第10章 安全管理

1、数据库原理与应用教程（第2版）人民邮电出版社第第1010章章 安全管理安全管理 v10.1 10.1 安全控制安全控制 v10.2 SQL Server10.2 SQL Server的安全控制的安全控制v10.3 10.3 管理登录账户管理登录账户v10.4 10.4 管理数据库用户管理数据库用户v10.5 10.5 管理权限管理权限v10.6 10.6 角色角色10.1 10.1 安全控制安全控制v安全控制：在数据库应用系统的不安全控制：在数据库应用系统的不同层次提供对有意损害行为的安全同层次提供对有意损害行为的安全防范。防范。v1. 1. 安全控制模型安全控制模型 v2. 2. 数据库用户

2、分类数据库用户分类1. 1. 安全控制模型安全控制模型文件操作控制文件操作控制操作权控制操作权控制身份验证身份验证用户用户数据库应数据库应用程序用程序数据库管数据库管理系统理系统操作操作系统系统加密存储加密存储与冗余与冗余数据库数据库2. 2. 数据库用户的分类数据库用户的分类 v系统管理员系统管理员 在数据库服务器上具有全部的权限在数据库服务器上具有全部的权限v对象拥有者对象拥有者 创建数据库对象的用户，对其所拥有的对创建数据库对象的用户，对其所拥有的对象具有全部的权限。象具有全部的权限。v普通用户普通用户 只具有对数据库数据的查询、插入、删除只具有对数据库数据的查询、插入、删除和修改的权限

3、。和修改的权限。10.2 SQL Server10.2 SQL Server的安全控制的安全控制 v第一个是验证用户连接到第一个是验证用户连接到SQL ServerSQL Server数据库服务数据库服务器的资格。器的资格。v第二个是验证用户是否是数据库的合法用户。第二个是验证用户是否是数据库的合法用户。v第三个是验证用户是否具有操作许可。第三个是验证用户是否具有操作许可。 数据库服务器SQL ServerSQL Server登录账户来源和认证模式登录账户来源和认证模式1 1登录账户来源登录账户来源 v Windows Windows授权用户授权用户 v SQL SQL授权用户授权用户 2 2

4、安全认证模式安全认证模式v WindowsWindows身份验证模式身份验证模式 v 混合身份验证模式混合身份验证模式 WindowsWindows身份验证模式身份验证模式v允许允许WindowsWindows操作系统用户连接到操作系统用户连接到SQL SQL ServerServer。v当使用当使用WindowsWindows身份验证模式时，用户必身份验证模式时，用户必须先登录到须先登录到WindowsWindows操作系统中，然后再操作系统中，然后再登录到登录到SQL ServerSQL Server。v一般推荐使用一般推荐使用WindowsWindows验证模式，这种安验证模式，这种安全

5、模式能够与全模式能够与WindowsWindows操作系统的安全系操作系统的安全系统集成，以提供更多的安全功能。统集成，以提供更多的安全功能。 混合模式混合模式v允许允许WindowsWindows授权用户和授权用户和SQLSQL授权用户登授权用户登录到录到SQL ServerSQL Server数据库服务器。数据库服务器。v如果希望非如果希望非WindowsWindows操作系统的用户也能操作系统的用户也能登录到登录到SQL ServerSQL Server数据库服务器上，则数据库服务器上，则应选择混合身份验证模式。应选择混合身份验证模式。v在混合身份验证模式下选择使用在混合身份验证模式下选

6、择使用SQLSQL授权授权用户登录，必须提供登录名和密码两部用户登录，必须提供登录名和密码两部分内容。分内容。设置身份验证模式设置身份验证模式v可根据实际应用情况设置身份验证模式。可根据实际应用情况设置身份验证模式。v步骤：步骤： 在在SSMSSSMS的的“对象资源管理器对象资源管理器”中，在要设置中，在要设置身份验证模式的实例上右击鼠标，从弹出的身份验证模式的实例上右击鼠标，从弹出的菜单中选择菜单中选择“属性属性”命令。命令。 在在“服务器属性服务器属性”窗口左边的窗口左边的“选择页选择页”上，上，单击单击“安全性安全性”选项。选项。设置身份验证模式窗口设置身份验证模式窗口10.3 10.3

