《SQL项目实例教程》-模块十

模块十数据库安全管理任务描述知识要点返回任务描述数据库安全管理是数据库系统中非常重要的组成部分，本模块主要实现ＳＱＬＳｅｒｖｅｒ２００８数据库安全管理中的登录身份验证、服务器登录账号管理、数据库用户管理、角色管理和权限管理，完成ｅｂｏｏｋ系统中数据库的安全管理与维护。任务１管理登录账号（ＬｏｇｉｎＮａｍｅ）登录是指用户连接到指定ＳＱＬＳｅｒｖｅｒ数据库服务器的过程。在此期间，系统要对该用户进行身份验证，只有拥有正确的登录账号和密码，才能连接到指定的数据库服务器。管理登录账号用于设置登录数据库服务器的权限。下一页返回任务描述任务１.１设置身份验证模式在安装ＳＱＬＳｅｒｖｅｒ２００８过程中，必须为数据库引擎选择身份验证模式。可供选择的身份验证模式有两种：Ｗｉｎｄｏｗｓ身份验证模式和混合验证模式。Ｗｉｎｄｏｗｓ身份验证模式会启用Ｗｉｎ⁃ｄｏｗｓ身份验证并禁用ＳＱＬＳｅｒｖｅｒ身份验证。混合验证模式会同时启用Ｗｉｎｄｏｗｓ身份验证和ＳＱＬＳｅｒｖｅｒ身份验证。Ｗｉｎｄｏｗｓ身份验证始终可用，并且无法禁用。设置身份验证模式的步骤如下：①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，在“对象资源管理器”窗口中，右击用户指定的数据库服务器，在弹出的快捷菜单中选择“属性”命令，如图１０.１所示。上一页下一页返回任务描述②在打开的“服务器属性”窗口中，选择“安全性”选择页，在“服务器身份验证”栏中，选择“Ｗｉｎｄｏｗｓ身份验证模式”单选按钮，设置Ｗｉｎｄｏｗｓ验证模式，选择“ＳＱＬＳｅｒｖｅｒ和Ｗｉｎｄｏｗｓ身份验证模式”单选按钮，设置混合验证模式，如图１０.２所示。③单击“确定”按钮，完成身份验证模式的设置。任务１.２创建登录账号要登录到ＳＱＬＳｅｒｖｅｒ服务器，必须具有一个登录账号，用户可以使用系统默认的账号，也可以创建新的登录账号。上一页下一页返回任务描述创建登录账号时，可以创建一个ＳＱＬＳｅｒｖｅｒ登录账号，也可以将Ｗｉｎｄｏｗｓ账号添加到ＳＱＬＳｅｒｖｅｒ中。任务１.２.１创建Ｗｉｎｄｏｗｓ用户登录账号ｌｏｇｉｎ１方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ创建Ｗｉｎｄｏｗｓ用户登录账号①选择“开始”→“控制面板”→“系统和安全”→“管理工具”→“计算机管理”菜单命令，在打开的“计算机管理”对话框中展开“本地用户和组”，右击“用户”节点，在弹出的快捷菜单中选择“新用户”命令，创建用户ｌｏｇｉｎ１。上一页下一页返回任务描述②在ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ的“对象资源管理器”窗口中，展开要在其中创建新登录账号的服务器实例，再展开“安全性”节点，右击“登录名”，在弹出的快捷菜单中选择“新建登录名”命令，打开“登录名－新建”对话框。③在“登录名－新建”对话框中，选择“常规”选择页，单击“登录名”文本框右侧的“搜索”按钮，选择用户ｌｏｇｉｎ１，如图１０.３所示。④选择“Ｗｉｎｄｏｗｓ身份验证”单选按钮，单击“确定”按钮，完成登录账号的创建。上一页下一页返回任务描述方法二：使用Ｔ－ＳＱＬ语句创建Ｗｉｎｄｏｗｓ用户登录账号在查询编辑器中，输入以下Ｔ－ＳＱＬ命令创建登录账号：任务１.２.２创建ＳＱＬＳｅｒｖｅｒ登录账号ｌｏｇｉｎ２方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ创建ＳＱＬＳｅｒｖｅｒ登录账号上一页下一页返回任务描述①在ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ的“对象资源管理器”窗口中，展开要在其中创建新登录账号的服务器实例，再展开“安全性”节点，右击“登录名”，在弹出的快捷菜单中选择“新建登录名”命令，打开“登录名－新建”对话框。②在“登录名－新建”对话框中，选择“常规”选择页，在“登录名”文本框中输入ＳＱＬＳｅｒｖｅｒ登录账号“ｌｏｇｉｎ２”，如图１０.４所示。③选择“ＳＱＬＳｅｒｖｅｒ身份验证”单选按钮，输入登录账号的密码。选择应当应用于新登录账号的密码策略选项。通常，“强制实施密码策略”是更安全的选择。上一页下一页返回任务描述④如果需要，也可以设置默认数据库。单击“确定”按钮，完成登录账号的创建。⑤在“对象资源管理器”窗口中刷新“登录名”节点，可以看到系统创建的默认登录账号以及用户创建的登录账号，如图１０.５所示。方法二：使用Ｔ－ＳＱＬ语句创建ＳＱＬＳｅｒｖｅｒ登录账号在查询编辑器中，输入以下Ｔ－ＳＱＬ命令创建登录账号。上一页下一页返回任务描述任务１.３修改登录账号ｓａ的密码为“１２３４５６”方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ修改ＳＱＬＳｅｒｖｅｒ登录账号密码①在ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ的“对象资源管理器”窗口中，展开数据库服务器的“安全性”节点，再展开“登录名”节点，双击登录账号“ｓａ”（或右击登录账号“ｓａ”，在弹出的快捷菜单中选择“属性”命令），打开“登录属性”对话框，如图１０.