数据库《数据库的安全与权限》实验报告（完整版）

1、x x大学计算机与信息技术学院实 验 报 告姓名学号专业班级课程名称数据库系统概论实验日期批改日期成绩指导教师实验名称数据库的安全与权限目的和意义 ?理解 SQL Server身份验证模式?学会创建和管理登录帐户和用户帐户；?学会创建和管理服务器角色和数据库角色?学会授予、拒绝和撤销权限的方法实实验内容 验内容?设置验证模式，熟悉系统登录验证过程。?登录管理?用户管理?角色管理?权限管理实现步骤 ?SQL Server的安全管理 假若你是 SQL Server2005数据库服务器的管理员，服务器中包含7个用户数据库，它们为学校的多个部门应用程序提供数据，每个部门的用户维护自己的数据库，你需要配

2、置服务器和数据库许可权限，让每个维护自己数据库的用户有足够的权限来管理数据库。你该怎么做呢？你需要为每个用户创建一个账户，把每个账户映射到它们的数据库中，添加所有的用户账户到自己的数据库中的一、两个安全性阶段db_owner角色中去。在 SQL Server2005中工作时，用户要经过两个安全性阶段：身份验证和权限验证（授权）。每个用户必须通过登录账户建立自己的连接能力（身份验证） ，以获得对 SQL Server2005实例的访问权限。然后，该登录必须映射到用于控制在数据库中所执行的活动（权限验证）的SQLServer用户账户。如果数据库中没有用户账户，法访问数据库。则即使用户能够连接到SQ

3、L Server实例，也无二、两种安全验证模式SQL Server提供了两种安全验证模式，即 Windows身份验证模式和混合身份验证模式称 SQL Server身份验证模式），数据库设计者和数据库管理员可以根据实际情况进行选择。（也1、Windows身份验证模式Windows身份验证模式是指用户通过Windows用户账户连接到 SQL Server，即用户身份由 Windows系统来验证。 SQL Server使用 Windows操作系统中的信息验证账户名和密码。这是默认的身份验证模式，比混合验证模式安全得多。一般情况下，客户机都支持混合信任连接，建议使用Windows身份验证方式。使用Wi

4、ndows身份验证有如下特点。（1）Windows验证模式下由 Windows管理登录账户，数据库管理员主要是使用该账户。（2）Windows有功能很强的工具与技术去管理用户的登录账户。（3）可以在 SQL Server中增加用户组，可以使用用户组。2、混合身份验证模式（也称SQL Server身份验证模式）混合身份验证模式允许用户使用Windows身份和 SQL Server身份进行连接。通过 Windows登录账户连接的用户可以使用Windows验证的受信任连接。当用户使用指定的登录名称和密码进行非信任连接时， SQL Server检测输入的登录名和密码是否与系统表 syslogins中记

5、录的情况相同，据此进行身份验证。如果不存在该用户的登录账户，则身份验证失败。用户只有提供正确的登录名和密码，才能通过SQL Server的验证。提供 SQL Server身份验证是为了考虑非 Windows客户兼容及向后兼容，早期SQL Server 的应用程序可能要求使用 SQL Server登录和密码。当 SQL Server实例在Windows98/Windows2000professional上运行时，由于 Windows98/Windows2000professional不支持 Windows身份验证模式，必须使用混合模式。非身份验证。Windows客户端也必须使用 SQL Serv

6、er混合身份验证模式有如下特点。（1）混合模式允许非 Windows客户、 Internet客户和混合的客户组连接到SQL Server中。（2）增加了完全性方面的选择。如果必须选择“混合身份验证模式”并要求使用SQL登录以适应旧式应用程序，则必须为所有 SQL账户设置强密码。这对于属于 sysadmin角色的账户（特别是 sa账户）尤其重要。3、设置验证模式安装 SQL Server2005默认的是 Windows身份验证模式。系统管理员在 management studio中有两种设置方法（参看实验指导），均需要重新启动 SQLServer后，才能生效。三、登录管理1、系统管理员登录账户S

