数据库sql第10章安全管理

1、第10章 安全管理10.1 SQL 2008安全管理的结构10.2 服务器安全管理10.3 数据库安全管理10.4 架构安全管理10.5 权限管理的TSQL语句10.1 SQL 2008安全管理的结构安全管理的结构 n用户必须通过系统对用户连接账号和密码的身份验证（即登录名和密码验证），才可以连接SQL Server 2008服务器。如果要使用服务器中的资源，如：数据库等，还必须具备相应的操作权限。因此，在SQL Server中对安全性的管理主要包括两个阶段：身份验证和权限验证。n在SQL Server 2008中为了便于用户权限管理，提供了两类角色：服务器角色和数据库角色。服务器角色预定义了

2、几种对服务器执行操作权限的分组，如创建数据库、设置服务器选项等，通过将连接服务器的登录名归入对应的服务器角色，可以使该登录名具有服务器角色所具有的权限。数据库角色预定义了几类对数据库执行操作权限的分组。n而数据库用户与服务器登录名之间则是通过映射来建立对应的关系，即当用户使用登录名和密码连接服务器后，如果数据库中有对应的用户与登录名之间存在映射关系，则该用户可以访问数据库。 SQL Server安全管理体系结构 10.2 服务器安全管理n在SQL Server中，对服务器的安全管理是SQL Server系统安全性管理的第一层次。SQL Server通过排除非法用户对SQL Server服务器的

3、连接，来防止外来的非法入侵。n10.2.1 SQL Server身份验证模式身份验证模式nSQL Server用于连接服务器的身份验证主要有两种模式：Windows身份验证和SQL Server身份验证。Windows身份验证模式。此模式允许用户使用Windows操作系统的域用户管理和本地用户管理模块来对用户身份进行验证。SQL Server身份验证模式。SQL Server身份验证模式与Windows验证模式不同， SQL Server负责把用户连接服务器的登录名、密码与syslogins表的登录项进行比较，如果能够在syslogins表中找到匹配的数据行，用户就可以通过验证，连接服务器。1

4、0.2.2 SQL Server身份验证模式设置身份验证模式设置 nSQL Server身份验证是服务器端执行的任务，因此SQL Server身份验证模式需要在服务器端进行设置。在SQL Server 2008中，系统将上述两种身份验证模式组合成为两项模式供用户选择：Windows身份验证模式、SQL Server和Windows身份验证模式。其中第二项验证模式是混合型的验证模式，即服务器可以使用两种模式对用户连接进行身份验证。 10.2.3 SQL Server登录名管理登录名管理 n登录名是客户端连接服务器时，向服务器提交的用于身份验证的凭据，也是SQL Server服务器安全性管理中的基

5、本构件。n根据身份验证模式的不同，在SQL Server中登录名有两种：Windows登录名登录名和SQL Server标准登录名标准登录名。Windows登录名是指由Windows操作系统的用户账号对应到SQL Server的登录名，此类登录名主要用于Windows身份验证模式；SQL Server标准登录名是由SQL Server独立维护并用于SQL Server身份验证模式的登录名。 10.2.3 SQL Server登录名管理登录名管理n1、创建SQL Server标准登录名 1、在SQL Server Management Studio的“对象资源管理器对象资源管理器”窗口中，展开服

6、务器、安全性节点。2、右击“登录名登录名”，在右键菜单中选择“新建登录名新建登录名”。 3、在 “登录名登录名新建新建”对话框中，输入登录名的名称为“Sale”，选择身份验证模式为“SQL Server身份验证”；设置密码为“password1”，选中“强制实施密码策略”、“强制密码过期”和“用户在下次登录时必须更改密码”等项。指定默认数据库为“master”，最后单击“确定确定”，完成登录名创建。n 1、创建SQL Server标准登录名 n创建登录名的操作同样可以使用TSQL语句来完成，所用的TSQL语句为“CREATE LOGIN”，其语法如下：CREATE LOGIN loginNam

7、e WITH | FROM := PASSWORD = password | hashed_password HASHED MUST_CHANGE , ,. := SID = sid | DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | CHECK_EXPIRATION = ON | OFF | CHECK_POLICY = ON | OFF | CREDENTIAL = credential_name := WINDOWS WITH ,. | CERTIFICATE certname | ASYMMETRIC KEY as

