為便於管理資料庫中的許可權,SQL Server 提供了若干“角色”,這些角色是用於分組其他主體的安全性主體。它們類似於 Microsoft Windows 作業系統中的組。資料庫級角色的許可權範圍為資料庫範圍。SQL Server 中有兩種類型的資料庫級角色:資料庫中預定義的“固定資料庫角色”和您可以建立的“靈活資料庫角色”。
固定資料庫角色是在資料庫層級定義的,並且存在於每個資料庫中。db_owner 和 db_securityadmin 資料庫角色的成員可以管理固定資料庫角色成員資格。但是,只有 db_owner 資料庫角色的成員能夠向db_owner 固定資料庫角色中新增成員。msdb 資料庫中還有一些特殊用途的固定資料庫角色。您可以向資料庫級角色中添加任何資料庫帳戶和其他SQL Server 角色。固定資料庫角色的每個成員都可向同一個角色添加其他登入名稱。
資料庫層級的角色名稱及說明
db_owner 固定資料庫角色的成員可以執行資料庫的所有配置和維護活動,還可以刪除資料庫。
db_securityadmin 固定資料庫角色的成員可以修改角色成員資格和系統管理權限。向此角色中添加主體可能會導致意外的許可權升級。
db_accessadmin 固定資料庫角色的成員可以為 Windows 登入名稱、Windows 組和 SQL Server 登入名添加或刪除資料庫存取權限。
db_backupoperator 固定資料庫角色的成員可以備份資料庫。
db_ddladmin 固定資料庫角色的成員可以在資料庫中運行任何資料定義語言 (Data Definition Language) (DDL) 命令。
db_datawriter 固定資料庫角色的成員可以在所有使用者表中添加、刪除或更改資料。
db_datareader 固定資料庫角色的成員可以從所有使用者表中讀取所有資料。
db_denydatawriter 固定資料庫角色的成員不能添加、修改或刪除資料庫內使用者表中的任何資料。
db_denydatareader 固定資料庫角色的成員不能讀取資料庫內使用者表中的任何資料。
有關資料庫級固定角色許可權的特定資訊,請參閱固定資料庫角色的許可權(資料庫引擎)。
msdb 角色名稱及說明
db_ssisadmin
db_ssisoperator
db_ssisltduser
這些資料庫角色的成員可以管理和使用SSIS。從早期版本升級的 SQL Server 執行個體可能包含使用 Data Transformation Services (DTS)(而不是 SSIS)命名的舊版本角色。有關詳細資料,請參閱使用 Integration Services 角色。
dc_admin
dc_operator
dc_proxy
這些資料庫角色的成員可以管理和使用資料收集器。有關詳細資料,請參閱資料收集器的安全性。
PolicyAdministratorRole
db_ PolicyAdministratorRole 資料庫角色的成員可以對原則式管理策略和條件執行所有配置和維護活動。有關詳細資料,請參閱使用原則式管理來管理伺服器。
ServerGroupAdministratorRole
ServerGroupReaderRole
這些資料庫角色的成員可以管理和使用註冊的伺服器組。有關詳細資料,請參閱建立伺服器組。
重要提示:
db_ssisadmin 角色和 dc_admin 角色的成員也許可以將其許可權提升到sysadmin。之所以會發生此許可權提升,是因為這些角色可以修改Integration Services 包,而 SQL Server 可以使用SQL Server Agent的sysadmin 安全上下文來執行Integration Services 包。若要防止在運行維護計劃、資料收集組和其他 Integration Services 包時出現此許可權提升,請將運行包的 SQL Server Agent作業配置為使用擁有有限許可權的Proxy 帳戶,或只將 sysadmin 成員添加到 db_ssisadmin 和dc_admin 角色。
使用伺服器級角色
sp_helpdbfixedrole (Transact-SQL) → 中繼資料 → 返回固定資料庫角色的列表。
sp_dbfixedrolepermission (Transact-SQL) → 中繼資料 → 顯示固定資料庫角色的許可權。
sp_helprole (Transact-SQL) → 中繼資料 → 返回當前資料庫中有關角色的資訊。
sp_helprolemember (Transact-SQL) → 中繼資料 → 返回有關當前資料庫中某個角色的成員的資訊。
sys.database_role_members (Transact-SQL) → 中繼資料 → 為每個資料庫角色的每個成員返回一行。
IS_MEMBER (Transact-SQL) → 中繼資料 → 指示目前使用者是否為指定 Microsoft Windows 組或 Microsoft SQL Server 資料庫角色的成員。
CREATE ROLE (Transact-SQL) → 命令 → 在當前資料庫中建立新的資料庫角色。
ALTER ROLE (Transact-SQL) → 命令 → 更改資料庫角色的名稱。
DROP ROLE (Transact-SQL) → 命令從資料庫中刪除角色。
sp_addrole (Transact-SQL) → 命令 → 在當前資料庫中建立新的資料庫角色。
sp_droprole (Transact-SQL) → 命令 → 從當前資料庫中刪除資料庫角色。
sp_addrolemember (Transact-SQL) → 命令 → 為當前資料庫中的資料庫角色添加資料庫使用者、資料庫角色、Windows 登入名稱或 Windows 組。
sp_droprolemember (Transact-SQL) → 命令 → 從當前資料庫的 SQL Server 角色中刪除安全帳戶。
public 資料庫角色
每個資料庫使用者都屬於public 資料庫角色。如果未向某個使用者授予或拒絕對安全性實體的特定許可權時,該使用者將繼承授予該對象的public 角色的許可權。
本文就介紹到這裡,由於本人水平有限,若文中有描述不當的地方,歡迎各位批評指正。謝謝了。
本文轉自:http://database.51cto.com/art/201107/276065.htm