7、QL Server有两个默认的系统管理员登录账户：有 SQL Server系统和所有数据库的全部权限。sa和 administrators。这两个登录账户具在安装 SQL Server之后，自动创建的登录标识符只有系统管理员sa账户和 administrators账户， administrators是 Windows系统的系统管理员组。 sa是一个特殊的登录名，它代表SQLServer身份验证机制下 SQL Server的系统管理员， sa始终关联 dbo(dbo是默认的用户账号，就是指数据库的创建者 )数据库用户，并且没有为 sa指定口令。这意味着如果 SQL Server身份验证模式，任何

8、得知这个作。为安全起见，在安装SQL Server存在的人都可以登录到 SQL Server上，并且可以做任意操SQL Server后，应尽快地给系统管理员账户指定口令。为 SQL Server系统管理员指定口令的步骤如下。（1）在“对象资源管理器”窗口中某数据库引擎下。（2）分别展开“安全性”、“登录名”节点，查看所有当前存在的登录标示符，系统管理员账户 sa应包含在其中。（3）右击 sa，然后选择“属性”项，系统弹出“登录属性”窗口。 （4）在“密码”一栏中输入新的口令，并在“确认密码”一栏再次输入相同“密码”（5）在“默认数据库”一栏输入 sa默认使用的数据库。（6）单击“确定”按钮，系

9、统关闭对话框，这样完成了为系统管理员设置新口令操作。2、使用 management studio管理 SQL Server登录账户在 management studio中能方便地创建、查看、修改、删除登录账户。有如下两种方式创建 SQL Server登录账户（ 1和 2）。（1）映射 Windows登录账户为 SQL Server登录账户在 management studio中可以将一个 Windows账户或一个组映射成一个SQL Server登录名。每个 SQL Server登录名都可以在指定的数据库中创建数据库用户名。这个特性可以让 Windows组中的用户直接访问服务器上的数据库。至于这

10、些指定的数据库用户的权限，可以另行指定的。提示： Windows账户应是已经存在的。具体步骤（参看实验指导）。（在用户映射选项卡中，选定某数据库后用户名默认与登录名一样，也可设定为不一样的。）（2）在 management studio中创建 SQL Server登录账户提示：首先需将验证模式设置为SQL Server验证模式。具体步骤参看实验指导。（在用户映射选项卡中，选定某数据库后用户名默认与登录名一样，也可设定为不一样的。）注意：在创建登录名时，在点击“新建登录名”后，进入“登录名-新建”对话框时，选择的默认数据库要与用户映射选项卡中选择的数据库一致，再去掉“强制实施密码策略”的对勾即可

11、创建成功。在通过新创建的登录名连接据库，而其他数据库无法访问和打开。SQL Server后，会发现只能访问和打开所选的数（3）在 Management Studio中查看、修改或删除登录账户具体步骤（参看实验指导）四、用户管理用户是基于数据库的名称，是和登录账户相关联的。1、登录名与数据库用户名的关系登录名、数据库用户名是SQL Server中两个容易混淆的概念。登录名是访问SQL Server的通行证。每个登录名的定义存放在master数据库的表 syslogins（登录名是服务器级的）中。登录名本身并不能让用户访问服务器中的数据库资源。要访问具体数据库中的资源，还必须有该数据库的用户名。新

12、的登录创建以后，才能创建数据库用户，数据库用户在特定的数据库内创建，必须和某个登录名相关联。数据库用户的定义信息存放在与其相关的数据库的sysusers 表（用户名是数据库级的）中的，这个表包含了该数据库的所有用户对象以及和它们相对应的登录名的标识。用户名没有密码和它相关联，大多数情况下，用户名和登录名使用相同的名称，数据库用户名主要用于数据库权限的控制。就如同企业门口先刷卡进入（登录服务器），然后再拿钥匙打开自己的办公室（进入数据库）一样。数据库用户创建后，通过授予用户权限来指定用户访问特定对象的权限。用户用一个登录名登录 SQL Server，以数据库用户的身份访问服务器上的数据库。当一个

