热门标签
热门文章
- 17月热门论文丨Llama 2开源横扫大模型世界,AI自己开发软件,Transformer扩展至10亿Token_optimized network architectures for large language
- 2Docker安装Rabbitmq超详细教程_宝塔docker 运行rabbitmq使用教程
- 3揭秘!AI绘画高薪岗位,掌握这十大变现法门,轻松上手赚钱
- 4车载测试常用ADB命令大全(200条)
- 5工业人工智能系统框架、关键技术、典型应用与发展趋势_人工智能原理框架系统
- 6四 蓝牙低功耗(BLE)协议栈 之 L2CAP层_ble l2cap
- 7【腾讯云 TDSQL-C Serverless 产品体验】TDSQL-C MySQL Serverless助力企业降本增效直播读后感_serverless数据库
- 8C语言的中常用的函数_c语言常用函数
- 9《微积分基础》学习(一)_微积分入门
- 10MS SQL Server STUFF 函数实战 统计记录行转为列显示
当前位置: article > 正文
在SQL Server中创建用户角色及授权_sqlserve使用grant语句来授权的用户怎么与用户表关联
作者:笔触狂放9 | 2024-04-09 02:04:38
赞
踩
sqlserve使用grant语句来授权的用户怎么与用户表关联
转载自:
http://database.51cto.com/art/201009/224075.htm
要想成功访问 SQL Server 数据库中的数据, 我们需要两个方面的授权:
- 获得准许连接 SQL Server 服务器的权利;
- 获得访问特定数据库中数据的权利(select, update, delete, create table ...)。
假设,我们准备建立一个 dba 数据库帐户,用来管理数据库 mydb。
1. 首先在 SQL Server 服务器级别,创建登陆帐户(create login)
- --创建登陆帐户(create login)
- create login dba with password='abcd1234@', default_database=mydb
登陆帐户名为:“dba”,登陆密码:abcd1234@”,默认连接到的数据库:“mydb”。 这时候,dba 帐户就可以连接到 SQL Server 服务器上了。但是此时还不能 访问数据库中的对象(严格的说,此时 dba 帐户默认是 guest 数据库用户身份, 可以访问 guest 能够访问的数据库对象)。
要使 dba 帐户能够在 mydb 数据库中访问自己需要的对象, 需要在数据库 mydb 中建立一个“数据库用户”,赋予这个“数据库用户” 某些访问权限,并且把登陆帐户“dba” 和这个“数据库用户” 映射起来。 习惯上,“数据库用户” 的名字和 “登陆帐户”的名字相同,即:“dba”。 创建“数据库用户”和建立映射关系只需要一步即可完成:
2. 创建数据库用户(create user):
- --为登陆账户创建数据库用户(create user),在mydb数据库中的security中的user下可以找到新创建的dba
- create user dba for login dba with default_schema=dbo
并指定数据库用户“dba” 的默认 schema 是“dbo”。这意味着 用户“dba” 在执行“select * from t”,实际上执行的是 “select * from dbo.t”。
3. 通过加入数据库角色,赋予数据库用户“dba”权限:
- --通过加入数据库角色,赋予数据库用户“db_owner”权限
- exec sp_addrolemember 'db_owner', 'dba'
此时,dba 就可以全权管理数据库 mydb 中的对象了。
如果想让 SQL Server 登陆帐户“dba”访问多个数据库,比如 mydb2。 可以让 sa 执行下面的语句:
- --让 SQL Server 登陆帐户“dba”访问多个数据库
- use mydb2
- go
- create user dba for login dba with default_schema=dbo
- go
- exec sp_addrolemember 'db_owner', 'dba'
- go
此时,dba 就可以有两个数据库 mydb, mydb2 的管理权限了!
