第14章安全管理

《第14章安全管理》由会员分享，可在线阅读，更多相关《第14章安全管理（93页珍藏版）》请在装配图网上搜索。

1、第第1414章章 安全管理o14.1 14.1 安全控制概述安全控制概述o14.2 14.2 登录帐户管理登录帐户管理o14.3 14.3 数据库用户管理数据库用户管理o14.4 14.4 数据库用户权限管理数据库用户权限管理o14.5 14.5 角色角色14.1 安全控制概述o安全性问题的提出安全性问题的提出o数据库安全性概念数据库安全性概念o计算机系统安全性层次计算机系统安全性层次o数据库安全控制模型数据库安全控制模型oSQL Server安全控制过程安全控制过程oSQL Server用户分类用户分类问题的提出问题的提出o数据库的一大特点是数据可以共享数据库的一大特点是数据可以共享o数据共

2、享必然带来数据库的安全性问题数据共享必然带来数据库的安全性问题o数据库系统中的数据共享不能是无条件的共享数据库系统中的数据共享不能是无条件的共享例：军事秘密、国家机密、新产品实验数据、例：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据客户档案、医疗档案、银行储蓄数据数据库安全性数据库安全性数据库安全性概念o数据库的安全性是指保护数据库，防止因数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改用户非法使用数据库造成数据泄露、更改或破坏。或破坏。o数据库系统中的数据共享必须是在数

3、据库系统中的数据共享必须是在DBMS统一的严格的控制之下，只允许有合法使统一的严格的控制之下，只允许有合法使用权限的用户访问允许他存取的数据。用权限的用户访问允许他存取的数据。计算机系统安全性层次o物理层物理层：计算机系统在物理硬件上的安全性保护。：计算机系统在物理硬件上的安全性保护。o操作系统层操作系统层：操作系统本身提供的安全性保护措：操作系统本身提供的安全性保护措施。施。o网络层网络层：网络安全控制机制。：网络安全控制机制。o数据库系统层数据库系统层：数据库系统应该有完善的访问控：数据库系统应该有完善的访问控制机制，检查数据库用户的合法性以及数据库操制机制，检查数据库用户的合法性以及数据

4、库操作权限。作权限。o数据层：数据层：直接对数据加密。直接对数据加密。数据库安全控制模型文件操作控制操作权控制身份验证用户数据库应用程序数据库管理系统操作系统加密存储与冗余数据库数据库安全控制数据库系统层安全性保护措施o身份认证身份认证：系统内部记录着所有合法用户的：系统内部记录着所有合法用户的标识，每次用户要求进入系统时，由系统将标识，每次用户要求进入系统时，由系统将用户提供的身份标识与系统内部记录的合法用户提供的身份标识与系统内部记录的合法用户标识进行核对，通过鉴定后才提供系统用户标识进行核对，通过鉴定后才提供系统使用权。使用权。o操作权限控制操作权限控制：对于通过鉴定获得系统使用：对于通

5、过鉴定获得系统使用权的用户权的用户(即合法用户即合法用户)，系统根据他的存取，系统根据他的存取权限定义对他的各种操作请求进行控制确保权限定义对他的各种操作请求进行控制确保他只执行合法操作。他只执行合法操作。SQL Server安全控制过程SQL Server用户的安全验证过程o一个用户如果要访问一个用户如果要访问SQL Server数据库中的数据，他必须数据库中的数据，他必须要经过要经过三个认证过程三个认证过程：n第一个认证过程是身份验证，这使用登录账号来标第一个认证过程是身份验证，这使用登录账号来标识用户，身份验证只验证用户连接到识用户，身份验证只验证用户连接到SQL Server数数据库服

6、务器的资格，即验证该用户是否具有连接到据库服务器的资格，即验证该用户是否具有连接到数据库服务器的数据库服务器的“连接权连接权”。n第二个认证过程是当用户访问数据库时，他必须具第二个认证过程是当用户访问数据库时，他必须具有对具体有对具体数据库的访问权数据库的访问权，即验证用户是否是数据，即验证用户是否是数据库的合法用户。库的合法用户。n第三个认证过程是当用户操作数据库中的数据或对第三个认证过程是当用户操作数据库中的数据或对象时，他必须具有所要进行的数据库数据操作的象时，他必须具有所要进行的数据库数据操作的操操作权作权，即验证用户是否具有操作许可。，即验证用户是否具有操作许可。三个安全认证过程图示

