SQL Server角色与权限管理

1、数据库基础与应用数据库基础与应用-SQL Server 2008SQL Server 2008SQL Server 2008的安全机制的安全机制哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院创建登录账户创建登录账户创建数据库用户创建数据库用户角色角色本章主要本章主要内内容容SQL Server 2008的安全机制概述的安全机制概述1234权限权限5哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院 安全性是所有数据库管理系统的一个重要特征。理安全性是所有数据库管理系统的一个重要特征。理解安全性问题是理解数据库管理系统安全性机制的解安全性问题是理解数据库管理系统安全性机制的前提。前提。1.1.第一个安全

2、性问题：当用户登录数据库系统时，如第一个安全性问题：当用户登录数据库系统时，如何确保只有合法的用户才能登录到系统中？这是一何确保只有合法的用户才能登录到系统中？这是一个最基本的安全性问题，也是数据库管理系统提供个最基本的安全性问题，也是数据库管理系统提供的基本功能。的基本功能。v在在Microsoft SQL Server 2008Microsoft SQL Server 2008系统中，通过身份系统中，通过身份验证模式和主体解决这个问题。验证模式和主体解决这个问题。一一. . SQL Server 2008SQL Server 2008的安全机制概述的安全机制概述哈尔哈尔滨师滨师范大范大学学

3、恒星恒星学学院院1 1）身份验证模式）身份验证模式 Microsoft SQL Server 2008 Microsoft SQL Server 2008系统提供了两种身份验证模系统提供了两种身份验证模式：式：WindowsWindows身份验证模式和混合模式。身份验证模式和混合模式。v WindowsWindows身份验证模式：身份验证模式： 在该模式中，用户通过在该模式中，用户通过WindowsWindows用户账户连接用户账户连接SQL ServerSQL Server时，使用时，使用WindowsWindows操作系统中的账户名和密码。操作系统中的账户名和密码。v 混合模式：混合模式：

4、 在混合模式中，当客户端连接到服务器时，既可能采取在混合模式中，当客户端连接到服务器时，既可能采取WindowsWindows身份验证，也可能采取身份验证，也可能采取SQL ServerSQL Server身份验证。身份验证。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院v 查看与更改身份验证模式查看与更改身份验证模式哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院2 2）主体主体 主体是可以请求系统资源的个体或组主体是可以请求系统资源的个体或组合过程。例如，数据库用户是一种主合过程。例如，数据库用户是一种主体，可以按照自己的权限在数据库中体，可以按照自己的权限在数据库中执行操作和使用相应的数据。执

5、行操作和使用相应的数据。 Microsoft SQL Server 2008 Microsoft SQL Server 2008系统有系统有多种不同的主体，不同主体之间的关多种不同的主体，不同主体之间的关系是典型的层次结构关系，位于不同系是典型的层次结构关系，位于不同层次上的主体其在系统中影响的范围层次上的主体其在系统中影响的范围也不同。位于层次比较高的主体，其也不同。位于层次比较高的主体，其作用范围比较大；位于层次比较低的作用范围比较大；位于层次比较低的主体，其作用范围比较小。主体，其作用范围比较小。 主体 W Wi in nd do ow ws s 级级 Windows 组 Windows

6、 域登录名 Windows 本地登录名 S SQ QL L S Se er rv ve er r 级级 SQL Server 登录名 固定服务器角色 数数据据库库级级 数据库用户 固定数据库角色 应用程序角色 请求哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院2.2.第二个安全性问题：当用户登录到系统中，他可以执行哪第二个安全性问题：当用户登录到系统中，他可以执行哪些操作、使用哪些对象和资源？些操作、使用哪些对象和资源？v 在在Microsoft SQL Server 2008Microsoft SQL Server 2008系统中，通过安全对象和权系统中，通过安全对象和权限设置来解决这个问题。

