第10章SQLServer的安全管理

1、2022-3-6SQL Server 200512SQL Server 2005第第1010章章 SQL ServerSQL Server的安全管理的安全管理 n 數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。n 系統(tǒng)安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)的主要指系統(tǒng)安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)的主要指標(biāo)之一。標(biāo)之一。n 數(shù)據(jù)庫(kù)安全性和計(jì)算機(jī)系統(tǒng)安全性(包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的安全性)是緊密聯(lián)系、相互支持的。n 主要內(nèi)容：主要內(nèi)容：SQL Server 2005SQL Server 2005安全性概述、安全性概述、SQL SQL Server 2005Server

2、2005的驗(yàn)證模式、登錄管理、用戶管理、的驗(yàn)證模式、登錄管理、用戶管理、角色管理、權(quán)限管理及系統(tǒng)加密機(jī)制等。角色管理、權(quán)限管理及系統(tǒng)加密機(jī)制等。3SQL Server 2005目錄目錄 10.1 SQL Server 200510.1 SQL Server 2005安全性概述安全性概述 10.2 SQL Server 200510.2 SQL Server 2005的驗(yàn)證模式的驗(yàn)證模式 10.3 10.3 登錄管理登錄管理 10.4 10.4 用戶管理用戶管理 10.5 10.5 角色管理角色管理 10.6 10.6 權(quán)限管理權(quán)限管理 10.7 10.7 加密機(jī)制加密機(jī)制練習(xí)題練習(xí)題10 10

3、 上機(jī)實(shí)習(xí)上機(jī)實(shí)習(xí)9 9 4SQL Server 200510.1 SQL Server 200510.1 SQL Server 2005安全性概述安全性概述 返回本節(jié)首頁(yè)nSQL Server 2005安全系統(tǒng)的構(gòu)架建立在用戶和用戶用戶和用戶組組的基礎(chǔ)上。nWindowsWindows中的用戶和本地組及全局組中的用戶和本地組及全局組可以映射到SQL Server 2005中的安全登錄帳戶安全登錄帳戶，也可以創(chuàng)建獨(dú)立Windows帳戶的安全登錄帳戶。nSQL ServerSQL Server提供了提供了2 2種安全管理模式：種安全管理模式：Windows Windows 身份驗(yàn)證模式身份驗(yàn)證模

4、式混合身份驗(yàn)證模式。混合身份驗(yàn)證模式。5SQL Server 200510.1 SQL Server 200510.1 SQL Server 2005安全性概述安全性概述 返回本節(jié)首頁(yè)1 1、兩個(gè)安全性階段、兩個(gè)安全性階段 在SQL Server 2005中工作時(shí)，用戶要經(jīng)過兩個(gè)安全性階段：n身份驗(yàn)證：身份驗(yàn)證：每個(gè)用戶必須通過登錄帳戶登錄帳戶建立自己的連接能力（身份驗(yàn)證），以獲得對(duì)SQL Server 2005實(shí)例的訪問權(quán)限。n權(quán)限驗(yàn)證（授權(quán)）：權(quán)限驗(yàn)證（授權(quán)）：該登錄必須映射到用于控制在數(shù)據(jù)庫(kù)中所執(zhí)行的活動(dòng)（權(quán)限驗(yàn)證）的 SQL Server SQL Server 用戶帳戶用戶帳戶。如果數(shù)

5、據(jù)庫(kù)中沒有用戶帳戶，則即使用戶能夠連接到 SQL Server 實(shí)例，也無法訪問該數(shù)據(jù)庫(kù)。 6SQL Server 200510.1 SQL Server 200510.1 SQL Server 2005安全性概述安全性概述 返回本節(jié)首頁(yè)2 2、用戶權(quán)限、用戶權(quán)限當(dāng)用戶連接到當(dāng)用戶連接到SQL Server 2005SQL Server 2005實(shí)例后，他們可以執(zhí)實(shí)例后，他們可以執(zhí)行的活動(dòng)由授予以下帳戶的權(quán)限確定：行的活動(dòng)由授予以下帳戶的權(quán)限確定：用戶安全帳戶；用戶安全帳戶所屬Windows組或角色層次結(jié)構(gòu)；用戶若要進(jìn)行任何涉及更改數(shù)據(jù)庫(kù)定義或訪問數(shù)據(jù)的活動(dòng)，則必須有相應(yīng)的權(quán)限。管理權(quán)限包括授

6、予或廢除執(zhí)行以下活動(dòng)的用戶權(quán)限：管理權(quán)限包括授予或廢除執(zhí)行以下活動(dòng)的用戶權(quán)限：處理數(shù)據(jù)和執(zhí)行過程（對(duì)象權(quán)限對(duì)象權(quán)限）；創(chuàng)建數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)中的項(xiàng)目（語(yǔ)句權(quán)限語(yǔ)句權(quán)限）；利用授予預(yù)定義角色的權(quán)限（暗示性權(quán)限暗示性權(quán)限）。7SQL Server 200510.1 SQL Server 200510.1 SQL Server 2005安全性概述安全性概述 返回本節(jié)首頁(yè) 3 3、視圖安全機(jī)制、視圖安全機(jī)制n視圖作為安全機(jī)制：視圖作為安全機(jī)制：SQL Server 2005通過限制可由用戶使用的數(shù)據(jù)。n數(shù)據(jù)子集：數(shù)據(jù)子集：用戶可以訪問某些數(shù)據(jù)，進(jìn)行查詢和修改，但是表或數(shù)據(jù)庫(kù)的其余部分是不可見的，也不能進(jìn)行

7、訪問。n視圖授權(quán)：視圖授權(quán)：對(duì)SQL Server 2005來說，無論在基礎(chǔ)表(一個(gè)或多個(gè))上的權(quán)限集合有多大，都必須授予、拒絕或廢除訪問視圖中數(shù)據(jù)子集的權(quán)限。8SQL Server 200510.1 SQL Server 200510.1 SQL Server 2005安全性概述安全性概述 返回本節(jié)首頁(yè)4 4、加密方法、加密方法 SQL Server 2005SQL Server 2005支持加密或可以加密的內(nèi)容為：支持加密或可以加密的內(nèi)容為：SQL Server 中存儲(chǔ)的登錄和應(yīng)用程序角色密碼；作為網(wǎng)絡(luò)數(shù)據(jù)包而在客戶端和服務(wù)器端之間發(fā)送的數(shù)據(jù)；SQL Server 2005中如下對(duì)象的定義

