SQL_Server_2005数据库的安全性管理

1、SQL Server 2005数据库的安全性管理目录一、 对SQL Server的访问二、 SQL Server的安全性权限三、 角色前言vSQL Server的安全性管理是建立在登录验证和权限许可的基础上的。v登录验证是指核对登录SQL Server服务器的登录名和密码是否正确，以此确定用户是否具有登录SQL Server服务器的权限。v通过了登录验证，并不意味着用户能够访问SQL Server服务器中的数据库。用户只有在被授予访问数据库的权限许可之后，才能够对服务器上的数据库进行权限许可下的各种操作。vSQL Server引入了角色的概念，来简化对权限许可的管理。v在SQL Server中

2、，安全性管理可以通过Management Studio的图形界面进行，但对于熟练的DBA来说，使用Transact-SQL语句进行安全性管理可能更有效率。SQL Server 2005提供了丰富的与安全性管理相关的Transact-SQL语句。v在SQL Server中，通过使用视图和存储过程也可以控制用户对数据的访问，实现对数据安全管理。一、 对SQL Server的访问 v在SQL Server 2005中，用登录名来控制用户是否具有登录SQL Server服务器的权限。用数据库用户来控制用户是否具有操纵SQL Server服务器中的数据库的权限。而对用户身份的验证，是通过核对登录名和密码

3、是否正确来完成的。1身份验证模式（Authentication Modes） vSQL Server能在两种身份验证模式下运行Windows身份验证模式混合模式。v在Windows身份验证模式下，SQL Server依靠Windows 身份验证来验证用户的身份。v在混合模式下，SQL Server依靠Windows身份验证或SQL Server身份验证来验证用户的身份。(1)Windows身份验证模式 vSQL Server的Windows身份验证模式利用了Windows操作系统本身的用户管理系统和验证机制，允许使用Windows操作系统的用户名和密码来登录SQL Server。在该模式下，用

4、户只要通过了Windows操作系统的登录验证就可以直接登录SQL Server，不需要另外再进行验证。 vWindows身份验证模式有某些优点，因为它与 Windows操作系统的安全系统集成，简化了管理。另外，Windows安全系统提供更多的功能，如用户组、密码加密、审核、密码过期、最短密码长度和锁定账户等。 (2)混合模式v在混合模式下，Windows 身份验证或SQL Server身份验证都是可以用的。用户既可以使用 Windows 身份验证，也可以使用SQL Server身份验证。v使用SQL Server身份验证时，用户必须提供登录名和密码，SQL Server检查自己的数据库中有无此

5、登录名，并比较登录名和密码是否正确，如果数据库中没有此登录名或登录名和密码不正确，访问将被拒绝。v这里的登录名是数据库管理员在SQL Server中创建并分配给用户的，与Windows 操作系统的用户无关。另外，身份验证是由SQL Server 自己执行，而不是由Windows 操作系统执行的。 v为了向后兼容性，要使用SQL Server身份验证（混合模式），因为用SQL Server 7.0或更早的版本编写的应用程序可能要求使用SQL Server身份验证。有些Web应用程序也会要求使用SQL Server身份验证（混合模式），因为Web应用程序可能不会与SQL Server服务器处于同一

6、Windows 域中，无法进行Windows身份验证。由于一些原因，有些第三方提供的应用程序可能也会要求SQL Server身份验证(混合模式)。(3)配置身份验证模式v配置身份验证模式的方法如下： 打开Management Studio，正确注册并登录数据库服务器，在Management Studio左边的“资源对象管理器”窗格中，右键单击要配置的SQL Server服务器。在弹出的快捷菜单中，选择“属性”命令。在出现的“服务器属性”窗口的“选择页”窗格中，单击“安全性”项，打开“安全性”选项页，如图1所示，在“服务器身份验证”栏，如果要将身份验证模式设为Windows身份验证模式，则选择“

7、Windows身份验证模式”单选按钮；如果要将身份验证模式设为混合模式，则选择“SQL Server和Windows身份验证模式” 单选按钮，然后再单击“确定”按钮。要让改变生效，必须重新启动SQL Server。在重新启动前，SQL Server不会运行在新设置的模式下。 图1 设置身份验证模式 2登录名（Logins）和数据库用户（Database Users） v不管是处在Windows身份验证模式还是混合模式下，用户用来登录SQL Server服务器的账户就叫登录名（Login）。vSQL Server用登录名来控制用户是否具有登录SQL Server服务器的权限。登录名是数据库管理员

