第12章 SQL Server安全管理.doc

第12章 SQL Server的安全管理19第12章 SQL Server的安全管理数据的安全性是指保护数据以防止因不合法的使用而造成数据的泄密和破坏。这就要采取一定的安全保护措施。在数据库管理系统中用检查口令等手段来检查用户身份，合法的用户才能进入数据库系统。当用户对数据库执行操作时，系统自动检查用户是否有权限执行这些操作。本章主要介绍这SQL Server的验证模式、验证模式的设置、NT验证模式对SQL Server的影响、登录帐号的设置、用户和角色的创建以及用户和角色的权限设置等。12.1 SQL Server安全体系结构就目前而言，绝大多数数据库管理系统都还是运行在某一特定操作系统平台下的应用程序，SQL Server也不例外，SQL Server的安全体系结构可以划分为以下四个等级。 客户机操作系统的安全性 SQL Server的登录安全性 数据库的使用安全性 数据库对象的使用安全性每个安全等级都好像一道门，如果门没有上锁，或者用户拥有开门的钥匙，则用户可以通过这道门达到下一个安全等级。如果通过了所有的门，则用户就可以实现对数据的访问了。关系可以用图12.1来表示。12.1.1 操作系统的安全性在使用客户计算机通过网络实现对SQL Server服务器的访问时，用户首先要获得客户计算机操作系统的使用权。一般来说，在能够实现网络互联的前提下，用户没有必要直接登录运行SQL Server服务器的主机，除非SQL Server服务器就运行在本地计算机上。SQL Server可以直接访问网络端口，所以可以实现对Windows NT安全体系以外的服务器及其数据库的访问。操作系统安全性是操作系统管理员或者网络管理员的任务。由于SQL Server采用了集成Windows NT网络安全性的机制，所以使得操作系统安全性的地位得到提高，但同时也加大了管理数据库系统安全性和灵活性的难度。12.1.2 SQL Server的安全性SQL Server的服务器级安全性建立在控制服务器登录账号和密码的基础上。SQL Server采用了标准SQL Server登录和集成Windows NT登录两种方式。无论是使用哪种登录方式，用户在登录时提供的登录账号和密码，决定了用户能否获得SQL Server的访问权，以及在获得访问权以后，用户在访问SQL Server进程时就可以拥有的权利。管理和设计合理的登录方式是数据库管理员(DBA)的重要任务，是SQL Server安全体系中DBA可以发挥主动性的第一道防线。SQL Server事先设计了许多固定服务器的角色，用来为具有服务器管理员资格的用户分配使用权利。拥有固定服务器角色的用户可以拥有服务器级的管理权限。用 户操作系统安全SQL Server验证数据库数据库访问权限数据库对 象数据库对象访问权限客户机服务器图12.1 SQL Server的安全等级12.1.3数据库的安全性在用户通过SQL Server服务器的安全性检验以后，将直接面对不同的数据库入口。这是用户将接受的第三次安全性检验。在建立用户的登录账号信息时，SQL Server会提示用户选择默认的数据库。以后用户每次连接上服务器后，都会自动转到默认的数据库上。对任何用户来说，master数据库的门总是打开的，如果在设置登录账号时没有指定默认的数据库，则用户的权限将局限在master数据库以内。但是由于master数据库存储了大量的系统信息，对系统的安全和稳定起着至关重要的作用，所以建议用户在建立新的登录账号时，最好不要将默认的数据库设置为master数据库，而是应该根据用户实际将要进行的工作，将默认的数据库设置在具有实际操作意义的数据库上。默认的情况下，数据库的拥有者(Owner)可以访问该数据库的对象，分配访问权给别的用户，以便让别的用户也拥有针对该数据库的访问权利。在SQL Server中默认的情况表示所有的权利都可以自由转让和分配。12.1.4 SQL Server数据库对象的安全性数据库对象的安全性是核查用户权限的最后一个安全等级。