【正文】 權(quán)限、語(yǔ)句權(quán)限和隱含權(quán)限。 使用企業(yè)管理器也可以刪除用戶(hù)定義的數(shù)據(jù)庫(kù)角色。 空：撤消權(quán)限 。 ：禁止權(quán)限 。單擊數(shù)據(jù)庫(kù)角色權(quán)限設(shè)置對(duì)話框中數(shù)據(jù)對(duì)象訪問(wèn)權(quán)限的選擇方格有三種狀況： √ ：授予權(quán)限 。使用企業(yè)管理器進(jìn)行操作的步驟為：打開(kāi)操作數(shù)據(jù)庫(kù)，選中用戶(hù)定義的數(shù)據(jù)庫(kù)角色，右擊此角色在彈出的菜單中選擇【屬性】命令，然后單擊【權(quán)限】按鈕，則會(huì)出現(xiàn)當(dāng)前數(shù)據(jù)庫(kù)的全部數(shù)據(jù)對(duì)象以及該角色的權(quán)限標(biāo)記（若對(duì)角色設(shè)置過(guò)權(quán)限，也可以?xún)H列出該角色具有權(quán)限的數(shù)據(jù)對(duì)象）。而應(yīng)用程序角色是一種特殊角色，需要指定口令，是一種安全機(jī)制。 用戶(hù)定義的數(shù)據(jù)庫(kù)角色類(lèi)型有兩種：標(biāo)準(zhǔn)角色 (Standard Role)和應(yīng)用程序角色 (Application Role)。 使用企業(yè)管理器創(chuàng)建數(shù)據(jù)庫(kù)角色的步驟為：在企業(yè)管理器中打開(kāi)要操作的數(shù)據(jù)庫(kù)文件夾，右擊【角色】文件夾，并在彈出的菜單中選擇【新建數(shù)據(jù)庫(kù)角色】命令，則出現(xiàn)新建數(shù)據(jù)庫(kù)角色對(duì)話框如圖 99所示，按提示回答角色名稱(chēng)等相應(yīng)信息后，單擊【確定】按鈕即可。2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 圖 98 數(shù)據(jù)庫(kù)角色屬性對(duì)話框 2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 167。 注意：(1)SQL Server 2023提供的 10種固定數(shù)據(jù)庫(kù)角色不能被刪除和修改。也可以將固定數(shù)據(jù) 庫(kù) 角色的成 員刪 除。 SQL Server 2023提供了 10種固定數(shù)據(jù)庫(kù)角色，如表 93所示。167。 固定數(shù)據(jù)庫(kù)角色是指 SQL Server 2023為每個(gè)數(shù)據(jù)庫(kù)提供的固定角色。數(shù)據(jù)庫(kù)角色對(duì)應(yīng)于單個(gè)數(shù)據(jù)庫(kù)。 注意： (1)固定服務(wù)器角色不能被刪除、修改和增加； (2)固定服務(wù)器角色的任何成員都可以將其他的登錄賬號(hào)增加到該服務(wù)器角色中。 2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 圖 97固定服務(wù)器角色 2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 可以使用企業(yè)管理器將登錄賬號(hào)添加到某一指定的固定服務(wù)器角色作為其成員。 固定服務(wù)器角色的信息存儲(chǔ)在 master數(shù)據(jù)庫(kù)的 sysxlogins系統(tǒng)表中。它是指在登錄時(shí)授予該登錄賬號(hào)對(duì)當(dāng)前服務(wù)器范圍內(nèi)的權(quán)限。v 服務(wù)器角色 一臺(tái)計(jì)算機(jī)可以承擔(dān)多個(gè) SQL Server服務(wù)器的管理任務(wù)。當(dāng)對(duì)該角色進(jìn)行權(quán)限設(shè)置時(shí)，其成員自動(dòng)繼承該角色的權(quán)限。 進(jìn)行上述操作需要對(duì)當(dāng)前數(shù)據(jù)庫(kù)擁有用戶(hù)管理及其以上的權(quán)限。