SQL Server 权限控制

根据数据库Schema限制用户对数据库的操做行为

---

授予Shema dbo下对象的定义权限给某个用户（也就是说该用户能够修改架构dbo下全部表/视图/存储过程/函数的结构）

use [Your DB NAME]
GRANT VIEW DEFINITION ON SCHEMA :: dbo to [THE USER NAME]

回收某个用户对Shema dbo下对象的定义权限（也就是说该用户不能够修改架构dbo下全部表/视图/存储过程/函数的结构）

use [Your DB NAME]
DENY VIEW DEFINITION ON SCHEMA :: dbo to [THE USER NAME]

 

容许某个用户执行Shema dbo下定义的存储过程

 GRANT EXEC  ON SCHEMA :: dbo TO  [your_DB_account]

不容许某个用户执行Shema dbo下定义的存储过程

 DENY EXEC  ON SCHEMA :: dbo TO  [your_DB_account]

容许某个用户能够对Schema dbo下对象进行增删改查操做

GRANT SELECT  ON SCHEMA :: dbo TO [your_DB_account]  -- 容许查询数据权限
GRANT UPDATE  ON SCHEMA :: dbo TO [your_DB_account]  -- 容许更新数据权限
GRANT INSERT  ON SCHEMA :: dbo TO [your_DB_account]  -- 容许插入数据权限
GRANT DELETE  ON SCHEMA :: dbo TO [your_DB_account]  -- 容许删除数据权限

不容许某个用户对Schema dbo下对象进行增删改查操做

DENY SELECT  ON SCHEMA :: dbo TO [your_DB_account]  -- 不容许查询数据权限
DENY UPDATE  ON SCHEMA :: dbo TO [your_DB_account]  -- 不容许更新数据权限
DENY INSERT  ON SCHEMA :: dbo TO [your_DB_account]  -- 不容许插入数据权限
DENY DELETE  ON SCHEMA :: dbo TO [your_DB_account]  -- 不容许删除数据权限

 

限制用户对数据库对象（好比表/视图/存储过程等）的操做行为

---

容许用户修改数据库表T_Testing的结构

GRANT VIEW DEFINITION ON [dbo].[T_Testing] to [THE USER NAME]

不容许用户修改数据库表T_Testing的结构

DENY VIEW DEFINITION ON [dbo].[T_Testing] to [Customer]

容许用户对数据库表T_Testing进行增删改查操做

GRANT SELECT  ON [dbo].[T_Testing] TO [your_DB_account]  -- 容许查询数据权限
GRANT UPDATE  ON [dbo].[T_Testing] TO [your_DB_account]  -- 容许更新数据权限
GRANT INSERT  ON [dbo].[T_Testing] TO [your_DB_account]  -- 容许插入数据权限
GRANT DELETE  ON [dbo].[T_Testing] TO [your_DB_account]  -- 容许删除数据权限

不容许用户对数据库表T_Testing进行增删改查操做

DENY SELECT  ON [dbo].[T_Testing] TO [your_DB_account]  -- 不容许查询数据权限
DENY UPDATE  ON [dbo].[T_Testing] TO [your_DB_account]  -- 不容许更新数据权限
DENY INSERT  ON [dbo].[T_Testing] TO [your_DB_account]  -- 不容许插入数据权限
DENY DELETE  ON [dbo].[T_Testing] TO [your_DB_account]  -- 不容许删除数据权限

 

上面这些对数据库表的语句一样适用于其它数据库对象，例如视图/存储过程等，以下所示：

GRANT VIEW DEFINITION ON [dbo].[V_Testing] to [your_DB_account] --容许用户修改视图V_Testing的定义
DENY VIEW DEFINITION ON [dbo].[V_Testing] to [your_DB_account]--不容许用户修改视图V_Testing的定义

GRANT VIEW DEFINITION ON [dbo].[P_Testing] to [your_DB_account] --容许用户修改存储过程P_Testing的定义
DENY VIEW DEFINITION ON [dbo].[P_Testing] to [your_DB_account]--不容许用户修改存储过程P_Testing的定义