7、限设置来解决这个问题。 主体 W Wi in nd do ow ws s 级级 Windows 组 Windows 域登录名 Windows 本地登录名 S SQ QL L S Se er rv ve er r 级级 SQL Server 登录名 固定服务器角色 数数据据库库级级 数据库用户 固定数据库角色 应用程序角色 安全对象 服服务务器器安安全全对对象象范范围围 端点 SQL Server 登录名 数据库 数数据据库库安安全全对对象象范范围围 数据库用户/应用程序角色/角色/程序集/消息类型/路由/服务/远程服务绑定/全文目录/证书/非对称密钥/对称密钥/约定/架构 架架构构安安全全对对

8、象象范范围围 类型/XML 架构集合/聚合/约束/函数/过程/队列/统计信息/同义词/表/视图 请求 主体和安全对象的主体和安全对象的结构示意图结构示意图哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院3.3.第三个安全性问题：数据库中的对象由谁所有？如果是由用第三个安全性问题：数据库中的对象由谁所有？如果是由用户所有，那么当用户被删除时，其所拥有的对象怎么办，难户所有，那么当用户被删除时，其所拥有的对象怎么办，难道数据库对象可以成为没有所有者的道数据库对象可以成为没有所有者的“孤儿孤儿”吗？吗？v 在在Microsoft SQL Server 2008Microsoft SQL Server 2

9、008系统中，这个问题是通过用系统中，这个问题是通过用户和架构分离来解决的。户和架构分离来解决的。 数据库对象 架构 用户 包含在 被拥有 表 视图 存储过程 函数 数据库对象、架构和数据库对象、架构和用户之间的关系示意用户之间的关系示意图图哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院安全机制的安全机制的5 5个等级：个等级：v客户机安全机制客户机安全机制v网络传输的安全机制网络传输的安全机制v实例级别安全机制实例级别安全机制v数据库级别安全机制数据库级别安全机制v对象级别安全机制对象级别安全机制哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院二二. .创建登录账户创建登录账户 1.1.创建创建W

10、indowsWindows登录账户登录账户哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院三三. .创建数据库用户创建数据库用户哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院2.2.创建创建SQL ServerSQL Server登录账户登录账户哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院3.3.启用、禁用和解锁登录启用、禁用和解锁登录要启用、禁用或解锁一个登录的操作步骤要启用、禁用或解锁一个登录的操作步骤: :(1)(1)启动启动Microsoft SQL Server Management StudioMicrosoft SQL Server Management Studio，在，在“对象资源

11、管对象资源管理器理器”视图中，连接到适当的服务器，然后向下浏览至视图中，连接到适当的服务器，然后向下浏览至“安全性安全性”文文件夹。件夹。(2)(2)展开展开“安全性安全性”文件夹和文件夹和“登录名登录名”文件夹以列出当前的登录。右击文件夹以列出当前的登录。右击一个登录，然后从快捷菜单中选择一个登录，然后从快捷菜单中选择“属性属性”以查看此登录的属性。这以查看此登录的属性。这样会打开样会打开“登录属性登录属性”对话框。对话框。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院(3)(3)在在“登录属性登录属性”对话框左侧列表中选择对话框左侧列表中选择“状态状态”选项，打开选项，打开“状态状态”页面页

12、面哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院(4)(4)然后可以进行以下操作：然后可以进行以下操作：n要启动登录，在“登录”选项区下选择“启用”单选按钮。n要禁用登录，在“登录”选项区下选择“禁用”单选按钮。n要解锁登录，清除“登录已锁定”复选框。(5)(5)最后单击最后单击“确定确定”按钮，完成操作。按钮，完成操作。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院4.4.修改登录修改登录具体操作步骤如下：具体操作步骤如下：（1 1）打开）打开“登录属性登录属性”对话框对话框哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院（2 2）单击）单击“登录属性登录属性”对话框左侧的对话框左侧的“用户映射用户

13、映射”选项，可以为当前用选项，可以为当前用户添加一个连接数据库户添加一个连接数据库“msdbmsdb”哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院5.5.删除登录删除登录1)1)在在Microsoft SQL Server Management StudioMicrosoft SQL Server Management Studio中删除登录账户中删除登录账户v 启动启动Microsoft SQL Server Management StudioMicrosoft SQL Server Management Studio，然后访问适当的服务器。，然后访问适当的服务器。v 在服务器的在服务器的“