在创建数据库对象时，SQL Server自动把该数据库对象的拥有权赋予该对象的创建者。对象的拥有者可以实现对该对象的完全控制。默认情况下，只有数据库的拥有者可以在该数据库下进行操作。当一个非数据库拥有者想访问数据库里的对象时，必须事先由数据库拥有者赋予用户对指定对象执行特定操作的权限例如，一个用户想访问school数据库里的student表中的信息，则必须在成为数据库用户的前提下，获得由school数据库拥有者分配的student表的访问权限。12.2 SQL Server的验证模式在第2章中，简单介绍了验证模式的概念，本节将进行详细的介绍。为了实现安全性，SQL Server对用户的访问进行两个阶段的检验： 验证阶段(Authentication) 用户在SQL Server上获得对任何数据库的访问权限之前，必须登录到SQL Server上，并且被认为是合法的。SQL Server或者Windows NT/2000对用户进行验证。如果验证通过，用户就可以连接到SQL Server上；否则，服务器将拒绝用户登录。从而保证了系统安全。 许可确认阶段(Permission Validation) 用户验证通过后，登录到SQL Server上，系统检查用户是否有访问服务器上数据的权限。在验证阶段，系统是对用户登录进行验证。SQL Server和Windows NT/2000是结合在一起的，因此就产生了两种验证模式：NT验证模式和混合验证模式。12.2.1 NT验证模式在NT验证模式下，SQL Server检测当前使用Windows NT/2000的用户帐户，并在系统注册表中查找该用户，以确定该用户帐户是否有权限登录。在这种方式下，用户不必提交登录名和密码让SQL Server验证。NT验证模式有以下主要优点： 数据库管理员的工作可以集中在管理数据库之上，而不是管理用户帐户。对用户帐户的管理可以交给Windows NT/2000去完成。 Windows NT/2000有着更强的用户帐户管理工具。可以设置帐户锁定、密码期限等。如果不是通过定制来扩展SQL Server，SQL Server是不具备这些功能的。 Windows NT/2000的组策略支持多个用户同时被授权访问SQL Server。实际上，SQL Server是从RPC协议连接中自动获取登录过程中的Windows NT/2000用户帐户信息的。多协议和命名管道自动使用RPC协议。因此，在客户和服务器间，使用上述网络库可以使用NT验证模式。但是，应该注意的是，要使用多协议或者命名管道在客户和服务器上建立连接，必须满足以下两个条件中的一个： 客户端的用户必须有合法的服务器上的Windows NT/2000帐户，服务器能够在自己的域中或者信任域中验证该用户。 服务器启动了guest帐户(guest用户帐户允许没有用户帐户的登录访问数据库。)，但是该方法会带来安全上的隐患，因而不是一个好的方法。注意：关于域和信任域、组策略，以及Windows NT/2000的用户帐户管理等概念，可参考Windows NT/2000的帮助和使用手册。12.2.2混合验证模式混合验证模式允许以SQL Server验证模式或者NT验证模式来进行验证。使用哪个模式决于在最初的通信时使用的网络库。如果一个用户使用的是TCP/IP Sockets进行登录验征，则将使用SQL Server验证模式；如果用户使用命名管道，则登录时将使用NT验证模式。这种模式能更好地适应用户的各种环境。但是对于Windows 9x系列的操作系统，只能使用SQL Server验证模式。SQL Server验证模式处理登录的过程为：用户在输入登录名和密码后，SQL Server在系统注册表中检测输入的登录名和密码。如果输入的登录名存在，而且密码也正确，就可以登录到SQL Server上。提示：验证模式的选用通常与网络验证的模型和客户与服务器间的通信协议有关。如果网络主要是Windows NT/2000网，则用户登录Windows NT/2000时已经得到了确认，因此，使用NT验证模式将减轻系统的工作负担。