可是注意SELECT/UPDATE/DELETE/INSERT这几个增删改查的权限不适用于存储过程

 

此外对数据库对象（好比表/试图/存储过程等）的上述操做行为，还能够直接设置在数据库角色（注意是数据库角色，不是数据库Instance角色）上，例如：

容许数据库MyDataBase的角色MyRole对表T_Testing拥有增删改查权限

USE [MyDataBase]

GRANT SELECT  ON [dbo].[T_Testing] TO [MyRole]  -- 容许查询数据权限
GRANT UPDATE  ON [dbo].[T_Testing] TO [MyRole]  -- 容许更新数据权限
GRANT INSERT  ON [dbo].[T_Testing] TO [MyRole]  -- 容许插入数据权限
GRANT DELETE  ON [dbo].[T_Testing] TO [MyRole]  -- 容许删除数据权限

不容许数据库MyDataBase的角色MyRole对表T_Testing进行增删改查操做

USE [MyDataBase]

DENY SELECT  ON [dbo].[T_Testing] TO [MyRole]  -- 不容许查询数据权限
DENY UPDATE  ON [dbo].[T_Testing] TO [MyRole]  -- 不容许更新数据权限
DENY INSERT  ON [dbo].[T_Testing] TO [MyRole]  -- 不容许插入数据权限
DENY DELETE  ON [dbo].[T_Testing] TO [MyRole]  -- 不容许删除数据权限

 

此外对于SELECT/UPDATE这两个改查的权限还能够直接设置到表/试图的列上，例以下面语句咱们设置数据库MyDataBase的角色MyRole拥有表T_Tesing和视图V_Testing中列Name的改查权限

USE [MyDataBase]

GRANT SELECT  ON [dbo].[T_Testing]([Name]) TO [MyRole]  -- 容许查询表T_Testing的Name列数据
GRANT UPDATE  ON [dbo].[T_Testing]([Name])  TO [MyRole]  -- 容许更新表T_Testing的Name列数据

GRANT SELECT  ON [dbo].[V_Testing]([Name]) TO [MyRole]  -- 容许查询视图V_Testing的Name列数据
GRANT UPDATE  ON [dbo].[V_Testing]([Name])  TO [MyRole]  -- 容许更新视图V_Testing的Name列数据

 

使用数据库权限控制用户的访问行为

---

若是但愿某个用户只拥有某个数据库的只读权限，最简单的办法就是只将该数据库的角色db_datareader赋予用户便可：

exec sp_addrolemember' db_datareader','用户名'

 

这里最后列出全部数据库Instance角色和（用户映射）数据库角色的含义：

数据库Instance角色：

• sysadmin 能够在SQLServer中执行任何活动。
• serveradmin 能够设置服务器范围的配置选项，关闭服务器。
• setupadmin 能够管理连接服务器和启动过程。
• securityadmin 能够管理登陆和CREATEDATABASE权限，还能够读取错误日志和更改密码。
• processadmin 能够管理在SQLServer中运行的进程。
• dbcreator 能够建立、更改和除去数据库。
• diskadmin 能够管理磁盘文件。
• bulkadmin 能够执行BULKINSERT语句。

（用户映射）数据库角色：

• db_owner执行数据库中的全部维护和配置活动。
• db_accessadmin添加或删除Windows用户、组和SQLServer登陆的访问权限。
• db_datareader读取全部用户表中的全部数据。
• db_datawriter添加、删除或更改全部用户表中的数据。
• db_ddladmin在数据库中运行任何数据定义语言(DDL)命令。
• db_securityadmin修改角色成员身份并管理权限。
• db_backupoperator备份数据库。
• db_denydatareader没法读取数据库用户表中的任何数据。
• db_denydatawriter没法添加、修改或删除任何用户表或视图中的数据。

 

转自：https://www.cnblogs.com/OpenCoder/p/8087210.html