14、安全性安全性”文件夹中展开文件夹中展开“登录名登录名”文件夹。文件夹。v 右击想要删除的登录，然后从快捷菜单中选择右击想要删除的登录，然后从快捷菜单中选择“删除删除”，要开，要开“删除对象删除对象”对话框，对话框，2)2)使用使用Transact-SQLTransact-SQL语句删除登录账户语句删除登录账户命令格式如下：命令格式如下：DROP LOGIN DROP LOGIN login_namelogin_name【例例9.19.1】删除已经创建好的删除已经创建好的“stu2”stu2”账户。账户。 DROP LOGINstu2DROP LOGINstu2哈尔哈尔滨师滨师范大范大学学恒星恒

15、星学学院院三三. .创建数据库用户创建数据库用户1.1.通过设置通过设置“用户映射用户映射”指明数据库用户指明数据库用户哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院2.2.创建数据库用户创建数据库用户哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院四四. .角色角色1.1.固定服务器角色固定服务器角色v 固定服务器角色是服务器级别的主体，它们的作用范围是整个服务器。固定服务器角色是服务器级别的主体，它们的作用范围是整个服务器。v 固定服务器角色已经具备了执行指定操作的权限，可以把其他登录名固定服务器角色已经具备了执行指定操作的权限，可以把其他登录名作为成员添加到固定服务器角色中，这样该登录名可以继

16、承固定服务作为成员添加到固定服务器角色中，这样该登录名可以继承固定服务器角色的权限。器角色的权限。固定服务器角色的特点固定服务器角色的特点v 在在Microsoft SQL ServerMicrosoft SQL Server系统中，可以把登录名添加到固定服务器角系统中，可以把登录名添加到固定服务器角色中，使登录名作为固定服务器角色的成员继承固定服务器角色的权色中，使登录名作为固定服务器角色的成员继承固定服务器角色的权限。限。v 对于登录名来说，可以选择其是否成为某个固定服务器角色的成员对于登录名来说，可以选择其是否成为某个固定服务器角色的成员哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院v 服

17、务器角色服务器角色哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院按照从最低级别的角色（按照从最低级别的角色（bulkadminbulkadmin）到最高级别的角色（）到最高级别的角色（sysadminsysadmin）的顺）的顺序进行描述：序进行描述：v BulkadminBulkadmin：这个服务器角色的成员可以运行：这个服务器角色的成员可以运行BULK INSERTBULK INSERT语句。这条语语句。这条语句允许从文本文件中将数据导入到句允许从文本文件中将数据导入到SQL Server 2008SQL Server 2008数据库中，为需要数据库中，为需要执行大容量插入到数据库的域账户

18、而设计。执行大容量插入到数据库的域账户而设计。v DbcreatorDbcreator：这个服务器角色的成员可以创建、更改、删除和还原任何：这个服务器角色的成员可以创建、更改、删除和还原任何数据库。这不仅是适合助理数据库。这不仅是适合助理DBADBA的角色，也可能是适合开发人员的角色。的角色，也可能是适合开发人员的角色。v DiskadminDiskadmin：这个服务器角色用于管理磁盘文件，比如镜像数据库和添：这个服务器角色用于管理磁盘文件，比如镜像数据库和添加备份设备。它适合助理加备份设备。它适合助理DBADBA。v ProcessadminProcessadmin：SQL Server

19、2008SQL Server 2008能够多任务化，也就是说可以通过执能够多任务化，也就是说可以通过执行多个进程做多个事件。例如，行多个进程做多个事件。例如，SQL Server 2008SQL Server 2008可以生成一个进程用可以生成一个进程用于向高速缓存写数据，同时生成另一个进程用于从高速缓存中读取数据。于向高速缓存写数据，同时生成另一个进程用于从高速缓存中读取数据。这个角色的成员可以结束（在这个角色的成员可以结束（在SQL Server 2008SQL Server 2008中称为删除）进程。中称为删除）进程。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院v Securityadm