但是，如果网络主要是Novell网络或者对等网，则使用SPX协议和SQL Server验证模式将是很方便的。因为，这种情况下，只需创建SQL Server登录帐户，而不用创建Windows NT/2000帐户。混合验证模式具有如下优点： 创建了Windows NT/2000之卜的另外一个安全层次。 支持更大范围的用户，例如非Windows NT客户、Novell网络等。 一个应用程序可以使用单个的SQL Server登录或口令。12.2.3 NT验证模式对SQL Server的影响前面介绍过，SQL Server的配置信息都被保存在master数据库的sysconfigures表内，但是在使用该数据库前，就应该决定采用哪种验证模式。在Windows NT/2000的注册表内，保存了SQL Server验证模式的相关信息及启动SQL Server的必须信息。因此，注册表对SQL Server而言，有着举足轻重的地位。在注册表中，我的电脑KHEY_LOCAL_MACHINESoftwareMicrosoftMSSQLServerMSSQLServer中的LoginMode的值决定了采用哪种验证模式。如果该键值为0，则采用混合验证模式，如果该值不为0，则采用NT验证模式，如图12.2所示。每次启动SQL Server时，都将检查该键的值，以决定使用哪种验证模式。图12.2 注册表设置12.2.4设置验证模式在第一次安装SQL Server，或者使用SQL Server连接其他服务器的时候，需要指定验证模式。对于己经指定验证模式的SQL Server服务器，在SQL Server中还可以进行修改。操作步骤如下：(1) 打开企业管理器，选择服务器组中的服务器，右击鼠标，在弹出的快捷菜单上选择“编辑SQL Server注册属性”命令，打开“已注册的SQL Server属性”对话框，如图12.3所示。如果选中“使用SQL Server身份验证”模式，则须输入登录名和密码。(2) 在对话框中设置验证模式后，单击“确定”按钮即可。注意：修改验证模式后，必须首先停止SQL Server服务，然后重新启动SQL Server才能使新的设置生效。(3) 还可以通过设置服务器的属性来设置验证模式。在服务器上右击鼠标，在弹出的菜单中选择“属性”命令，打开“属性”对话框。(4) 单击“安全性”选项卡，打开“安全性”选项卡，如图12.4所示。在此选项卡中也可以设置验证模式。如果选中“SQL Server和Windows”表示选择混合验证模式，如果选中“仅Windows”表示选择NT验证模式。图12.3 “已注册的SQL Server属性”对话框图12.4“安全性”选项卡12.3 帐号和角色在SQL Server中，帐号有两种，一种是登录服务器的登录帐号(login name)，另外一种是使用数据库的用户帐号(user name)。登录帐号只是让用户登录到SQL Server中，登录名本身并不能让用户访问服务器中的数据库。要访问特定的数据库，还必须具有用户名。 用户名在特定的数据库内创建，并关联一个登录名(当一个用户创建时，必须关联一个登录名)。用户定义的信息存放在服务器上的每个数据库的sysusers表中，用户没有密码同它相关联。通过授权给用户来指定用户可以访问的数据库对象的权限。提示：可以这样想像，假设SQL Server是一个包含许多房间的大楼，每一个房间代表一个数据库，房间里的资料可以表示数据库对象。则登录名就相当于进入大楼的钥匙，而每个房间的钥匙就是用户名。房间中的资料是根据用户名的不同而有不同的权限的。12.3.1 服务器的登录帐号在安装SQL Server后，系统默认创建两个登录帐号。打开企业管理器，展开服务器组和服务器。展开“安全性”文件夹，选择“登录”选项，即可看到系统创建的默认登录帐号，如图12.5所示。其中，默认登录帐号sa(在Windows NT Server/2000中还有一个默认的登录帐号BUILTINAdministrators，凡是属于Windows NT Server/2000中Administrators组中帐号都允许登录SQL Server)是超级管理员帐号，允许SQL Server的系统管理员登录。