６所示。②在打开的“登录属性”对话框中,选择“常规”选择页，修改ｓａ登录账号的密码，单击“确定”按钮,完成登录账号密码的修改。上一页下一页返回任务描述方法二：使用T-ＳＱＬ语句修改ＳＱＬＳｅｒｖｅｒ登录账号密码在查询编辑器中，输入以下Ｔ－ＳＱＬ命令修改登录账号密码：任务１.４禁用登录账号ｌｏｇｉｎ２方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ禁用登录账号①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，在“对象资源管理器”窗口中选择数据库服务器，依次展开“安全性”、“登录名”节点。上一页下一页返回任务描述②双击要操作的登录账号ｌｏｇｉｎ２（或右击登录账号ｌｏｇｉｎ２，在弹出的快捷菜单中选择“属性”命令），打开“登录属性”对话框。③在“登录属性”对话框中，选择“状态”选项页，在右边窗口的“设置”选项中设置参数。如果将“是否允许连接到数据库引擎”设置为“拒绝”，则拒绝该登录账号连接到数据库引擎。如果将“登录”设置为“禁用”，则禁用该登录账号，如图１０.７所示。④设置完成后，单击“确定”按钮，禁用ｌｏｇｉｎ２。方法二：使用Ｔ－ＳＱＬ语句禁用登录账号上一页下一页返回任务描述在查询编辑器中，输入以下Ｔ－ＳＱＬ命令禁用登录账号：任务１.５删除登录账号ｌｏｇｉｎ１方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ删除登录账号①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，在“对象资源管理器”窗口中选择数据库服务器，依次展开“安全性”、“登录名”节点，可以看到系统创建的默认登录账号以及已经创建的其他登录账号。上一页下一页返回任务描述②右击要删除的登录账号ｌｏｇｉｎ１，在弹出的快捷菜单中选择“删除”命令，或者按下“Ｄｅｌｅｔｅ”键，弹出如图１０.８所示的“删除对象”对话框。③单击“确定”按钮，弹出一个提示对话框，如图１０.９所示，用来提示删除登录账号之前应该先删除该登录账号在数据库中的关联用户名。④单击提示对话框中的“确定”按钮，完成登录账号的删除操作。方法二：使用Ｔ－ＳＱＬ语句删除登录账号在查询编辑器中，输入以下Ｔ－ＳＱＬ命令删除登录账号：上一页下一页返回任务描述任务２管理数据库用户（ＵｓｅｒＮａｍｅ）使用“任务１管理登录账号”中创建好的登录账号ｌｏｇｉｎ２就可以登录到数据库服务器。重新启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，选择身份验证模式为“ＳＱＬＳｅｒｖｅｒ身份验证”，在登录名和密码文本框中分别输入“ｌｏｇｉｎ２”和“１２３４５６”，单击“连接”按钮连接到数据库服务器，如图１０.１０所示。上一页下一页返回任务描述使用登录账号ｌｏｇｉｎ２连接到数据库服务器之后，单击查看“ｅｂｏｏｋ”数据库信息，弹出如图１０.１１所示的错误提示信息对话框。任务２.１创建数据库用户在ｅｂｏｏｋ数据库中创建数据库用户ｌｏｇｉｎ２，关联ＳＱＬＳｅｒｖｅｒ登录账号ｌｏｇｉｎ２。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ创建数据库用户①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Ｗｉｎｄｏｗｓ用户登录账号或ｓａ账号连接到数据库服务器。上一页下一页返回任务描述②依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”节点，右击“用户”节点，在弹出的快捷菜单中选择“新建用户”命令，打开“数据库用户－新建”对话框，选择“常规”选项页，如图１０.１２所示。③单击“登录名”文本框右侧的按钮，打开“选择登录名”对话框，然后单击“浏览”按钮，打开“查找对象”对话框，如图１０.１３所示。选择之前创建好的ＳＱＬＳｅｒｖｅｒ登录账号ｌｏｇｉｎ２。④单击“确定”按钮返回，在“选择登录名”对话框中就可以看到选择的登录账号对象，如图１０.１４所示。上一页下一页返回任务描述⑤单击“确定”按钮返回。在“用户名”文本框中输入数据库用户名“ｌｏｇｉｎ２”，如图１０.１５所示。单击“确定”按钮，完成数据库用户的创建。⑥为了验证是否创建成功，刷新“用户”节点，可以看到刚才创建的“ｌｏｇｉｎ２”用户账号，如图１０.１６所示。⑦数据库用户创建成功后，就可以使用该用户账号关联的登录账号ｌｏｇｉｎ２进行登录，访问“ｅｂｏｏｋ”数据库。新建的数据库用户可以访问数据库，但不能对数据库对象进行任何操作。单击“ｅｂｏｏｋ”数据库的“表”节点，将看不到用户表，如图１０.１７所示。上一页下一页返回任务描述方法二：使用Ｔ－ＳＱＬ语句创建数据库用户在查询编辑器中，输入以下Ｔ－ＳＱＬ命令创建数据库用户：上一页下一页返回任务描述任务２.２修改数据库用户方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ修改数据库用户在ｅｂｏｏｋ数据库中将数据库用户ｌｏｇｉｎ２的默认架构修改为“ｇｕｅｓｔ”。