7、三个安全认证过程图示SQL Server用户分类用户分类o根据用户登录层次分类根据用户登录层次分类o根据用户操作权限分类根据用户操作权限分类根据用户登录层次分类o分为分为SQL Server登录用户登录用户和和数据库用户数据库用户o只有先成为合法的只有先成为合法的SQL Server登录用户，登录用户，才有可能成为合法的数据库用户才有可能成为合法的数据库用户登录用户（登录用户（login user）数据库用户（数据库用户（database user）从用户操作权限角度分类o数据库中的用户按其操作权限的大小可分为如下三类：数据库中的用户按其操作权限的大小可分为如下三类：n数据库系统管理员数据库系

8、统管理员：数据库系统管理员（在：数据库系统管理员（在SQL SQL ServerServer中为中为sasa）在数据库中具有全部的权限，当）在数据库中具有全部的权限，当用户以系统管理员身份进行操作时，系统不对其用户以系统管理员身份进行操作时，系统不对其权限进行检验。权限进行检验。n数据库对象拥有者数据库对象拥有者：创建数据库对象的用户即为：创建数据库对象的用户即为数据库对象拥有者。数据库对象拥有者数据库对象拥有者。数据库对象拥有者对其所拥对其所拥有的对象具有一切权限。有的对象具有一切权限。n数据库访问用户数据库访问用户：数据库访问用户只具有对数据：数据库访问用户只具有对数据库数据的增、删、改、

9、查权。库数据的增、删、改、查权。14.2 登录帐户管理oSQL Server有三个默认的用户登录帐号有三个默认的用户登录帐号nsa:拥有全部系统权限和数据库权限拥有全部系统权限和数据库权限nadministratorsbuiltin：SQL Server提供提供给给Windows 的系统管理员帐户的系统管理员帐户nGuest：默认的普通用户帐户：默认的普通用户帐户o系统管理员的工作系统管理员的工作 n建立新的登录用户建立新的登录用户n修改登录密码修改登录密码n删除登录用户删除登录用户SQL Server的帐户验证模式o帐户验证是用来确认登录帐户验证是用来确认登录SQL Server的用的用户登

10、录帐号和密码的正确性，由此来验证其是户登录帐号和密码的正确性，由此来验证其是否具有连接否具有连接SQL Server的权限。的权限。oSQL Server 提供了两种确认用户的验证模提供了两种确认用户的验证模式：式：oWindows身份验证模式身份验证模式n仅允许授权的仅允许授权的Windows用户访问用户访问SQL Servero混合身份验证模式混合身份验证模式n仅允许授权的仅允许授权的Windows用户和非用户和非Windows用用户访问户访问SQL Server连接SQL Server服务器的过程 设置登录验证模式方法o在安装在安装SQL Server时设置验证模式时设置验证模式o在企业

11、管理器中设置验证模式在企业管理器中设置验证模式在安装在安装SQL ServerSQL Server时设置验证模式时设置验证模式在企业管理器中设置验证模式在企业管理器中设置验证模式验证模式选择验证模式选择建立新的登录帐户建立新的登录帐户o通过企业管理器新建登录用户通过企业管理器新建登录用户o利用系统存储过程利用系统存储过程sp_addlogin新建登录用户新建登录用户新的登录用户新的登录用户user1修改登录密码输入新密码输入新密码确认新密码确认新密码用用T-SQL语句建立登录帐户语句建立登录帐户CREATE LOGIN login_name WITH|FROM :=WINDOWS WITH ,

12、.:=PASSWORD=password ,.:=SID=sid|DEFAULT_DATABASE=database|DEFAULT_LANGUAGE=language:=DEFAULT_DATABASE=database|DEFAULT_LANGUAGE=language8/6/2022 9:04 PM30示例示例o例例1创建创建SQL Server身份验证的登录帐身份验证的登录帐户。登录名为：户。登录名为：SQL_User2，密码为：，密码为：a1b2c3XY。CREATE LOGIN SQL_User2 CREATE LOGIN SQL_User2 WITH PASSWORD=a1b2c