图12.5系统默认创建的登录帐号为了登录到SQL Server，必须具有一个登录帐号。创建一个登录帐号的操作步骤如下：(1) 在“登录”选项上面右击鼠标，选择“新建登录”命令，打开登录属性对话框，如图12.4所示。(2) 在“名称”文本框中输入“licb”，在“身份验证”选项组中，选择“SQL Server身份验证”单选按钮，并输入密码。然后在“默认设置”选项组中，选择“数据库”列表框中的“school”数据库，表示该登录帐号默认登录到school数据库中。(3) 单击“服务器角色”标签，打开“服务器角色”选项卡，如图12.5所示。在此选项卡中，可以设置登录帐号所属的服务器角色，这里选择“securityadmin” 服务器角色。图4.4 新建登录帐号角色是一种SQL Server安全帐户，它是管理权限时可以视为单个单元的其他安全帐户的集合。角色可以包含SQL Server登录、其他角色以及Windows登录或组。角色分为服务器角色和数据库角色。下面介绍服务器角色，数据库角色在后面介绍。图12.5“服务器角色”选项卡服务器角色是负责管理和维护SQL Server的组，一般只会指定需要管理服务器的登录者属于服务器角色。SQL Server 2000和SQL Server 7.0版在安装过程中定义几个固定的服务器角色，这些固定的服务器角色是存在于服务器级别的预定义角色，它们的作用域限于其所定义的SQL Server实例。这些固定服务器角色及具体权限如下： sysadmin 全称为System Administrators，可以在SQL Server中执行任何活动。 serveradmin 全称为Server Administrators，可以设置服务器范围的配置选项，关闭服务器。 setupadmin 全称为Setup Administrators，可以管理链接服务器和启动过程。 securityadmin 全称为Security Administrators，可以管理登录和创建数据库的权限，还可以读取错误日志和更改密码。 processadmin 全称为Process Administrators，可以管理在SQL Server中运行的进程。 dbcreator 全称为Database Creators，可以创建、更改和除去数据库。 diskadmin 全称为Disk Adminstrators，可以管理磁盘文件。 bulkadmin 全称为Bulk Insert Adminstrators，可以执行BULK INSERT(大容量插入)语句。提示：属于Windows NT Server/2000 Adminstrators组的帐号，在Server 2000中被自动设置为sysadmin服务器角色。(4) 单击“数据库访问”标签，打开“数据库访问”选项卡，如图12.6所示。在此选项卡中可选择登录帐号可以访问的数据库。图中school数据库前面的复选框处于选中状态，表示该登录帐号可以访问school数据库。图12.6“数据库访问”选项卡(5) 设置完成后，单击“确定”按钮，出现如图12.7所示的“确认密码”对话框，再次输入密码，即可创建一个名称为licb的登录帐号。图12.7 “确认密码”对话框如果要修改登录帐号的属性，可在登录帐号上面右击鼠标，然后在弹出的快捷菜单中选择“属性”命令，即可打开登录帐号的属性对话框，它也包含上面创建过程中的3个选项卡，各项含义与上面相同。如果要删除一个登录帐号，在右击登录帐号弹出的快捷菜单中选择“删除”命令，此时会打开一个提示对话框，单击“是”按钮确定删除。提示：可以使用SQL Server提供的存储过程添加、修改和删除登录帐号。对于下面的用户、角色，SQL Server同样提供了存储过程来进行添加、修改和删除操作。