8、ym_key_name := DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = languagen主要参数的含义如下：loginName，新建的登录名的名称。PASSWORD，新登录名的密码，用于SQL Server标准登录名中，不能用于Windows登录名的创建。MUST_CHANGE，此项对应“用户在下次登录时必须更改密码”的选项，适用于SQL Server标准登录名。DEFAULT_DATABASE，指定登录名连接时默认打开的数据库。DEFAULT_LANGUAGE，登录名默认使用的语言。CHECK_EXPIRATION，对应于“强制密码过

9、期”选项，用于指定SQL Server标准登录名是否使用强制密码过期策略，可以选择ON|OFF两项，ON表示实施强制密码过期策略，OFF表示不实施。n例如以下代码创建了一个新登录名“Sales1”，密码为“password1”，并且“强制实施密码策略”和“强制密码过期”。指定默认数据库为“NetSales”数据库。CREATE LOGIN Sale1WITH PASSWORD=password1,CHECK_EXPIRATION=ON, CHECK_POLICY=ON,DEFAULT_DATABASE = NetSales10.2.3 SQL Server登录名管理登录名管理n2、创建Wind

10、ows登录名nWindows登录名可以与单个Windows账号对应，也可以与Windows用户组和内置安全主体对应。nDEMO CREATE LOGIN DATASERVERCustomer_service_team FROM WINDOWS WITH DEFAULT_DATABASE=master10.2.3 SQL Server登录名管理登录名管理n3、系统登录名 n在SQL Server安装完毕后，会默认提供多个系统登录名。这些登录名可用于用户连接SQL Server系统，主要包括：sa、域或本机名称Administrator、BUILTINAdministrator、NT AUTHOR

11、ITYNETWORK SERVICE、NT AUTHORITYSYSTEM等等。sa。sa是SQL Server内置的系统管理员登录名，该登录名拥有对SQL Server服务器执行各项操作的权限。域或本机名称Administrator，BUILTINAdministrator。Windows域或本机管理员的用户账号及用户组会在SQL Server安装过程中被加入到SQL Server登录名中，且都是系统管理员角色的成员，拥有系统管理员的权限。NT AUTHORITYNETWORK SERVICE、NT AUTHORITYSYSTEM。这些登录名是在SQL Server安装过程中设置用于启动SQ

12、L Server代理服务、分析服务和报表服务的登录名。10.2.3 SQL Server登录名管理登录名管理n4、登录名的修改和删除n在SQL Server Management Studio中修改登录名的操作过程如下：1、在SQL Server Management Studio的“对象资源对象资源管理器管理器”窗口中，展开服务器、安全性、登录名节点。2、在“登录名登录名”节点中，双击要修改的登录名，可以在“登录名属性登录名属性”对话框中，对选定的登录名进行修改。n修改登录名的TSQL语句为“ALTER LOGIN”，例如以下代码修改登录名“Sale”的密码为“password2”。ALTE

13、R LOGIN Sale WITH PASSWORD=password210.2.3 SQL Server登录名管理登录名管理n4、登录名的修改和删除n在SQL Server Management Studio中删除登录名的过程如下：1、在SQL Server Management Studio的“对象资源管理器对象资源管理器”窗口中，展开服务器、安全性、登录名节点。2、在“登录名登录名”节点中，右击要删除的登录名，在右键菜单中选择“删除删除”，然后在“删除对象删除对象”对话框中“确定确定”删除，即可完成登录名的删除。n删除登录名的TSQL语句为“DROP LOGIN”，语法规则如下：DROP

14、 LOGIN login_namen例如以下代码可以删除了登录名“Sale_N”。DROP LOGIN Sale_Nn但是，必须注意的是有些登录名是不能删除的，包括：现为某个数据库的拥有者。在msdb数据库中某项作业（job）的所有者。目前正在连接的用户。sa登录名也不能删除。10.2.3 SQL Server登录名管理登录名管理n5、登录名的禁用和启用n对于暂时不用，但不想删除的登录名，可以设置登录名的状态，将登录名禁用。在需要使用时，也可以通过启用，使登录名恢复使用。上述操作都可以在“登录名属性登录名属性”对话框中完成。操作过程如下：1、在SQL Server Management Stu