13、登录账户试图访问某个数据库时， SQL Server将在库中的 sysusers表中查找对应的用户名，如果登录名不能映射到数据库的某个用户，系统尝试将该登录名映射成用户，这个用户访问数据库将失败。guest用户，如果当前数据库不许可guest在 SQL Server中，登录账户和数据库用户是SQL Server进行权限管理的两种不同的对象。一个登录账户可以与服务器上的所有数据库进行关联，而数据库用户是一个登录账户在某数据库中的映射，也即一个登录账户可以映射到不同的数据库，产生多个数据库用户（但一个登录账户在一个数据库至多只能映射一个数据库用户），一个数据库用户只能映射到一个登录账户。允许数据库

14、为每个用户分配不同的权限，控性。这一特性为在组内分配权限提供了最大的自由度与可2、使用 Management Studio管理数据库用户管理数据库用户包括对数据库的创建、查看、修改、删除等管理操作。首先如何创建数据库用户呢？一般有两种方法。一种是在创建登录帐户的同时指定该登录帐户允许访问的数据库，同时生成该登录帐户在数据库中的用户。如前面使用Management Studio创建登录帐户时就能完成数据库用户的创建；另一种方法是先创建登录帐户，再将登录帐户映射到某数据库，在其中创建同名用户名（具体步骤参看实验指导）五、角色管理。SQL Server 2005数据库管理系统利用角色设置，管理用户的

15、权限。通过角色，可以将用户集中到一个单元中，然后对这个单元应用权限。对角色授予、拒绝或吊销权限时，将对其中的所有成员生效。角色的功能非常强大，其原因如下。（1）除固定的服务器角色外，其他角色都是在数据库内实现的。这意味着数据库管理员无需依赖 Windows管理员来组织用户。（2）角色可以嵌套。嵌套的深度没有限制，但不允循环嵌套。 （3）数据库用户可以同时是多个角色的成员。这样只对角色进行权限设置便可以实现对所有用户权限的设置，量。在 SQL Server 2005中，可以认为有 5中角色类型。1、public角色大大减少了管理员的工作Public角色在每个数据库（包括所有的系统数据库）中都存在

16、，它也是数据库角色成员。Public角色提供数据库中用户的默认权限，因此，无法在此角色中添加或删除用户。时，则该用户将继承授予该安全对象在不能删除。每个数据库用户都自动是次角色的成员，当尚未对某个用户授予或拒绝对安全对象的特定权限public角色中对应的权限。SQL Server 2005包括几个预定义的角色，这些角色具有预定义的、不能授予其他用户账户的内在的权限。其中有两种最主要的预定义角色是：固定服务器角色和固定数据库角色。2、固定服务器角色固定服务器角色的作用域在服务器范围内。它们存在于数据库之外，固定服务器角色的每个成员都能够向该角色中添加其他登录。打开 Management Stud

17、io，用鼠标单击“对象资源管理器”窗口中某数据库引擎的“安全性”目录下的“服务器角色”，显示当前数据库服务器的所有服务器角色，共有称及角色描述如下。8个，具体名（1）bulkadmin角色成员：可以运行 bulk insert语句。（2）dbcreator角色成员：可以创建、更改、删除和还原任何数据库。（3）diskadmin角色成员：用于管理磁盘文件。（4）processadmin角色成员：可以终止 SQL Server实例中运行的进程。（5）securityadmin角色成员：将管理登录名及其属性。它们可以grant、deny和 revokeSQL Server服务器级权限。也可以gran