①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Windows用户登录账号或ｓａ账号连接到数据库服务器。②依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”→“用户”节点，双击“ｌｏｇｉｎ２”数据库用户（或右击“ｌｏｇｉｎ２”数据库用户，在弹出的快捷菜单中选择“属性”命令），打开“数据库用户”对话框，如图１０.１８所示。上一页下一页返回任务描述③在“数据库用户”对话框中可以看到，之前创建的数据库用户ｌｏｇｉｎ２的默认架构为ｄｂｏ，在此可以修改用户架构、数据库角色成员身份，也可以选择“安全对象”选项页修改数据库用户能访问的数据库对象。根据任务需求，在此单击“默认架构”文本框右侧的按钮，打开“选择架构”对话框，然后单击“浏览”按钮，打开“查找对象”对话框，如图１０.１９所示，选择“ｇｕｅｓｔ”架构。④单击“确定”按钮返回，在“选择架构”对话框中就可以看到选择的用户架构对象“ｇｕｅｓｔ”。上一页下一页返回任务描述单击“确定”按钮返回到“数据库用户”对话框，可以看到默认架构已经修改为“ｇｕｅｓｔ”。单击“确定”按钮完成数据库用户的修改。方法二：使用ＡＬＴＥＲＵＳＥＲ语句修改数据库用户在查询编辑器中，输入以下Ｔ－ＳＱＬ命令，修改数据库用户ｌｏｇｉｎ２的默认架构为ｄｂｏ。上一页下一页返回任务描述任务２.３删除数据库用户在ｅｂｏｏｋ数据库中删除数据库用户ｌｏｇｉｎ２。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ删除数据库用户①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Windows用户登录账号或ｓａ账号连接到数据库服务器。②依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”→“用户”节点，右击“ｌｏｇｉｎ２”数据库用户，在弹出的快捷菜单中选择“删除”命令，打开“删除对象”对话框，如图１０.２０所示。上一页下一页返回任务描述③单击“确定”按钮，完成数据库用户的删除。单击“取消”按钮，取消删除操作。为了后续任务实现需要，这里单击“取消”按钮。方法二：使用ＤＲＯＰＵＳＥＲ语句删除数据库用户在查询编辑器中，输入以下Ｔ－ＳＱＬ命令删除数据库用户。同样，为了后续任务实现需要，这里不做语句的具体执行。上一页下一页返回任务描述任务３管理角色（Ｒｏｌｅ）角色（Ｒｏｌｅ）是ＳＱＬＳｅｒｖｅｒ的一种权限机制，用来集中管理服务器和数据库数据。ＳＱＬＳｅｒｖｅｒ２００８提供了两种角色：固定服务器角色和固定数据库角色，也可以根据需要创建自定义数据库角色。固定服务器角色可以实现登录账号的分组管理，数据库角色可以实现数据库用户的分组管理。数据库管理员将操作数据库的权限赋予角色，再将角色赋给登录账号或数据库用户，从而使登录账号或数据库用户拥有相应的权限。任务３.１管理固定服务器角色任务３.１.１向固定服务器角色添加成员上一页下一页返回任务描述将之前创建好的登录账号ｌｏｇｉｎ２添加到固定服务器角色ｓｙｓａｄｍｉｎ。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ添加成员①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Windows用户登录账号或ｓａ账号连接到数据库服务器。②依次展开“安全性”、“服务器角色”节点，右击要添加成员的固定服务器角色ｓｙｓａｄｍｉｎ，在弹出的快捷菜单中选择“属性”命令（或双击ｓｙｓａｄｍｉｎ节点），打开“服务器角色属性”对话框，如图１０.２１所示。上一页下一页返回任务描述③在“服务器角色属性”对话框中可以看到当前固定服务器角色ｓｙｓａｄｍｉｎ的角色成员。单击“添加”按钮，打开“选择登录名”对话框，如图１０.２２所示。④单击“浏览”按钮，在打开的如图１０.２３所示的“查找对象”对话框中选择登录账号“ｌｏｇｉｎ２”，单击“确定”按钮返回“选择登录名”对话框，可以看到选择的登录账号。⑤单击“确定”按钮，返回“服务器角色属性”对话框，在角色成员列表中，就可以看到固定服务器角色ｓｙｓａｄｍｉｎ的所有成员，其中包括刚刚添加的ｌｏｇｉｎ２。单击“确定”按钮，完成固定服务器角色成员的添加。上一页下一页返回任务描述方法二：使用Ｔ－ＳＱＬ语句添加成员在查询编辑器中，输入以下Ｔ－ＳＱＬ命令向固定服务器角色添加成员。任务３.１.２删除固定服务器角色成员将任务３.１.１中添加到ｓｙｓａｄｍｉｎ角色中的角色成员ｌｏｇｉｎ２删除。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ删除成员上一页下一页返回任务描述①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Ｗｉｎｄｏｗｓ用户登录账号或ｓａ账号连接到数据库服务器。