13、3XY WITH PASSWORD=a1b2c3XY8/6/2022 9:04 PM31示例示例o例例2创建创建Windows身份验证的登录帐户。身份验证的登录帐户。从从Windows域帐户创建域帐户创建 HYJWin_User2 登录帐户。登录帐户。CREATE LOGIN HYJWin_User2 FROM WINDOWS8/6/2022 9:04 PM32示例示例o例例3创建创建SQL Server身份验证的登录帐身份验证的登录帐户。登录名为：户。登录名为：SQL_User3，密码为：，密码为：AD4h9fcdhx32MOP。要求该登录帐户首。要求该登录帐户首次连接服务器时必须更改密码。

14、次连接服务器时必须更改密码。CREATE LOGIN SQL_User3 CREATE LOGIN SQL_User3 WITH PASSWORD=AD4h9fcdhx32MOP WITH PASSWORD=AD4h9fcdhx32MOP MUST_CHANGE MUST_CHANGE8/6/2022 9:04 PM33删除登录用户删除登录帐户的删除登录帐户的T-SQL语句语句DROP LOGIN login_name不能删除正在使用的登录帐户，也不能删除不能删除正在使用的登录帐户，也不能删除拥有任何数据库对象、服务器级别对象的登拥有任何数据库对象、服务器级别对象的登录帐户。录帐户。例例4删除

15、删除SQL_User2登录帐户。登录帐户。DROP LOGIN SQL_User28/6/2022 9:04 PM3514.3 数据库用户管理o数据库用户管理概述数据库用户管理概述o数据库管理员的工作数据库管理员的工作n创建数据库的用户创建数据库的用户n删除数据库的用户（略）删除数据库的用户（略）数据库用户管理概述数据库用户管理概述o用户具有了登录账号之后，他只能连接到用户具有了登录账号之后，他只能连接到SQL ServerSQL Server服务器上，但不具有访问任何数据库的能力，只有成服务器上，但不具有访问任何数据库的能力，只有成为了数据库的合法用户后，才能访问此数据库。为了数据库的合法用

16、户后，才能访问此数据库。o数据库的用户只能来自于服务器上已有的登录账号，数据库的用户只能来自于服务器上已有的登录账号，让登录账号成为数据库的用户就称为让登录账号成为数据库的用户就称为“映射映射”。o一个登录账号可以映射为多个数据库中的用户。一个登录账号可以映射为多个数据库中的用户。o管理数据库用户的过程实际上就是建立登录账号与数管理数据库用户的过程实际上就是建立登录账号与数据库用户之间的映射关系的过程。据库用户之间的映射关系的过程。o默认情况下，新建立的数据库只有一个用户，就是：默认情况下，新建立的数据库只有一个用户，就是：dbodbo，它是数据库的拥有者。，它是数据库的拥有者。授权登录用户为

17、数据库用户授权登录用户为数据库用户o方法一：在企业管理器方法一：在企业管理器“安全性安全性”中创建数据中创建数据库用户库用户o方法二：在数据库方法二：在数据库“用户用户”对象中创建数据库对象中创建数据库用户用户o方法三：利用系统存储过程方法三：利用系统存储过程sp_grantdbaccess 创建数据库用户创建数据库用户在在“安全性安全性”中创建数据库用户中创建数据库用户查看新建的数据库用户查看新建的数据库用户在数据库在数据库“用户用户”中创建数据库用户中创建数据库用户查看新建的数据库用户查看新建的数据库用户用用T-SQL语句建立数据库用户语句建立数据库用户CREATE USER user_n

18、ame FOR|FROM LOGIN login_name user_name：指定在此数据库中用于识别该：指定在此数据库中用于识别该用户的名称。用户的名称。LOGIN login_name：指定要映射为数据：指定要映射为数据库用户的库用户的SQL Server登录名。登录名。如果省略如果省略FOR LOGIN，则新的数据库用户将，则新的数据库用户将被映射到同名的被映射到同名的SQL Server登录名。登录名。8/6/2022 9:04 PM45示例示例o例例5.让让SQL_User2登录帐户成为登录帐户成为students数据库中的用户，并且用户数据库中的用户，并且用户名同登录名。名同登录