15、dio的“对象资源对象资源管理器管理器”窗口中，展开服务器、安全性节点。2、选择“安全性安全性”节点的某个登录名，双击该登录名，进入“登录名属性登录名属性”对话框。3、选择左侧的“状态状态”选项，可以设置“是否允许连是否允许连接到数据库引擎接到数据库引擎”和“登录登录”状态。10.2.4 服务器角色服务器角色 n系统默认提供了9类固定服务器角色，这些固定服务器角色的含义如下：bulkadmin。属于该服务器角色的成员可以执行大数据量的操作，如 BULK INSERT。dbcreator。属于该服务器角色的成员可以创建、更改、删除和还原数据库。diskadmin。属于该服务器角色的成员可以管理磁

16、盘文件。processadmin。属于该服务器角色的成员可以结束在数据库引擎实例中执行的进程。securityadmin。属于该服务器角色的成员可以管理登录名及其属性，可以执行GRANT、DENY和REVOKE来管理登录名在服务器和数据库级别中的权限，以及重新设置登录名的密码。serveradmin。属于该服务器角色的成员是服务器的管理员，可以配置服务器的选项或关闭服务器。setupadmin。属于该服务器角色的成员可以添加和删除链接服务器，并可以执行某些系统存储过程。sysadmin。属于该服务器角色的成员是系统管理员，可以在数据库引擎中执行任何操作。如对服务器中的对象执行创建、修改或删除，

17、更改各项设置等。public。public服务器角色是一个比较特殊的角色，任何登录名都属于public角色，但这个角色的权限较小，一般只具有连接服务器的权限。10.2.5 登录名授权登录名授权 n如果固定服务器角色无法满足对登录名进行授权的要求，可以通过对登录名进行权限设置，把服务器级安全对象的访问权限授予登录名。n在SQL server2008中，安全对象是指可以由系统进行权限控制，并可供用户访问的系统资源、进程以及对象等。服务器级的安全对象包括：端点端点、登录名登录名和数据库数据库。将服务器级安全对象的访问权限授予登录名，则登录名连接服务器后，就可以执行权限赋予的操作。n权限的授予有三种方

18、式：授予授予、具有授予具有授予和拒绝拒绝。 授予授予：表示给予登录名选中的权限。不选中，则表示取消登录名的该项权限。但是如果登录名从其他途径（如从固定服务器角色中继承）获得了此项权限，则登录名还是可以执行此项权限。具有授予权限具有授予权限：表示当前登录名拥有将选中的权限授予其他登录名的权限。拒绝拒绝：表示明确否决登录名使用选中的权限。这表明，虽然此登录名还可能会从其他途径，如服务器角色继承等方式获得此项权限，但明确拒绝后，此登录名将无法使用从其他途径获得的此项权限。 10.3 数据库安全管理数据库安全管理 n在SQL Server 2008中，对于数据库的安全管理是通过数据库用户权限管理来实现

19、的。登录名连接服务器后，如果需要访问数据库，必须将登录名与数据库中的用户之间建立映射，建立映射后，该登录名在此数据库的权限是：登录名本身具有的对数据库进行操作的权限和被映射的数据库用户权限的并集。 10.3.1 数据库用户数据库用户 n数据库用户是数据库级的安全主体，是对数据库进行操作的对象。要使数据库能被用户访问，数据库中必须建有用户。系统为每个数据库自动创建了：INFORMATION_SCHEMA、sys、dbo和guest。dbo：是数据库所有者用户。顾名思义，dbo用户对数据库拥有所有权限，并可以将这些权限授予其他用户。在SQL Server 2008中，创建数据库的用户默认就是数据库

20、的所有者，从属于服务器角色“sysadmin”的登录名会自动被映射为dbo用户，因此“sysadmin”角色的成员就具有对数据库执行任何操作的权限。guest：是数据库客人的用户。当数据库中存在guest用户，则所有登录名，不管是否具有访问数据库的权限，都可以访问guest用户所在的数据库。因此，guest用户的存在会降低系统的安全性。但是，在用户数据库中guest用户默认处于关闭状态，而在master和tempdb数据库中出于系统运行需要，guest用户是开启的。sys和INFORMATION_SCHEMA：此两类用户是为使用sys和INFORMATION_SCHEMA架构的视图而创建的用户

21、。10.3.1 数据库用户数据库用户n1、创建数据库用户n在SQL Server Management Studio创建数据库用户的过程如下：1、在SQL Server Management Studio的“对象资源对象资源管理器管理器”窗口中，展开服务器、数据库、安全性、用户节点，可以查看当前数据库中的用户。2、右击“用户用户”节点，在右键菜单中选择“新建用新建用户户”。3、在“数据库用户数据库用户新建新建”对话框中，输入“用户名称”，在“登录名”项中，可以输入要建立映射的登录名，也可以通过单击其后的按钮，在“选择登录名选择登录名”对话框中进行选择。在“默认架构”中可以输入或者选择架构的名称