8、在SQL Server服务器中创建并分配给用户使用的。v用户使用登录名登录SQL Server服务器后，并不意味着用户能够访问SQL Server服务器中的各个数据库。只有在登录名被关联到某一个数据库的数据库用户（Database User）上，用户才能访问那个数据库。vSQL Server用数据库用户来指出哪一个人可以访问哪一个数据库。用户对数据的访问权限，以及与数据库对象的所有关系都是通过数据库用户来控制的。数据库用户通常是由数据库管理员在SQL Server服务器的各个数据库中创建的。SQL Server服务器中的每个数据库都有一套自己的、独立的用户库，也就是说两个不同数据库中可以有两个

9、相同的用户名。v一个登录名总是与一个或多个数据库用户相关联。这个关联工作，一般是由数据库管理员在为用户新建登录名或修改登录名属性时完成的。但对于一些特殊登录名，这个过程是由SQL Server服务器自动完成的。例如，sa是SQL Server内置的管理员登录名，sa登录名自动与每一个数据库的dbo用户相关联。 3特殊的登录名和数据库用户 vsa（System Administrator，系统管理员）是SQL Server自动创建的、内置的登录名。sa 是为向后兼容而提供的特殊登录名，不能被删除。默认情况下，sa被授予固定服务器角色sysadmin，可以在SQL Server 中进行任何活动。虽

10、然sa是内置的管理员登录名，但不建议使用它来进行管理工作。应为每个数据库管理员建立单独的登录名，并使之成为sysadmin 固定服务器角色的成员，然后，数据库管理员使用自己的登录名来登录SQL Server进行管理工作。vdbo（Database Owner，数据库所有者）是SQL Server自动创建的、内置的数据库用户，具有在数据库中执行所有活动的权限。当创建一个新的数据库时，dbo用户自动被创建。SQL Server将固定服务器角色 sysadmin 的任何成员都映射到每个数据库内的dbo用户上。vguest 用户也是SQL Server自动创建的、内置的数据库用户。一般来说数据库用户总

11、是与某一登录名相关联的，但guest用户是一个例外。guest用户不具体与某一登录名相关联，但guest用户允许没有与用户关联的登录名访问数据库。 4管理账户 （1）创建登录名 v创建登录名的方法有两种：使Management Studio、使用Transact-SQL语句。下面使用Management Studio来创建登录名。 打开Management Studio，正确注册并登录数据库服务器，在Management Studio的“资源对象管理器”窗格中，如图2所示，展开“刘召召”“安全性”“登录名”项，右键单击“登录名”项，在弹出的快捷菜单中，选择“新建登录名”命令。图2 新建登录名

12、出现“登录名-新建”窗口的“常规”选项页，如图3所示，在“登录名”文本框中，输入新的登录名的名称；选择“SQL Server 身份验证”单选按钮；在“密码”文本框中输入密码（可选）；取消“用户在下次登录时必须更改密码”复选框；在“默认数据库”下拉框中，选择用此登录名登录SQL Server 服务器之后将要操作的默认数据库；在“默认语言”下拉框中，选择用此登录名登录SQL Server 服务器之后使用的默认语言。图3 “登录名-新建”窗口的“常规”选项页 在图3中，单击左上方“选择页”窗格中的“服务器角色”选项页。在“服务器角色”选项页中，如图4所示，可以为新建的登录名指定服务器角色（服务器角色

13、在后面介绍）。对于普通的登录名来说，一般是不需要指定服务器角色的。 图4 “登录名-新建”窗口的“服务器角色”选项页 在图3中，单击左上方“选择页”窗格中的“用户映射”选项页。在“用户映射”选项页中，如图5所示，可以为新建的登录名指定要映射的数据库用户，同时可以指定数据库角色成员身份（数据库用户角色会在本章后面介绍）。如果指定要映射的数据库用户不存在，则SQL Server会在创建登录名的同时，自动在指定的数据库中创建该数据库用户，并将该登录名和该数据库用户进行关联。可以一次性为新建的登录名映射多个数据库用户。在“用户映射”选项页中还可以为新建的登录名在数据库指定默认架构，如果不指定默认架构，

14、则默认架构为dbo。在“用户映射”选项页中，还可为新建的登录名指定其数据库角色成员身份。 图5 “登录名-新建”窗口的“用户映射”选项页 完成上述步骤后，单击“确定”按钮，完成了登录名的创建，在Management Studio中可以看到新建的登录名，如图6所示。图6 Management Studio中新建的登录名 （2）授予Windows 用户或组登录SQL Server的权限 v在Windows用户或组可以访问数据库之前，必须授予它们登录SQL Server服务器的权限。如果单个Windows 用户需要登录SQL Server 服务器，则授予单个Windows 用户登录SQL Serve