19、名。USE students;GOCREATE USER SQL_User28/6/2022 9:04 PM46示例示例o例例6.本示例首先创建名为本示例首先创建名为SQL_JWC且具有且具有密码的密码的SQL Server身份验证的服务器登录身份验证的服务器登录名，然后在名，然后在students数据库中创建与此登录数据库中创建与此登录帐户对应的数据库用户帐户对应的数据库用户JWC。CREATE LOGIN SQL_JWC CREATE LOGIN SQL_JWC WITH PASSWORD=jKJl3$nN09jsK84;WITH PASSWORD=jKJl3$nN09jsK84;GOGO

20、USE students;USE students;GOGOCREATE USER JWC FOR LOGIN SQL_JWC;CREATE USER JWC FOR LOGIN SQL_JWC;8/6/2022 9:04 PM4714.3.3 删除数据库用户删除数据库用户DROP USER user_nameo例例7删除删除SQL_User2用户。用户。DROP USER SQL_User28/6/2022 9:04 PM4814.4 数据库用户权限管理o权限管理概述权限管理概述o权限种类权限种类 o权限管理的内容权限管理的内容o使用企业管理器使用企业管理器管理权限管理权限o使用使用Tran

21、sact-SQLTransact-SQL管理权限管理权限权限管理概述权限管理概述o当用户成为数据库中的合法用户之后，当用户成为数据库中的合法用户之后，他除了具有一些系统表的查询权之外，他除了具有一些系统表的查询权之外，并不对数据库中的对象具有任何操作权，并不对数据库中的对象具有任何操作权，因此，下一步就需要为数据库中的用户因此，下一步就需要为数据库中的用户授予数据库的操作权。授予数据库的操作权。o实际上将登录账号映射为数据库用户的实际上将登录账号映射为数据库用户的目的也是为了方便对用户授予数据库对目的也是为了方便对用户授予数据库对象的操作权。象的操作权。权限种类权限种类 在在SQL Serve

22、r 2000 SQL Server 2000 中，权限分为对象权限、语句权限中，权限分为对象权限、语句权限和隐含的权限三种。和隐含的权限三种。o对象权限对象权限：对象权限是指用户对数据库中的表、视图等对：对象权限是指用户对数据库中的表、视图等对象的操作权，例如是否允许查询、增加、删除和修改数据象的操作权，例如是否允许查询、增加、删除和修改数据等。等。o语句权限语句权限：这种权限专指是否允许执行下列语句：这种权限专指是否允许执行下列语句：CREATE CREATE TABLETABLE、CREATE VIEWCREATE VIEW等与创建数据库对象有关的操作。等与创建数据库对象有关的操作。o隐含

23、权限隐含权限：隐含权限是指由：隐含权限是指由SQL ServerSQL Server预定义的服务器角预定义的服务器角色、数据库角色、数据库拥有者和数据库对象拥有者所具色、数据库角色、数据库拥有者和数据库对象拥有者所具有的权限，隐含权限相当于内置权限，不需要再明确地授有的权限，隐含权限相当于内置权限，不需要再明确地授予这些权限。例如，数据库拥有者自动地拥有对数据库进予这些权限。例如，数据库拥有者自动地拥有对数据库进行一切操作的权限。行一切操作的权限。对象权限对象权限oALTER：具有更改特定数据库对象属性的：具有更改特定数据库对象属性的权限。权限。oDELETE、INSERT、UPDATE和和S

24、ELECT：具有对表和视图数据进行删除、：具有对表和视图数据进行删除、插入、更改和查询的权限，其中插入、更改和查询的权限，其中UPDATE和和SELECT可以对表或视图的单个列进行授可以对表或视图的单个列进行授权。权。oEXECUTE：具有执行存储过程的权限。：具有执行存储过程的权限。oREFERENCES：具有通过外键引用其他表：具有通过外键引用其他表的权限。的权限。8/6/2022 9:04 PM52语句权限语句权限oCRAETE TABLE：创建表的权限。：创建表的权限。oCREATE VIEW：创建视图的权限。：创建视图的权限。oCREATE PROCEDURE：创建存储过程的：创建存