22、，如果此项不输入，用户的默认架构就是dbo。在中间的“此用户拥有的架构”列表中列出了当前数据库中所有的架构，可以根据需要进行选择。10.3.1 数据库用户数据库用户n创建用户的TSQL语句是“CREATE USER”，语法规则如下：CREATE USER user_name FOR | FROM LOGIN login_name WITH DEFAULT_SCHEMA = schema_name n各主要参数的含义如下：user_name，数据库用户的名称。login_name，与数据库用户建立映射的登录名。WITH DEFAULT_SCHEMA = schema_name，指定默认的架构。n

23、例如以下代码，在数据“NetSale”中创建了一个与Windows登录名同名的新用户“DATASERVERCustomer_service1” 。USE NetSales GOCREATE USER DATASERVERCustomer_service1WITH DEFAULT_SCHEMA=dbo10.3.1 数据库用户数据库用户n2、修改数据库用户n在SQL Server Management Studio中修改用户的操作与修改登录名的操作类似，主要步骤如下：1、在SQL Server Management Studio的“对象资源管理器对象资源管理器”窗口中，展开服务器、数据库、安全性、

24、用户节点。2、在“用户用户”节点下，双击要修改的用户，然后在“数据库用户属性数据库用户属性”对话框中，可以对现有数据库用户的属性进行设置，但是不能更改“登登录名录名”。n在TSQL中修改数据库用户名的语句是“ALTER USER”，可以对现有数据库用户的名称、默认架构和映射对应的登录名进行修改，基本语法规则如下：ALTER USER userName WITH ,.n := NAME = newUserName | DEFAULT_SCHEMA = schemaName | LOGIN = loginNamen如以下代码，把数据库用户“Sale_user”的名称修改为“Sale_Mgt”，默认

25、架构为“db_datareader”。USE NetSalesGOALTER USER Sale_userWITH NAME=Sale_Mgt,DEFAULT_SCHEMA=db_datareader10.3.1 数据库用户数据库用户n3、删除数据库用户n删除数据库用户的TSQL语句为“DROP USER”，语法规则如下：DROP USER user_namen如以下代码可以删除“Sale_Mgt”。DROP USER Sale_Mgt10.3.2 数据库角色数据库角色 n在SQL Server 2008中共提供了10种固定数据库角色，这些数据库角色代表的含义如下：db_accessadmin

26、：可建立和管理数据库用户。db_backupoperator：可执行数据库备份操作。db_dbreader：可以从数据库中读取表中的数据。db_datawriter：可以对数据库的表执行写的操作，如添加、修改和删除数据。db_ddladmin：可以在数据库中执行DDL语句，即可以创建、修改、删除数据库对象，如数据表、视图、存储过程等。db_denydatareader：拒绝读取数据库中的数据，无论用户是否通过其他途径获取了数据读取的操作权限。db_denydatawrite：拒绝对数据库中数据执行写的操作，无论用户是否通过其他途径获取了数据写入的操作权限。db_owner：数据库的所有者，可以

27、在数据库中执行所有操作，dbo用户是其中的成员。db_securityadmin：可以管理数据库角色及角色中的成员，也可管理语句权限和对象权限。Public：默认只有读取数据的权限。每个新建的数据库用户都会成为其中的成员。与其他数据库角色不同，public角色的权限虽然较少，但是可以通过修改public的权限来赋予更多权限。当然，由于public权限的特殊性，还是不应该给public赋予过多的权限。10.3.3 应用程序角色应用程序角色 n创建应用程序角色DEMOn使用应用程序角色n要使用应用程序角色，可以在应用程序代码中激活此应用程序角色，激活代码如下：Sp_setapprole rolen

28、ame= SaleAppRole,password=123456n应用程序角色激活后，应用程序就可以通过此应用程序角色来获得对“NetSales”数据库中数据表“订单表”进行访问的权限。10.3.4 管理角色的管理角色的TSQL语句语句 n1、创建数据库角色的TSQL代码n创建数据库角色可以使用“CREATE ROLE”语句，语法规则如下：CREATE ROLE role_name AUTHORIZATION owner_name n其中role_name为数据库角色名称，owner_name所有者用户的名称或角色，如果未指定，是默认为dbo。例如以下代码创建了一个名称为“Order_deal