15、r服务器的权限。如果Windows 用户组的所有成员都需要登录 SQL Server 服务器，则可将组作为一个整体来授予登录权限。v授予Windows 用户或组登录SQL Server的权限的步骤与创建登录名的步骤基本上是一样的，只是在第步时有一点不同：在图3的“常规”选项页中，在“登录名”文本框中，应以DOMAINUser的形式输入要被授权登录SQL Server服务器的 Windows用户名或组名，也可单击“搜索”按钮打开“选择用户与组”对话框来选择Windows用户或组；另外，应选择“Windows身份验证”单选按钮。 （3）创建数据库用户 v可以使用Management Studio或

16、Transact-SQL语句来创建数据库用户。为了创建一个新的数据库用户，必须事先确定一个将与该数据库用户相关的登录名。下面使用Management Studio来创建数据库用户。 打开Management Studio，正确注册并连接到数据库服务器，在Management Studio的“资源对象管理器”窗格中，如图7所示，展开“刘召召”“数据库”要创建用户的数据库“安全性”项，右键单击“用户”项，在弹出的快捷菜单中，选择“新建用户”命令。 图7 在Management Studio中创建数据库用户 在出现的“数据库用户-新建用户”窗口的“常规”选项页中，如图8所示，在“用户名”文本框中，输

17、入数据库用户名；在“登录名”文本框中，输入事先已经创建好的登录名，也可单击浏览按钮并在弹出的“选择登录名”对话框中选择登录名；在“默认架构”文本框中，输入该用户的默认架构，也可单击浏览按钮并在弹出的“选择架构”对话框中选择该用户的默认架构，如果不输入默认架构，则该用户的默认架构为dbo；在“数据库角色成员身份”列表框中，为此用户指定数据库角色，单击“确定”按钮，完成数据库用户的创建。新创建的数据库用户出现在Management Studio中，如图9所示 图8 “数据库用户-新建”窗口的“常规”选项页图9 新创建的数据库用户5访问数据库的过程v用户访问SQL Server数据库的过程如下： 用

18、户使用登录名登录SQL Server服务器，如果登录名和密码正确，则登录成功。 用户访问SQL Server服务器中的某一数据库，SQL Server检查该登录名是否与该数据库中的某一用户相关联，如果有，则允许它以该用户身份访问数据库；如果没有，则SQL Server检查该数据库中是否有guest用户，如果有，则允许用户以guest用户来访问该数据库，如果没有，则该用户对该数据库的访问被拒绝。 二、 SQL Server的安全性权限vSQL Server通过为用户分配权限来决定用户能够执行什么样的操作。vSQL Server的权限管理牵涉到3个重要的概念主体安全对象权限。v“主体”是可以请求S

19、QL Server 资源的个体、组和过程。例如，登录名、数据库用户和角色都是主体。“安全对象”是SQL Server要控制对其进行访问的资源。例如，表、视图和存储过程等都是安全对象。“权限”是主体可以对安全对象执行的各种操作许可。例如，SELECT权限、UPDATE权限、DELETE权限等。主体与安全对象之间是通过权限关联在一起的，主体能否对安全对象进行操作，取决于主体是否拥有操作安全对象的权限。 1主体v“主体”是可以请求SQL Server 资源的个体、组和过程。v主体按层次结构可分为三个级别Windows 级别vWindows 域登录名和Windows 本地登录名。SQL Server

20、级别vSQL Server 登录名。数据库级别。v数据库用户、数据库角色和应用程序角色。 2安全对象v“安全对象”是SQL Server要控制对其进行访问的资源。v安全对象之间是一种嵌套层次结构，某些安全对象可以包含其他安全对象。v安全对象范围有服务器、数据库和架构。v一个服务器中可以有包含多个数据库，一个数据库可以包含多个架构，一个架构可以包含表、视图等数据库对象。 v服务器范围的安全对象包括：数据库、登录账户和端点。v数据库范围的安全对象主要有：架构、数据库用户、数据库角色、应用程序角色、程序集、消息类型、路由、服务、远程服务绑定、全文目录、证书、非对称密钥、对称密钥、约定等。v架构范围的