25、储过程的权限。权限。oCREATE FUNCTION：创建函数的权限。：创建函数的权限。8/6/2022 9:04 PM5314.4.2 权限管理权限管理o权限的管理包含如下三个内容：权限的管理包含如下三个内容：n授予权限授予权限：允许用户或角色具有某种操作权。：允许用户或角色具有某种操作权。n收回权限收回权限：不允许用户或角色具有某种操作权，：不允许用户或角色具有某种操作权，或者收回曾经授予的权限。或者收回曾经授予的权限。n禁止权限（拒绝访问）禁止权限（拒绝访问）：拒绝某用户或角色具有：拒绝某用户或角色具有某种操作权，既使用户或角色由于继承而获得这某种操作权，既使用户或角色由于继承而获得这种

26、操作权，也不允许执行相应的操作。种操作权，也不允许执行相应的操作。o管理权限可以使用企业管理器实现，也可以使管理权限可以使用企业管理器实现，也可以使用用Transact-SQLTransact-SQL语句实现。语句实现。使用企业管理器使用企业管理器管理权限管理权限o使用企业管理器使用企业管理器管理对象权限管理对象权限o使用企业管理器使用企业管理器管理语句权限管理语句权限使用企业管理器管理对象权限仓库管理数据库中的仓库管理数据库中的user1用户用户权限标记说明o授予权限：若要授予用户对某个对象（表、授予权限：若要授予用户对某个对象（表、视图、存储过程）的操作权（表和视图为：视图、存储过程）的操

27、作权（表和视图为：SELECTSELECT、INSERTINSERT、UPDATEUPDATE、DELETEDELETE，存储过程，存储过程为：为：EXECEXEC），可单击相应的方框，使其中出现），可单击相应的方框，使其中出现标记。标记。o禁止权限：若要拒绝此用户对某个对象的操禁止权限：若要拒绝此用户对某个对象的操作权，可单击相应的方框，使其中出现作权，可单击相应的方框，使其中出现标记。标记。o收回权限：若要收回此用户对某个对象的操收回权限：若要收回此用户对某个对象的操作权，可单击相应的方框，使其方框成为空的。作权，可单击相应的方框，使其方框成为空的。使用企业管理器管理语句权限使用使用Tra

28、nsact-SQLTransact-SQL语句管理权限语句管理权限z 管理权限语句在管理权限语句在SQL语言中属于数据控制语句语言中属于数据控制语句（DCL）。）。z在在Transact-SQLTransact-SQL语句中，用于管理权限的语句有三个：语句中，用于管理权限的语句有三个：zGRANTGRANT语句语句（用于授权）（用于授权）:允许许用户户或角色具有某种种操作权权。zREVOKEREVOKE语句语句（用于收回权限）（用于收回权限）:不允许许用户户或角色具有某种种操作权权，或者收回曾经经授予的权权限。zDENY语句语句（用于禁止权限）（用于禁止权限）:拒绝绝某用户户或角色具有某种种操

29、作权权，既既使用户户或角色由于继继承而获获得这种这种操作权权，也不允许执许执行相应应的操作。使用使用Transact-SQLTransact-SQL语句管理对象权限语句管理对象权限o授予对象权限授予对象权限 o收回（撤消）对象权限收回（撤消）对象权限 o禁止（拒绝）对象权限禁止（拒绝）对象权限授予对象权限语句授予对象权限语句GRANT GRANT 对象权限名对象权限名 ，ON ON 表名表名|视图名视图名|存存储过程名储过程名 TO TO 数据库用户名数据库用户名|用户角色名用户角色名 ，（其中：（其中：对象权限名可以是对象权限名可以是ALL、SELECT、INSERT、UPDATE、DELE