8、內(nèi)容：存儲(chǔ)過程、用戶定義函數(shù)、視圖、觸發(fā)器、默認(rèn)值、規(guī)則等。 例如：例如：SQL Server 2005SQL Server 2005可使用安全套接字層可使用安全套接字層(SSL)(SSL)加密在應(yīng)加密在應(yīng)用程序計(jì)算機(jī)和數(shù)據(jù)庫(kù)計(jì)算機(jī)上的用程序計(jì)算機(jī)和數(shù)據(jù)庫(kù)計(jì)算機(jī)上的 SQL Server SQL Server 實(shí)例之間傳輸實(shí)例之間傳輸?shù)乃袛?shù)據(jù)。的所有數(shù)據(jù)。9SQL Server 200510.1 SQL Server 200510.1 SQL Server 2005安全性概述安全性概述 返回本節(jié)首頁(yè)5 5、審核活動(dòng)、審核活動(dòng)nSQL Server 2005提供審核功能，用以跟蹤和記錄每個(gè)SQ

9、L Server實(shí)例上已發(fā)生的活動(dòng)（如成功和失敗的記錄）。nSQL Server 2005還提供管理審核記錄的接口，即SQL事件探查器。n只有sysadmin固定安全角色的成員才能啟用或修改審核，而且審核的每次修改都是可審核的事件。10SQL Server 200510.2 SQL Server 200510.2 SQL Server 2005的驗(yàn)證模式的驗(yàn)證模式 返回本節(jié)首頁(yè)10.2.1 Windows10.2.1 Windows身份驗(yàn)證模式身份驗(yàn)證模式10.2.2 10.2.2 混合身份驗(yàn)證模式混合身份驗(yàn)證模式 ( (也稱也稱SQL ServerSQL Server身份驗(yàn)證模式身份驗(yàn)證模式

10、) )10.2.3 10.2.3 設(shè)置驗(yàn)證模式設(shè)置驗(yàn)證模式10.2.4 SQL Server10.2.4 SQL Server系統(tǒng)登錄驗(yàn)證過程系統(tǒng)登錄驗(yàn)證過程11SQL Server 200510.2 SQL Server 200510.2 SQL Server 2005的驗(yàn)證模式的驗(yàn)證模式 返回本節(jié)首頁(yè)SQL Server 2005SQL Server 2005有兩種安全驗(yàn)證模式：有兩種安全驗(yàn)證模式：n Windows Windows 身份驗(yàn)證模式身份驗(yàn)證模式n 混合身份驗(yàn)證模式（也稱混合身份驗(yàn)證模式（也稱SQL Server SQL Server 身份驗(yàn)身份驗(yàn)證模式）。證模式）。12SQL

11、 Server 2005返回本節(jié)首頁(yè)圖圖10-2 SQL Server10-2 SQL Server系統(tǒng)登錄驗(yàn)證過程系統(tǒng)登錄驗(yàn)證過程10.2.3 10.2.3 設(shè)置驗(yàn)證模式設(shè)置驗(yàn)證模式13SQL Server 2005返回本節(jié)首頁(yè)nWindows 身份驗(yàn)證模式是指用戶通過 Windows 用戶帳戶連接到SQL Server，即用戶身份由Windows 系統(tǒng)來驗(yàn)證。n默認(rèn)的身份驗(yàn)證模式，比混合驗(yàn)證模式安全得多。nWindows 身份驗(yàn)證使用 Kerberos 安全協(xié)議，通過強(qiáng)密碼的復(fù)雜性驗(yàn)證提供密碼策略強(qiáng)制，提供帳戶鎖定支持，并且支持密碼過期。n用戶和組是由Windows維護(hù)的，因此當(dāng)用戶進(jìn)行連

12、接時(shí)，SQL Server將讀取有關(guān)該用戶在組中的成員資格信息。10.2.1 Windows10.2.1 Windows身份驗(yàn)證模式身份驗(yàn)證模式14SQL Server 2005返回本節(jié)首頁(yè)使用使用WindowsWindows身份驗(yàn)證有如下特點(diǎn)：身份驗(yàn)證有如下特點(diǎn)：1)Windows驗(yàn)證模式下由Windows管理登錄帳戶，數(shù)據(jù)庫(kù)管理員主要是使用該帳戶；2)Windows有功能很強(qiáng)的工具與技術(shù)去管理用戶的登錄帳戶；3)可以在SQL Server中增加用戶組，可以使用用戶組。 SQL Server支持的登錄帳戶，能在系統(tǒng)表syslogins或目錄視圖sys.syslogins中找到。10.2.1

13、Windows10.2.1 Windows身份驗(yàn)證模式身份驗(yàn)證模式15SQL Server 2005返回本節(jié)首頁(yè)n 混合身份驗(yàn)證模式允許用戶使用混合身份驗(yàn)證模式允許用戶使用WindowsWindows身份和身份和SQL ServerSQL Server身份進(jìn)行連接。身份進(jìn)行連接。通過Windows登錄帳戶連接的用戶可使用Windows驗(yàn)證的受信任連接。當(dāng)用戶使用指定登錄名稱和密碼進(jìn)行非信任連接時(shí)，SQL Server檢測(cè)輸入的登錄名和密碼是否與系統(tǒng)Syslogins表記錄的情況相同，據(jù)此進(jìn)行身份驗(yàn)證。如果不存在該用戶的登錄帳戶，則身份驗(yàn)證失敗。n 提供提供SQL ServerSQL Serve

14、r身份驗(yàn)證是為了考慮非身份驗(yàn)證是為了考慮非WindowsWindows客戶兼容及客戶兼容及向后兼容，早期向后兼容，早期SQL ServerSQL Server的應(yīng)用程序可能要求使用的應(yīng)用程序可能要求使用SQL SQL ServerServer登錄和密碼。登錄和密碼。10.2.2 10.2.2 混合身份驗(yàn)證模式混合身份驗(yàn)證模式( (也稱也稱SQL ServerSQL Server身份驗(yàn)證模式身份驗(yàn)證模式) )16SQL Server 2005返回本節(jié)首頁(yè)混合身份驗(yàn)證模式有如下特點(diǎn)：混合身份驗(yàn)證模式有如下特點(diǎn)：1）混合模式允許非Windows客戶、Internet客戶和混合的客戶組連接到SQL S