29、er”数据库角色，所有者为“dbo”。USE NetSalesGOCREATE ROLE Order_dealer AUTHORIZATION dboGO10.3.4 管理角色的管理角色的TSQL语句语句n2、创建应用程序角色的TSQL代码n创建应用程序角色可以使用“CREATE APPLICATION ROLE”语句，语法规则如下：CREATE APPLICATION ROLE application_role_name WITH PASSWORD = password , DEFAULT_SCHEMA = schema_name n例如以下代码，创建了一个名称为“Order_App_Rol

30、e”的应用程序角色，默认架构为“dbo”，密码为“123456”。USE NetSalesGOCREATE APPLICATION ROLE Order_App_Role WITH PASSWORD = 123456, DEFAULT_SCHEMA = dboGO10.3.4 管理角色的管理角色的TSQL语句语句n3、修改和删除角色的TSQL代码n修改数据库角色和应用程序角色的TSQL代码分别为：ALTER ROLE和ALTER APPLICATION ROLE，例如以下代码分别修改了数据库角色“Order_dealer”和应用程序角色“Order_App_Role”，其中将前者名称修改为“O

31、rder_dealers”，后者修改了应用程序角色的密码为“abcdef”。USE NetSalesGOALTER ROLE Order_dealer WITH NAME =Order_dealersGOALTER APPLICATION ROLE Order_App_Role WITH PASSWORD = abcdef, DEFAULT_SCHEMA = dboGOn删除数据库角色和应用程序角色的TSQL代码分别为：DROP ROLE 和DROP APPLICATION ROLE。如以下语句可以删除上述创建的数据库角色“Order_dealers”和应用程序角色“Order_App_Rol

32、e”。USE NetSalesGODROP ROLE Order_dealersGODROP APPLICATION ROLE Order_App_Role GO10.3.4 管理角色的管理角色的TSQL语句语句n4、添加角色成员的TSQL代码n如果需要将用户或角色添加到角色成员中，可以使用系统存储过程sp_addrolemember，相应的TSQL代码语法如下：sp_addrolemember rolename = role, membername = security_account主要参数的含义如下：nrolename，被添加角色或用户名的角色名称；membername，用作成员的用户或

33、角色名称。n例如以下代码创建了数据库用户“ORDER1”，并归属到“db_ddladmin”角色中。USE NetSales GOCREATE USER ORDER1 FOR LOGIN SaleGOExec sp_addrolemember db_ddladmin, ORDER1 GO10.3.5 数据库用户授权数据库用户授权 n对数据库用户权限的设置可以通过数据库角色来实现，也可以通过对数据库用户设置数据库级安全对象的操作权限来实现。数据库级的安全对象包括用户、应用程序角色、程序集、消息类型、服务、路由、远程服务绑定、全文目录、证书、非对称密钥、约定、对称密钥、架构等。n权限种类会因为安全

34、对象的不同而有所变化，但大体包括以下几种权限：插入、查看定义、查看更改跟踪、更改、更新、接管所有权、控制、删除、选择、引用和执行等几种。对于数据表、视图和返回表的函数等安全对象，在设置“选择”、“更新”和“引用”权限时还可以对具体可操作的“列”进行控制，如只能查看表中的部分列，而不能查看某些列。 10.4 架构安全管理架构安全管理 n架构是SQL Server 2005版开始引进的一项新特征，其主要作用是将多个数据库对象归属到架构中，以解决用户与对象之间因从属关系而引起的管理问题。SQL Server 提供的示例数据库“AdventureWorks”是一个架构应用的典型实例。n架构级安全对象包

35、括：类型类型、XML架构集合架构集合、聚合聚合、约束约束、函数函数、过程过程、队列队列、统计信息统计信息、同义词同义词、表表、视图视图等。这些对象包含在架构内，如果需要调用架构内的对象，需要指定架构的名称，如以下代码查询AdventureWorks 库中Department表Name和GroupName列的数据，由于Department表属于架构HumanResources，因此需要指明架构的名称。SELECT Name, GroupName FROM HumanResources.Departmentndbo是系统默认架构。因此如果架构是dbo，则无需指明架构名称。 10.4.1 创建架构创