②依次展开“安全性”、“服务器角色”节点，右击要删除成员的固定服务器角色ｓｙｓａｄｍｉｎ，在弹出的快捷菜单中选择“属性”命令（或双击ｓｙｓａｄｍｉｎ节点），打开“服务器角色属性”对话框。③在“服务器角色属性”对话框中可以看到当前固定服务器角色ｓｙｓａｄｍｉｎ的角色成员。选择要删除的角色成员“ｌｏｇｉｎ２”，单击“删除”按钮，如图１０.２４所示。上一页下一页返回任务描述④在“服务器角色属性”对话框中单击“确定”按钮，完成服务器角色成员的删除。方法二：使用Ｔ－ＳＱＬ语句删除成员。在查询编辑器中，输入以下Ｔ－ＳＱＬ命令删除固定服务器角色成员。任务３.２管理数据库角色数据库角色是在数据库的级别上定义的，分为固定数据库角色和自定义数据库角色。上一页下一页返回任务描述固定数据库角色在安装ＳＱＬＳｅｒｖｅｒ２００８时定义，提供最基本的数据库权限的设置管理。自定义数据库角色可以设置数据库用户的自定义数据库权限，分为标准角色和应用程序角色两种类型。任务３.２.１向固定数据库角色添加成员将“ｅｂｏｏｋ”数据库中创建的数据库用户ｌｏｇｉｎ２添加到固定数据库角色ｄｂ＿ｏｗｎｅｒ。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ添加成员上一页下一页返回任务描述①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Windows用户登录账号或ｓａ账号连接到数据库服务器。②在“对象资源管理器”窗口中，依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”→“角色”→“数据库角色”节点，右击要添加成员的固定数据库角色ｄｂ＿ｏｗｎｅｒ，在弹出的快捷菜单中选择“属性”命令（或双击ｄｂ＿ｏｗｎｅｒ节点），打开“数据库角色属性”对话框，如图１０.２５所示。③在“数据库角色属性”对话框中单击“添加”按钮,打开“选择数据库用户或角色”对话框，然后单击“浏览”按钮,打开“查找对象”对话框,选择数据库用户ｌｏｇｉｎ２,如图１０.２６所示。上一页下一页返回任务描述④单击“确定”按钮，返回“选择数据库用户或角色”对话框，可以看到选择的数据库用户ｌｏｇｉｎ２。单击“确定”按钮，返回“数据库角色属性”对话框，在这里可以看到当前固定数据库角色拥有的架构以及该角色所有的成员，其中包括刚刚添加的ｌｏｇｉｎ２。⑤单击“确定”按钮，完成固定数据库角色成员的添加。方法二：使用Ｔ－ＳＱＬ语句添加成员在查询编辑器中，输入以下Ｔ－ＳＱＬ命令向固定数据库角色添加成员。上一页下一页返回任务描述任务３.２.２删除固定数据库角色成员将任务３.２.１中添加到ｄｂ＿ｏｗｎｅｒ角色中的角色成员ｌｏｇｉｎ２删除。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ删除成员。上一页下一页返回任务描述①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Ｗｉｎｄｏｗｓ用户登录账号或ｓａ账号连接到数据库服务器。②在“对象资源管理器”窗口中，依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”→“角色”→“数据库角色”节点，右击要删除成员的固定数据库角色ｄｂ＿ｏｗｎｅｒ，在弹出的快捷菜单中选择“属性”命令（或双击ｄｂ＿ｏｗｎｅｒ节点），打开“数据库角色属性”对话框。③在“数据库角色属性”对话框中可以看到当前固定数据库角色ｄｂ＿ｏｗｎｅｒ的角色成员。上一页下一页返回任务描述选择要删除的角色成员“ｌｏｇｉｎ２”，单击“删除”按钮，如图１０.２７所示。④在“数据库角色属性”对话框中单击“确定”按钮，完成数据库角色成员的删除。方法二：使用Ｔ－ＳＱＬ语句删除成员在查询编辑器中，输入以下Ｔ－ＳＱＬ命令删除固定数据库角色成员。上一页下一页返回任务描述任务３.２.３创建自定义数据库角色方法一：使用SQLServerManagementStudio创建自定义数据库角色在“ebook”数据库中创建角色role1，并添加成员数据库用户ｌｏｇｉｎ２。①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Windows用户登录账号或ｓａ账号连接到数据库服务器。②在“对象资源管理器”窗口中，依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”→“角色”节点，右击“数据库角色”节点，在弹出的快捷菜单中选择“新建数据库角色”命令，打开“数据库角色－新建”对话框，如图１０.２８所示。上一页下一页返回任务描述③在“数据库角色－新建”对话框中，选择“常规”选择页，在“角色名称”文本框中输入角色名“ｒｏｌｅ１”，单击“添加”按钮，将数据库用户“ｌｏｇｉｎ２”加入新建的数据库角色中，数据库角色的“所有者”默认取值为“ｄｂｏ”。④单击“确定”按钮，完成自定义数据库角色的创建。方法二：使用Ｔ－ＳＱＬ语句创建自定义数据库角色在查询编辑器中，输入以下Ｔ－ＳＱＬ命令创建自定义数据库角色。在“ｅｂｏｏｋ”数据库中创建角色ｒｏｌｅ２，并添加成员数据库用户ｌｏｇｉｎ２。上一页下一页返回任务描述任务３.２.