18、t、deny和 revoke数据库级权限。另外，它们可以重置登录名的密码。（6）serveradmin角色成员：可以更改服务器范围配置选项和关闭服务器。（7）setupadmin角色成员：可以添加和删除链接服务器，并且也可以执行某些系统存储过程。（8）sysadmin角色成员：可以在服务器中执行任何活动。默认情况下，windowsadministrators组（即本地管理员组）的所有成员都是sysadmin固定服务器角色的成员。固定服务器角色成员的添加与删除（有两种方法，具体步骤参看实验指导）3、数据库角色 固定数据库角色在数据库级别定义以及每个数据库中都存在。理员角色的成员可以管理固定数据库

19、角色的成员身份。但是，只有用户添加到 Db_owner固定数据库角色中。Db_owner和 db_security管Db_owner角色可以将其他打开 Management Studio，用鼠标单击“对象资源管理器”窗口中某数据库下的“安全性”目录下的“角色”的“数据库角色”，显示的所有数据库角色，共有述如下。10个，具体名称及角色描（1）db_accessadmin：可以为 Windows登录账户、 Windows组和 SQL Server登录账户添加或删除访问权限。（2）db_backupoperator：可以备份该数据库。（3）db_datareader：可以读取所有用户表中的所有数据。

20、（4）db_datawriter：可以在所有用户表中添加、删除或更改数据。（5）db_ddladmin：可以在数据库中运行任何数据定义语言（DDL）命令。（6）db_denydatareader：不能读取数据库内用户表中的任何数据。（7）db_denywriter：不能添加、修改或删除数据库内用户表中的任何数据。（8）db_owner：可以执行数据库的所有配置和维护活动。（9）db_securityadmin：可以修改角色成员身份和管理权限。固定数据库角色到权限有映射关系，请参阅联机帮助查询。固定数据库角色与固定服务器角色不能被删除，用户自定义的角色可以删除。4、用户定义的角色当一组用户执行

21、SQL Server中一组指定的活动时，通过用户定义的角色可以轻松地管理数据库中的权限。在没有合适的Windows组，或数据库管理员无权管理 Windows用户账户的Windows组同等的灵活性。情况下，用户定义的角色为数据库管理员提供了与用户定义的角色只适用于数据库级别，并且只对创建时所在的数据库起作用。（1）数据库角色创建、修改与删除（具体步骤参看实验指导）（2）数据库角色成员的添加与删除（具体步骤参看实验指导）5、应用程序角色（略，不作要求）六、权限管理（数据库应用技术 SQL Server2005提高篇，参看复印资料）设置安全验证模式 Windows身份验证模式默认的系统管理员登录账户

22、：Windows身份administrators。混合身份验证模式SQL Server身份默认的系统管理员登录账户：sa创建 SQL Server登录账户映射 Windows登录账户为 SQL Server登录账户将验证模式设为 SQL Server验证模式，在 management studio中创建 SQL Server登录账户数据库 A 1数据库 B 1数据库 C 1用户名 a1用户名 b用户名 a登录名 a登录名 b11用户名 b用户名 a用户名 b1.验证模式安装 SQL Server 2005默认的是 Windows身份验证模式。可能使用Management Studio工具来设置

23、验证模式，但设置验证模式的工作只能由系统管理员来完成，以下是在 ManagementStudio中的两种设置方法，以下两种方法均需要重新启动方法之一：SQL Server后，才能生效。（1）打开 Management Studio。（2）在“已注册的服务器”子窗口中要设置验证模式的服务器上单击鼠标右键，然后在弹出的快捷菜单上选择“属性”项，系统弹出“编辑服务器注册属性”窗口。（3）在“常规”选项卡中，“服务器名称”栏按“ ”格式选择要注册的服务器实例“身份验证”栏在连接到SQL Server实例时，可以使用两种身份验证模式：Windows身份验证和 SQL Server身份验证（或称混合身份验