7、 管理登录账户管理登录账户 v10.3.1 3.1 建立登录账户建立登录账户v10.3.2 3.2 删除登录账户删除登录账户 10.3.2 10.3.2 建立登录账户建立登录账户v 在在SSMSSSMS的的“对象资源管理器对象资源管理器”中，依中，依次展开次展开“安全性安全性”“登录名登录名”节点。节点。v 在在“登录名登录名”节点上右击鼠标，在弹出节点上右击鼠标，在弹出的菜单中选择的菜单中选择“新建登录名新建登录名”命令。命令。v 进入新建登录窗口。进入新建登录窗口。新建登录窗口新建登录窗口建立登录账户的建立登录账户的T-SQLT-SQL语句语句CREATE LOGIN CREATE LOG

8、IN login_name WITH login_name WITH | FROM | FROM := := WINDOWS WITH ,. WINDOWS WITH ,. := := PASSWORD = password MUST_CHANGE PASSWORD = password MUST_CHANGE , ,. , ,. := := | DEFAULT_DATABASE = database | DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | DEFAULT_LANGUAGE = language := := D

9、EFAULT_DATABASE = database DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | DEFAULT_LANGUAGE = language示例示例v例例1 1创建创建SQL ServerSQL Server身份验证的登录账户。登录名身份验证的登录账户。登录名为：为：SQL_User2SQL_User2，密码为：，密码为：a1b2c3XYa1b2c3XY。CREATE LOGIN SQL_User2 WITH PASSWORD=a1b2c3XYCREATE LOGIN SQL_User2 WITH PASS

10、WORD=a1b2c3XYv例例2 2创建创建WindowsWindows身份验证的登录账户。从身份验证的登录账户。从WindowsWindows域账户创建域账户创建 HYJWin_User2 HYJWin_User2 登录账户。登录账户。CREATE LOGIN HYJWin_User2 FROM WINDOWSCREATE LOGIN HYJWin_User2 FROM WINDOWSv例例3 3创建创建SQL ServerSQL Server身份验证的登录账户。登录名身份验证的登录账户。登录名为：为：SQL_User3SQL_User3，密码为：，密码为：AD4h9fcdhx32MOPA

11、D4h9fcdhx32MOP。要求。要求该登录账户首次连接服务器时必须更改密码。该登录账户首次连接服务器时必须更改密码。 CREATE LOGIN SQL_User3 WITH PASSWORD = CREATE LOGIN SQL_User3 WITH PASSWORD = AD4h9fcdhx32MOP MUST_CHANGEAD4h9fcdhx32MOP MUST_CHANGE10.3.4 10.3.4 删除登录账户删除登录账户 v在在SSMSSSMS的的“对象资源管理器对象资源管理器”中，依中，依次展开次展开“安全性安全性”“登录名登录名”节点。节点。v在要删除的登录账户（在要删除的登

12、录账户（NewUserNewUser）上右）上右击鼠标，从弹出的菜单中选择击鼠标，从弹出的菜单中选择“删除删除”命令，在弹出命令，在弹出“删除对象删除对象”窗口。窗口。v在此窗口中单击在此窗口中单击“确定确定”按钮。按钮。登录账户的登录账户的T-SQLT-SQL语句语句DROP LOGIN login_nameDROP LOGIN login_namev例例4 4删除删除SQL_User2SQL_User2登录账户。登录账户。 DROP LOGIN SQL_User2DROP LOGIN SQL_User2v注意：不能删除正在使用的登录账户，注意：不能删除正在使用的登录账户，也不能删除拥有任何

13、数据库和服务器级也不能删除拥有任何数据库和服务器级别对象的登录账户。别对象的登录账户。10.4 10.4 管理数据库用户管理数据库用户 v10.4.1 4.1 建立数据库用户建立数据库用户 v10.4.2 4.2 删除数据库用户删除数据库用户 10.4.1 10.4.1 建立数据库用户建立数据库用户v在在SSMSSSMS工具的工具的“对象资源管理器对象资源管理器”中，中，展开要建立数据库用户的数据库。展开要建立数据库用户的数据库。v展开展开“安全性安全性”节点，在其下的节点，在其下的“用户用户”节点上右击鼠标，在弹出的菜单上选择节点上右击鼠标，在弹出的菜单上选择“新建用户新建用户”命令。命令。

14、v进入进入“数据库用户数据库用户 新建新建”窗口。窗口。新建数据库用户窗口新建数据库用户窗口建立数据库用户的建立数据库用户的T-SQLT-SQL语句语句CREATE USER user_name FOR | FROM CREATE USER user_name FOR | FROM LOGIN login_name LOGIN login_name v注意：如果省略注意：如果省略FOR LOGINFOR LOGIN，则新的数据，则新的数据库用户将被映射到同名的库用户将被映射到同名的SQL ServerSQL Server登录登录名。名。示例示例v例例1.1.让让SQL_User2SQL_Use