30、TE和和EXECUTE等）等）例例：为用户为用户user1user1授予授予仓库仓库表的查询权。表的查询权。GRANT SELECT ON GRANT SELECT ON 仓库仓库 TO user1 TO user1例例：为用户为用户user1user1授予授予职工职工表的查询权和插入权。表的查询权和插入权。GRANT SELECT GRANT SELECT，INSERT ON INSERT ON 职工职工 TO user1 TO user1收回对象权限语句收回对象权限语句REVOKE REVOKE 对象权限名对象权限名 ，ON ON 表名表名|视图名视图名|存储过程名存储过程名 FROM F

31、ROM 数据库用户名数据库用户名|用户角色名用户角色名 ，例：例：收回用户收回用户user1user1对对职工职工表的查询权。表的查询权。REVOKE SELECT ON REVOKE SELECT ON 职工职工 FROM user1 FROM user1禁止对象权限语句禁止对象权限语句DENY DENY 对象权限名对象权限名 ，ON ON 表名表名|视图视图名名|存储过程名存储过程名 TO TO 数据库用户名数据库用户名|用户角色名用户角色名 ，例：例：禁止禁止user1user1用户具有用户具有职工职工表的更改权。表的更改权。DENY UPDATE ON DENY UPDATE ON 职

32、工职工 TO user1 TO user1使用Transact-SQL语句管理语句权限o授权语句授权语句GRANT GRANT 语句权限名语句权限名 ，TO TO 数据库用户名数据库用户名|用户用户角色名角色名 ，o收权语句收权语句REVOKE REVOKE 语句权限名语句权限名 ，FROM FROM 数据库用户名数据库用户名|用户角色名用户角色名 ，o拒绝权限拒绝权限 DENY DENY 语句权限名语句权限名 ，TO TO 数据库用户名数据库用户名|用用户角色名户角色名 ，语句权限名可以是：语句权限名可以是：nBACKUP DATABASE BACKUP DATABASE nBACKUP L

33、OG BACKUP LOG nCREATE DATABASE CREATE DATABASE nCREATE DEFAULT CREATE DEFAULT nCREATE FUNCTION CREATE FUNCTION nCREATE PROCEDURE CREATE PROCEDURE nCREATE RULE CREATE RULE nCREATE TABLE CREATE TABLE nCREATE VIEW CREATE VIEW 例例：授予授予user1user1具有创建数据库表的权限。具有创建数据库表的权限。GRANT CREATE TABLE TO user1 GRANT CR

34、EATE TABLE TO user1例例：授予授予user1user1和和user2user2具有创建数据库表和视图的权限。具有创建数据库表和视图的权限。GRANT CREATE TABLE,CREATE VIEW TO user1,user2 GRANT CREATE TABLE,CREATE VIEW TO user1,user2例例：收回授予收回授予user1user1创建数据库表的权限。创建数据库表的权限。REVOKE CREATE TABLE FROM user1 REVOKE CREATE TABLE FROM user1例例：拒绝拒绝user1user1创建视图的权限。创建视图

35、的权限。DENY CREATE VIEW TO user1 DENY CREATE VIEW TO user114.5 数据库用户角色o角色概念与分类角色概念与分类o管理服务器角色管理服务器角色o管理数据库角色管理数据库角色角色概念与分类o在数据库中，为便于对用户及权限的管理，可以将在数据库中，为便于对用户及权限的管理，可以将一组具有相同权限的用户组织在一起，这一组具有一组具有相同权限的用户组织在一起，这一组具有相同权限的用户就称为相同权限的用户就称为角色（角色（Role）。o在在SQL Server 2000中，角色分为固定的中，角色分为固定的系统角色系统角色和和用户自定义的角色用户自定义的

36、角色。o系统角色又分为系统角色又分为固定的服务器角色固定的服务器角色和和固定的数据库固定的数据库角色角色，服务器角色是为整个服务器设置的，而数据，服务器角色是为整个服务器设置的，而数据库角色是为具体的数据库设置的。库角色是为具体的数据库设置的。o用户自定义的角色属于数据库一级的角色。用户自定义的角色属于数据库一级的角色。用户自用户自定义的数据库角色有两种类型：即定义的数据库角色有两种类型：即标准角色和应用标准角色和应用程序角色程序角色。管理数据库角色o使用企业管理器管理数据库角色使用企业管理器管理数据库角色o使用系统存储过程管理数据库角色使用系统存储过程管理数据库角色使用企业管理器管理数据库角