24、证）。如图 4-1。（4）设置完成后，单击“测试”按钮以确定设置是否正确。（5）单击“保存”按钮，单击对话窗口，完成验证模式的设置或改变。 方法之二：（1）在 ManagementStudio对象资源管理器中，右键单击服务器，再单击“属性”项。（2）在“安全性”页上的“服务器身份验证”下，选择新的服务器身份验证模式，再单击“确定”按钮。如图4-3。2.帐号和角色1）登录管理使用 Management Studio管理 SQL Server登录账户（1）映射 Windows Studio登录账户为 SQL Server登录账户在 Management Studio中可以将一个 Windows账户

25、或一个组映射成一个SQL Server登 录名。每个 SQL Server登录名都可以在指定的数据库中创建数据库用户名。这个特性可以让 Windows组中的用户直接访问服务器上的数据库。 至于这些指定的数据库用户的权限，可以另行指定的。使用中的操作步骤如下：ManagementStudio将已经存在的 Windows账户或组映射到 SQLServer启动 Management Studio，分别展开“服务器”、“安全性”、“登录名”。右击“登录名”，选择“新建登录名”项，进入“登录名 -新建”对话框。选择 Windows验证模式，登录名通过按“搜索”按钮来自动产生，单击“搜索”按钮后“选择用户

26、或组”对话框，在对象名称框内直接输入名称或单击“高级”按钮后查找用户或组的名称来完成输入。单击“服务器角色”选项卡，可以查看或更改登录名在固定服务器角色中的成员身份。单击“用户映射”选项卡，以查看或修改其在该数据库中允许担任的数据库角色。SQL登录名到数据库用户的映射，并可选择单击“确定”按钮，一个Windows组或用户即可增加到 SQL Server登录账户中去了。（2）在 Management Studio中创建 SQL Server登录账户在 Management Studio中创建 SQL Server登录账户的具体步骤类似于“在Studio中映射 Windows登录账户为 SQL S

27、erver登录账户”，只是，要选择ManagementSQL Server验 证模式，这是需要输入登录账户名称、密码及确认密码。其他选项卡的设置操作类似。最后按“确定”按钮，即增加了一个新的登录账户。（3）在 Management Studio中查看、修改或删除登录账户一个新的登录账户增加后，可以在或删除操作。方法如下：ManagementStudio中查看其详细信息，并能做修改启动 ManagementStudio，分别展开“服务器”、“安全性”、“登录名”。如图 4-3。单击“登录名”下的某一个登录账户，在系统弹出菜单上单击“属性”项，可进入“登录属性”对话框查看该登录账户的信息，同时需要

28、时能直接修改相应账户设置信息。在上一步系统弹出菜单上单击“删除”菜单，能出现“删除对象”对话框，在对话框上单击“确定”按钮，能删除该登录账户。2）用户管理使用 Management Studio管理数据库用户管理数据库用户包括对数据库的创建、查看、修改、删除等管理操作。首先如何创建数据库用户呢？一般有两种方法。一种是在创建登录帐户的同时指定该登录帐户允许访问的数据库，同时生成该登录帐户在数据库中的用户。如前面使用就能完成数据库用户的创建；另一种方法是先创建登录帐户，再将登录帐户映射到某数据库，在其中创建同名用户名。ManagementStudio创建登录帐户时（1）在 Management S

29、tudio中创建数据库用户在 Management Studio中创建数据库用户中创建数据库用户的步骤如下：启动 Management Studio，分别展开“服务器”、“数据库”、“性”、“用户”，在“用户”文件夹下能看到该数据库的已有用户。右击“用户”文件夹，选择“新创建数据库用户”，弹出“数据库用户框。KCGL”、“安全-新建”对话输入要创建的数据库用户的名字，然后再“登陆名”对应的文本框中输入相对应的登录名，或单击“浏览”按钮，在系统中选择相应的登录名。单击“确定”按钮，将新创建的数据库用户添加到数据库中。（2）在 Management Studio中查看、修改或删除数据库用户操作方式