15、r2登录账户成为登录账户成为studentsstudents数数据库中的用户，并且用户名同登录名。据库中的用户，并且用户名同登录名。CREATE USER SQL_User2CREATE USER SQL_User2v例例2.2.本示例首先创建名为本示例首先创建名为SQL_JWCSQL_JWC且具有密且具有密码的码的SQL ServerSQL Server身份验证的服务器登录名，身份验证的服务器登录名，然后创建与此登录账户对应的数据库用户然后创建与此登录账户对应的数据库用户JWCJWC。CREATE LOGIN SQL_JWC CREATE LOGIN SQL_JWC WITH PASSWOR

16、D = jKJl3$nN09jsK84; WITH PASSWORD = jKJl3$nN09jsK84;CREATE USER JWC FOR LOGIN SQL_JWC;CREATE USER JWC FOR LOGIN SQL_JWC;特别说明特别说明v服务器登录账户与数据库用户是两个完全服务器登录账户与数据库用户是两个完全不同的概念。不同的概念。v具有登录账户的用户可以登录到具有登录账户的用户可以登录到SQL SQL ServerServer实例上，而且只局限在实例上进行实例上，而且只局限在实例上进行操作。操作。v数据库用户是登录账户以什么样的身份在数据库用户是登录账户以什么样的身份在

17、数据库中进行操作，是登录账户在具体数数据库中进行操作，是登录账户在具体数据库中的映射，这个映射名（数据库用户据库中的映射，这个映射名（数据库用户名）可以和登录名一样，也可以不一样。名）可以和登录名一样，也可以不一样。10.4.2 10.4.2 删除数据库用户删除数据库用户 v展开要删除用户的数据库。展开要删除用户的数据库。v再展开该数据库下的再展开该数据库下的“安全性安全性” “用户用户”节点节点。v在要删除的用户名上右击鼠标，在弹在要删除的用户名上右击鼠标，在弹出的菜单上选择出的菜单上选择“删除删除”命令。命令。删除数据库用户的删除数据库用户的T-SQLT-SQL语句语句DROP USER

18、user_nameDROP USER user_namev例例3 3删除删除SQL_User2SQL_User2用户。用户。DROP USER SQL_User2DROP USER SQL_User2v注意：不能删除拥有对象的用户。注意：不能删除拥有对象的用户。10.5 10.5 管理权限管理权限 v10.5.1 5.1 权限的种类权限的种类v10.5.2 5.2 权限的管理权限的管理10.5.1 SQL Server10.5.1 SQL Server权限种类权限种类v对象创建权对象创建权 用户创建数据库中表、视图等对象的权限。用户创建数据库中表、视图等对象的权限。v数据操作权数据操作权 对数

19、据库中数据的操作权限，一般是指对表、视对数据库中数据的操作权限，一般是指对表、视图中的数据进行查询、增加、删除和修改的权限。图中的数据进行查询、增加、删除和修改的权限。 v隐含权限隐含权限 指由指由SQL ServerSQL Server预定义的预定义的服务器角色服务器角色、数据库角数据库角色色、数据库拥有者数据库拥有者和和数据库对象拥有者数据库对象拥有者所具有的权所具有的权限，隐含权限相当于内置权限，不需要再明确地授限，隐含权限相当于内置权限，不需要再明确地授予这些权限。予这些权限。 常用对象权限常用对象权限vDELETEDELETE、INSERTINSERT、UPDATEUPDATE和和S

20、ELECTSELECT：具：具有对表和视图数据进行删除、插入、更有对表和视图数据进行删除、插入、更改和查询的权限，其中改和查询的权限，其中UPDATEUPDATE和和SELECTSELECT可以对表或视图的单个列进行授权。可以对表或视图的单个列进行授权。vEXECUTEEXECUTE：具有执行存储过程的权限。：具有执行存储过程的权限。常用语句权限常用语句权限vCRAETE TABLECRAETE TABLE：创建表的权限。：创建表的权限。vCREATE VIEWCREATE VIEW：创建视图的权限。：创建视图的权限。vCREATE PROCEDURECREATE PROCEDURE：创建存储