15、erver中；2）增加了完全性方面的選擇。 如果必須選擇“混合身份驗(yàn)證模式”并要求使用SQL登錄以適應(yīng)舊式應(yīng)用程序，則必須為所有SQL帳戶設(shè)置強(qiáng)密碼強(qiáng)密碼。這對(duì)于屬于sysadmin角色的帳戶(特別是sa帳戶)尤其重要。10.2.2 10.2.2 混合身份驗(yàn)證模式混合身份驗(yàn)證模式( (也稱也稱SQL ServerSQL Server身份驗(yàn)證模式身份驗(yàn)證模式) )17SQL Server 2005返回本節(jié)首頁(yè)在在Management StudioManagement Studio中的兩種設(shè)置方法。中的兩種設(shè)置方法。 方法之一：方法之一：1）打開Management Studio；2）在“視圖”“

16、已注冊(cè)的服務(wù)器”子窗口中要設(shè)置驗(yàn)證模式的服務(wù)器上按鼠標(biāo)右鍵，然后在彈出的快捷菜單上選擇“屬性”，系統(tǒng)彈出如圖10-1所示的“編輯服務(wù)器注冊(cè)屬性”窗口。10.2.3 10.2.3 設(shè)置驗(yàn)證模式設(shè)置驗(yàn)證模式18SQL Server 2005返回本節(jié)首頁(yè)圖圖10-1 10-1 服務(wù)器注冊(cè)屬性服務(wù)器注冊(cè)屬性10.2.3 10.2.3 設(shè)置驗(yàn)證模式設(shè)置驗(yàn)證模式19SQL Server 2005返回本節(jié)首頁(yè)方法之二：方法之二：1）在Management Studio對(duì)象資源管理器中，右鍵單擊服務(wù)器，再單擊“屬性”。2）在“安全性”頁(yè)上的“服務(wù)器身份驗(yàn)證”下，選擇新的服務(wù)器身份驗(yàn)證模式，再單擊“確定”。以上

17、兩種方法，均需要重新啟動(dòng)SQL Server后，才能生效。10.2.3 10.2.3 設(shè)置驗(yàn)證模式設(shè)置驗(yàn)證模式20SQL Server 200510.2.3 10.2.3 設(shè)置驗(yàn)證模式設(shè)置驗(yàn)證模式21SQL Server 200510.3 10.3 登錄管理登錄管理 返回本節(jié)首頁(yè) 10.3.1 系統(tǒng)管理員登錄帳戶 10.3.2 使用Management Studio管理SQL Server登錄帳戶 10.3.3 用T-SQL管理SQL Server登錄帳戶 10.3.4 管理登錄的最新T-SQL命令22SQL Server 200510.3 10.3 登錄管理登錄管理 返回本節(jié)首頁(yè)登錄是基于服

18、務(wù)器級(jí)使用的用戶名稱。登錄是基于服務(wù)器級(jí)使用的用戶名稱。在SQL Server中要成為數(shù)據(jù)庫(kù)的用戶，必須先成為服務(wù)器的登錄。一個(gè)登錄可以成為多個(gè)數(shù)據(jù)庫(kù)的用戶。n在Windows驗(yàn)證模式下，可以在Windows全局組或域用戶中創(chuàng)建登錄；n在SQL Server驗(yàn)證模式下，還可以在Windows的非全局組、非域用戶甚至非Windows用戶中創(chuàng)建登錄。23SQL Server 2005返回本節(jié)首頁(yè)nSQL Server有兩個(gè)默認(rèn)的系統(tǒng)管理員登錄帳戶：sasa和和BUILTINAdministratorsBUILTINAdministrators。nsasa是一個(gè)特殊的登錄名，是SQL Server身

19、份驗(yàn)證機(jī)制下SQL Server的系統(tǒng)管理員，sa始終關(guān)聯(lián)dbo數(shù)據(jù)庫(kù)用戶，并且沒有為sa帳號(hào)指定口令，應(yīng)盡快地給系統(tǒng)管理員帳戶指定口令。nBUILTINAdministrators是Windows系統(tǒng)的系統(tǒng)管理員組。10.3.1 10.3.1 系統(tǒng)管理員登錄帳戶系統(tǒng)管理員登錄帳戶24SQL Server 2005返回本節(jié)首頁(yè)在在Management StudioManagement Studio中能方便地創(chuàng)建、查看、修改、刪除登錄帳戶。中能方便地創(chuàng)建、查看、修改、刪除登錄帳戶。1.1.映射映射WindowsWindows登錄帳戶為登錄帳戶為SQL ServerSQL Server登錄帳戶登錄

20、帳戶在Management Studio中可以將一個(gè)Windows帳戶或一個(gè)組映射成SQL Server登錄帳戶具體操作：選擇“服務(wù)器”-“安全性”-“登錄名”-“新建登錄名”10.3.2 10.3.2 使用使用Management StudioManagement Studio管理管理SQL ServerSQL Server登錄帳戶登錄帳戶25SQL Server 200510.3.2 10.3.2 使用使用Management StudioManagement Studio管理管理SQL ServerSQL Server登錄帳戶登錄帳戶26SQL Server 2005在在Manageme

21、nt StudioManagement Studio中能方便地創(chuàng)建、查看、修改、刪除登錄帳戶。中能方便地創(chuàng)建、查看、修改、刪除登錄帳戶。2.創(chuàng)建SQL Server登錄帳戶10.3.2 10.3.2 使用使用Management StudioManagement Studio管理管理SQL ServerSQL Server登錄帳戶登錄帳戶在Management Studio中可以將一個(gè)Windows帳戶或一個(gè)組映射成SQL Server登錄帳戶具體操作：選擇“服務(wù)器”-“安全性”-“登錄名”-“新建登錄名”27SQL Server 200510.3.2 10.3.2 使用使用Managemen

22、t StudioManagement Studio管理管理SQL ServerSQL Server登錄帳戶登錄帳戶28SQL Server 2005返回本節(jié)首頁(yè)3 3、在、在Management StudioManagement Studio中查看、修改或刪除登錄帳戶中查看、修改或刪除登錄帳戶方法如下：方法如下：1)啟動(dòng)Management Studio，分別展開“服務(wù)器”、“安全性”、“登錄名”；2)單擊“登錄名”下的某一個(gè)登錄帳戶，在系統(tǒng)彈出菜單上點(diǎn)擊“屬性”，可進(jìn)入“登錄屬性”對(duì)話框查看該登錄帳戶的信息。sp_helploginssp_helplogins系統(tǒng)存儲(chǔ)過程也能提供有關(guān)每個(gè)數(shù)據(jù)