36、建架构 n在SQL Server Management Studio中创建架构的过程如下：1、在SQL Server Management Studio的“对象资源对象资源管理器管理器”窗口中，展开服务器、数据库（“NetSales”）、安全性、架构等节点。2、右击“架构架构”，在右键菜单中选择“新建架构新建架构”，在 “新建架构新建架构”对话框中输入架构名称：Orders，架构所有者：Product_Mgt。3、单击“确定确定”后，完成架构的创建。10.4.1 创建架构创建架构n创建架构的TSQL语句为“CREATE SCHEMA”，语法规则如下：CREATE SCHEMA schema_n

37、ame_clause .n := schema_name | AUTHORIZATION owner_name | schema_name AUTHORIZATION owner_name := table_definition | view_definition | grant_statement revoke_statement | deny_statement n主要参数含义如下：schema_name，架构名称。AUTHORIZATION owner_name，架构的所有者，可以是数据库用户、数据库角色和应用程序角色。table_definition，数据表的定义语句，在创建架构的语句

38、中可以包含数据表的创建，新建的数据表从属于该架构。view_definition，视图的定义语句，在创建架构的语句中可以包含视图的创建，新建的视图从属于该架构。grant_statement |revoke_statement | deny_statement，权限设置情况。 n例如以下代码，创建了一个名称为“Sales_SCHEMA”，所有者为数据库角色“db_owner”的新架构。CREATE SCHEMA Sales_SCHEMA AUTHORIZATION db_owner 10.4.2 在架构中添加对象在架构中添加对象 n1、在SQL Server Management Studio

39、的“对象对象资源管理器资源管理器”窗口中，展开服务器、数据库（“NetSales”）、表等节点。n2、在“表表”节点下，右击“订单表订单表”，在右键菜单中选择“设计设计”。在 “数据表设计数据表设计器器”窗口中，修改“属性属性”窗口中的“架构架构”为“Orders”。n3、保存对表的上述修改。在“对象资源管理器对象资源管理器”的“表表”节点下，“订单表”前缀已被更新为“Order”，表明该表已添加到架构“Orders”。 10.4.3 在架构中移动对象在架构中移动对象 n架构中的对象在需要情况下可以移动到其他架构中。移动对象到其他架构的TSQL语句为ALTER SCHEMA，语法规则如下：AL

40、TER SCHEMA schema_name TRANSFER securable_namesecurable_name 是待移动的对象，需要使用“架构名.对象名”的形式来标注出待移动的架构；schema_name是目标架构。n如以下代码表示将“订单细节表”从“dbo”架构中移动到“Orders”。ALTER SCHEMA Orders TRANSFER dbo.订单细节表10.4.4 设置架构权限设置架构权限 n1、在SQL Server Management Studio的“对象对象资源管理器资源管理器”窗口中，展开服务器、数据库（“NetSales”）、安全性和架构等节点。n2、在“架构

41、架构”节点下，双击要设置权限的架构“Orders”。n3、在“架构属性架构属性”对话框，单击左侧的“权限权限”。在“权限权限”选项页中，单击“搜索搜索”按钮。n4、在“选择用户或角色选择用户或角色”对话框中输入“Product_Mgt”用户，单击“确定确定”后返回到“架构属性架构属性”对话框。n5、在“显式显式”权限列表中，授予操作权限。 10.5 权限管理的权限管理的TSQL语句语句 n对登录名、服务器角色、数据库用户、数据库角色、应用程序角色等安全主体设置权限的TSQL权限管理语句包括：GRANT、DENY和REVOKE 。n10.5.1 GRANT授权nGRANT语句是授权语句，使用GR

42、ANT语句可以给安全主体授予访问安全对象的权限。GRANT语句的语法规则如下：GRANT ALL PRIVILEGES | permission ( column ,.n ) ,.n ON class : securable TO principal ,.n WITH GRANT OPTION AS principal n各主参数的含义如下：ALL，将安全对象的所有操作权限（除ALTER、TAKE OWNERSHIP之外）授予给指定的安全主体。但是除：数据库、标量函数、表函数、存储过程、表、视图等安全对象可以使用ALL来代表表中的权限外，其余安全对象不能使用ALL，必须明确列出权限名称。此选项主要用于兼容早期版本，不推荐使用此选项。PRIVILEGES，用于提供与ANSI-92的兼容。Permission，权限名称，如SELECT、UPDATE等。column ,.n ，在表、视图、表值函数，用于对列权限的设置。class :指定将授予其权限的安全对象的类。Secura