21、安全对象包括：表、视图、存储过程、约束、函数、同义词、队列、聚合、统计信息、类型、XML 架构集合等。v服务器、数据库和架构本身也是一种安全对象，但它们又可以包含其他安全对象。架构 v架构是SQL Server 2005引入的一个新的安全对象。v架构是形成单个命名空间的数据库实体的集合。命名空间是一个集合，其中每个元素的名称都是唯一的。例如，为了避免名称冲突，同一架构中不能有两个同名的表。两个表只有在位于不同的架构中时才可以同名。 v对于数据库对象来说，完整的对象名称其实由4个标识符组成：服务器名称、数据库名称、架构名称和对象名称。格式如下： server. database . schema

22、_name . object_namev指定了所有4个部分的对象名称被称为完全限定名称。v在 SQL Server 2005 中创建的每个对象必须具有唯一的完全限定名称。完全限定名称通常用于分布式查询或远程存储过程调用，对于本地使用，往往只是指定对象名称，当只指定对象名称时，将使用当前服务器名称、当前数据库名称和默认架构。v默认架构用于解析未使用其完全限定名称引用的对象的名称。v在SQL Server 2005中，每个用户都有一个默认架构，用于指定服务器在解析对象的名称时将要搜索的第一个架构。如果未定义用户的默认架构，则数据库用户将把架构dbo作为其默认架构。v例如：在刘召召数据库服务器的lz

23、z30312数据库中使用SELECT * FROM STUDENT语句，实际上对刘召召.lzz30312.dbo.STUDENT表进行查询。v可以通过Management Studio创建架构、删除架构和在架构之间移动对象。也可通过CREATE SCHEMA，DROP SCHEMA 和ALTER SCHEMA等Transact-SQL语句来创建架构、删除架构和在架构之间移动对象。注意：要删除的架构不能包含任何对象。如果架构包含对象，则删除将失败。 3权限v“权限”是主体可以对安全对象执行的各种操作许可。在SQL Server 2005中，主要的权限类别如下。 SELECT权限，授予读取安全对象

24、的数据的权限。这些安全对象可以是表、视图、同义词、表值函数、表或视图中的单个列。 UPDATE权限，授予更新安全对象的数据的权限。这些安全对象可以是表或视图中的单个列和同义词。 INSERT权限，授予向安全对象中插入数据的权限。这些安全对象可以是表、视图或同义词。 DELETE权限，授予从安全对象中删除数据的权限。这些安全对象可以是表、视图或同义词。 EXECUTE权限，授予执行存储过程或用户自定义函数的权限。适用的安全对象可以是存储过程、用户自定义函数或同义词。 CONTROL权限，授予类似所有权的权限。被授权者实际上拥有安全对象具有的所有权限。适用的安全对象可以是服务器、数据库、架构、表、

25、视图、存储过程、同义词、表值函数、标量函数和聚合函数等。当授予对某个范围的 CONTROL 权限时，也隐含着授予对该范围内包含的所有安全对象的 CONTROL 权限。例如，对数据库的 CONTROL 权限隐含着对数据库的所有权限，以及对数据库范围中所有安全对象的所有权限。 ALTER权限，授予更改特定安全对象的属性（所有权除外）的权限。这些安全对象可以是服务器、数据库、架构、表、视图、存储过程、同义词、表值函数、标量函数和聚合函数等。当授予对某个范围的 ALTER 权限时，也隐含着授予更改、创建或删除该范围内包含的所有安全对象的权限。例如，对架构的 ALTER 权限包括在该架构中创建、更改和删

26、除对象的权限。 TAKE OWNERSHIP权限，授予获取安全对象的所有权的权限。这些安全对象可以是数据库、架构、表、视图、存储过程、同义词、表值函数、标量函数和聚合函数等。 CREATE权限，授予创建安全对象的权限。这些安全对象可以是服务器范围内的对象、数据库及数据库范围内的对象、架构及架构范围内的对象。 BACKUP 权限，授予用户执行备份命令的权限。适用的安全对象是数据库和事务日志。4权限的管理 v在SQL Server中，管理权限的方法有两种：使用Management Studio和使用Transact-SQL语句。v通过Management Studio管理权限时，可以基于主体来管理

27、权限，也可以基于安全对象来管理权限。 （1）基于主体的权限管理v基于主体来管理权限，可以方便地为一个主体分配多个安全对象的权限。这种方式是通过主体的“属性”窗口的“安全对象”选项页做到的。下面以授予一个数据库用户多个安全对象权限为例来说明这种方式的使用。 打开Management Studio，正确注册并连接到数据库服务器，在Management Studio的“资源对象管理器”窗格中，如图10所示，展开“刘召召”“数据库”要操作的数据库“安全性”“用户”项，右键单击要为其分配权限的用户名，在弹出的快捷菜单中，选择“属性”命令。图10 启动基于主体的权限管理 在出现的“数据库用户”属性窗口左上