４删除自定义数据库角色在“ｅｂｏｏｋ”数据库中删除角色ｒｏｌｅ２。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ删除自定义数据库角色上一页下一页返回任务描述①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Ｗｉｎｄｏｗｓ用户登录账号或ｓａ账号连接到数据库服务器。②在“对象资源管理器”窗口中，依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”→“角色”→“数据库角色”节点，右击要删除的自定义数据库角色“ｒｏｌｅ２”，在弹出的快捷菜单中选择“删除”命令，打开“删除对象”对话框，如图１０.２９所示。③单击“确定”按钮，完成自定义数据库角色的删除。方法二：使用Ｔ－ＳＱＬ语句删除自定义数据库角色上一页下一页返回任务描述在查询编辑器中，输入以下Ｔ－ＳＱＬ命令删除自定义数据库角色。任务３.２.５创建应用程序角色在“ｅｂｏｏｋ”数据库中创建应用程序角色ｒｏｌｅ２，密码为“ｒｏｌｅ１２３”。上一页下一页返回任务描述方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ创建应用程序角色①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Ｗｉｎｄｏｗｓ用户登录账号或ｓａ账号连接到数据库服务器。②在“对象资源管理器”窗口中，依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”→“角色”节点，右击“应用程序角色”节点，在弹出的快捷菜单中选择“新建应用程序角色”命令，打开“应用程序角色－新建”对话框，如图１０.３０所示。上一页下一页返回任务描述③在“应用程序角色－新建”对话框中，选择“常规”选择页，在“角色名称”文本框中输入角色名“ｒｏｌｅ２”，并输入密码，应用程序角色的“默认架构”默认取值为“ｄｂｏ”。④单击“确定”按钮，完成应用程序角色的创建。方法二：使用Ｔ－ＳＱＬ语句创建应用程序角色在查询编辑器中，输入以下Ｔ－ＳＱＬ命令创建应用程序角色。上一页下一页返回任务描述任务３.２.６删除应用程序角色在“ｅｂｏｏｋ”数据库中删除应用程序角色ｒｏｌｅ２。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ删除应用程序角色①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Widdows用户登录账号或ｓａ账号连接到数据库服务器。②在“对象资源管理器”窗口中，依次展开“数据库”→“ｅｂｏｏｋ”→“安全性”→“角色”→“应用程序角色”节点，右击要删除的应用程序角色“ｒｏｌｅ２”，在弹出的快捷菜单中选择“删除”命令，打开“删除对象”对话框，如图１０.３１所示。上一页下一页返回任务描述③单击“确定”按钮，完成应用程序角色的删除。方法二：使用Ｔ－ＳＱＬ语句删除应用程序角色在查询编辑器中，输入以下Ｔ－ＳＱＬ命令删除应用程序角色。任务４管理权限通过登录账号和数据库用户，可以获得对数据库的初步访问权限，但要进行数据库定义更改、数据库对象访问等操作，就必须拥有相应的权限。上一页下一页返回任务描述在ＳＱＬＳｅｒｖｅｒ２００８中，权限分为默认权限、对象权限和语句权限３种类型。任务４.１授予对象权限为“ｅｂｏｏｋ”数据库的角色ｒｏｌｅ１授予对“Ｂｏｏｋ”表的ＳＥＬＥＣＴ操作权限。方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ授予对象权限①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Ｗｉｎｄｏｗｓ用户登录账号或ｓａ账号连接到数据库服务器。上一页下一页返回任务描述②在“对象资源管理器”窗口中，依次展开“数据库”→“ｅｂｏｏｋ”→“表”节点，右击要设置权限的“Ｂｏｏｋ”表节点，在弹出的快捷菜单中选择“属性”命令，打开“表属性－Ｂｏｏｋ”对话框，选择“权限”选择页，如图１０.３２所示。③单击“搜索”按钮，打开“选择用户或角色”对话框。单击“浏览”按钮，打开“查找对象”对话框，选择要授予权限的数据库角色“ｒｏｌｅ１”，如图１０.３３所示。④单击“确定”按钮，返回“选择用户或角色”对话框，可以看到选择的数据库角色ｒｏｌｅ１。上一页下一页返回任务描述单击“确定”按钮，返回“表属性－Ｂｏｏｋ”对话框，在“ｒｏｌｅ１的权限”的“显式”列表框中，选中“选择”行“授予”列对应的复选框，如图１０.３４所示。⑤单击“确定”按钮，完成对数据库角色ｒｏｌｅ１授予数据库对象“Ｂｏｏｋ”表的ＳＥＬＥＣＴ操作权限。⑥进行权限验证。使用ｒｏｌｅ１的角色成员ｌｏｇｉｎ２关联的登录账号ｌｏｇｉｎ２登录服务器后，对“Ｂｏｏｋ”表执行ＳＥＬＥＣＴ操作，操作成功完成，如图１０.３５所示。对“Ｂｏｏｋ”表执行ＤＥ⁃ＬＥＴＥ操作，由于未授权ＤＥＬＥＴＥ操作权限，操作失败，如图１０.３６所示。上一页下一页返回任务描述方法二：使用Ｔ－ＳＱＬ语句授予对象权限在查询编辑器中，输入以下Ｔ－ＳＱＬ命令授予对象权限。