sql server角色成員資格許可權)

from：http://www.lao8.org/html/8/2009-7-19/2009719130148.html

 

各個角色是對應不同許可權的，sql server中有很多許可權，可以把這些許可權組合或單獨賦給各個角色，從而使不同角色的使用者的許可權不同，你列出的都是內建角色。你看看下面這些對你有沒有協助，希望你解決你的問題。

為便於管理資料庫中的許可權，SQL Server 提供了若干“角色”，這些角色是用於分組其他主體的安全性主體。它們類似於 Microsoft Windows 作業系統中的組。資料庫級角色的許可權範圍為資料庫範圍。

SQL Server 中有兩種類型的資料庫級角色：資料庫中預定義的“固定資料庫角色”和您可以建立的“靈活資料庫角色”。

固定資料庫角色是在資料庫層級定義的，並且存在於每個資料庫中。db_owner 和 db_securityadmin 資料庫角色的成員可以管理固定資料庫角色成員資格。但是，只有 db_owner 資料庫角色的成員能夠向 db_owner 固定資料庫角色中新增成員。msdb 資料庫中還有一些特殊用途的固定資料庫角色。

您可以向資料庫級角色中添加任何資料庫帳戶和其他 SQL Server 角色。固定資料庫角色的每個成員都可向同一個角色添加其他登入名稱。

重要提示：

請不要將靈活資料庫角色添加為固定角色的成員。這會導致意外的許可權升級。

下表顯示了固定資料庫級角色及其能夠執行的操作。所有資料庫中都有這些角色。

資料庫層級的角色名稱及說明
db_owner 固定資料庫角色的成員可以執行資料庫的所有配置和維護活動，還可以刪除資料庫。

db_securityadmin 固定資料庫角色的成員可以修改角色成員資格和系統管理權限。向此角色中添加主體可能會導致意外的許可權升級。

db_accessadmin 固定資料庫角色的成員可以為 Windows 登入名稱、Windows 組和 SQL Server 登入名添加或刪除資料庫存取權限。

db_backupoperator 固定資料庫角色的成員可以備份資料庫。

db_ddladmin 固定資料庫角色的成員可以在資料庫中運行任何資料定義語言 (Data Definition Language) (DDL) 命令。

db_datawriter 固定資料庫角色的成員可以在所有使用者表中添加、刪除或更改資料。

db_datareader 固定資料庫角色的成員可以從所有使用者表中讀取所有資料。

db_denydatawriter 固定資料庫角色的成員不能添加、修改或刪除資料庫內使用者表中的任何資料。

db_denydatareader 固定資料庫角色的成員不能讀取資料庫內使用者表中的任何資料。

有關資料庫級固定角色許可權的特定資訊，請參閱固定資料庫角色的許可權（資料庫引擎）。

msdb 角色 msdb 資料庫中包含下表顯示的特殊用途的角色。

msdb 角色名稱及說明

• db_ssisadmin
• db_ssisoperator
• db_ssisltduser

這些資料庫角色的成員可以管理和使用 SSIS。從早期版本升級的 SQL Server 執行個體可能包含使用 Data Transformation Services (DTS)（而不是 SSIS）命名的舊版本角色。有關詳細資料，請參閱 使用 Integration Services 角色。

• dc_admin
• dc_operator
• dc_proxy

這些資料庫角色的成員可以管理和使用資料收集器。有關詳細資料，請參閱資料收集器的安全性。

• PolicyAdministratorRole

db_ PolicyAdministratorRole 資料庫角色的成員可以對原則式管理策略和條件執行所有配置和維護活動。有關詳細資料，請參閱使用原則式管理來管理伺服器。

• ServerGroupAdministratorRole
• ServerGroupReaderRole

這些資料庫角色的成員可以管理和使用註冊的伺服器組。有關詳細資料，請參閱建立伺服器組。

重要提示：

db_ssisadmin 角色和 dc_admin 角色的成員也許可以將其許可權提升到 sysadmin。之所以會發生此許可權提升，是因為這些角色可以修改 Integration Services 包，而 SQL Server 可以使用 SQL Server Agent的 sysadmin 安全上下文來執行 Integration Services 包。若要防止在運行維護計劃、資料收集組和其他 Integration Services 包時出現此許可權提升，請將運行包的 SQL Server Agent作業配置為使用擁有有限許可權的Proxy 帳戶，或只將 sysadmin 成員添加到 db_ssisadmin 和 dc_admin 角色。

使用伺服器級角色

下表說明了用於伺服器級角色的命令、視圖和函數。

功能 類型 說明

• sp_helpdbfixedrole (Transact-SQL)   →  中繼資料   →  返回固定資料庫角色的列表。
• sp_dbfixedrolepermission (Transact-SQL)   →  中繼資料   →  顯示固定資料庫角色的許可權。
• sp_helprole (Transact-SQL)   →  中繼資料   →  返回當前資料庫中有關角色的資訊。
• sp_helprolemember (Transact-SQL)   →  中繼資料   →  返回有關當前資料庫中某個角色的成員的資訊。
• sys.database_role_members (Transact-SQL)   →  中繼資料   →  為每個資料庫角色的每個成員返回一行。
• IS_MEMBER (Transact-SQL)   →  中繼資料   →  指示目前使用者是否為指定 Microsoft Windows 組或 Microsoft SQL Server 資料庫角色的成員。
• CREATE ROLE (Transact-SQL)   →  命令   →  在當前資料庫中建立新的資料庫角色。
• ALTER ROLE (Transact-SQL)   →  命令   →  更改資料庫角色的名稱。
• DROP ROLE (Transact-SQL)    →  命令從資料庫中刪除角色。
• sp_addrole (Transact-SQL)   →  命令   →  在當前資料庫中建立新的資料庫角色。
• sp_droprole (Transact-SQL)   →  命令   →  從當前資料庫中刪除資料庫角色。
• sp_addrolemember (Transact-SQL)   →  命令   →  為當前資料庫中的資料庫角色添加資料庫使用者、資料庫角色、Windows 登入名稱或 Windows 組。
• sp_droprolemember (Transact-SQL)   →  命令   →  從當前資料庫的 SQL Server 角色中刪除安全帳戶。

public 資料庫角色

每個資料庫使用者都屬於 public 資料庫角色。如果未向某個使用者授予或拒絕對安全性實體的特定許可權時，該使用者將繼承授予該對象的 public 角色的許可權。