用户账户及角色权限管理

一.SQL Server的安全机制

SQL Server的整个安全体系结构从顺序上可以分为认证和授权两个部分，其安全机制可以分为5个层级。
（1）客户机安全机制
（2）网络传输的安全机制
（3）实例级别安全机制
（4）数据库级别安全机制
（5）对象级别安全机制
这些层级由高到低，所有的层级之间相互联系，用户只有用过了高一层的安全验证，才能继续访问数据库中低一层级的内容。

二.与数据库安全相关的对象

在SQL Server中，与数据库安全相关的对象主要有用户、角色、权限等，只有了解了这些对象的作用，才能灵活地设置和使用这些对象，从而提高数据库的安全性。
（1）数据库用户
能够使用数据库的用户，可以为不同数据库设置不同的用户，从而提高数据库访问的安全性。
（2）用户权限
通过给用户权限，每个数据库用户对回有不同的访问权限，如：用户只能查询不能更新数据。用户权限主要分为系统权限和对象权限两种。系统权限是指在某个数据库上执行某些操作的权限，或针对某一类对象进行操作的权限，对象权限主要是针对数据库对象执行某些操作的权限，如对表的增删改查等。
（3）角色
角色相当于Windows操作系统中的用户组，可以集中管理数据库或服务器的权限。使用角色具有以下有点。

• 权限管理更方便。将角色赋予多个用户，实现不同用户相同的授权。如果需要修改这些用户的权限，只需修改角色即可。
• 角色权限可以激活和关闭。
• 提高性能，使用角色减少了数据字典中授权记录的数量，通过关闭角色使得在语句执行过程中减少了权限的确认。

（4）数据库对象
数据库对象包括表、索引、视图、触发器、规则和存储过程，创建数据库对象的用户是数据库对象的所有者，数据库对象可以授予其他用户使用其拥有对象的权力。
（5）系统管理员
系统管理员是负责管理SQL Server全面性能和综合应用的管理员，简称sa。系统管理员的工作包括安装SQL Server、配置服务器、管理和监视磁盘空间、内存和连接的使用、创建设备和数据库、确认用户和授权许可等。
（6）许可系统
使用许可可以增加SQL Server数据库的安全性，SQL Server许可系统指定那些用户被授予使用那些数据库对象的操作，指定许可的能力由每个用户的状态决定。

三.登陆账户的管理

1.创建登陆账户

--需要在本地用户和组中创建DataBaseAdmin这个用户，才能在数据库该登陆用户
CREATE LOGIN [DESKTOP-D17RDQA\DataBaseAdmin] FROM WINDOWS
WITH DEFAULT_DATABASE=my_db;
--创建登陆账户
CREATE LOGIN dba WITH PASSWORD='abc1234@',
default_database=my_db

2.修改登陆账户

--将DBAdmin登陆名修改为NewAdmin
ALTER LOGIN DBAdmin WITH NAME=BD_Admin

3.删除登陆账户

DROP LOGIN BD_Admin

4.在数据库中添加用户

--在数据库 my_db 中建立一个“数据库用户”，赋予这个“数据库用户”
-- 某些访问权限，并且把登陆帐户“dba” 和这个“数据库用户” 映射起来。
CREATE USER dba FOR LOGIN dba WITH default_schema=my_db

四.SQL Server的角色管理

使用登陆账户可以连接到服务器，但是如果不为登陆账户分配权限，则依然无法对数据库中的数据进行访问和管理。
按照角色的作用范围，可以将其分为4类：固定服务器角色、数据库角色、自定义数据库角色和应用程序角色，角色相当于Windows操作系统中的用户组，可以集中管理数据库或服务器的权限。
1.固定服务器角色
（1）服务器角色中添加了SQL Server登陆名、Windows账户和WIdows组。固定服务器角色的每个成员都可以向其所属角色添加其他登陆名。

固定服务器角色	说明
sysadmin	执行SQL Server中的任何动作
serveradmin	配置服务器设置
setupadmin	安装复制和管理扩展过程
securityadmin	管理登录和CREATE DATABASE的权限以及阅读审计
processadmin	管理SQL Server进程
dbcreator	创建和修改数据库
diskadmin	管理磁盘文件

（2）给登陆账户添加固定服务器角色

--exec sp_addsrvrolemember '登陆账户','固定服务器角色'
exec sp_addsrvrolemember 'dba','sysadmin'

2.固定数据库角色
（1）数据库角色是针对某个具体数据库的权限分配的，数据库用户可以作为数据库角色的 成员，继承数据库角色的权限，数据库管理人员也可以通过管理角色的权限来管理数据库用户的权限。

固定数据库角色	说 明
db_owner	可以执行数据库中技术所有动作的用户
db_accessadmin	可以添加、删除用户的用户
db_datareader	可以查看所有数据库中用户表内数据的用户
db_datawriter	可以添加、修改或删除所有数据库中用户表内数据的用户
db_ddladmin	可以在数据库中执行所有DDL操作的用户
db_securityadmin	可以管理数据库中与安全权限有关所有动作的用户
db_backoperator	可以备份数据库的用户(并可以发布DBCC和CHECKPOINT语句，这两个语句一般在备份前都会被执行)
db_denydatareader	不能看到数据库中任何数据的用户
db_denydatawriter	不能改变数据库中任何数据的用户

（2）给用户添加固定数据库角色
--为当前数据库中的数据库角色添加数据库用户、数据库角色、Windows 登录名或 Windows 组。

--通过加入数据库角色，赋予数据库用户“db_owner”权限
EXEC sp_addrolemember 'db_owner','dba'

3.应用程序角色
应用程序角色能够其自身、类似用户的权限来运行，它是一个数据库主体。只允许通过特定应用程序连接的用户访问特定数据。
与服务器角色和数据库角色不同，SQL Server中的应用程序角色在默认情况下不包含任何成员，并且应用程序角色必须激活后才能发挥作用。当激活某个应用程序角色之后，连接将失去用户权限，转而获得应用程序权限。
应用程序角色的特殊之处

• 应用程序角色使应用程序能够用其自身的、类似用户的特权来运行。使用
  应用程序角色可以只允许通过特定应用程序连接的用户访问特定数据。
• 与数据库角色不同的是，应用程序角色默认情况下不包含任何成员，而且是非活动
  的，必须激活之后才能发挥作用。
• 应用程序角色有密码，只有拥有应用程序角色并且拥有正确密码的用户才
  可以激活该角色。
• 当激活某个应用程序角色之后，用户会失去自己原有的权限，转而拥有应
  用程序角色的权限。
  1.创建应用角色

--创建名称为App_User的应用程序角色
CREATE APPLICATION ROLE App_User
WITH PASSWORD='123pwd'

2.激活应用角色

EXECUTE sp_setapprole 应用角色名称,应用角色密码
EXECUTE sp_setapprole 'FinancialRole','123pwd'
--激活应用角色后，连接将失去用户权限，转而获得应用程序权限。
--只能对有应用角色的数据库进行激活，激活后在‘执行’处只能看到拥有应用角色的数据库
--使用SQL语句将提示无权限
SELECT * FROM employee