20、inSecurityadmin：这个服务器角色的成员将管理登录名及其属性。他们：这个服务器角色的成员将管理登录名及其属性。他们可以授权、拒绝和撤销服务器级权限。也可以授权、拒绝和撤销数据可以授权、拒绝和撤销服务器级权限。也可以授权、拒绝和撤销数据库级权限。另外，它们可以重置库级权限。另外，它们可以重置SQL Server 2008SQL Server 2008登录名的密码。登录名的密码。v ServeradminServeradmin：这个服务器角色的成员可以更改服务器范围的配置选项：这个服务器角色的成员可以更改服务器范围的配置选项和关闭服务器。例如和关闭服务器。例如SQL Server 20

21、08SQL Server 2008可以使用多大内存或监视通过网可以使用多大内存或监视通过网络发送多少信息，或者关闭服务器，这个角色可以减轻管理员的一些络发送多少信息，或者关闭服务器，这个角色可以减轻管理员的一些管理负担。管理负担。v SetupadminSetupadmin：为需要管理链接服务器和控制启动的存储过程的用户而：为需要管理链接服务器和控制启动的存储过程的用户而设计。这个角色的成员能添加到设计。这个角色的成员能添加到setupadminsetupadmin，能增加、删除和配置链，能增加、删除和配置链接服务器，并能控制启动过程。接服务器，并能控制启动过程。v SysadminSysad

22、min：这个服务器角色的成员有权在：这个服务器角色的成员有权在SQL Server 2008SQL Server 2008中执行任何中执行任何任务。任务。v Public:Public:有两大特点，第一，初始状态时没有权限；第二，所有的数据有两大特点，第一，初始状态时没有权限；第二，所有的数据库用户都是它的成员。库用户都是它的成员。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院使用操作平台管理服务器角色使用操作平台管理服务器角色（1 1）查看服务器角色的属性）查看服务器角色的属性启动启动Microsoft SQL Server Management StudioMicrosoft SQL Ser

23、ver Management Studio，在，在“对象资源管理器对象资源管理器”中依次展开中依次展开“安全性安全性| |服务器角色服务器角色”节点节点 哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院选择其中的一个服务器，在其上单击右键，在弹出的快捷菜单中选择选择其中的一个服务器，在其上单击右键，在弹出的快捷菜单中选择“属性属性”选项。例如选择选项。例如选择sysadminsysadmin这个服务器并右击，在快捷菜单中这个服务器并右击，在快捷菜单中单击单击“属性属性”选项，打开如图所示选项，打开如图所示“服务器角色属性服务器角色属性”对话框，在该对话框，在该对话框中就可以查看对话框中就可以查看s

24、ysadminsysadmin这个服务器角色的属性了。这个服务器角色的属性了。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院（2 2）添加服务器角色的角色成员）添加服务器角色的角色成员为服务器角色添加为服务器角色添加“角色成员角色成员”，可以在服务器角色的，可以在服务器角色的“服务器角色服务器角色属性属性”对话框中单击对话框中单击“添加添加”按钮。按钮。单击单击“浏览浏览”按钮，弹出按钮，弹出“查找对象查找对象”对话框，单击要添加的登录名对话框，单击要添加的登录名左边的复选框，单击左边的复选框，单击“确定确定”按钮即可将选中的角色成员添加进来。按钮即可将选中的角色成员添加进来。哈尔哈尔滨师滨师范

25、大范大学学恒星恒星学学院院（3 3）删除服务器角色的角色成员）删除服务器角色的角色成员 要删除一个已经存在的角色成员，只需要选中该角色成员并在其上单要删除一个已经存在的角色成员，只需要选中该角色成员并在其上单击鼠标右键，然后在弹出的快捷菜单中选择击鼠标右键，然后在弹出的快捷菜单中选择“删除删除”选项，即可删除选项，即可删除服务器角色。服务器角色。 哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院2.2.数据库角色数据库角色三种类型的数据库角色三种类型的数据库角色: :v 固定数据库角色：微软提供的作为系统一部分的角色；固定数据库角色：微软提供的作为系统一部分的角色；v 用户定义的标准数据库角色：你