30、是：启动 Management Studio，分别展开“服务器”、“数据库”、“KCGL”、“安全性”、“用户”，在“用户”文件夹下能看到该数据库的已有用户。 右击某要操作的用户，在系统弹出的快捷菜单中含有“属性”、“删除”等菜单项。若选择“属性”菜单项，可以查看或修改用户的权限信息，如“常规”中的“拥有架构”“角色成员”；“安全对象”中的具体权限设置及“扩展属性”等。若选择“删除”菜单项，可从数据库中删除该用户。3）角色管理固定服务器角色成员的添加与删除固定服务器角色成员的添加与删除操作可以通过Management Studio或 T-SQL两种方法来操作。在 Management Stud

31、io中添加或删除固定服务器角色成员。：方法一：打开 Management Studio，用鼠标单击“对象资源管理器”窗口-某数据库引擎-“安全性” -“服务器角色”，显示当前数据库服务器的所有服务器角色，再要添加或删除成员的某固定服务器角色上单击鼠标右键，选择快捷菜单中的“属性”菜单项。在“服务器角色属性”对话框中，能方便单击“添加”或“删除”按钮实现对成员的添加或删除。方法二：打开 Management Studio，用鼠标单击”对象资源管理器“窗口-某数据库引擎-”安全性“ -”登录名“；在某登录名上右击，选择”属性“菜单项，出现”登陆属性“对话框或单击”新建登录名“出现”登陆多项选择登陆

32、名需要属于的固定服务器角色。除。-新建”对话框；单击“服务器角色”选项卡，能直接这样也完成了对固定服务器角色成员的添加与删用户定义的角色（1）数据库角色创建、修改与删除数据库角色的创建、修改与删除操作可以通过ManagementStudio或 T-SQL两种方法来操作。在 Management Studio中创建、修改与删除数据库角色：打开 Management Studio，用鼠标单击”对象资源管理器“窗口-某数据库引擎 -”数据库“ -某具体数据库 -”安全性“ -”角色“ -数据库角色 ，显示当前数据库的所有数据库角色，在”数据库角色“目录或某数据库角色上单击鼠标右键，单击快捷菜单中的”

33、新建数据库据角色“菜单项。在”数据库角色-新建“对话框中，指定角色名称与所有者，单击”确定“按钮即简单创建了新的数据库角色。在某数据库角色上单击鼠标右键，单击快捷菜单中的”属性“菜单项。在”数据库 角色属性“对话框中，查阅或修改角色信息，如制定新的所有者、安全对象、拥有的架构、角色、角色成员等信息的修改等。在某自定义数据库角色上单击鼠标右键，单击快捷菜单中的“删除”菜单项。启动“删除对象”来删除数据库角色。但要注意：角色必须为空时才能删除。（2）数据库角色成员的添加与删除数据库角色成员的添加及与删除操作可以通过ManagementStudio或 T-SQL两种方法来操作。在 Managemen

34、t Studio中添加与删除数据库角色成员：方法一：在上面提到过的某数据库角色的“数据库角色属性“对话框中，“常规”选线卡上，右下角色成员操作区，单击“添加”或“删除”按钮实现操作。方法二：通过“对象资源管理器”窗口 -某数据库引擎 -“数据库” -“某具体数据库”-“安全性” -用户 -某具体用户 ；单击鼠标右击，单击“属性”菜单，出现“数据库用户”对话框，在右下角色成员操作区，通过多选按钮直接实现该用户从某个或某些数据库角色中添加或删除的操作功能。应用程序角色在 Management Studio中创建与删除数据库程序角色：通过“对象资源管理器”窗口-数据库引擎 -数据库 -某具体数据库