任务４.２授予语句权限为“ｅｂｏｏｋ”数据库的数据库角色ｒｏｌｅ１授予ＣＲＥＡＴＥＴＡＢＬＥ语句权限。上一页下一页返回任务描述方法一：使用ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ授予语句权限①启动ＳＱＬＳｅｒｖｅｒＭａｎａｇｅｍｅｎｔＳｔｕｄｉｏ，通过Ｗｉｎｄｏｗｓ用户登录账号或ｓａ账号连接到数据库服务器。②在“对象资源管理器”窗口中，右击要设置语句权限的数据库“ｅｂｏｏｋ”，在弹出的快捷菜单中选择“属性”命令，打开“数据库属性－ｅｂｏｏｋ”对话框，选择“权限”选择页，如图１０.３７所示。上一页下一页返回任务描述③在“数据库属性－ｅｂｏｏｋ”对话框中，单击“搜索”按钮，从打开的“选择用户或角色”对话框中的“浏览”中选择数据库角色ｒｏｌｅ１，将ｒｏｌｅ１添加到“用户或角色”列表中。在“用户或角色”列表中选择数据库角色ｒｏｌｅ１，在“ｒｏｌｅ１的权限”的“显式”列表框中，选中“创建表”行“授予”列对应的复选框，如图１０.３８所示。④设置完成后，单击“确定”按钮。方法二：使用Ｔ－ＳＱＬ语句授予语句权限上一页下一页返回任务描述上一页返回知识要点一、ＳＱＬＳｅｒｖｅｒ２００８的安全机制随着越来越多的网络互联，数据库安全性也变得日益重要。数据库中存储着大量的宝贵信息，安全性是数据库引擎的关键特性之一，保护数据免受各种威胁。ＳＱＬＳｅｒｖｅｒ２００８安全特性的宗旨是使其更加安全，且使数据保护人员能够更方便地使用和理解安全。对于数据库管理来说，保护数据不受内部和外部侵害是一项重要的工作。ＳＱＬＳｅｒｖｅｒ２００８的身份验证、授权和验证机制可以保护数据免受未经授权的泄露和篡改。ＳＱＬＳｅｒｖｅｒ的安全机制一般主要包括３个等级：下一页返回知识要点（１）服务器级别的安全机制这个级别的安全性主要通过登录账号进行控制。要想访问一个数据库服务器，必须拥有一个登录账号。登录账号可以是Ｗｉｎｄｏｗｓ账户或组，也可以是ＳＱＬＳｅｒｖｅｒ的登录账号。登录账号可以属于相应的服务器角色。至于角色，可以理解为权限的组合。（２）数据库级别的安全机制这个级别的安全性主要通过用户账号进行控制，要想访问一个数据库，必须拥有该数据库的一个用户账号身份。用户账号是通过登录账号进行映射的，可以属于固定的数据库角色或自定义数据库角色。上一页下一页返回知识要点（３）数据库对象级别的安全机制这个级别的安全性通过设置数据库对象（如表、视图、存储过程等）的访问权限进行控制。用户要想对数据库对象进行操作，必须要有对数据库对象进行操作的权限。以上每个安全等级就好像一道门，如果门没有上锁，或者用户拥有开门的钥匙，则用户可以通过这道门达到下一个安全等级。如果通过了所有的门，用户就可以实现对数据的访问。ＳＱＬＳｅｒｖｅｒ２００８的安全管理主要包括ＳＱＬＳｅｒｖｅｒ登录、数据库用户、角色、权限和架构等方面。（１）ＳＱＬＳｅｒｖｅｒ登录上一页下一页返回知识要点要想连接到ＳＱＬＳｅｒｖｅｒ服务器实例，必须拥有相应的登录账户和密码。身份验证系统验证用户是否拥有有效的登录账户和密码，从而决定是否允许该用户连接到指定的ＳＱＬＳｅｒｖｅｒ服务器实例。（２）数据库用户通过身份验证后，用户可以连接到ＳＱＬＳｅｒｖｅｒ服务器实例。但是，这不意味着该用户可以访问到指定服务器上的所有数据库。在每个ＳＱＬＳｅｒｖｅｒ数据库中，都存在一组ＳＱＬＳｅｒｖｅｒ用户账户。登录账户要访问指定数据库，就要将自身映射到数据库的一个用户账户上，从而获得访问数据库的权限。上一页下一页返回知识要点一个登录账户可以对应多个用户账户。（３）角色为了便于管理数据库中的权限，ＳＱＬＳｅｒｖｅｒ提供了若干“角色”，这些角色是用户分组的安全主体，类似于ＭｉｃｒｏｓｏｆｔＷｉｎｄｏｗｓ操作系统中的用户组，可以对用户进行分组管理。可以对角色赋予数据库访问权限，此权限将应用于角色中的每一个用户。（４）权限权限是规定了用户在指定数据库中所能进行的操作。上一页下一页返回知识要点（５）架构架构是指包含表、视图和存储过程等数据库对象的容器，是一个命名空间。在ＳＱＬＳｅｒｖｅｒ２００８中，数据库中的所有对象都是位于架构内的。架构独立于创建它们的数据库用户而存在，允许多用户管理数据库对象。二、ＳＱＬＳｅｒｖｅｒ２００８身份验证模式用户在访问数据库服务器时，ＳＱＬＳｅｒｖｅｒ２００８首先认证用户是否具有连接数据库服务器的资格。在ＳＱＬＳｅｒｖｅｒ２００８中，通过使用“登录账号”来标识用户的连接资格。上一页下一页返回知识要点ＳＱＬＳｅｒｖｅｒ２００８对登录账号有以下两种身份验证模式。１.Ｗｉｎｄｏｗｓ身份验证模式Ｗｉｎｄｏｗｓ身份验证模式基于Ｗｉｎｄｏｗｓ操作系统的安全机制验证用户身份。只要用户能够通过Ｗｉｎｄｏｗｓ用户身份验证，就可以成功连接到数据库服务器，不再需要ＳＱＬＳｅｒｖｅｒ对用户进行安全性验证。用户通过Ｗｉｎｄｏｗｓ登录账号进行服务器的连接操作如图１０.３９所示。Ｗｉｎｄｏｗｓ身份验证是默认的身份验证模式，并且比ＳＱＬＳｅｒｖｅｒ身份验证模式更为安全。上一页下一页返回知识要点Ｗｉｎｄｏｗｓ身份验证使用Ｋｅｒｂｅｒｏｓ安全协议，提供有关强密码复杂性验证的密码策略，还提供账号锁定支持，并且支持密码过期。