12.3.2数据库的用户如果用户想访问SQL Server，首先必须要有一个适当的登录账号和密码来登录到SQL Server，用户登录后，并不意味着就能自动访问由SQL Server管理的数据库中的数据了，他们还必须有一个适当的数据库用户账号，才能访问SQL Server的数据。登录账号存储在主数据库的系统登录表中，用户账号存储在各个数据库的系统用户表中。如图12.8所示，有四个不同的登录账号有权登录到SQL Server数据库，但在第一个数据库中的系统用户表中只有两个用户账号，在第二个数据库中的系统用户表中只有三个用户账号，在第三个数据库中的系统用户表中只有两个用户账号。若以user1登录账号登录到SQL Server，可以访问这三个数据库，若以user2登录账号登录到SQL Server，只能访问第二个数据库。图12.8中，登录账号和用户账号名称相同，实际上，通常登录账号和用户账号不同名，而且一个登录账号可以关联多个用户账号。在安装SQL Server后，默认数据库中包含两个用户账号：dbo和guest。任何一个登录帐号都可以通过guest帐号来存取相应的数据库。但是当建立一个新的数据库时，默认只有 dbo帐号而没有guest帐号。注意：master和tempdb数据库中的guest帐号不能删除，而其他数据库中的guest帐号均可以删除因为master数据库记录了所有的系统信息，每个登录的用户若没有特别指定数据库，默认都是使用master数据库而tempdb数据库是临时使用的数据库，所有与服务器连接的数据都会存储在该处，因此也必须提供guest帐号。用户登录账号表user1user2user3user4数据库用户表1user1user3SQL Server数据库SQL Server数据库用户表2user1user2user3数据库用户表3user1user4图12.8 SQL Server登录账号和数据库用户账号每个登录帐号在一个数据库中只能有一个用户帐号，但是每个登录帐号可以在不同的数据库中各有一个用户帐号。如果在新建登录帐号的过程中，指定对某个数据库具有存取权限，则在该数据库中将自动创建一个与该登录帐号同名的用户帐号。例如，上面新建的licb登录帐号，具有对school数据库访问的权限，于是SQL Server自动为该登录帐号在school数据库创建了一个名称为licb的用户帐号，如图12.9所示。图12.9系统自动创建的用户帐号注意：登录帐号具有对某个数据库的访问权限，并不表示该登录帐号对该数据库具有存取的权限。如果要对数据库中的对象进行插入、更新等操作，还需要设置用户帐号的权限。如果在创建新的登录帐号时没有指定对某个数据库的存取权限，则在该数据库中，为新的登录帐号创建一个用户帐号后，该登录帐号会自动具有对该数据库的访问权限。下面在test数据库中创建一个用户帐号，并将其关联到licb登录帐号中。操作步骤如下：(1) 在企业管理器中，展开SQL Server组及其服务器，在“数据库”文件夹中，展开test文件夹，然后在“用户”选项上右击鼠标，在弹出的快捷菜单中选择“新建数据库用户”命令，打开新建用户对话框。(2) 单击“登录名”文本框右端的下拉箭头，选择licb登录帐号，此时“用户名”文本框中自动显示为licb，如图12.10所示。图12.10新建用户帐号可以更改“用户名”文本框中的名称，也可以在“数据库角色成员”列表框中选择新建用户应该属于的数据库角色(详见12.3.3小节)。(3) 设置完成后，单击“确定”按钮，即可在test数据库中创建一个新的用户帐号。如果不想创建用户帐号，单击“取消”按钮即可。在图12.10中，“登录名”文本框后面的“权限”按钮是灰色的，表示不能在创建用户帐号时设置其权限。但是可以在创建后通过其属性对话框来设置其权限，操作步骤如下：(1) 在要设置权限的用户上面右击鼠标，然后选择“属性”命令，打开“数据库用户属性”对话框，如图12.11所示。图12.11 “数据库用户属性”对话框(2) 在“数据库用户属性”对话框中，单击“权限”按钮，打开权限设置对话框，如图12.12所示。在此对话框中，可以设置用户对数据库对象所具有的权限。