35、-安全性-角色 -应用程序角色 ；单击油表有机，单击“新建应用程序角色”菜单项，出现“应用程序角色新建”对话框，在”常规“选项卡右边指定角色名称默认架构、密码、确认密码、角色拥有的架构等信息后，单击”确定“按钮即可。当然在创建应用程序角色的同时，可以指定”安全对象“、”扩展属性“选项卡中的属性。在已有某应用程序角色上单击鼠标右键，再单击“删除”菜单项，能实现角色的删除操作。3.权限管理1）在 Management Studio中管理权限在 Management Studio中管理权限是非常方便的，可以从权限相关的主体与安全对象这两者的任意一方出发考虑实现操作。2）在 Management St

36、udio中管理凭据（1）创建凭据在对象资源管理器中，展开“安全性”，右击“凭据”，然后单击“新建凭据”项。 在“新建凭据”对话框中的“凭据名称”框中，输入凭据的名称。在“标识”框中，输入对于对外连接的账户名称（在离开SQL Server的上下文时）。通常为 Windows用户账户。但标识可以是其他类型的账户。在“密码”和“确认密码”框中，输入“标识”框中指定的账户的密码。如果“标识”为 Windows用户账户，则密码为 Windows密码。如果不需要密码，“密码”可为空。单击“确定”按钮。（2）将登录名映射到凭据在对象资源管理器中，展开“安全性”，右击 SQLServer登录名，然后单击“属性

37、”项。在“登录属性”对话框的“常规”页的“凭据”框中，输入凭据的名称，然后单击“确定”按钮。3）用 T SQL命令管理权限主要命令有 GRANT、REVOKE、DENY、CREATE CREDENTIAL、ALTER CREDENTIAL、DROP CREDENTIAL等。（1）GRANT将安全对象的权限授予主体。GRANT命令的简单语法：GRANTALLPRIVILEGES|permission(column,.n),.nONclass:securableTOprincipal ,.nWITH GRANT OPTIONAS principalALL：该选项并不授予全部可能的权限。授予ALL参

38、数相当于授予以下权限。如果安全对象为数据库，则 ALL表示 BACKUP DATABASE、BACKUP LOG、CREATEDATABASE、CREATE DRFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATETABLE和 CREATE VIEW。如果安全对象为标量函数，则ALL表示 EXECUTE和 REFERENCES。如果安全对象为表值函数，则 ALL表示 DELETE、INSERT、REFERENCES、SELECT和 UPDATE。如果安全对象为存储过程，则ALL表示 DELETE、EXECUTE、INSERT、SELECT和UPDATE。如

39、果安全对象为表，则ALL表示 DELETE、INSERT、REFERENCES、SELECT和UPDATE。 如果安全对象为视图，则ALL表示 DELETE、INSERT、REFERENCES、 SELECT和UPDATE。Permission：权限的名称。Column：指定表中将授予其权限的列的名称。需要使用括号“Class：指定将授予其权限的安全对象的类。需要范围限定符“Securable：指定将授予其权限的安全对象。( )”。:”。TO principal：主体的名称。可为其授予安全对象权限的主体随安全对象而异。GRANT OPTION：指示被授权者在获得指定权限的同时还可以将指定权限授

40、予其他主体。AS principal：指定一个主体，执行该查询的主体从该主体获得授予该权限的权利。REVOKE语句可用于删除已授予的权限，DENY语句可用于防止主体通过GRANT获得DENY或 REVOKE权限。如DENY优先。但是，在更高级别撤特定权限。授予权限将删除对所指定安全对象的相应权限的果在包含该安全对象的更高级别拒绝了相同的权限，则销已授予权限的操作并不优先。数据库级权限在指定的数据库范围内授予。如果用户需要另一个数据库中的对象的权限，请在该数据库中创建用户账户，或者授权用户账户访问该数据库以及当前数据库。数据库特定安全对象有：应用程序角色、程序集、非对称密钥、证书、约定、数据库、

