《数据库技术与应用》课件-46.角色管理

角色管理课程简介2通过本课程，结合实例学习角色管理。

主要学习内容：一．角色概念二．服务器角色三．数据库角色角色概念3为了数据库的安全性而逐个设置用户的权限，方法是比较直观方便，但一旦数据库的用户数较多时，设置权限的工作将会变得繁琐而复杂，因此在SQLServer中可通过为角色设置权限来解决此类问题：将用户集中到一个角色单元中，然后对该角色授予适当的权限。用户可根据自己所执行的任务成为一个或多个角色的成员。SQLServer2008中角色分为三类：服务器角色、数据库角色和应用程序角色。服务器角色4SQLServer在服务器级提供了固定服务器角色，这些服务器级角色不能由用户自己创建、修改或删除。这些固定服务器角色一般用于授权给DBA（数据库管理员）的登录名，拥有某个或某些角色的登录名就会获得与相应角色对应的服务器管理权限。服务器角色5在"对象资源管理器"窗口中，展开“安全性”节点下的“服务器角色”节点，即可看到系统创建的固定服务器角色，具体各个角色的权限说明如下表所示：服务器角色6服务器角色允许权限bulkadmin（大容量插入操作管理者）可以运行BULKINSERT语句，从文本文件中将数据导入SQLServer数据表或视图。dbcreator（数据库创建者）可以创建、更改、删除和还原任何数据库diskadmin（磁盘管理员）可以管理数据库在磁盘的文件processadmin（进程管理员）管理SQLServer实例中运行的进程。Public每个SQLServer登录名都属于public服务器角色。Securityadmin（安全管理员）管理登录名及其属性，授予对数据库引擎的访问权限，被视为与sysadmin角色等效。serveradmin（服务管理员）更改服务器范围的配置选项和关闭服务器。setupadmin（安装管理员）可以添加和删除连接服务器，也可以执行部分系统存储过程sysadmin(系统管理员)可以在服务器中执行任何活动服务器角色7【例】将登录名为My_User设置为服务器角色sysadmin的成员，从而使该登录名关联的用户获取相应的权限。服务器角色81）用Windows身份验证或sa登录服务器，在"对象资源管理器"窗口中，展开“安全性”节点→“登录名”节点，右击My_User，在弹出的快捷菜单中选择“属性”命令。服务器角色92）在打开的“登录属性-My_User”窗口中，单击左侧“选择页”列表框中的“服务器角色”，在右侧“服务器角色”列表中，选中“sysadmin”。单击“确定”按钮，完成对登录名的服务器角色的分配即可。数据库角色10使用数据库角色可以为一组数据库用户指定数据库访问的权限。SQLServer提供了固定数据库级角色和自定义数据库角色。1.固定数据库级角色在SQLServer安装时，数据库级别上也有一些预定义的固定数据库角色（如表所示）。在创建数据库时，会自动创建这些内置固定数据库角色。数据库角色11在"对象资源管理器"窗口中，展开任一“数据库”→“安全性”→“角色”→“数据库角色”节点，即可看到系统创建的固定数据库角色，数据库角色12固定数据库角色权限，如下表所示：数据库角色允许权限db_accessadmin可以新建或删除Windows登录、Windows组及SQLServer登录的访问权db_backupoperator可以备份数据库db_datareader可以读取所有用户数据表的所有数据db_datawriter可以添加、删除或修改所有用户数据表中的数据db_ddladmin可在数据库中执行任何“数据定义语言”(DDL)的命令db_denydatareader不能读取数据库中任何用户数据表的数据db_denydatawriter不能添加、修改或删除数据库中任何用户数据表的数据db_owner可以在数据库上执行所有的配置和维护活动、删除数据库db_securityadmin可以修改角色成员资格与管理权限public拥有数据库中用户的所有默认权限数据库角色13【例】将登录名My_user（已映射为“BookManageDB”数据库用户My_user），设置成固定数据库角色db_owner。1)以sa账户或超级用户身份登录服务器，在对象资源管理器中，展开”安全性”－－”登录名”节点，右击“My_user”，在弹出的快捷菜单中选择“属性”命令。数据库角色14数据库角色152)如下图所示，在“登录属性－My_user”窗口中，在左侧选择“用户映射”选择项；在右侧的”映射到此登录名的用户”列表中，选择“BookManageDB”数据库;在下方“数据库角色成员身份：BookManageDB”列表中，选择db_owner选项即可。数据库角色162.自定义数据库角色由于固定的数据库角色不能更改权限，有时不能满足需要，用户可以创建自定义数据库角色，为其分配安全对象的操作权限。创建过程如下：（1）创建新的数据库角色；（2）分配权限给创建的角色；（3）添加数据库用户为这个角色的成员。数据库角色17【例】自定义数据库角色B_Rule，为其设置权限（查看“BookManageDB”中Admin表），并将其数据库用户My_user添加为B_Rule成员。数据库角色181）以sa账户或超级用户身份连接服务器。在“对象资源管理器”中展开“BookManageDB”数据库－“安全性”－－“角色”节点，右击“数据库角色”节点，在弹出的快捷菜单中选择”新建数据库角色”命令。数据库角色192)在打开“数据库角色－新建”窗口中，输入数据库角色名称：B_Rule，在左侧单击“安全对象”选择页，在右侧点击“搜索”按钮。数据库角色203）在打开的“添加对象”对话框中选择“特定对象”单选框后，按“确定”按钮调出“选择对象”对话框，按对象类型按钮选择出“表”对象类型，按“浏览”按钮选择出对象：[dbo.Admin]，确定退出。数据库角色214）回到“数据库角色－新建”窗口，在下方的dbo.Admin权限列表中，选择“选择：授予”。数据库角色22