Chapter 3 Protecting the Data(3):创建和使用数据库角色
未经作者同意,不论什么人不得以“原创”形式公布,也不得已用于商业用途。本人不负责不论什么法律责任。
前一篇:http://blog.csdn.net/dba_huangzj/article/details/39577861
前言:
数据库层级的角色同意把数据库权限像server级别角色一样组合管理。你能够配置固定server角色,创建用户自己定义角色等。
实现:
1. 在SSMS中,进入某个数据库的节点。点击【安全性】,然后点击【数据库角色】节点:
| 固定角色 | 描写叙述 |
| db_accessadmin | db_accessadmin 固定数据库角色的成员能够为 Windows 登录名、Windows 组和 SQL Server 登录名加入或删除数据库訪问权限。 |
| db_backupoperator | db_backupoperator 固定数据库角色的成员能够备份数据库。 |
| db_datareader | db_datareader 固定数据库角色的成员能够从全部用户表中读取全部数据。 |
| db_datawriter | db_datawriter 固定数据库角色的成员能够在全部用户表中加入、删除或更改数据。 |
| db_denydatareader | db_denydatareader 固定数据库角色的成员不能读取数据库内用户表中的不论什么数据。 |
| db_denydatawriter | db_denydatawriter 固定数据库角色的成员不能加入、改动或删除数据库内用户表中的不论什么数据。 |
| db_owner | db_owner 固定数据库角色的成员能够运行数据库的全部配置和维护活动,还能够删除数据库。 |
| db_securityadmin | db_securityadmin 固定数据库角色的成员能够改动角色成员身份和管理权限。 |
| db_ddladmin | db_ddladmin 固定数据库角色的成员能够在数据库中运行不论什么数据定义语言 (DDL) 命令。 |
2. 假设加入成员到某个角色,能够双击这个角色,在【属性】页的【此角色的成员】中加入:
3. 也能够使用T-SQL实现:
ALTER ROLE db_accessadmin ADD MEMBER test;
4. 假设须要创建自己定义角色,能够右键【数据库角色】节点然后选择【新建数据库角色】,输入角色名和拥有者。用于控制这个角色的全部权限,建议使用dbo或者留空。
5. 不要让GUI界面混淆了你,在【常规】页,有两个listboxes。第一个是【此角色拥有的架构】,列出了这个数据库的架构,在后面介绍。
6. 如今忘记第一个listbox。并到第二个listbox。【此角色的成员】,能够加入角色成员。
7. 然后到【安全对象】页,在这里能够选择安全对象,也能够用T-SQL实现:
USE marketing; CREATE ROLE ProspectManager; ALTER ROLE ProspectManager ADD MEMBER Fred; GRANT INSERT, UPDATE, DELETE, SELECT ON dbo.Prospect TO ProspectManager; GRANT INSERT, SELECT ON dbo.Contact TO ProspectManager;
原理:
固定角色同意授权全局权限到数据库的全部对象中,大部分时间里面,不须要使用db_datareader/db_datawriter。由于权限限制太少,而db_denydatareader/db_denydatawriter却非常实用。能够限制用户不同意訪问表、视图。
全部用户都属于public数据库角色的成员,不能被移除,而db_owner角色的成员在数据库中以dbo用户的形式出现。
能够使用以下语句查看某个登录名是否属于某个数据库角色的成员:
SELECT IS_ROLEMEMBER ( 'ProspectManager', 'fred' );
返回1的话代表Fred是ProspectManager角色的成员。
很多其它:
假设使用了WITH GRANT OPTION授权到Windows组中,那么这个角色的成员选哟在授权时使用ASkeyword。
USE marketing; CREATE USER fred WITHOUT LOGIN; CREATE USER mary WITHOUT LOGIN; GO CREATE ROLE contactReaders; ALTER ROLE contactReaders ADD MEMBER fred; GO GRANT SELECT ON dbo.contact TO contactReaders WITH GRANT OPTION; GO EXECUTE AS USER = 'fred'; -- this does not work GRANT SELECT ON dbo.contact TO mary; -- this works GRANT SELECT ON dbo.contact TO mary AS contactReaders; REVERT;
当Fred使用GRANT命令,必须使用AS contactReaders。
MSDB角色:
MSDB由于其重要性,角色的数量和功能都和常规的库不一样:
| 角色 | 描写叙述 |
| db_ssisadmin | 能够作为管理员管理server上的SSIS。 |
| db_ssisoperator | 能够查看全部SSIS包,可是不能导入或改动。 |
| db_ssisltduser | 能够查看和运行属于它自己的SSIS包。 |
| dc_admin | 能够管理data collector collection集和属性,又有全部dc_operator的权限。 |
| dc_operator | 能够读和更新DC collection set和属性。 |
| dc_proxy | 能够读取DC collection sets和相应属性。 |
| PolicyAdministratorRole | 能够运行基于策略的管理上全部配置和维护操作。 |
| ServerGroupAdministratorRole | 能够注冊和使用中央管理server组。 |
| ServerGroupReaderRole | 能够连接中央管理server组。 |
| dbm_monitor | 同意监控数据库镜像。 |
关于SSIS角色和Data Collector 安全性。能够查看以下文章:
- Integration Services Roles: http://msdn.microsoft.com/en-us/library/ms141053.aspx
- Data Collector Security: http://msdn.microsoft.com/en-us/library/bb630341.aspx
下一个:http://blog.csdn.net/dba_huangzj/article/details/39927713