21、过程的权限。：创建存储过程的权限。vCREATE DATABASECREATE DATABASE：创建数据库的权限。：创建数据库的权限。vBACKUP DATABASEBACKUP DATABASE和和BACKUP LOGBACKUP LOG：备份数据：备份数据库和备份日志的权限。库和备份日志的权限。10.5.2 10.5.2 权限的管理权限的管理v授予权限授予权限：授予用户或角色具有某种操：授予用户或角色具有某种操作权。作权。v收回权限收回权限：收回（或撤消）曾经授予给：收回（或撤消）曾经授予给用户或角色的权限。用户或角色的权限。v拒绝权限拒绝权限：拒绝某用户或角色具有某种：拒绝某用户或角色

22、具有某种操作权限。一旦拒绝了用户的某个权限，操作权限。一旦拒绝了用户的某个权限，则用户从任何地方都不能获得该权限。则用户从任何地方都不能获得该权限。用用SSMSSSMS管理数据操作权限管理数据操作权限 v在在SSMSSSMS工具的工具的“对象资源管理器对象资源管理器”中，中，依次展开某数据库下的依次展开某数据库下的“安全安全性性”“用户用户”，v在某用户在某用户上右击鼠标，在弹出菜单中选上右击鼠标，在弹出菜单中选择择“属性属性”命令，弹出命令，弹出“数据库用户数据库用户”窗口。窗口。v在此窗口中，单击左边在此窗口中，单击左边“选择页选择页”中的中的“安全对象安全对象”选项选项。对用户授权的窗口

23、对用户授权的窗口1 1对用户授权的窗口对用户授权的窗口2 2使用使用T-SQLT-SQL语句管理数据操作权限语句管理数据操作权限 vGRANTGRANT：授予权限；：授予权限；vREVOKEREVOKE：收回权限；：收回权限；vDENYDENY：拒绝权限。：拒绝权限。 1.1.管理对象权限管理对象权限v授权语句授权语句GRANTGRANT 对象权限名对象权限名 ， ON ON 表名表名| |视图名视图名| |存储过程名存储过程名 TO TO 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， v收权语句收权语句REVOKE REVOKE 对象权限名对象权限名 ， ON ON 表名表名|

24、 |视图名视图名| |存储过程名存储过程名 FROM FROM 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， v拒绝语句拒绝语句DENYDENY对象权限名对象权限名 ， ON ON 表名表名| |视图名视图名| |存储过程名存储过程名 TO TO 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， 对象权限内容对象权限内容v对表和视图主要对表和视图主要 INSERTINSERT、DELETEDELETE、UPDATEUPDATE、SELECTSELECTv对存储过程对存储过程 EXECUTEEXECUTE示例示例v例例1 1为用户为用户user1user1授予授予Stud

25、entStudent表的查询权。表的查询权。 GRANT SELECT ON Student TO user1GRANT SELECT ON Student TO user1v例例2 2为用户为用户user1user1授予授予SCSC表的查询和插入权。表的查询和插入权。 GRANT SELECTGRANT SELECT，INSERT ON SC TO user1INSERT ON SC TO user1v例例3 3收回用户收回用户user1user1对对StudentStudent表的查询权。表的查询权。 REVOKE SELECT ON Student FROM user1REVOKE SE

26、LECT ON Student FROM user1v例例4 4拒绝拒绝user1user1用户具有用户具有SCSC表的更改权。表的更改权。 DENY UPDATE ON SC TO user1DENY UPDATE ON SC TO user1 2.2.管理语句权限管理语句权限 v授权语句授权语句 GRANTGRANT 语句权限名语句权限名 ， TO TO 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， v收权语句收权语句 REVOKE REVOKE 语句权限名语句权限名 ， FROM FROM 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， v拒绝语句拒绝语句 DE

27、NY DENY 语句权限名语句权限名 ， TO TO 数据库用户名数据库用户名 | | 用户角色名用户角色名 ， 示例示例v例例5 5授予授予user1user1具有创建数据库表的权限。具有创建数据库表的权限。 GRANT CREATE TABLE TO user1GRANT CREATE TABLE TO user1v例例6 6授予授予user1user1和和user2user2具有创建数据库表和视图具有创建数据库表和视图的权限。的权限。GRANT CREATE TABLE, CREATE VIEW TO user1,user2GRANT CREATE TABLE, CREATE VIEW