26、自己定义的角色，将用户定义的标准数据库角色：你自己定义的角色，将WindowsWindows用户以一组自定义的权限分组；用户以一组自定义的权限分组；v 应用程序角色：用来授予应用程序专门的权限，而非授予应用程序角色：用来授予应用程序专门的权限，而非授予用户组或者单独用户。用户组或者单独用户。 哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院1 1）固定数据库角色）固定数据库角色微软提供了微软提供了9 9个内置的角色，以便于在数据库级别授予用户特殊的权限集合个内置的角色，以便于在数据库级别授予用户特殊的权限集合v db_ownerdb_owner: :该角色的用户可以在数据库中执行任何操作。该角色的

27、用户可以在数据库中执行任何操作。v db_accessadmindb_accessadmin: :该角色的成员可以从数据库中增加或者删除用户。该角色的成员可以从数据库中增加或者删除用户。v db_backupopperatordb_backupopperator: :该角色的成员允许备份数据库。该角色的成员允许备份数据库。v db_datareaderdb_datareader: :该角色的成员允许从任何表读取任何数据。该角色的成员允许从任何表读取任何数据。v db_datawriterdb_datawriter: :该角色的成员允许往任何表写入数据。该角色的成员允许往任何表写入数据。v db

28、_ddladmindb_ddladmin：该角色的成员允许在数据库中增加、修改或者删除任何对：该角色的成员允许在数据库中增加、修改或者删除任何对象（即可以执行任何象（即可以执行任何DDLDDL语句）。语句）。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院v db_denydatareaderdb_denydatareader: :该角色的成员被拒绝查看数据库中的任何数据，该角色的成员被拒绝查看数据库中的任何数据，但是他们仍然可以通过存储过程来查看。但是他们仍然可以通过存储过程来查看。v db_denydatawriterdb_denydatawriter: : 像像db_denydataread

29、erdb_denydatareader角色，该角色的成员被拒角色，该角色的成员被拒绝修改数据库中的任何数据，但是他们仍然可以通过存储过程来修改。绝修改数据库中的任何数据，但是他们仍然可以通过存储过程来修改。v db_securityadmindb_securityadmin: :该角色的成员可以更改数据库中的权限和角色。该角色的成员可以更改数据库中的权限和角色。v publicpublic：在：在SQL Server 2008SQL Server 2008中每个数据库用户都属于中每个数据库用户都属于publicpublic数据库数据库角色。当尚未对某个用户授予或者拒绝对安全对象的特定权限时，这

30、角色。当尚未对某个用户授予或者拒绝对安全对象的特定权限时，这该用户将据称授予该安全对象的该用户将据称授予该安全对象的publicpublic角色的权限，这个数据库角色角色的权限，这个数据库角色不能被删除不能被删除哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院2 2）用户自定义数据库角色）用户自定义数据库角色哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院3 3）应用程序角色）应用程序角色 应用程序角色允许用户为特定的应用程序创建密码保护的应用程序角色允许用户为特定的应用程序创建密码保护的角色。角色。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院1.1.常用的权限常用的权限安全对象安全对象常用权限常用权

31、限数据库数据库CREATE DATABASECREATE DATABASE、CREATE DEFAULTCREATE DEFAULT、CREATE FUNCTIONCREATE FUNCTION、CREATE PROCEDURECREATE PROCEDURE、CREATE VIEWCREATE VIEW、CREATE TABLECREATE TABLE、CREATE RULECREATE RULE、BACKUP DATABASEBACKUP DATABASE、BACKUP LOGBACKUP LOG表表SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATE

32、UPDATE、REFERENCESREFERENCES表值函数表值函数SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES视图视图SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES存储过程存储过程EXECUTEEXECUTE、SYNONYMSYNONYM标量函数标量函数EXECUTEEXECUTE、REFERENCESREFERENCES五.权限权限哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院9.6.4 9.6

33、.4 操作权限操作权限权限分为权限分为3 3种状态：授予、拒绝、撤销，可以使用如下的语句来修改权限种状态：授予、拒绝、撤销，可以使用如下的语句来修改权限的状态。的状态。v 授予权限（授予权限（GRANTGRANT）：授予权限以执行相关的操作。通过角色，所有）：授予权限以执行相关的操作。通过角色，所有该角色的成员继承此权限。该角色的成员继承此权限。v 撤销权限（撤销权限（REVOKEREVOKE）：撤销授予的权限，但不会显示阻止用户或角色）：撤销授予的权限，但不会显示阻止用户或角色执行操作。用户或角色仍然能继承其他角色的执行操作。用户或角色仍然能继承其他角色的GRANTGRANT权限。权限。v

