SQLserver常见用户授权配置

作者：管理员更新时间：2024-07-29 21:55

一、创建登录用户

1.登录数据库

#1.进入master库

USE [master]

#2.创建用户语法

CREATE LOGIN [登录名] WITH

password={ 'password' | hashed_password hashed }

[must_change][,]

[sid=0x14585E90117152449347750164BA00A7][,]

[default_database=database_name][,]

[default_language=language][,]

[check_expiration={ on | off }][,]

[check_policy={ on | off }][,]

[credential=credential_name]

2.语法块含义

#1.--login_name 指定创建的登录名。

有四种类型的登录：SQLServer登录、Windows登录、证书映射登录和非对称密钥映射登录。

--在创建从Windows域帐户映射的登录名时，必须以[<domainName>\<login_name>]格式使用Windows 2000之前的用户登录名。

--不能使用login_name@DomainName格式的UPN。

--身份验证登录的类型为sysname，它必须符合标识符规则，且不能包含“\”。

--Windows登录名可以包含“\”。Active Directory用户的登录名需少于21个字符。

#2.--password 指定创建用户的密码

有两种密码类型：

--password='password*'

--仅适用于SQL Server登录。指定正在创建的登录名的密码。应使用强密码。

--有关详细信息，请参阅强密码和密码策略。从SQL Server 2012 (11.x)开始，存储的密码信息使用 SHA-512 加盐密码进行计算。

--密码是区分大小写的。密码应始终至少包含 8 个字符，并且不能超过128个字符。

--密码可以包含 a-z、A-Z、0-9 和大多数非字母数字字符。密码不能包含单引号或 login_name。

--password=hashed_password

--仅适用于hashed关键字。指定要创建的登录名的密码的哈希值。

--hashed仅适用于SQL Server登录。指定在password参数后输入的密码已经过哈希运算。

--如果未选择此选项，则在将作为密码输入的字符串存储到数据库中之前，对其进行哈希运算。

--此选项应仅用于在服务器之间迁移数据库。切勿使用hashed选项创建新的登录名。hashed选项不能用于SQL 7或更早版本创建的哈希。

#3.--must_change 首次登录设置新密码

--仅适用于SQL Server登录。如果包括此选项，则SQL Server将在首次使用新登录时提示用户输入新密码。

#4.--sid=sid 用于重新创建登录名

--用于重新创建登录名。仅适用于SQL Server身份验证登录，不适用于Windows身份验证登录。指定新SQL Server身份验证登录的sid。

--如果未使用此选项，SQL Server将自动分配sid。sid结构取决于SQL Server版本。 QL Server登录sid：基于GUID的16 字节(binary(16))文本值。例如，sid 0x14585E90117152449347750164BA00A7。

#5.--default_database=database 用于指定默认数据库

--指定将指派给登录名的默认数据库。如果未包括此选项，则默认数据库将设置为master。

#6.--default_language=language 用于指定登录的语言

--指定将指派给登录名的默认语言。如果未包括此选项，则默认语言将设置为服务器的当前默认语言。即使将来服务器的默认语言发生更改，登录名的默认语言也仍保持不变。

#7.--check_expiration={ on | off } 用于指定是否强制实施密码过期策略

--仅适用于SQL Server登录。指定是否应对此登录帐户强制实施密码过期策略。默认值为off。

#8.--check_policy={ on | off } 用于指定实施的密码策略

--仅适用于SQL Server登录。指定应对此登录强制实施运行SQL Server 计算机的 Windows 密码策略。默认值为on。

--如果 Windows 策略要求强密码，密码必须至少包含以下四个特点中的三个：

--大写字符 (A-Z)。

--小写字符 (a-z)。

--数字 (0-9)。

--一个非字母数字字符，如空格、、@、*、^、%、!、$、# 或 &。

#9.--credential=credential_name 用于映射登录凭据

--将映射到新SQL Server登录的凭据名称。该凭据必须已存在于服务器中。当前此选项只将凭据链接到登录名。凭据不能映射到系统管理员(sa)登录名。

3.常用示例

#1.最快速创建方式：

USE [master]

CREATE LOGIN [登录名] WITH PASSWORD=N'密码', DEFAULT_DATABASE=[test], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF

#2.普通创建方式：

--声明引用数据库

use tests;

--创建登录用户

create login '登录名'

with

password='123456',

--must_change,

--sid=0x14585E90117152449347750164BA00A7,

default_database=master,

--default_language=language,

check_expiration=off,

check_policy=off

--credential=[sysadmin]

二、账户服务器角色授权

1.常用服务器角色类型

@rolename枚举值(角色权限)：

#1.bulkadmin --可以运行BULK INSERT语句

#2.dbcreator --可以创建、修改数据库

#3.diskadmin --用户管理磁盘文件

#4.processadmin --可以终止SQL SERVER实例中的进程

#5.public --默认且不可修改

#6.securityadmin --管理和审核登录账户

#7.serveradmin --可以更改服务器范围的配置选项和关闭服务器

#8.setupadmin --配置复制和链接服务器

#9.sysadmin --执行任何活动

2.单独授权服务器角色

#1.声明引用数据库

USE [master]

#2.创建登录名并授权服务器角色

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'sysadmin'