通过Ｗｉｎｄｏｗｓ身份验证模式完成的连接有时也称为可信连接，这是因为ＳＱＬＳｅｒｖｅｒ信任由Ｗｉｎｄｏｗｓ提供的凭据。２.混合验证模式在混合验证模式下，用户可以通过Ｗｉｎｄｏｗｓ身份验证模式或ＳＱＬＳｅｒｖｅｒ身份验证模式连接数据库服务器。使用ＳＱＬＳｅｒｖｅｒ身份验证模式连接数据库服务器时，必须提供登录账号和密码，由ＳＱＬＳｅｒｖｅｒ验证登录账号和密码的正确性，判断连接的合法性。上一页下一页返回知识要点登录账号和密码均通过使用ＳＱＬＳｅｒｖｅｒ创建并存储在ＳＱＬＳｅｒｖｅｒ中。通过ＳＱＬＳｅｒｖｅｒ身份验证模式进行连接的用户，每次连接时，必须提供其凭据（登录账号和密码）。当使用ＳＱＬＳｅｒｖｅｒ身份验证时，必须为所有ＳＱＬＳｅｒｖｅｒ登录账号设置强密码。使用ＳＱＬＳｅｒｖｅｒ身份验证模式进行服务器连接的操作如图１０.４０所示。三、登录账号登录账号（ＬｏｇｉｎＮａｍｅ）是服务器级别的安全主体。用户要登录ＳＱＬＳｅｒｖｅｒ数据库服务器，必须要有一个与之对应的登录账号。上一页下一页返回知识要点１.系统登录账号在ＳＱＬＳｅｒｖｅｒ２００８安装完成后，系统默认创建的登录账号如下。（１）ｓａ账号ｓａ是ＳＱＬＳｅｒｖｅｒ系统管理员的登录账号，拥有全部的系统权限和数据库权限。（２）＜计算机名＞＼Ａｄｍｉｎｉｓｔｒａｔｏｒｓ账号＜计算机名＞＼Ａｄｍｉｎｉｓｔｒａｔｏｒｓ账号是ＳＱＬＳｅｒｖｅｒ提供给Ｗｉｎｄｏｗｓ系统管理员的默认登录账号，拥有全部的系统权限和数据库权限。凡是Ｗｉｎｄｏｗｓ中的Ａｄｍｉｎｉｓｔｒａｔｏｒ账号，都具有该权限。上一页下一页返回知识要点（３）ＮＴＡＵＴＨＯＲＩＴＹ＼ＮＥＴＷＯＲＫＳＥＲＶＩＣＥ和ＮＴＡＵＴＨＯＲＩＴＹ＼ＳＹＳＴＥＭ账号ＮＴＡＵＴＨＯＲＩＴＹ＼ＮＥＴＷＯＲＫＳＥＲＶＩＣＥ（网络账号）、ＮＴＡＵＴＨＯＲＩＴＹ＼ＳＹＳＴＥＭ（本地账号）和启动ＳＱＬＳｅｒｖｅｒ服务的Ｗｉｎｄｏｗｓ账号有关。如果使用网络账号或本地账号启用ＳＱＬＳｅｒｖｅｒ服务，则不能删除这两个账号。（４）由“＃＃”括起来的账号名称由“＃＃”括起来的登录账号是在安装ＳＱＬＳｅｒｖｅｒ时通过证书创建的ＳＱＬＳｅｒｖｅｒ账号，仅供内部系统使用，不要删除。上一页下一页返回知识要点２.ＣＲＥＡＴＥＬＯＧＩＮ语句（１）使用ＣＲＥＡＴＥＬＯＧＩＮ语句创建Ｗｉｎｄｏｗｓ用户登录账号基本语法格式：ＣＲＥＡＴＥＬＯＧＩＮ［＜计算机名＞＼＜登录账号＞］ＦＲＯＭＷＩＮＤＯＷＳ［，ＤＥＦＡＵＬＴ＿ＤＡＴＡＢＡＳＥ＝＜ｄａｔａｂａｓｅ＿ｎａｍｅ＞］其中：上一页下一页返回知识要点•“＜计算机名＞＼＜登录账号＞”为Ｗｉｎｄｏｗｓ登录账号格式，＜登录账号＞必须在Ｗｉｎｄｏｗｓ下已经存在，否则应先在Ｗｉｎｄｏｗｓ中新建登录账号。•ＤＥＦＡＵＬＴ＿ＤＡＴＡＢＡＳＥ用于指定默认数据库。默认数据库是指在未指明要连接哪个数据库的情况下默认连接的数据库。•＜ｄａｔａｂａｓｅ＿ｎａｍｅ＞用于指定默认数据库名称。（２）使用ＣＲＥＡＴＥＬＯＧＩＮ语句创建ＳＱＬＳｅｒｖｅｒ登录账号的基本语法格式：ＣＲＥＡＴＥＬＯＧＩＮ＜登录账号＞ＷＩＴＨＰＡＳＳＷＯＲＤ＝′ｐａｓｓｗｏｒｄ′上一页下一页返回知识要点［，ＤＥＦＡＵＬＴ＿ＤＡＴＡＢＡＳＥ＝＜ｄａｔａｂａｓｅ＿ｎａｍｅ＞］其中：•＜登录账号＞为要创建的ＳＱＬＳｅｒｖｅｒ登录账号名称。•ＷＩＴＨＰＡＳＳＷＯＲＤ用于指定ＳＱＬＳｅｒｖｅｒ登录账号的密码。•ＤＥＦＡＵＬＴ＿ＤＡＴＡＢＡＳＥ用于指定默认数据库。３.ＡＬＴＥＲＬＯＧＩＮ语句使用ＡＬＴＥＲＬＯＧＩＮ语句修改ＳＱＬＳｅｒｖｅｒ登录账号的基本语法格式：上一页下一页返回知识要点其中：•＜登录账号＞为要修改的ＳＱＬＳｅｒｖｅｒ登录账号名称。•ＥＮＡＢＬＥ｜ＤＩＳＡＢＬＥ用于启用或禁用登录账号。•ＷＩＴＨＰＡＳＳＷＯＲＤ用于指定ＳＱＬＳｅｒｖｅｒ登录账号的新密码。上一页下一页返回知识要点•ＮＡＭＥ用于对ＳＱＬＳｅｒｖｅｒ登录账号进行重命名。•ＤＥＦＡＵＬＴ＿ＤＡＴＡＢＡＳＥ用于指定新的默认数据库。４.ＤＲＯＰＬＯＧＩＮ语句使用ＤＲＯＰＬＯＧＩＮ语句删除登录账号的基本语法格式：ＤＲＯＰＬＯＧＩＮ＜登录账号＞其中：•＜登录账号＞为要删除的登录账号名称。•删除登录账号之前应该先删除该登录账号在数据库中的关联用户名。上一页下一页返回知识要点四、数据库用户数据库用户（ＵｓｅｒＮａｍｅ）是数据库级别上的安全主体。ＳＱＬＳｅｒｖｅｒ登录账号成功登录服务器后，只有映射到ＳＱＬＳｅｒｖｅｒ数据库用户，才可以实现对数据库的访问。每个登录账号在一个数据库中只能有一个数据库用户账号，但每个登录账号可以在不同的数据库中各有一个数据库用户账号。１.默认的数据库用户在ＳＱＬＳｅｒｖｅｒ２００８中有３种默认的数据库用户，它们具有特殊的权限和作用。上一页下一页返回知识要点（１）ｄｂｏｄｂｏ（数据库所有者）是具有在数据库中执行所有活动权限的用户。每个数据库都有ｄｂｏ，固定服务器角色ｓｙｓａｄｍｉｎ的所有成员都被映射到各个数据库的ｄｂｏ用户。另外，由固定服务器角色ｓｙｓａｄｍｉｎ的任何成员创建的任何对象都自动属于ｄｂｏ。ｓａ自动与ｄｂｏ相关联，以ｓａ登录数据库服务器就可以访问所有数据库。（２）ｇｕｅｓｔｇｕｅｓｔ（来宾）没有相关联的登录账号，它允许没有用户账号的登录访问数据库。