34、拒绝权限（拒绝权限（DENYDENY）：显式拒绝执行操作的权限，并阻止用户或角色继）：显式拒绝执行操作的权限，并阻止用户或角色继承权限，该语句优先于其他授予的权限。承权限，该语句优先于其他授予的权限。哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院1.1.授予权限授予权限 本语法格式本语法格式：GRANTGRANT ALL|statement,.nALL|statement,.n TO TO security_account,.nsecurity_account,.n 哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院相关参数据说明如下：相关参数据说明如下：v ALLALL：表示希望给该类型的对象授予所

35、有可用的权限。不推荐使用此选项，：表示希望给该类型的对象授予所有可用的权限。不推荐使用此选项，保留些选项仅用于向后兼容。授予保留些选项仅用于向后兼容。授予ALLALL参数相当于授予以下权限：参数相当于授予以下权限：v 如果安全对象为数据库，则如果安全对象为数据库，则ALLALL表示表示CREATE DATABASECREATE DATABASE、CREATE DEFAULTCREATE DEFAULT、CREATE FUNCTIONCREATE FUNCTION、CREATE PROCEDURECREATE PROCEDURE、CREATE VIEWCREATE VIEW、CREATE TAB

36、LECREATE TABLE、CREATE RULECREATE RULE等权限。等权限。v 如果安全对象为标量函数，则如果安全对象为标量函数，则ALLALL表示表示EXECUTEEXECUTE和和REFERENCESREFERENCES。v 如果安全对象为表值函数，则如果安全对象为表值函数，则ALLALL表示表示SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES。v 如果安全对象为存储过程，则如果安全对象为存储过程，则ALLALL表示表示EXECUTEEXECUTE、SYNONYMSYNONYM。哈

37、尔哈尔滨师滨师范大范大学学恒星恒星学学院院v 如果安全对象为表，则如果安全对象为表，则ALLALL表示表示SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES。v 如果安全对象为视图，则如果安全对象为视图，则ALLALL表示表示SELECTSELECT、DELETEDELETE、INSERTINSERT、UPDATEUPDATE、REFERENCESREFERENCES。v Statement:Statement:表示可以授予权限的命令，例如，表示可以授予权限的命令，例如，CREATE DATABASE

38、CREATE DATABASE。v security_accountsecurity_account: :表示定义被授予权限的用户单位。表示定义被授予权限的用户单位。security_accountsecurity_account可以是可以是SQL ServerSQL Server的数据库用户，可以是的数据库用户，可以是SQL SQL ServerServer的角色，也可以是的角色，也可以是WindowsWindows的用户或工作组的用户或工作组哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院【例例9.29.2】使用使用GRANTGRANT命令授予角色命令授予角色“students_magstud

39、ents_mag”对对”students”students”数据库数据库中中“stustu”表的表的DELETEDELETE、INSERTINSERT、UPDATEUPDATE权限。权限。 USE students USE students Go Go GRANT DELETE, INSERT, UPDATE GRANT DELETE, INSERT, UPDATE ON ON stustu TO TO students_magstudents_mag GO GO哈尔哈尔滨师滨师范大范大学学恒星恒星学学院院2.2.撤销权限撤销权限语法格式语法格式：REVOKEALL|statement,.nR

40、EVOKEALL|statement,.n FROM FROM security_account,.nsecurity_account,.n 【例例9.39.3】使用使用REVOKEREVOKE语句撤销语句撤销 “ “students_magstudents_mag”角色对角色对“stustu”表所拥有表所拥有的的DELETEDELETE、INSERTINSERT、UPDATEUPDATE权限。权限。USE studentsUSE studentsGo Go REVOKE DELETE, INSERT, UPDATEREVOKE DELETE, INSERT, UPDATEON ON stustuFROM FROM students_magstudents_mag