37、色使用企业管理器管理数据库角色o显示固定的数据库角色显示固定的数据库角色o管理自定义的数据库标准角色管理自定义的数据库标准角色 o建立自定义的应用程序角色建立自定义的应用程序角色显示固定的系统数据库角色显示固定的系统数据库角色管理自定义的数据库标准角色管理自定义的数据库标准角色o创建数据库标准角色创建数据库标准角色o为自定义的角色授权为自定义的角色授权 o添加自定义角色的成员添加自定义角色的成员 o删除自定义角色的成员删除自定义角色的成员（略）（略）创建数据库标准角色创建数据库标准角色输入角色名输入角色名说明：也可暂不添加用户说明：也可暂不添加用户新角色新角色为自定义的角色授权单击单击添加自定

38、义角色的成员单击单击建立用户定义的角色建立用户定义的角色CREATE ROLE role_name AUTHORIZATION owner_name orole_name：待创建角色的名称。：待创建角色的名称。oAUTHORIZATION owner_name：将：将拥有新角色的数据库用户或角色。如果未指拥有新角色的数据库用户或角色。如果未指定用户，则执行定用户，则执行CREATE ROLE的用户将的用户将拥有该角色。拥有该角色。8/6/2022 9:04 PM87示例示例例例1.创建用户自定义角色：创建用户自定义角色：CompDept，拥有，拥有者为创建该角色的用户。者为创建该角色的用户。C

39、REATE ROLE CompDept;例例2.创建用户自定义角色：创建用户自定义角色：InfoDept，拥有者，拥有者为为SQL_User1。CREATE ROLE InfoDept AUTHORIZATION SQL_User1;8/6/2022 9:04 PM88为用户定义的角色授权为用户定义的角色授权o使用使用SQL语句实现对用户角色的授权与为数语句实现对用户角色的授权与为数据库用户授权完全一样。据库用户授权完全一样。o例例3.为为Software角色授予角色授予Student表的查表的查询权。询权。GRANT SELECT ON Student TO Softwareo例例4.为为A

40、dmin角色授予角色授予Student表的增、表的增、删、改、查权。删、改、查权。GRANT SELECT,INSERT,DELETE,UPDATE ON Student TO Admin8/6/2022 9:04 PM89为用户定义的角色添加成员为用户定义的角色添加成员sp_addrolemember rolename=role,sp_addrolemember rolename=role,membername=security_account membername=security_accounto rolename=role rolename=role：当前数据库中的数据：当前数据库中的

41、数据库角色名。库角色名。o membername=security_account membername=security_account：要添：要添加到角色中的数据库用户名，可以是数据库用户、加到角色中的数据库用户名，可以是数据库用户、数据库角色、数据库角色、Windows 登录名或登录名或Windows组。如果新成员是没有相应数据库用户的组。如果新成员是没有相应数据库用户的Windows登录名，则将为其创建一个对应的数登录名，则将为其创建一个对应的数据库用户。据库用户。示例示例o例例5将将Windows登录名登录名HYJWin_User1添加到添加到Software角色中。角色中。EXEC

42、 sp_addrolemember Software,EXEC sp_addrolemember Software,HYJWin_User1 HYJWin_User1 o例例6将将SQL_User2添加到添加到Admin角色中角色中（假设该角色已存在）。（假设该角色已存在）。EXEC sp_addrolemember Admin,EXEC sp_addrolemember Admin,SQL_User2 SQL_User2删除用户定义角色中的成员删除用户定义角色中的成员sp_droprolemember rolename=role,sp_droprolemember rolename=role

43、,membername=security_account membername=security_accounto rolename=role rolename=role：将从中删除成员的数：将从中删除成员的数据库角色名。据库角色名。o membername=security_account membername=security_account：被：被从数据库角色中删除的用户名。从数据库角色中删除的用户名。o例例7删除删除Admin角色中的角色中的SQL_User2成员。成员。EXEC sp_droprolemember Admin,SQL_User2EXEC sp_droprolemember Admin,SQL_User2