完整的代码示例
- --创建数据库mydb和mydb2
-
- --在mydb和mydb2中创建测试表,默认是dbo这个schema
- CREATE TABLE DEPT
- (DEPTNO int primary key,
- DNAME VARCHAR(14),
- LOC VARCHAR(13) );
-
- --插入数据
- INSERT INTO DEPT VALUES (101, 'ACCOUNTING', 'NEW YORK');
- INSERT INTO DEPT VALUES (201, 'RESEARCH', 'DALLAS');
- INSERT INTO DEPT VALUES (301, 'SALES', 'CHICAGO');
- INSERT INTO DEPT VALUES (401, 'OPERATIONS', 'BOSTON');
-
-
- --查看数据库schema, user 的存储过程
- select * from sys.database_principals
- select * from sys.schemas
- select * from sys.server_principals
-
- --创建登陆帐户(create login)
- create login dba with password='abcd1234@', default_database=mydb
-
- --为登陆账户创建数据库用户(create user),在mydb数据库中的security中的user下可以找到新创建的dba
- create user dba for login dba with default_schema=dbo
-
- --通过加入数据库角色,赋予数据库用户“db_owner”权限
- exec sp_addrolemember 'db_owner', 'dba'
-
- --让 SQL Server 登陆帐户“dba”访问多个数据库
- use mydb2
- go
- create user dba for login dba with default_schema=dbo
- go
- exec sp_addrolemember 'db_owner', 'dba'
- go
-
- --禁用登陆帐户
- alter login dba disable
- --启用登陆帐户
- alter login dba enable
-
- --登陆帐户改名
- alter login dba with name=dba_tom
-
- --登陆帐户改密码:
- alter login dba with password='aabb@ccdd'
-
- --数据库用户改名:
- alter user dba with name=dba_tom
-
- --更改数据库用户 defult_schema:
- alter user dba with default_schema=sales
-
- --删除数据库用户:
- drop user dba
-
- --删除 SQL Server登陆帐户:
- drop login dba
使用存储过程来完成用户创建
下面一个实例来说明在sqlserver中如何使用存储过程创建角色,重建登录,以及如何为登录授权等问题。
- /*--示例说明
- 示例在数据库InsideTSQL2008中创建一个拥有表HR.Employees的所有权限、拥有表Sales.Orders的SELECT权限的角色r_test
- 随后创建了一个登录l_test,然后在数据库InsideTSQL2008中为登录l_test创建了用户账户u_test
- 同时将用户账户u_test添加到角色r_test中,使其通过权限继承获取了与角色r_test一样的权限
- 最后使用DENY语句拒绝了用户账户u_test对表HR.Employees的SELECT权限。
- 经过这样的处理,使用l_test登录SQL Server实例后,它只具有表Sales.Orders的select权限和对表HR.Employees出select外的所有权限。
- --*/
-
-
- USE InsideTSQL2008
-
- --创建角色 r_test
- EXEC sp_addrole 'r_test'
-
- --添加登录 l_test,设置密码为pwd,默认数据库为pubs
- EXEC sp_addlogin 'l_test','a@cd123','InsideTSQL2008'
-
- --为登录 l_test 在数据库 pubs 中添加安全账户 u_test
- EXEC sp_grantdbaccess 'l_test','u_test'
-
- --添加 u_test 为角色 r_test 的成员
- EXEC sp_addrolemember 'r_test','u_test'
-
-
- --用l_test登陆,发现在SSMS中找不到仍和表,因此执行下述两条语句出错。
- select * from Sales.Orders
- select * from HR.Employees
-
- --授予角色 r_test 对 HR.Employees 表的所有权限
- GRANT ALL ON HR.Employees TO r_test
- --The ALL permission is deprecated and maintained only for compatibility.
- --It DOES NOT imply ALL permissions defined on the entity.
- --ALL 权限已不再推荐使用,并且只保留用于兼容性目的。它并不表示对实体定义了 ALL 权限。
-
- --测试可以查询表HR.Employees,但是Sales.Orders无法查询
- select * from HR.Employees
-
-
- --如果要收回权限,可以使用如下语句。(可选择执行)
- revoke all on HR.Employees from r_test
- --ALL 权限已不再推荐使用,并且只保留用于兼容性目的。它并不表示对实体定义了 ALL 权限。
-
-
- --授予角色 r_test 对 Sales.Orders 表的 SELECT 权限
- GRANT SELECT ON Sales.Orders TO r_test
-
- --用l_test登陆,发现可以查询Sales.Orders和HR.Employees两张表
- select * from Sales.Orders
- select * from HR.Employees
-
- --拒绝安全账户 u_test 对 HR.Employees 表的 SELECT 权限
- DENY SELECT ON HR.Employees TO u_test
-
- --再次执行查询HR.Employees表的语句,提示:拒绝了对对象 'Employees' (数据库 'InsideTSQL2008',架构 'HR')的 SELECT 权限。
- select * from HR.Employees
-
- --重新授权
- GRANT SELECT ON HR.Employees TO u_test
-
- --再次查询,可以查询出结果。
- select * from HR.Employees
-
-
- USE InsideTSQL2008
- --从数据库中删除安全账户,failed
- EXEC sp_revokedbaccess 'u_test'
- --删除角色 r_test,failed
- EXEC sp_droprole 'r_test'
- --删除登录 l_test,success
- EXEC sp_droplogin 'l_test'
revoke 与 deny的区别
revoke:收回之前被授予的权限
deny:拒绝给当前数据库内的安全帐户授予权限并防止安全帐户通过其组或角色成员资格继承权限。比如UserA所在的角色组有inset权限,但是我们Deny UserA使其没有insert权限,那么以后即使UserA再怎么到其他含有Insert的角色组中去,还是没有insert权限,除非该用户被显示授权。
简单来说,deny就是将来都不许给,revoke就是收回已经给予的。
实例
- GRANT INSERT ON TableA TO RoleA
- GO
- EXEC sp_addrolemember RoleA, 'UserA' -- 用户UserA将有TableA的INSERT权限
- GO
-
- REVOKE INSERT ON TableA FROM RoleA -- 用户UserA将没有TableA的INSERT权限,收回权限
- GO
-
- GRANT INSERT ON TableA TORoleA --重新给RoleA以TableA的INSERT权限
- GO
-
- DENY INSERT ON TableA TO UserA -- 虽然用户UserA所在RoleA有TableA的INSERT权限,但UserA本身被DENY了,所以用户UserA将没有TableA的INSERT权限。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/389576
推荐阅读
相关标签