28、方的“选择页”窗格中单击“安全对象”项，打开“安全对象”选项页，如图11所示，单击“添加”按钮，可以将多个数据库对象（表、视图、存储过程、架构等）添加到上部的“安全对象”网格中。单击“删除”按钮，可以从上部“安全对象”网格中删除所选项。v在上部“安全对象”网格中选中一项，然后在下部“显式权限”网格中为其设置适当的权限。这个操作可重复进行，以达到为主体分配多个安全对象权限的目的。v“显示权限”网格列出了上部“安全对象”网格中所选安全对象的可能权限。选中或清除“授予”、“具有授予权限”和“拒绝”复选框可以对这些权限进行配置。选中“拒绝”将覆盖其他所有设置。v对于包含列的对象（如表、视图或表值函数）

29、，单击“列权限”按钮可打开“列权限”对话框，从中可以将表或视图的各个列的权限设置为“授予”、“允许”或“拒绝”。v单击“有效权限”按钮，可以查看该数据库用户对上部“安全对象”网格中所选中的项所具有的所有权限。v单击“确定”按钮完成权限的分配。 图11 “数据库用户”属性窗口的“安全对象”选项页（2）基于安全对象的权限管理 v基于安全对象来管理权限，可以方便地将一个安全对象的权限分配给多个主体。这种方式是通过安全对象的“属性”窗口的“权限”选项页做到的。下面以将一个表的权限授予多个数据库用户为例来说明这种方式的使用。 打开Management Studio，正确注册并登录数据库服务器，在Mana

30、gement Studio的“资源对象管理器”窗格中，如图12所示，展开“刘召召”“数据库”要操作的数据库要操作的表，右键单击要操作的表，在弹出的快捷菜单中，选择“属性”命令。图12 启动基于安全对象的权限管理 在出现的“表属性”窗口的“选择页”窗格中单击“权限”项，打开“权限”选项页，如图13所示，单击“添加”按钮，可以将数据库用户或角色添加到上部的“用户或角色”网格中。单击“删除”按钮，可以从上部“用户或角色”网格中删除所选项。v在上部“用户或角色”网格中选中一项，然后在下部“显式权限”网格中为其设置适当的权限。这个操作可重复进行，以达到将安全对象的权限分配给多个主体的目的。v“显示权限”

31、网格列出该数据库对象的可能权限。选中或清除“授予”、“具有授予权限”和“拒绝”复选框可以对这些权限进行配置。选中“拒绝”复选框将覆盖其他所有设置。v对于可应用于列的权限（如SELECT，UPDATE等），单击“列权限”按钮可打开“列权限”对话框，从中可以将表或视图的各个列的权限设置为“授予”、“允许”或“拒绝”。v单击“有效权限”按钮，可以查看上部“用户与角色”网格中所选中的项对该数据库对象所具有的所有权限。v单击“确定”按钮，完成权限的分配 图13 “表属性”窗口的“权限”选项页 三、 角色 v使用角色可以简化对大量用户的权限管理工作。v角色用来为成组的用户赋予相同的权限，而不需要为每个用户

32、单独赋权。v用户可以根据管理需要，划分和创建出几种权限不同的角色，并将相应的权限授予各个角色，然后可以将角色赋予一个或多个用户，这样，这些用户就具有了该角色所具有的权限。v在用户较多的情况下，使用角色可以显著地减少管理开销。 1角色的类型 v在SQL Server中，角色有两种类型：服务器角色和数据库角色。v服务器角色是指由SQL Server预定义，并被授予了管理SQL Server服务器权限的角色。服务器角色适用于服务器范围内。v数据库角色是指被授予了管理或访问SQL Server服务器中的数据库或数据库对象的权限的角色。数据库角色适用于SQL Server服务器中的数据库。数据库角色又可

33、分为两类：固定数据库角色和用户自定义的数据库角色。 （1）服务器角色v由SQL Server预定义，并被授予了管理SQL Server服务器权限的角色就叫服务器角色。v服务器角色适用于服务器范围内。v服务器角色是由SQL Server自动创建的，是固定的，不能被删除，其权限也不能被修改，用户也不能创建新的服务器角色。 预定义的8种固定服务器角色 sysadmin角色，可以在SQL Server 中进行任何活动，该角色的权限包括了所有其他固定服务器角色所具有的权限； serveradmin角色，配置服务器范围的设置； setupadmin角色，添加和删除链接服务器，并执行某些系统存储过程； se