23、庫(kù)中的登系統(tǒng)存儲(chǔ)過程也能提供有關(guān)每個(gè)數(shù)據(jù)庫(kù)中的登錄及相關(guān)用戶的信息。錄及相關(guān)用戶的信息。n sp_helplogins LoginNamePattern=login10.3.2 10.3.2 使用使用Management StudioManagement Studio管理管理SQL ServerSQL Server登錄帳戶登錄帳戶29SQL Server 2005返回本節(jié)首頁(yè) 1 1、映射、映射WindowsWindows登錄帳戶為登錄帳戶為SQL ServerSQL Server登錄帳戶登錄帳戶 映射Windows登錄帳戶為SQL Server登錄帳戶的相關(guān)系統(tǒng)存儲(chǔ)過程和命令有：nsp_gr

24、antlogin = CREATE LOGINnsp_denylogin = ALTER LOGINnsp_revokelogin = DROP LOGIN10.3.3 10.3.3 用用T-SQLT-SQL管理管理SQL ServerSQL Server登錄帳戶登錄帳戶30SQL Server 2005返回本節(jié)首頁(yè)1 1）sp_grantloginsp_grantlogin：創(chuàng)建：創(chuàng)建 SQL Server SQL Server 登錄名。登錄名。其語(yǔ)法：sp_grantlogin loginame=login例如為例如為WindowsWindows用戶用戶CorporateBobJCorpo

25、rateBobJ. .創(chuàng)建創(chuàng)建SQL SQL ServerServer登錄名，命令為：登錄名，命令為：sp_grantlogin CorporateBobJ;改用改用CREATE LOGINCREATE LOGIN首選實(shí)現(xiàn)方法命令為：首選實(shí)現(xiàn)方法命令為：CREATE LOGIN CorporateBobJ FROM WINDOWS;10.3.3 10.3.3 用用T-SQLT-SQL管理管理SQL ServerSQL Server登錄帳戶登錄帳戶31SQL Server 2005返回本節(jié)首頁(yè)2 2）sp_denyloginsp_denylogin：禁止：禁止 Windows Windows 用

26、戶或組連接到用戶或組連接到 SQL Server SQL Server 實(shí)例。實(shí)例。其語(yǔ)法：其語(yǔ)法：sp_denylogin loginame=login例例10-1 10-1 本例禁用本例禁用WindowsWindows用戶用戶CorporateCorporateBobJBobJ的的SQL SQL ServerServer登錄名，命令為：登錄名，命令為：sp_denylogin CorporateBobJ改用改用ALTER LOGINALTER LOGIN首選實(shí)現(xiàn)方法命令為：首選實(shí)現(xiàn)方法命令為：ALTER LOGIN CorporateGeorgeW DISABLE;10.3.3 10.3.

27、3 用用T-SQLT-SQL管理管理SQL ServerSQL Server登錄帳戶登錄帳戶32SQL Server 2005返回本節(jié)首頁(yè)3 3）sp_revokeloginsp_revokelogin：從：從 SQL Server SQL Server 中刪除使用中刪除使用 CREATE CREATE LOGINLOGIN、sp_grantloginsp_grantlogin或或sp_denyloginsp_denylogin 為為 Windows Windows 用戶或組用戶或組創(chuàng)建的登錄項(xiàng)。創(chuàng)建的登錄項(xiàng)。其語(yǔ)法：其語(yǔ)法：sp_revokelogin loginame= login10-2

28、 10-2 本例刪除本例刪除 Windows Windows 用戶用戶 CorporateCorporateBobJBobJ 的登錄項(xiàng)。的登錄項(xiàng)。EXEC sp_revokelogin CorporateBobJ 或 EXEC sp_revokelogin CorporateBobJ改用改用DROP LOGINDROP LOGIN首選實(shí)現(xiàn)方法命令為：首選實(shí)現(xiàn)方法命令為：drop login CorporateBobJ10.3.3 10.3.3 用用T-SQLT-SQL管理管理SQL ServerSQL Server登錄帳戶登錄帳戶33SQL Server 2005返回本節(jié)首頁(yè)2 2、管理、管理

29、SQL ServerSQL Server登錄帳戶登錄帳戶管理管理SQL ServerSQL Server登錄帳戶的相關(guān)系統(tǒng)存儲(chǔ)過程和登錄帳戶的相關(guān)系統(tǒng)存儲(chǔ)過程和命令有：命令有：nsp_addlogin = CREATE LOGINnsp_droplogin、sp_revokelogin = DROP LOGIN10.3.3 10.3.3 用用T-SQLT-SQL管理管理SQL ServerSQL Server登錄帳戶登錄帳戶34SQL Server 2005返回本節(jié)首頁(yè)1 1）sp_addloginsp_addlogin：創(chuàng)建新的：創(chuàng)建新的 SQL Server SQL Server 登錄，登

30、錄，該登錄允許用戶使用該登錄允許用戶使用 SQL Server SQL Server 身份驗(yàn)證連接到身份驗(yàn)證連接到 SQL Server SQL Server 實(shí)例。實(shí)例。其語(yǔ)法為：其語(yǔ)法為：sp_addlogin loginame=login,passwd =password,defdb=database,deflanguage=language,sid=sid,encryptopt=encryption_option10.3.3 10.3.3 用用T-SQLT-SQL管理管理SQL ServerSQL Server登錄帳戶登錄帳戶35SQL Server 2005返回本節(jié)首頁(yè) 例例10-3

31、 10-3 本例為用戶本例為用戶 Michael Michael 創(chuàng)建創(chuàng)建 SQL Server SQL Server 登錄，密登錄，密碼為碼為 B548bmM%f6B548bmM%f6，默認(rèn)數(shù)據(jù)庫(kù)為，默認(rèn)數(shù)據(jù)庫(kù)為AdventureWorksAdventureWorks，默認(rèn)語(yǔ)言，默認(rèn)語(yǔ)言為為us_englishus_english，SIDSID為為 0 x0123456789ABCDEF0123456789ABCDEF0 x0123456789ABCDEF0123456789ABCDEF。 EXEC sp_addlogin Michael, B548bmM%f6,AdventureWorks

32、,us_english, 0 x0123456789ABCDEF0123456789ABCDEF 改用改用CREATE LOGINCREATE LOGIN首選實(shí)現(xiàn)方法命令為：首選實(shí)現(xiàn)方法命令為： CREATE LOGIN Michael WITH PASSWORD=B548bmM%f6,DEFAULT_DATABASE=AdventureWorks,SID=0 x0123456789ABCDEF0123456789ABCDEF,DEFAULT_LANGUAGE=us_english10.3.3 10.3.3 用用T-SQLT-SQL管理管理SQL ServerSQL Server登錄帳戶登錄帳

