用戶名】的文本框中鍵入用戶名即可。 在創(chuàng)建登錄用戶時，指定他作為數(shù)據(jù)庫用戶的身份 例如 ，在圖 93新建登錄對話框中，輸入登錄名稱 (如 user1)，單擊【數(shù)據(jù)庫訪問】選項卡，在【指定此登錄可以訪問的數(shù)據(jù)庫 [S]】區(qū)域的【許可】欄目下指定訪問數(shù)據(jù)庫（如 MyDb），如圖 9－ 5所示，登錄用戶 user1同時也成為數(shù)據(jù)庫 MyDb的用戶。圖 9－ 4 查看用戶信息窗口 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 v 創(chuàng)建新的數(shù)據(jù)庫用戶 創(chuàng)建新的數(shù)據(jù)庫用戶有兩種方法。當(dāng)進入企業(yè)管理器，打開指定的 SQL服務(wù)器組和 SQL服務(wù)器，并打開【數(shù)據(jù)庫】文件夾，選定并打開要操作的數(shù)據(jù)庫后，單擊【用戶】文件夾就會出現(xiàn)如圖 94所示的用戶信息窗口。2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 v 查看用戶賬號 使用企業(yè)管理器可以創(chuàng)建、查看和管理數(shù)據(jù)庫用戶。創(chuàng)建數(shù)據(jù)庫對象的用戶稱為數(shù)據(jù)庫對象的所有者 (dbo)，他具有該對象的所有權(quán)限。 在該表中每一行數(shù)據(jù)表示一個 SQL Server用戶或 SQL Server角色信息。登錄用戶只有成為數(shù)據(jù)庫用戶 (或數(shù)據(jù)庫角色 )后才能訪問數(shù)據(jù)庫。用戶賬號可以與登錄賬號相同也可以不想同。2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 圖 92 安全性文件夾的屏幕界面 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 圖 93 新建登錄對話框 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 數(shù)據(jù)庫用戶管理v 用戶賬號 用戶賬號是某個數(shù)據(jù)庫的訪問標識。v 編輯或刪除登錄賬號 單擊【登錄】文件夾，在出現(xiàn)的顯示登錄賬號的窗口中，用鼠標右擊需要操作的登錄號：選擇【屬性】便可對該用戶已設(shè)定內(nèi)容進行重新編輯；選擇【刪除】便可刪除該登錄用戶。通過該窗口可以看出安全性文件夾包括 4個文件夾：登錄、服務(wù)器角色、連接服務(wù)器和遠程服務(wù)器。 “ 登錄賬號” 存放在 SQL服務(wù)器的安全性文件夾中。為了訪問 SQL Server系統(tǒng)，用戶必須提供正確的登錄賬號，這些登錄賬號既可以是 Windows登錄賬號，也可以是 SQL Server登錄賬號。2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 圖 91 編輯已注冊的 SQL Server屬性對話框 2/2/2023第 9章 數(shù)據(jù)庫的安全性及 SQL Server安全管理 SQL Server數(shù)據(jù)庫安全性管理 SQL Server的安全性管理包括以下幾個方面：數(shù)據(jù)庫系統(tǒng)登錄管理、數(shù)據(jù)庫用戶管理、數(shù)據(jù)庫系統(tǒng)角色管理以及數(shù)據(jù)庫訪問權(quán)限的管理。 2)在 彈 出的 “ 已注冊的 SQL Server屬性 ” 對話 框（ 見圖 91）的【 連 接】區(qū)域有身份 驗證 的兩個 單選 框。這個登錄賬號是獨立于操作系統(tǒng)的登錄賬號的，從而可以在一定程度上避免操作系統(tǒng)層上對數(shù)據(jù)庫的非法訪問。167。167。 安全性認證模式是指系統(tǒng)確認用戶身份的方式。保證合法用戶即使進入了數(shù)據(jù)庫也不能有超越權(quán)限的數(shù)據(jù)存取操作，即合法用戶必須在自己的權(quán)限范圍內(nèi)進行數(shù)據(jù)操作。v SQL Server數(shù)據(jù)庫的安全防線 SQL Server的特定數(shù)據(jù)庫都有自己的用戶和角色，該數(shù)據(jù)庫只能由它的用戶或角色訪問，其他用戶無權(quán)訪問其數(shù)據(jù)。v SQL Server的運行安全防線 SQL Server通過登錄賬號設(shè)置來創(chuàng)建附加安全層。 REVOKE UPDATE(姓名 )ON TABLE readers FROM userl； 【例 】 把用戶 user3查詢 readers表的權(quán)限收回。 回收 (REVOKE)語句 格式： REVOKE 權(quán)限 [ON 對象 ] FROM 用戶； 功能： 把已經(jīng)授予指定用戶的指定權(quán)限收回。 GRANT SELECT ON TABLE readers TO user3 WITH GRANT OPTION； 【例 】 用戶 user3把查詢 readers表的權(quán)限授予用戶 user4。 GRANT SELECT ON TABLE books TO PUBLIC； 【例 】 把在數(shù)據(jù)庫 MyDB中建立表的權(quán)限授予用戶 user2。 說明： 其中， WITH GRANT OPTION選項的作用是允許獲得指定權(quán)限的用戶把權(quán)限再授予其他用戶。 表 91 不同類型數(shù)據(jù)對象的操作權(quán)限數(shù)據(jù)對象 操作權(quán)限 表、視圖、列 (TABLE) SELECT, INSERT, UPDATE, DELETE, ALL PRIVILEGE 基本表（ TABLE） ALTER, INDEX數(shù)據(jù)庫（ DATABASE） CREATETAB表空間（ TABLESPACE） USE系統(tǒng) CREATEDBC2/2/202