图12.12权限设置对话框在“对象”列中，显示了数据库中所有的对象，而“所有者”列则显示了相应对象的所有者。后面的6列则是对数据库对象的操作，具体含义如下： SELECT 对表或者视图的查询。 INSERT 在表或者视图中插入记录。 UPDATE 对表或者视图中的数据修改。 DELETE 删除表或者视图中的数据。 EXEC 执行存储过程。 DRI(Declarative Referential Integrity) 可对表的外键加上限制，以达成表的参考完整性。对某个数据库对象而言，如果选中对应的复选框，则表示具有对该对象进行相应操作的权限。每个复选框具有3种状态： 0 表示未指定权限，或权限未取消，还原到未设置状态。 R 表示具有该权限。 Q 表示不具有该权限。(3) 如果要设置对表或者视图的某一字段进行操作的权限，可在列表中选择表或者视图，然后单击“列”按钮，可打开“列权限”对话框。使用该对话框即可进行相应权限的设置。前面介绍的是用户帐号的创建和权限设置，如果要删除一个用户帐一号，则只要从“用户”文件夹中选择要删除的用户，然后按Delete键，或者单击鼠标右键并执行“删除”命令即可。12.3.3数据库角色角色是一个强大的工具，可以将用户集中到一个单元中，然后对该单元应用权限。对一个角色授予、拒绝或废除的权限也适用于该角色的任何成员。可以建立一个角色来代表单位中一类工作人员所执行的工作，然后给这个角色授予适当的权限。当工作人员开始工作时，只需将他们添加为该角色成员，当他们离开工作时，将他们从该角色中删除。而不必在每个人接受或离开工作时，反复授予、拒绝和废除其权限。权限在用户成为角色成员时自动生效。和登录帐号类似，用户帐号也可以分成组，称为数据库角色(Database Roles)。数据库角色是对某个数据库具有相同访问权限的用户帐户和组的集合。数据库角色应用于单个数据库。当最终用户通过客户应用程序连接到分析服务器时，数据库角色中的规范即应用于他们对分析服务器上对象的访问。数据库角色不是用来授权或拒绝对于对象的管理访问。在SQL Server中，数据库角色可分为两种： 标准角色 由数据库成员所组成的组，此成员可以是用户或者其他的数据库角色。 应用程序角色 用来控制应用程序存取数据库的，本身并不包含任何成员。1标准角色在数据库创建时，系统默认剑建10个固定的标准角色。展开school数据库，然后选择“角色”选项，即可看到其中默认的10个固定角色，如图12.13所示，图12.13默认的10个标准角色public角色是最基本的数据库角色。其余9个默认固定角色的含义如下： db_owner 在数据库中有全部权限。 db_accessadmin 可以添加或删除用户ID。 db_securityadmin 可以管理全部权限、对象所有权、角色和角色成员资格。 db_ddladmin 可以发出ALL DDL，但不能发出GRANT(授权)、REVOKE或DENY语句。 db_backupoperator 可以发出DBCC、CHECKPOINT和BACKUP语句。 db_datareader 可以选择数据库内任何用户表中的所有数据。 db_datawriter 可以更改数据库内任何用户表中的所有数据。 db_denydatareader 不能选择数据库内任何用户表中的任何数据。 db_denydatawriter 不能更改数据库内任何用户表中的任何数据。可以查看角色的属性，也可以将一个用户添加到角色中。下面以db_owner数据库角色为例，来查看它的属性，并将用户licb加入到该角色中。操作步骤如下：(1) 在数据库school文件夹下，选择“角色”选项。(2) 在db_owner角色上右击鼠标，然后选择“属性”命令，打开“数据库角色属性-db_owner”对话框，如图12.14所示，默认每个数据库的db_owner中一定包括dbo用户，dbo是默认就存在的用户，就是指数据库的创建者。图12.14“数据库角色属性-db_owner”对话框(3) 要将用户licb加入到该角色中，可单击“添加”按钮，打开“添加角色成员”对话框，如图12.15所示。