通過(guò)此界面也可以設(shè)定該數(shù)據(jù)庫(kù)用戶(hù)的權(quán)限和角色的成員。 單獨(dú)創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù) 這種方法適于在創(chuàng)建登錄賬號(hào)時(shí)沒(méi)有創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)的情況，操作步驟如下：右擊【用戶(hù)】文件夾，在彈出的菜單中選擇【新建數(shù)據(jù)庫(kù)用戶(hù)】命令后，會(huì)出現(xiàn)圖 96所示新建用戶(hù)對(duì)話框界面，在【登錄名】下拉框中選擇 預(yù)創(chuàng)建用戶(hù)對(duì)應(yīng)的登錄名，然后在【用戶(hù)名】的文本框中鍵入用戶(hù)名即可。 在創(chuàng)建登錄用戶(hù)時(shí)，指定他作為數(shù)據(jù)庫(kù)用戶(hù)的身份 例如 ，在圖 93新建登錄對(duì)話框中，輸入登錄名稱(chēng) (如 user1)，單擊【數(shù)據(jù)庫(kù)訪問(wèn)】選項(xiàng)卡，在【指定此登錄可以訪問(wèn)的數(shù)據(jù)庫(kù) [S]】區(qū)域的【許可】欄目下指定訪問(wèn)數(shù)據(jù)庫(kù)（如 MyDb），如圖 9－ 5所示，登錄用戶(hù) user1同時(shí)也成為數(shù)據(jù)庫(kù) MyDb的用戶(hù)。圖 9－ 4 查看用戶(hù)信息窗口 2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 v 創(chuàng)建新的數(shù)據(jù)庫(kù)用戶(hù) 創(chuàng)建新的數(shù)據(jù)庫(kù)用戶(hù)有兩種方法。當(dāng)進(jìn)入企業(yè)管理器，打開(kāi)指定的 SQL服務(wù)器組和 SQL服務(wù)器，并打開(kāi)【數(shù)據(jù)庫(kù)】文件夾，選定并打開(kāi)要操作的數(shù)據(jù)庫(kù)后，單擊【用戶(hù)】文件夾就會(huì)出現(xiàn)如圖 94所示的用戶(hù)信息窗口。2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 v 查看用戶(hù)賬號(hào) 使用企業(yè)管理器可以創(chuàng)建、查看和管理數(shù)據(jù)庫(kù)用戶(hù)。創(chuàng)建數(shù)據(jù)庫(kù)對(duì)象的用戶(hù)稱(chēng)為數(shù)據(jù)庫(kù)對(duì)象的所有者 (dbo)，他具有該對(duì)象的所有權(quán)限。 在該表中每一行數(shù)據(jù)表示一個(gè) SQL Server用戶(hù)或 SQL Server角色信息。登錄用戶(hù)只有成為數(shù)據(jù)庫(kù)用戶(hù) (或數(shù)據(jù)庫(kù)角色 )后才能訪問(wèn)數(shù)據(jù)庫(kù)。用戶(hù)賬號(hào)可以與登錄賬號(hào)相同也可以不想同。2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 圖 92 安全性文件夾的屏幕界面 2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 圖 93 新建登錄對(duì)話框 2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 數(shù)據(jù)庫(kù)用戶(hù)管理v 用戶(hù)賬號(hào) 用戶(hù)賬號(hào)是某個(gè)數(shù)據(jù)庫(kù)的訪問(wèn)標(biāo)識(shí)。v 編輯或刪除登錄賬號(hào) 單擊【登錄】文件夾，在出現(xiàn)的顯示登錄賬號(hào)的窗口中，用鼠標(biāo)右擊需要操作的登錄號(hào)：選擇【屬性】便可對(duì)該用戶(hù)已設(shè)定內(nèi)容進(jìn)行重新編輯；選擇【刪除】便可刪除該登錄用戶(hù)。