上一页下一页返回知识要点当某个登录账号在数据库中没有建立对应的数据库用户，而又要访问该数据库时，ＳＱＬＳｅｒｖｅｒ２００８就自动查找该数据库中是否存在ｇｕｅｓｔ用户，如果存在ｇｕｅｓｔ用户，就允许该登录账号使用ｇｕｅｓｔ用户拥有的权限访问该数据库，否则将拒绝其访问。创建数据库时，数据库默认包含ｇｕｅｓｔ用户。授予ｇｕｅｓｔ用户的权限由在数据库中没有用户账号的用户继承。（３）ＩＮＦＯＲＭＡＴＩＯＮ＿ＳＣＨＥＭＡ和ｓｙｓＩＮＦＯＲＭＡＴＩＯＮ＿ＳＣＨＥＭＡ用户和ｓｙｓ用户拥有系统视图，不能删除这两个数据库用户。上一页下一页返回知识要点２.ＣＲＥＡＴＥＵＳＥＲ语句使用ＣＲＥＡＴＥＵＳＥＲ语句创建数据库用户的基本语法格式：其中：•ｕｓｅｒ＿ｎａｍｅ指定要创建的数据库用户的名称，长度最多是１２８个字符。上一页下一页返回知识要点•ＦＯＲＬＯＧＩＮ指定要创建的数据库用户关联的ＳＱＬＳｅｒｖｅｒ登录账号。如果省略ＦＯＲＬＯＧＩＮ，则创建的数据库用户将被映射到同名的登录账号。•ｌｏｇｉｎ＿ｎａｍｅ必须是服务器中有效的登录账号。当此ＳＱＬＳｅｒｖｅｒ登录账号进入数据库时，它将获取正在创建的数据库用户的名称和ＩＤ。•ＷＩＴＨＤＥＦＡＵＬＴ＿ＳＣＨＥＭＡ指定服务器为数据库用户解析对象名时将搜索的默认架构。如果省略ＷＩＴＨＤＥＦＡＵＬＴ＿ＳＣＨＥＭＡ，则数据库用户将使用ｄｂｏ作为默认架构。３.ＡＬＴＥＲＵＳＥＲ语句上一页下一页返回知识要点使用ＡＬＴＥＲＵＳＥＲ语句修改数据库用户的基本语法格式：ＡＬＴＥＲＵＳＥＲｕｓｅｒ＿ｎａｍｅ［ＷＩＴＨＮＡＭＥ＝＜新数据库用户名＞［，ＤＥＦＡＵＬＴ＿ＳＣＨＥＭＡ＝ｓｃｈｅｍａ＿ｎａｍｅ］］其中：•ｕｓｅｒ＿ｎａｍｅ指定要修改的数据库用户的名称。•ＷＩＴＨＮＡＭＥ用于对数据库用户进行重命名。•ＤＥＦＡＵＬＴ＿ＳＣＨＥＭＡ用于修改数据库用户的默认架构。４.ＤＲＯＰＵＳＥＲ语句使用ＤＲＯＰＵＳＥＲ语句删除数据库用户的基本语法格式：上一页下一页返回知识要点ＤＲＯＰＵＳＥＲｕｓｅｒ＿ｎａｍｅ其中：•ｕｓｅｒ＿ｎａｍｅ指定要删除的数据库用户的名称。五、管理角色角色（Ｒｏｌｅ）是ＳＱＬＳｅｒｖｅｒ的一种权限机制，是由一组用户构成的组，可以分为服务器角色和数据库角色，用来集中管理服务器和数据库数据。服务器角色是在数据库服务器级别上定义的，独立于各个数据库。数据库角色是在数据库级别上定义的，存在于各个数据库中，分为固定数据库角色和自定义数据库角色。上一页下一页返回知识要点１.固定服务器角色服务器角色也称为“固定服务器角色”，因为不能创建新的服务器角色。服务器角色的权限作用域为服务器范围，是执行服务器级管理操作的用户权限的集合。可以向服务器角色中添加ＳＱＬＳｅｒｖｅｒ登录账号、Ｗｉｎｄｏｗｓ账户和Ｗｉｎｄｏｗｓ组。固定服务器角色的每个成员都可以向其所属角色添加其他登录账号。ＳＱＬＳｅｒｖｅｒ２００８提供的固定服务器角色及其权限见表１０.１。在ＳＱＬＳｅｒｖｅｒ２００８中可以使用系统存储过程对固定服务器角色进行相应的操作，见表１０.２。上一页下一页返回知识要点２.固定数据库角色固定数据库角色在安装ＳＱＬＳｅｒｖｅｒ２００８时定义，提供最基本的数据库权限的设置管理。管理员可将任何有效的数据库用户添加为固定数据库角色成员，每个成员都获得应用于固定数据库角色的权限。用户不能增加、修改和删除固定数据库角色。固定数据库角色及其所拥有的权限见表１０.３。在ＳＱＬＳｅｒｖｅｒ２００８中可以使用Ｔ－ＳＱＬ语句对固定数据库角色进行相应的操作，表１０.４列出了可以对数据库角色进行操作的系统存储过程和命令等。上一页下一页返回知识要点３.应用程序角色应用程序角色是一个数据库主体，它使应用程序能够用其自身的、类似用户的特权来运行。使用应用程序角色，可以只允许通过特定应用程序连接的用户访问特定数据。与数据库角色不同的是，应用程序角色默认情况下不包含任何成员，而且不活动。应用程序角色使用两种身份验证模式，可以使用ｓｐ＿ｓｅｔａｐｐｒｏｌｅ来激活，并且需要密码。六、管理权限数据库权限指明用户获得哪些数据库对象的使用权，以及用户能够对这些对象执行何种操作。上一页下一页返回知识要点用户在数据库中拥有的权限取决于以下两方面的因素：①用户账号的数据库权限。②用户账号所属角色的类型。１.权限的种类在ＳＱＬＳｅｒｖｅｒ２００８中，权限分为默认权限、对象权限和语句权限３种类型。（１）默认权限默认权限是指由系统自动授予而无须授权就拥有的权限，包括固定服务器角色权限和固定数据库角色权限，其权限详见表１０.１和表１０.３。上一页下一页返回知识要点（２）对象权限对象权限是指用户对数据库中的表、视图、存储过程等对象的操作权限，决定用户可以对数据库对象执行哪些操作,如ＩＮＳＥＲＴ、ＵＰＤＡＴＥ、ＤＥＬＥＴＥ、ＳＥＬＥＣＴ、ＥＸＥＣＵＴＥ等。（３）语句权限语句权限是指是否具有执行数据定义语言的语句权限。这些语句包括：ＣＲＥＡＴＥＤＡＴＡ⁃ＢＡＳＥ、ＣＲＥＡＴＥＴＡＢＬＥ、ＣＲＥＡＴＥＶＩＥＷ、ＣＲＥＡＴＥＰＲＯＣＥＤＵＲＥ、ＣＲＥＡＴＥＩＮＤＥＸ、ＣＲＥ⁃ＡＴＥＲＵＬＥ、ＣＲＥＡＴＥＤＥＦＡＵＬＴ、ＢＡＣＫＵＰＤＡＴＡＢＡＳＥ、ＢＡＣＫＵＰＬＯＧ等。上一页