33、戶36SQL Server 2005返回本節(jié)首頁(yè)2 2）sp_droploginsp_droplogin：刪除：刪除 SQL Server SQL Server 登錄，禁止以登錄，禁止以該登錄名訪問該登錄名訪問 SQL Server SQL Server 實(shí)例。實(shí)例。其語(yǔ)法：其語(yǔ)法：sp_droplogin loginame=login例例10-4 10-4 本例從本例從SQL ServerSQL Server實(shí)例中刪除實(shí)例中刪除MichaelMichael登錄：登錄：sp_droplogin Michael；改用改用DROP LOGINDROP LOGIN首選實(shí)現(xiàn)方法命令為：首選實(shí)現(xiàn)方法命令

34、為：drop login Michael10.3.3 10.3.3 用用T-SQLT-SQL管理管理SQL ServerSQL Server登錄帳戶登錄帳戶37SQL Server 2005返回本節(jié)首頁(yè)管理登錄的最新管理登錄的最新T-SQLT-SQL命令為：命令為：CREATE LOGINCREATE LOGIN、ALTER LOGINALTER LOGIN、DROP LOGINDROP LOGIN。1 1、CREATE LOGINCREATE LOGIN創(chuàng)建新的SQL Server登錄名。語(yǔ)法為：語(yǔ)法為：CREATE LOGIN login_name WITH | FROM :=WINDOW

35、S WITH ,.|CERTIFICATE certname|ASYMMETRIC KEY asym_key_name10.3.4 10.3.4 管理登錄的最新管理登錄的最新T-SQLT-SQL命令命令38SQL Server 2005返回本節(jié)首頁(yè)例例10-5 10-5 創(chuàng)建映射到憑據(jù)的登錄名創(chuàng)建映射到憑據(jù)的登錄名: : 將創(chuàng)建將創(chuàng)建RLaszloRLaszlo登錄名。此登錄名將映登錄名。此登錄名將映射到射到 LaszloRLaszloR憑據(jù)。憑據(jù)。CREATE LOGIN RLaszlo WITH PASSWORD= 978(*Mmz0KWnkdo26985,CREDENTIAL=Laszl

36、oR例例10-6 10-6 從證書創(chuàng)建登錄名從證書創(chuàng)建登錄名: : 將從將從 master master 中的證書創(chuàng)建中的證書創(chuàng)建 FOgisuFOgisu 登錄名。登錄名。USE MASTER; CREATE CERTIFICATE FOgisuCert09 WITH SUBJECT = FOgisu certificate in master database, EXPIRY_DATE = 02/02/2009; GOCREATE LOGIN FOgisu FROM CERTIFICATE FOgisuCert09;例例10-7 10-7 從從WindowsWindows域帳戶創(chuàng)建登錄名域

37、帳戶創(chuàng)建登錄名: : 將從將從WindowsWindows域帳戶創(chuàng)建域帳戶創(chuàng)建 ADVWORKSfogisuADVWORKSfogisu 登錄名。登錄名。CREATE LOGIN ADVWORKSfogisu FROM WINDOWS10.3.4 10.3.4 管理登錄的最新管理登錄的最新T-SQLT-SQL命令命令39SQL Server 2005返回本節(jié)首頁(yè)2 2、ALTER LOGINALTER LOGIN更改SQL Server登錄帳戶的屬性。語(yǔ)法：語(yǔ)法：ALTER LOGIN login_name | WITH ,. 10.3.4 10.3.4 管理登錄的最新管理登錄的最新T-SQL

38、T-SQL命令命令40SQL Server 2005返回本節(jié)首頁(yè)例例10-8 10-8 啟用已禁用的登錄，本例將啟用啟用已禁用的登錄，本例將啟用 KittiLertKittiLert 登錄：登錄：ALTER LOGIN KittiLert ENABLE;例例10-9 10-9 更改登錄密碼，本例將更改登錄密碼，本例將 KittiLertKittiLert 登錄密碼更改為登錄密碼更改為 3948wJ698FFF73948wJ698FFF7。ALTER LOGIN KittiLert WITH PASSWORD=3948wJ698FFF7;例例10-10 10-10 更改登錄名稱，本例將更改登錄名

39、稱，本例將KittiLertKittiLert 登錄名稱更改為登錄名稱更改為 MacraeSMacraeS。ALTER LOGIN KittiLert WITH NAME=MacraeS;例例10-11 10-11 將登錄名映射到憑據(jù)，本例將登錄名將登錄名映射到憑據(jù)，本例將登錄名MacraeSMacraeS映射到憑據(jù)映射到憑據(jù)Custodian04Custodian04。ALTER LOGIN MacraeS WITH CREDENTIAL=Custodian04;10.3.4 10.3.4 管理登錄的最新管理登錄的最新T-SQLT-SQL命令命令41SQL Server 2005返回本節(jié)首頁(yè)

40、3. 3. 刪除刪除 SQL Server SQL Server 登錄帳戶。登錄帳戶。語(yǔ)法：語(yǔ)法：DROP LOGIN login_name，參數(shù)：參數(shù)：login_name 指定要?jiǎng)h除的登錄名。例例10-12 10-12 將刪除登錄名將刪除登錄名WilliJoWilliJo，命令為：，命令為：DROP LOGIN WilliJo10.3.4 10.3.4 管理登錄的最新管理登錄的最新T-SQLT-SQL命令命令42SQL Server 200510.4 10.4 用戶管理用戶管理 返回本節(jié)首頁(yè) 10.4.1 登錄名與數(shù)據(jù)庫(kù)用戶名的關(guān)系 10.4.2 使用Management Studio管理

41、數(shù)據(jù)庫(kù)用戶 10.4.3 用T-SQL管理數(shù)據(jù)庫(kù)用戶 10.4.4 改變數(shù)據(jù)庫(kù)所有權(quán)43SQL Server 200510.4 10.4 用戶管理用戶管理 返回本節(jié)首頁(yè)n 用戶是基于數(shù)據(jù)庫(kù)的名稱，是和登錄帳戶用戶是基于數(shù)據(jù)庫(kù)的名稱，是和登錄帳戶相關(guān)聯(lián)的。相關(guān)聯(lián)的。n 可以使用Management Studio和系統(tǒng)存儲(chǔ)過程sp_grantdbaccess向數(shù)據(jù)庫(kù)添加用戶。n 只有數(shù)據(jù)庫(kù)所有者及數(shù)據(jù)庫(kù)管理員才有執(zhí)只有數(shù)據(jù)庫(kù)所有者及數(shù)據(jù)庫(kù)管理員才有執(zhí)行系統(tǒng)存儲(chǔ)過程行系統(tǒng)存儲(chǔ)過程sp_grantdbaccesssp_grantdbaccess的權(quán)力的權(quán)力44SQL Server 2005返回本節(jié)首頁(yè)