通過(guò)該窗口可以看出安全性文件夾包括 4個(gè)文件夾：登錄、服務(wù)器角色、連接服務(wù)器和遠(yuǎn)程服務(wù)器。 “ 登錄賬號(hào)” 存放在 SQL服務(wù)器的安全性文件夾中。為了訪問(wèn) SQL Server系統(tǒng)，用戶(hù)必須提供正確的登錄賬號(hào)，這些登錄賬號(hào)既可以是 Windows登錄賬號(hào)，也可以是 SQL Server登錄賬號(hào)。2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 圖 91 編輯已注冊(cè)的 SQL Server屬性對(duì)話框 2/2/2023第 9章 數(shù)據(jù)庫(kù)的安全性及 SQL Server安全管理 SQL Server數(shù)據(jù)庫(kù)安全性管理 SQL Server的安全性管理包括以下幾個(gè)方面：數(shù)據(jù)庫(kù)系統(tǒng)登錄管理、數(shù)據(jù)庫(kù)用戶(hù)管理、數(shù)據(jù)庫(kù)系統(tǒng)角色管理以及數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限的管理。 2)在 彈 出的 “ 已注冊(cè)的 SQL Server屬性 ” 對(duì)話 框（ 見(jiàn)圖 91）的【 連 接】區(qū)域有身份 驗(yàn)證 的兩個(gè) 單選 框。這個(gè)登錄賬號(hào)是獨(dú)立于操作系統(tǒng)的登錄賬號(hào)的，從而可以在一定程度上避免操作系統(tǒng)層上對(duì)數(shù)據(jù)庫(kù)的非法訪問(wèn)。167。167。 安全性認(rèn)證模式是指系統(tǒng)確認(rèn)用戶(hù)身份的方式。保證合法用戶(hù)即使進(jìn)入了數(shù)據(jù)庫(kù)也不能有超越權(quán)限的數(shù)據(jù)存取操作，即合法用戶(hù)必須在自己的權(quán)限范圍內(nèi)進(jìn)行數(shù)據(jù)操作。v SQL Server數(shù)據(jù)庫(kù)的安全防線 SQL Server的特定數(shù)據(jù)庫(kù)都有自己的用戶(hù)和角色，該數(shù)據(jù)庫(kù)只能由它的用戶(hù)或角色訪問(wèn)，其他用戶(hù)無(wú)權(quán)訪問(wèn)其數(shù)據(jù)。v SQL Server的運(yùn)行安全防線 SQL Server通過(guò)登錄賬號(hào)設(shè)置來(lái)創(chuàng)建附加安全層。 REVOKE UPDATE(姓名 )ON TABLE readers FROM userl； 【例 】 把用戶(hù) user3查詢(xún) readers表的權(quán)限收回。 回收 (REVOKE)語(yǔ)句 格式： REVOKE 權(quán)限 [ON 對(duì)象 ] FROM 用戶(hù)； 功能： 把已經(jīng)授予指定用戶(hù)的指定權(quán)限收回。 GRANT SELECT ON TABLE readers TO user3 WITH GRANT OPTION； 【例 】 用戶(hù) user3把查詢(xún) readers表的權(quán)限授予用戶(hù) user4。 GRANT SELECT ON TABLE books TO PUBLIC； 【例 】 把在數(shù)據(jù)庫(kù) MyDB中建立表的權(quán)限授予用戶(hù) user2。 說(shuō)明： 其中， WITH GRANT OPTION選項(xiàng)的作用是允許獲得指定權(quán)限的用戶(hù)把權(quán)限再授予其他用戶(hù)。 表 91 不同類(lèi)型數(shù)據(jù)對(duì)象的操作權(quán)限數(shù)據(jù)對(duì)象 操作權(quán)限 表、視圖、列 (TABLE) SELECT, INSERT, UPDATE, DELETE, ALL PRIVILEGE 基本表（ TABLE） ALTER, INDEX數(shù)據(jù)庫(kù)（ DATABASE） CREATETAB表空間（ TABLESPACE） USE系統(tǒng) CREATEDBC2/2/202