选择要加入的用户，如果没有建立用户或者其他数据库角色，则此对话框不会出现。图12.15“添加角色成员”对话框(4) 依次单击“确定”按钮，即可将用户licb加入到db_owner数据库角色中。也可以创建一个新的角色。建立一个数据库标准角色的操作步骤如下：(1) 在要创建角色的数据库文件夹下，在“角色”上右击鼠标，然后选择“新建数据库角色”命令，打开“数据库角色属性-新建角色”对话框，如图12.16所示，新建数据库角色的名称为LicbRole。图12.16“数据库角色属性-新建角色”对话框(2) 设置完成后，单击“确定”按钮即可创建新角色。(3) 在第一次创建数据库角色时，不能为其指定权限。但是可在创建完成后，通过其属性对话框来指定权限。在新创建的角色上右击鼠标，打开“数据库角色属性”对话框，单击“权限”按钮，即可打开权限设置对话框，如图12.17所示。图12.17 角色权限设置对话框该对话框和图12.10类似，其中各项含义也和用户权限设置时的相同。2应用程序角色SQL Server中的安全系统在最低级别，即数据库本身上实现。无论使用什么应用程序与SQL Server通信，这都是控制用户活动的最佳方法。但是，有时必须自定义安全控制以适应个别应用程序的特殊需要，尤其是当处理复杂数据库和含有大表的数据库时。此外，可能希望限制用户只能通过特定应用程序(例如使用SQL查询分析器或Microsoft Excel)来访问数据或防止用户直接访问数据。限制用户的这种访问方式将禁止用户使用应用程序(如SQL查询分析器)连接到SQL Server实例并执行编写质量差的查询，以免对整个服务器的性能造成负面影响。SQL Server使用应用程序角色来满足这些要求，应用程序角色和标准角色的区别有如下3点： 应用程序角色不包含成员。不能将Windows NT/2000组、用户和角色添加到应用程序角色；当通过特定的应用程序为用户连接激活应用程序角色时，将获得该应用程序角色的权限。用户之所以与应用程序角色关联，是由于用户能够运行激活该角色的应用程序，而不是因为他是角色成员。 默认情况下，应用程序角色是非活动的，需要用密码激活。 应用程序角色不使用标准权限。当一个应用程序角色被该应用程序激活以用于连接时，连接会在连接期间永久地失去数据库中所有用来登录的权限、用户帐户、其他组或数据库角色。连接获得与数据库的应用程序角色相关联的权限，应用程序角色存在于该数据库中。因为应用程序角色只能应用于它们所存在的数据库中，所以连接只能通过授予其他数据库中guest用户帐户的权限，获得对另一个数据库的访问。因此，如果数据库中没有guest用户帐户，则连接无法获得对该数据库的访问。如果guest用户帐户确实存在于数据库中，但是访问对象的权限没有显式地授予guest，则无论是谁创建了对象，连接都不能访问该对象。用户从应用程序角色中获得的权限一直有效，直到连接从SQL Server退出为止。若要确保可以执行应用程序的所有函数，连接必须在连接期间失去应用于登录和用户帐户或所有数据库中的其他组或数据库角色的默认权限，并获得与应用程序角色相关联的权限。例如，如果应用程序必须访问通常拒绝用户访问的表，则应废除对该用户拒绝的访问权限，以使用户能够成功使用该应用程序。应用程序角色通过临时挂起用户的默认权限并只对他们指派应用程序角色的权限而克服任何与用户的默认权限发生的冲突。下面是一个使用应用程序角色的例子：假设用户Sue运行销售应用程序。该应用程序要求在数据库Sales中的表Products和Orders上有SELECT、UPDATE和INSERT权限，但Sue在使用SQL查询分析器或任何其他工具访问Products或Orders表时不应有SELECT、INSERT或UPDATE权限。若要确保如此，可以创建一个拒绝Products和Orders表上的SELECT、INSERT或UPDATE权限的用户-数据库角色，然后将Sue添加为该数据库角色的成员。接着在Sales数据库中创建带有Pro