42、n 登錄名是訪問登錄名是訪問SQL ServerSQL Server的通行證。的通行證。 每個(gè)登錄名的定義存放在master數(shù)據(jù)庫(kù)的表syslogins（登錄名是服務(wù)器級(jí)的）中。 登錄名本身并不能讓用戶訪問服務(wù)器中的數(shù)據(jù)庫(kù)資源。要訪問具體數(shù)據(jù)庫(kù)中的資源，還必須有該數(shù)據(jù)庫(kù)的用戶名。 新的登錄創(chuàng)建以后，才能創(chuàng)建數(shù)據(jù)庫(kù)用戶。n 數(shù)據(jù)庫(kù)用戶用于數(shù)據(jù)庫(kù)權(quán)限的控制。數(shù)據(jù)庫(kù)用戶用于數(shù)據(jù)庫(kù)權(quán)限的控制。 定義信息存放在與其相關(guān)的數(shù)據(jù)庫(kù)的sysusers表（用戶名是數(shù)據(jù)庫(kù)級(jí)的）中的，這個(gè)表包含了該數(shù)據(jù)庫(kù)的所有用戶對(duì)象以及和它們相對(duì)應(yīng)的登錄名的標(biāo)識(shí)。 數(shù)據(jù)庫(kù)用戶在特定的數(shù)據(jù)庫(kù)內(nèi)創(chuàng)建，必須和某個(gè)登錄名相關(guān)聯(lián)。 用戶名

43、沒有密碼和它相關(guān)聯(lián)。 大多數(shù)情況下，用戶名和登錄名使用相同的名稱。10.4.1 10.4.1 登錄名與數(shù)據(jù)庫(kù)用戶名的關(guān)系登錄名與數(shù)據(jù)庫(kù)用戶名的關(guān)系45SQL Server 2005返回本節(jié)首頁(yè)n用戶用一個(gè)登錄名登錄用戶用一個(gè)登錄名登錄SQL ServerSQL Server，以數(shù)據(jù)庫(kù)用戶的身份訪問，以數(shù)據(jù)庫(kù)用戶的身份訪問服務(wù)器上的數(shù)據(jù)庫(kù)。服務(wù)器上的數(shù)據(jù)庫(kù)。登錄帳戶試圖訪問數(shù)據(jù)庫(kù)時(shí)查找登錄帳戶試圖訪問數(shù)據(jù)庫(kù)時(shí)查找sysuserssysusers中對(duì)應(yīng)的用戶名，或者是中對(duì)應(yīng)的用戶名，或者是GuestGuest用戶，找不到將失敗。用戶，找不到將失敗。一個(gè)登錄帳戶可以與服務(wù)器上的所有數(shù)據(jù)庫(kù)進(jìn)行關(guān)聯(lián)，而

44、數(shù)據(jù)庫(kù)用戶一個(gè)登錄帳戶可以與服務(wù)器上的所有數(shù)據(jù)庫(kù)進(jìn)行關(guān)聯(lián)，而數(shù)據(jù)庫(kù)用戶是一個(gè)登錄帳戶在某數(shù)據(jù)庫(kù)中的映射。是一個(gè)登錄帳戶在某數(shù)據(jù)庫(kù)中的映射。一個(gè)登錄帳戶可以映射到不同的數(shù)據(jù)庫(kù)，產(chǎn)生多個(gè)數(shù)據(jù)庫(kù)用戶；但一個(gè)登錄帳戶在一個(gè)數(shù)據(jù)庫(kù)至多只能映射一個(gè)數(shù)據(jù)庫(kù)用戶一個(gè)數(shù)據(jù)庫(kù)用戶只能映射到一個(gè)登錄帳戶。n允許數(shù)據(jù)庫(kù)為每個(gè)用戶對(duì)象分配不同的權(quán)限，這一特性為在組允許數(shù)據(jù)庫(kù)為每個(gè)用戶對(duì)象分配不同的權(quán)限，這一特性為在組內(nèi)分配權(quán)限提供了最大的自由度與可控性。內(nèi)分配權(quán)限提供了最大的自由度與可控性。10.4.1 10.4.1 登錄名與數(shù)據(jù)庫(kù)用戶名的關(guān)系登錄名與數(shù)據(jù)庫(kù)用戶名的關(guān)系46SQL Server 2005返回本節(jié)首頁(yè)n管

45、理數(shù)據(jù)庫(kù)用戶包括對(duì)數(shù)據(jù)庫(kù)用戶的創(chuàng)建、查看、修改、刪管理數(shù)據(jù)庫(kù)用戶包括對(duì)數(shù)據(jù)庫(kù)用戶的創(chuàng)建、查看、修改、刪除等管理操作。除等管理操作。n創(chuàng)建數(shù)據(jù)庫(kù)用戶的兩種方法：創(chuàng)建數(shù)據(jù)庫(kù)用戶的兩種方法：（1）在創(chuàng)建登錄帳戶的同時(shí)指定該登錄帳戶允許訪問的數(shù)據(jù)庫(kù)，同時(shí)生成該登錄帳戶在數(shù)據(jù)庫(kù)中的用戶；（2）先創(chuàng)建登錄帳戶，再將登錄帳戶映射到某數(shù)據(jù)庫(kù)，在其中創(chuàng)建同名用戶名。10.4.2 10.4.2 使用使用Management StudioManagement Studio管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶47SQL Server 2005返回本節(jié)首頁(yè)1 1、在、在Management StudioManagement S

46、tudio中創(chuàng)建數(shù)據(jù)庫(kù)用戶中創(chuàng)建數(shù)據(jù)庫(kù)用戶1）啟動(dòng)Management Studio，分別展開“服務(wù)器”、“數(shù)據(jù)庫(kù)”、“sales”、“安全性”、“用戶”，在“用戶”文件夾下能看到該數(shù)據(jù)庫(kù)的已有用戶；2）右擊“用戶”文件夾，選擇“新建數(shù)據(jù)庫(kù)用戶”，彈出出“數(shù)據(jù)庫(kù)用戶-新建”對(duì)話框；3）輸入要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)用戶的名字，然后在“登錄名”對(duì)應(yīng)的文本框中輸入相對(duì)應(yīng)的登錄名，或點(diǎn)擊“瀏覽”按鈕，在系統(tǒng)中選擇相應(yīng)的登錄名；4）按“確定”按鈕，將新創(chuàng)建的數(shù)據(jù)庫(kù)用戶添加到數(shù)據(jù)庫(kù)中。10.4.2 10.4.2 使用使用Management StudioManagement Studio管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶

47、48SQL Server 200510.4.2 10.4.2 使用使用Management StudioManagement Studio管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶49SQL Server 2005返回本節(jié)首頁(yè) 2 2、在、在Management StudioManagement Studio中查看、修改或刪除數(shù)據(jù)中查看、修改或刪除數(shù)據(jù)庫(kù)用戶庫(kù)用戶1）啟動(dòng)Management Studio，分別展開“服務(wù)器”、“數(shù)據(jù)庫(kù)”、“sales”、“安全性”、“用戶”，在“用戶”文件夾下能看到該數(shù)據(jù)庫(kù)的已有用戶；2）右擊某要操作的用戶，在系統(tǒng)彈出的快捷菜單中含有“屬性”、“刪除”等菜單項(xiàng)；3）若按“屬

48、性”菜單項(xiàng)，可以查看或修改用戶的權(quán)限信息，如“常規(guī)”中的“擁有架構(gòu)”、“角色成員”；“安全對(duì)象”中的具體權(quán)限設(shè)置及“擴(kuò)展屬性”等；4）若按“刪除”菜單項(xiàng)，可從數(shù)據(jù)庫(kù)中刪除該用戶。10.4.2 10.4.2 使用使用ManagementStudioManagementStudio管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶50SQL Server 2005返回本節(jié)首頁(yè) 利用利用T-SQLT-SQL命令對(duì)數(shù)據(jù)庫(kù)用戶同樣有創(chuàng)建、查看、命令對(duì)數(shù)據(jù)庫(kù)用戶同樣有創(chuàng)建、查看、修改、刪除等操作方法。修改、刪除等操作方法。主要使用到的主要使用到的T-SQLT-SQL命令有命令有nCREATE USER、nALTER USER、

49、nDROP USER等。10.4.3 10.4.3 用用T-SQLT-SQL管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶51SQL Server 2005返回本節(jié)首頁(yè)1 1、用、用CREATE USERCREATE USER語(yǔ)句創(chuàng)建數(shù)據(jù)庫(kù)用戶語(yǔ)句創(chuàng)建數(shù)據(jù)庫(kù)用戶CREATE USER user_name FOR | FROM LOGIN login_name | CERTIFICATE cert_name | ASYMMETRIC KEY asym_key_name | WITHOUT LOGIN WITH DEFAULT_SCHEMA = schema_name 注意：注意：n不能使用 CREATE USER

50、 創(chuàng)建 guest 用戶，因?yàn)槊總€(gè)數(shù)據(jù)庫(kù)中均已存在 guest 用戶。n可通過授予 guest 用戶 CONNECT 權(quán)限來啟用該用戶：GRANT CONNECT TO GUESTn可以在sys.database_principals目錄視圖中查看有關(guān)數(shù)據(jù)庫(kù)用戶的信息。10.4.3 10.4.3 用用T-SQLT-SQL管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶52SQL Server 2005返回本節(jié)首頁(yè)例例10-13 10-13 創(chuàng)建數(shù)據(jù)庫(kù)用戶：創(chuàng)建名為創(chuàng)建數(shù)據(jù)庫(kù)用戶：創(chuàng)建名為 AbolrousHazemAbolrousHazem 且具有密碼的服務(wù)器登錄名，然后在且具有密碼的服務(wù)器登錄名，然后在 Adv

51、entureWorksAdventureWorks 中創(chuàng)建對(duì)應(yīng)的數(shù)據(jù)庫(kù)用戶中創(chuàng)建對(duì)應(yīng)的數(shù)據(jù)庫(kù)用戶AbolrousHazemAbolrousHazem。CREATE LOGIN AbolrousHazem WITH PASSWORD = 340$Uuxwp7Mcxo7Khy; USE AdventureWorks; CREATE USER AbolrousHazem10.4.3 10.4.3 用用T-SQLT-SQL管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶53SQL Server 2005返回本節(jié)首頁(yè)2 2、用、用ALTER USERALTER USER語(yǔ)句創(chuàng)建數(shù)據(jù)庫(kù)用戶語(yǔ)句創(chuàng)建數(shù)據(jù)庫(kù)用戶ALTER USE

52、R user_name WITH ,.n := NAME = new_user_name | DEFAULT_SCHEMA = schema_name 例例10-16 10-16 更改數(shù)據(jù)庫(kù)用戶的名稱，本例將數(shù)據(jù)庫(kù)用戶更改數(shù)據(jù)庫(kù)用戶的名稱，本例將數(shù)據(jù)庫(kù)用戶AbolrousHazemAbolrousHazem的名稱更改為的名稱更改為 AbolrousAbolrous。 ALTER USER AbolrousHazem WITH NAME=Abolrous 例例10-17 10-17 更改用戶的默認(rèn)架構(gòu)，本例將用戶更改用戶的默認(rèn)架構(gòu)，本例將用戶AbolrousAbolrous的默認(rèn)的默認(rèn)架構(gòu)更改為

53、架構(gòu)更改為PurchasingPurchasing。 ALTER USER Abolrous WITH DEFAULT_SCHEMA=Purchasing;10.4.3 10.4.3 用用T-SQLT-SQL管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶54SQL Server 2005返回本節(jié)首頁(yè)3 3、數(shù)據(jù)庫(kù)中刪除數(shù)據(jù)庫(kù)用戶。、數(shù)據(jù)庫(kù)中刪除數(shù)據(jù)庫(kù)用戶。sp_revokedbaccess name_in_db=name 例例10-18 10-18 本例從當(dāng)前數(shù)據(jù)庫(kù)中刪除映射到本例從當(dāng)前數(shù)據(jù)庫(kù)中刪除映射到EdmondsLolanSoEdmondsLolanSo的數(shù)據(jù)庫(kù)用戶。的數(shù)據(jù)庫(kù)用戶。 EXEC sp_rev