34、curityadmin角色，管理服务器登录； processadmin角色，管理在SQL Server服务器中运行的进程； dbcreator角色，创建和修改数据库； diskadmin角色，管理磁盘文件； bulkadmin角色，执行BULK INSERT语句 可将任何有效的登录名添加为服务器角色成员，这样，登录名就可获得服务器角色所具有的权限。 （2）固定数据库角色v固定数据库角色，是指由SQL Server自动创建的、固定的、不能被数据库管理员或用户修改或删除的数据库角色。v在SQL Server中，预定义了9种固定数据库角色，它们是： db_owner角色，数据库的所有者，可以执行任何

35、数据库管理工作，可以对数据库内的任何对象进行任何操作，如删除、创建对象，可以将权限指派给其他用户，该角色包含所有其他固定数据库角色所具有的权限； db_accessadmin角色，可以在数据库中添加或删除Windows组和用户及SQL Server用户； db_datareader角色，可以查看来自数据库中所有用户表的全部数据； db_datawriter角色，可以添加、更改或删除来自数据库中所有用户表的数据； db_ddladmin角色，可以添加、修改或删除数据库中的对象； db_securityadmin角色，管理数据库角色和角色的成员，并管理数据库的语句权限和权限； db_backupo

36、perator角色，可以进行数据库的备份工作； db_denydatareader角色，不能查看数据库中任何表的数据； db_securityadmin角色，可以修改角色成员身份和管理权限。 可将任何有效的数据库用户（包括组）或角色添加为固定数据库角色成员，这样，这些数据库用户或角色就可获得固定数据库角色所具有的权限。 （3）public角色vSQL Server还有一个特殊的数据库角色public。v在创建数据库时，public角色就在其中自动创建好了。public角色不能被删除，也不能为这个角色增加或删除用户。v数据库中每个用户都自动属于public角色。v如果需要提供一种默认的权限给所有

37、用户时，可以将这种权限赋予public角色，由于数据库中每个用户都自动属于public角色，所以所有的用户都自动拥有了这种权限。（4）用户自定义的角色 v用户自定义的角色是指由用户自己创建并定义权限的角色。v用户自定义的角色提供了分配给用户特定权限的能力，而这是固定数据库角色所不能提供的。如果要为一些数据库用户设置相同的权限，但是这些权限又与固定数据库角色的权限不同，就可以创建用户自定义的数据库角色。v用户自定义的角色有两种类型：数据库角色和应用程序角色。数据库角色是基于用户的，用于一般的数据库权限管理工作。应用程序角色是一种比较特殊的角色类型，是基于应用程序的。使用应用程序角色可以限制用户只

38、能通过特定应用程序来访问数据。 2管理角色（1）为服务器角色添加成员 v通过将登录名添加到服务器角色，用户可以获得服务器角色所具有的权限。v可以使用Management Studio或Transact-SQL语句将登录名添加到服务器角色。v下面使用Management Studio将登录名添加到服务器角色。 打开Management Studio，正确注册并登录数据库服务器，在Management Studio的“资源对象管理器”窗格中，如图14所示，展开“刘召召”“安全性”“服务器角色”项，右键单击用户所要加入的角色，在弹出的快捷菜单中，选择“属性”命令 图14 打开“服务器角色”属性 在出

39、现的“服务器角色属性”窗口中，如图15所示，单击“添加”按钮。 图15 “服务器角色属性”窗口 在出现的“选择登录名”对话框中，如图16所示，在“输入要选择的对象名称”文本框中输入登录名，或单击“浏览”按钮选择对象名称，单击“确定”按钮，返回到图15界面，再单击“确定”按钮完成添加。 图16 “添加成员”对话框 （2）创建用户自定义的数据库角色v使用自定义的数据库角色，可以简化数据库权限的管理工作。使用自定义的数据库角色管理数据库权限，一般按照以下三个步骤进行： 创建或修改自定义角色； 分配数据库权限给自定义的角色； 将用户添加到自定义角色。v可以使用Management Studio或Transact-SQL语句创建用户自定义的数据库角色。v下面使用Management Studio创建用户自定义的数据库角色。 打开Management Studio，正确注册并登录数据库服务器，在Management Studio的“资源对象管理器”窗格中，如图17所示，展开“刘召召”