28、TO user1,user2v例例7 7收回授予收回授予user1user1创建数据库表的权限。创建数据库表的权限。 REVOKE CREATE TABLE FROM user1 REVOKE CREATE TABLE FROM user1v例例8 8拒绝拒绝user1user1创建视图的权限。创建视图的权限。 DENY CREATE VIEW TO user1DENY CREATE VIEW TO user110.6 10.6 角色角色 v为便于对用户及权限的管理，可以将为便于对用户及权限的管理，可以将一组具有相同权限的用户组织在一起，一组具有相同权限的用户组织在一起，这一组具有相同权限的用

29、户就称为这一组具有相同权限的用户就称为角角色色（RoleRole）。）。vSQL Server 2008SQL Server 2008中，角色分为中，角色分为： 固定的服务器角色固定的服务器角色 固定的数据库角色固定的数据库角色 用户自定义的角色用户自定义的角色 固定的服务器角色固定的服务器角色固定的服务器角色描述描述bulkadminbulkadmin具有执行具有执行 BULK INSERT BULK INSERT 语句的权限语句的权限dbcreatordbcreator具有创建数据库的权限具有创建数据库的权限diskadmindiskadmin具有管理磁盘资源的权限。具有管理磁盘资源的权限

30、。processadminprocessadmin具有管理全部的连接以及服务器状态的权限具有管理全部的连接以及服务器状态的权限securityadminsecurityadmin具有管理服务器登录账户的权限具有管理服务器登录账户的权限serveradminserveradmin具有全部配置服务器范围的设置具有全部配置服务器范围的设置setupadminsetupadmin具有更改任何链接服务器的权限具有更改任何链接服务器的权限sysadminsysadmin系统管理员角色。具有服务器及数据库上的全部系统管理员角色。具有服务器及数据库上的全部操作权限操作权限说明说明vSQL Server 200

31、8SQL Server 2008新添加了一个服务器角新添加了一个服务器角色色publicpublic。v在服务器上创建的每个登录账户都自动在服务器上创建的每个登录账户都自动是是publicpublic服务器角色的成员，而且都将服务器角色的成员，而且都将具有服务器权限。具有服务器权限。v不要为服务器角色不要为服务器角色publicpublic进行授权。进行授权。为固定的服务器角色添加成员为固定的服务器角色添加成员 v在在SSMSSSMS的对象资的对象资源管理器中，依源管理器中，依次展开次展开“安全安全性性”“登录名登录名”节点，在某节点，在某登录登录名上右击鼠标，名上右击鼠标，在弹出的菜单中在弹

32、出的菜单中选择选择“属性属性”命命令，令，进入进入“登录登录属性属性”窗口。窗口。用用T-SQLT-SQL语句实现语句实现v在固定的服务器角色中添加成员用系统存储过在固定的服务器角色中添加成员用系统存储过程程sp_addsrvrolemembersp_addsrvrolemember： sp_addsrvrolemember loginame= login sp_addsrvrolemember loginame= login , rolename = role , rolename = rolev loginame = login loginame = login：要添加到固定服：要添加到固

33、定服务器角色中的登录名。务器角色中的登录名。v rolename = role rolename = role：要添加到的固定服：要添加到的固定服务器角色的名称，默认值为务器角色的名称，默认值为NULLNULL。示例示例v例例1 1将将WindowsWindows身份验证的身份验证的HYJWin_User1HYJWin_User1登录名添加到登录名添加到sysadminsysadmin角色中。角色中。EXEC sp_addsrvrolemember EXEC sp_addsrvrolemember HYJWin_User1, sysadminHYJWin_User1, sysadminv例例2

34、 2将将SQL ServerSQL Server身份验证的身份验证的SQL_User2SQL_User2登登录名添加到录名添加到dbcreatordbcreator角色中。角色中。EXEC sp_addsrvrolemember SQL_User2, EXEC sp_addsrvrolemember SQL_User2, dbcreatordbcreator删除固定的服务器角色成员删除固定的服务器角色成员v使用使用sp_dropsrvrolemembersp_dropsrvrolemember系统存储过程：系统存储过程：sp_dropsrvrolemember loginame = login

35、 sp_dropsrvrolemember loginame = login , rolename = role , rolename = rolev例例3 3从从 dbcreatordbcreator角色中删除角色中删除SQL_User2SQL_User2。EXEC sp_dropsrvrolemember SQL_User2, dbcreatorEXEC sp_dropsrvrolemember SQL_User2, dbcreator10.6.2 10.6.2 固定的数据库角色固定的数据库角色 固定的数据库角色固定的数据库角色描述描述db_accessadmin具有添加或删除数据库用户的