54、okedbaccess EdmondsLolanSo;但請(qǐng)避免在新的開發(fā)工作中使用sp_revokedbaccessp_revokedbaccess 命令，因?yàn)楹罄m(xù)版本中將不再支持它了，請(qǐng)改用DROP USERDROP USER。10.4.3 10.4.3 用用T-SQLT-SQL管理數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶55SQL Server 2005返回本節(jié)首頁(yè)n在在SQL Server 2005SQL Server 2005中，可以更改當(dāng)前數(shù)據(jù)庫(kù)的所有者。中，可以更改當(dāng)前數(shù)據(jù)庫(kù)的所有者。任何可以訪問到SQL Server 的連接的用戶(SQL Server登錄帳戶或Windows用戶)都可成為數(shù)據(jù)庫(kù)

55、的所有者。無法更改系統(tǒng)數(shù)據(jù)庫(kù)的所有權(quán)。sp_changedbowner loginame=login,map=remap_alias_flag 10.4.4 10.4.4 改變數(shù)據(jù)庫(kù)所有權(quán)改變數(shù)據(jù)庫(kù)所有權(quán)56SQL Server 2005返回本節(jié)首頁(yè)例例10-19 10-19 本例將登錄名本例將登錄名U1U1作為當(dāng)前數(shù)據(jù)庫(kù)的所有者，并映射到作為當(dāng)前數(shù)據(jù)庫(kù)的所有者，并映射到已分配給舊的數(shù)據(jù)庫(kù)所有者的已分配給舊的數(shù)據(jù)庫(kù)所有者的 U1U1現(xiàn)有別名?，F(xiàn)有別名。 EXEC sp_changedbowner U1； - 當(dāng)前數(shù)據(jù)庫(kù)的所有者改為U1 go sp_helpuser； - 查看數(shù)據(jù)庫(kù)用戶及所有者

56、情況 EXEC sp_changedbowner sa -當(dāng)前數(shù)據(jù)庫(kù)的所有者改還為sa(設(shè)原為sa)10.4.4 10.4.4 改變數(shù)據(jù)庫(kù)所有權(quán)改變數(shù)據(jù)庫(kù)所有權(quán)57SQL Server 200510.5 10.5 角色管理角色管理 返回本節(jié)首頁(yè) 10.5.1 public角色 10.5.2 固定服務(wù)器角色 10.5.3 數(shù)據(jù)庫(kù)角色 10.5.4 用戶定義的角色 10.5.5 應(yīng)用程序角色58SQL Server 200510.5 10.5 角色管理角色管理 返回本節(jié)首頁(yè)nSQL Server 2005數(shù)據(jù)庫(kù)管理系統(tǒng)利用角色設(shè)置，管理用戶的權(quán)限，大大減少了管理員的工作量。n角色的使用與Windo

57、ws組的使用很相似。n通過角色，可以將用戶集中到一個(gè)單元中，然后對(duì)這個(gè)單元應(yīng)用權(quán)限。對(duì)角色授予、拒絕或吊銷權(quán)限時(shí)，將對(duì)其中的所有成員生效。n角色可以嵌套。嵌套的深度沒有限制，但不允許循環(huán)嵌套。n數(shù)據(jù)庫(kù)用戶可以同時(shí)是多個(gè)角色的成員。59SQL Server 2005返回本節(jié)首頁(yè)npublic角色在每個(gè)數(shù)據(jù)庫(kù)（包括系統(tǒng)數(shù)據(jù)庫(kù)master、msdb、tempdb和model）中都存在，它也是數(shù)據(jù)庫(kù)角色成員。nPublic角色供提供數(shù)據(jù)庫(kù)中用戶的默認(rèn)權(quán)限，不能刪除。其功能相當(dāng)于Windows環(huán)境中的Everyone組。n每個(gè)數(shù)據(jù)庫(kù)用戶都自動(dòng)是此角色的成員，因此，無法在此角色中添加或刪除用戶。n當(dāng)尚未對(duì)

58、某個(gè)用戶授予或拒絕對(duì)安全對(duì)象的特定權(quán)限時(shí)，則該用戶將繼承授予該安全對(duì)象在public角色中對(duì)應(yīng)的權(quán)限。10.5.1 public10.5.1 public角色角色60SQL Server 2005返回本節(jié)首頁(yè) 固定服務(wù)器角色的作用域在服務(wù)器范圍內(nèi)。它們存在于數(shù)據(jù)庫(kù)之外，固定服務(wù)器角色的每個(gè)成員都能夠向該角色中添加其它登錄。 打開Management Studio，用鼠標(biāo)單擊“對(duì)象資源管理器”窗口中某數(shù)據(jù)庫(kù)引擎的“安全性”目錄下的“服務(wù)器角色”，顯示當(dāng)前數(shù)據(jù)庫(kù)服務(wù)器的所有服務(wù)器角色，共有8個(gè)，具體名稱及角色描述如下： 1)Bulkadmin：固定服務(wù)器角色的成員可以運(yùn)行 BULK INSERT

59、語(yǔ)句。 2)Dbcreator：固定服務(wù)器角色的成員可以創(chuàng)建、更改、刪除和還原任何數(shù)據(jù)庫(kù)。 3)diskadmin：固定服務(wù)器角色用于管理磁盤文件。 4)Processadmin：固定服務(wù)器角色的成員可以終止 SQL Server 實(shí)例中運(yùn)行的進(jìn)程。 5)securityadmin：固定服務(wù)器角色的成員將管理登錄名及其屬性。它們可以GRANT、DENY和REVOKE服務(wù)器級(jí)權(quán)限。也可以GRANT、DENY和REVOKE 數(shù)據(jù)庫(kù)級(jí)權(quán)限。另外，它們可以重置SQL Server登錄名的密碼。 6)serveradmin：固定服務(wù)器角色的成員可以更改服務(wù)器范圍的配置選項(xiàng)和關(guān)閉服務(wù)器。 7)setupa

60、dmin：固定服務(wù)器角色的成員可以添加和刪除鏈接服務(wù)器，并且也可以執(zhí)行某些系統(tǒng)存儲(chǔ)過程。 8)Sysadmin：固定服務(wù)器角色的成員可以在服務(wù)器中執(zhí)行任何活動(dòng)。默認(rèn)情況下，Windows BUILTINAdministrators組（本地管理員組）的所有成員都是sysadmin固定服務(wù)器角色的成員。10.5.2 10.5.2 固定服務(wù)器角色固定服務(wù)器角色61SQL Server 2005返回本節(jié)首頁(yè) 1 1、固定服務(wù)器角色的權(quán)限、固定服務(wù)器角色的權(quán)限n 固定服務(wù)器角色可以映射到SQL Server 2005包括的更為具體的權(quán)限。下表說明了固定服務(wù)器角色與權(quán)限的映射。固定服務(wù)器角色服務(wù)器級(jí)權(quán)限b