41、端点、全文目录、函数、登录、消息类型、对象、队列、远程服务绑定、角色、路由、架构、服务器、服务、存储过程、对称密钥、同义词、系统对象、表、类型、用户、视图、XML架构集合。Sp_helprotect系统存储过程可报告对数据库级安全对象的权限。（2）GRANT对象权限。授予对表、视图、表值函数、存储过程、扩展存储过程、标量函数、聚合函数、服务队列或同义词的权限，语法如下：GRANT, nONOBJECT:schema_name.object_name, n)TO , n WITH GRANT OPTION(columnAS:=ALLPRIVILEGES| permission(column, n

42、):=Database_user| Database_role| Application_role | Database_user_mapped_to_Windows_User|Database_user_mapped_to_Windows_Group| Database_user_mapped_to_cerificate| Database_user_ mapped_to_asymmetric_key | Data_user_with_no_loginPermission：指定可以授予的对架构包含的对象的权限。ALL：授予 ALL不会授予所有可能的权限。授予ALL等同于授予适用于指定对象的所

43、有ANSI-92权限。对于不同权限， ALL的含义有所不同。标量函数权限： EXECUTE和 REFERENCES。表值函数权限： DELETE、INSERT、REFERENCES、 SELECT和 UPDATE。存储过程权限： EXECUTE、SYNONYM、DELETE、INSERT、SELECT和 UPDATE。表权限： DELETE、INSERT、REFERENCES、SELECT和 UPDATE。视图权限： DELETE、INSERT、REFERENCES、SELECT和 UPDATE。Database_user指定数据库用户； Database_role指定数据库角色； Appli

44、cation role指定应用程序角色；Database_user_mapped_to_Windows_User指定映射到 Windows用户的数据库用户；Database_user_mapped_to Windows_Group指定映射到 Windows组的数据库用户； Database_user_mapped_to_cerificate指定映射到证书的数据库用户； Database_user_mapped_to_asymmetric_key指定映射到非对称密钥的数据库用户；Data_user_with_no_login指定无相应服务器级主体的数据库用户。对象是一个架构级的安全对象，包含于权

45、限层次结构中作为其父级的架构中* GRANT命令的使用实例：例 1：授予对表的 SELECT权限，本例授予用户 RosaQdM对 AdventureWorks数据库中表Person.Address的 SELECT权限。USE AdventureWorksGRANT SELECT ON OBJECT：Person.Address TO RosaQdM例 2：授予对存储过程的 EXECUTE权限，本例授予名 Recruiting 11的应用程序角色对存储过程 HumanResources.uspUpdateEmployeeHireInfo的 EXECUTE权限。GRANT EXECUTE ON O

46、BJECT：HumanResources.uspUpdateEmployeeHireInfo TORecruiting 11（3）REVOKE取消以前授予或拒绝了的权限。REVOKE简单语法：REVOKE GRANT OPTION FOR ALLPRIVILEGES | permission(column, n), n ONclass: securableTO | FROMprincipal, nCASCADEAS principalREVOKE对象权限有：撤销对表、视图、表值函数、存储过程、扩展存储过程、标量函数、聚合函数、服务队列或同义词的权限。语法如下：REVOKEGRANT OPTIO

47、N FORFROM | TO, n ON OBJECT: schema_, nname.object_name (coloumn, n)CASCADEAS* REVOKE命令的使用实例：例：撤销对表的 SELECT权限，本例从用户 RosaQdM中撤销对 AdventureWorks数据库中表 Person.Address的 SELECT权限。REVOKE SELECT ON OBJECT：Person.Address FROM RosaQdM用 T SQL令管理权限的例子1给用户授权：a）use database_coursecreate login user3 with password=

48、;create user user3 for login user3;b）grant update(sno),selecton scto user1;2.回收权限：a）revoke update(sno)on scfrom user1;b）revoke selecton SCfrom public;3.数据库角色：a）create role r1;grant select,insert,updateon course to r1;将角色 r1授予 user1、user2、user3：grant VIEW DEFINITION,TAKE OWNERSHIP on role:r1 to user1,user2,user3;一次性的通过 r1回 user1的 3个权限：revoke