36、权限具有添加或删除数据库用户的权限 db_backupoperator 具有备份数据库、备份日志的权限具有备份数据库、备份日志的权限db_datareader具有查询数据库中所有用户表数据的权限具有查询数据库中所有用户表数据的权限db_datawriter具有更改数据库中所有用户表数据的权限具有更改数据库中所有用户表数据的权限db_ddladmin具有建立、修改和删除数据库对象的权限具有建立、修改和删除数据库对象的权限db_denydatareader不允许具有查询数据库中所有用户表数据的权限不允许具有查询数据库中所有用户表数据的权限db_denydatawriter不允许具有更改数据库中所有

37、用户表数据的权限不允许具有更改数据库中所有用户表数据的权限db_owner具有数据库中的全部操作权限具有数据库中的全部操作权限db_securityadmin具有管理数据库角色和角色成员以及数据库中的具有管理数据库角色和角色成员以及数据库中的语句权限和对象权限语句权限和对象权限说明说明v在固定的数据库角色中也有一个在固定的数据库角色中也有一个publicpublic角色，角色，v每个数据库用户都自动属于每个数据库用户都自动属于publicpublic数据数据库角色，库角色，v用户可以为数据库用户可以为数据库publicpublic角色授予数据角色授予数据库中的操作权限。库中的操作权限。为固定的

38、数据库角色添加成员为固定的数据库角色添加成员 v在在SSMSSSMS的的“对象资对象资源管理器源管理器”中，依中，依次展开某数据库次展开某数据库“安全性安全性”“用用户户”节点，节点，v在某用在某用上右击鼠标，上右击鼠标，在弹出的菜单中选在弹出的菜单中选择择“属性属性”命令，命令，弹出弹出“数据库用户数据库用户”属性窗口属性窗口。用用T-SQLT-SQL语句实现语句实现v在数据库角色中添加成员用系统存储过程在数据库角色中添加成员用系统存储过程sp_addrolemembersp_addrolemember： sp_addrolemember rolename = role, sp_addrol

39、emember rolename = role, membername = security_account membername = security_accountv rolename = role rolename = role：当前数据库中：当前数据库中的数据库角色名，无默认值。的数据库角色名，无默认值。v membername = security_account membername = security_account：要添加到角色中的数据库用户名，无默认要添加到角色中的数据库用户名，无默认值。值。示例示例v例例4 4将将WindowsWindows用户用户HYJWin_User

40、1HYJWin_User1添加到添加到db_datareaderdb_datareader角色中。角色中。EXEC sp_addrolemember db_datareader, EXEC sp_addrolemember db_datareader, HYJWin_User1 HYJWin_User1 v例例5 5将将SQL_User2SQL_User2添加到添加到db_datawriterdb_datawriter角角色中。色中。EXEC sp_addrolemember db_datawriter, EXEC sp_addrolemember db_datawriter, SQL_Use

41、r2SQL_User2删除数据库角色的成员删除数据库角色的成员 v使用使用sp_droprolemembersp_droprolemember系统存储过程：系统存储过程：sp_droprolemember rolename = role , sp_droprolemember rolename = role , membername = security_account membername = security_accountv rolename = role rolename = role：将从中删除成员：将从中删除成员的数据库角色名，没有默认值。的数据库角色名，没有默认值。rolerol

42、e必须存必须存在于当前数据库中。在于当前数据库中。v membername = security_account membername = security_account：被删除的用户名，无默认值。被删除的用户名，无默认值。示例示例v例例6 6在在studentsstudents数据库中，删除数据库中，删除db_datawriterdb_datawriter角色中的角色中的SQL_User2SQL_User2成员。成员。EXEC sp_droprolemember EXEC sp_droprolemember db_datawriter, SQL_User2db_datawriter, SQL_User210.6.3 10.6.3 用户自定义的角色用户自定义的角色 v用户自定义的角色属于数据库一级的角用户自定义的角色属于数据库一级的角色。色。v用户可以根据实际的工作职能情况定义用户可以根据实际的工作职能情况定义自己的一系列角色，并给每个角色授予自己的一系列角色，并给每个角色授予合适的权限。合适的权限。 v用户自定义角色的成员可以是数据库的用户自定义角色的成员可以是数据库的用户，也可以是用户定义的角色。用户，也可以是用户定义的角色。 建立用户自定义的角色建立用户自定义的角色 v 在在“对象资源管对象资源管理器理器”中依次展中依次展开某数据库开某