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'bulkadmin'

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'dbcreator'

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'diskadmin'

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'processadmin'

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'securityadmin'

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'serveradmin'

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'setupadmin'

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'sysadmin'

3.删除服务器角色

#1.声明引用数据库

USE [master]

#2.删除账户角色

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'sysadmin'

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'bulkadmin'

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'dbcreator'

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'diskadmin'

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'processadmin'

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'securityadmin'

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'serveradmin'

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'setupadmin'

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'sysadmin'

4.单用户添加多个服务器角色

#1.声明引用数据库

USE [master]

#2.添加多个服务器角色，服务器角色用于向用户授权服务器范围内的安全特权

alter server role [bulkadmin] add member '登录名';

alter server role [dbcreator] add member '登录名';

alter server role [diskadmin] add member '登录名';

alter server role [processadmin] add member '登录名';

alter server role [securityadmin] add member '登录名';

alter server role [serveradmin] add member '登录名';

alter server role [setupadmin] add member '登录名';

alter server role [sysadmin] add member '登录名';

三、数据库授权

1.授权所有库

#1.声明引用数据库

USE [master]

#2.授权所有库

EXEC master..sp_addsrvrolemember @loginame = N'登录名', @rolename = N'sysadmin'

2.访问特定数据库

#1.声明引用数据库

USE [master]

#2.删除用户拥有的sysadmin角色

EXEC master..sp_dropsrvrolemember @loginame = N'登录名', @rolename = N'sysadmin'

#3.为登录用户创建数据库用户映射

USE databasename

create user [登录名] for login [登录名] with default_schema=dbo

ps：此时还不可访问该数据库的对象如表、存储过程、视图等

#4.示例;

为登陆账户创建数据库用户（create user）,在mydb数据库中的security中的user下可以找到新创建的dba

create user dba for login dba with default_schema=dbo

并指定数据库用户“dba” 的默认 schema 是“dbo”。这意味着用户“dba” 在执行“select * from t”，实际上执行的是 “select * from dbo.t”。

3.访问该数据库的所有对象

#1.声明引用数据库

USE databasename

#2.设置登录用户访问该数据库的所有对象

exec sp_addrolemember 'db_owner', '登录名'

4.禁用该数据库的所有对象

#1.声明引用数据库

USE databasename

#2.禁用登录用户访问该数据库的所有对象

exec sp_droprolemember 'db_owner', '登录名'

四、数据表、视图等授权

1.数据表、视图等授权分类

授权登录用户访问指定的表\存储过程\视图等(先禁用数据库用户拥有的db_owner角色，然后再对制定的对象赋相应的权限)

对象(表|存储过程|视图等)枚举值：

#1.ALTER --修改

#2.CONTROL --控制

#3.EXECUTE --执行

#4.TAKE OWNERSHIP --所有权限

#5.VIEW DEFINITION --查看定义

2.禁用该数据库的所有对象

#1.声明引用数据库

USE databasename

#2.禁用登录用户访问该数据库的所有对象

exec sp_droprolemember 'db_owner', '登录名'

3.授权登录用户访问指定的表\存储过程\视图等

#1.声明引用数据库

USE databasename

#授权登录用户访问指定的表、存储过程、视图等的授权

GRANT ALTER ON [dbo].[表|存储过程|视图等名称] TO [登录名]

GRANT CONTROL ON [dbo].[表|存储过程|视图等名称] TO [登录名]

GRANT EXECUTE ON [dbo].[表|存储过程|视图等名称] TO [登录名]

GRANT TAKE OWNERSHIP ON [dbo].[表|存储过程|视图等名称] TO [登录名]

GRANT VIEW DEFINITION ON [dbo].[表|存储过程|视图等名称] TO [登录名]

4.删除对登录用户访问指定的表\存储过程\视图等的授权

#1. 声明引用数据库

use databasename

#2.删除对登录用户访问指定的表\存储过程\视图等的授权

REVOKE ALTER ON [dbo].[表|存储过程|视图等名称] TO [登录名]

REVOKE CONTROL ON [dbo].[表|存储过程|视图等名称] TO [登录名]

REVOKE EXECUTE ON [dbo].[表|存储过程|视图等名称] TO [登录名]

REVOKE TAKE OWNERSHIP ON [dbo].[表|存储过程|视图等名称] TO [登录名]

REVOKE VIEW DEFINITION ON [dbo].[表|存储过程|视图等名称] TO [登录名]

5.授权登录用户访问表的指定列

#1. 声明引用数据库use databasename#2.授权登录用户访问表的指定列GRANT SELECT ON dbo.表名(字段1,字段2...) TO [登录名]

6.批量删除数据库所有表

#1. 声明引用数据库

use databasename

#2.批量删除数据库所有表

DECLARE @DROP_STRING VARCHAR(8000)

7.删除所有表的外键约束

#1.删除所有表的外键约束

DECLARE DROP_FK CURSOR FOR

SELECT 'ALTER TABLE '+ OBJECT_NAME(PARENT_OBJ) + ' DROP CONSTRAINT '+NAME

FROM SYSOBJECTS

WHERE XTYPE = 'F'

OPEN DROP_FK

FETCH NEXT FROM DROP_FK INTO @DROP_STRING

WHILE(@@FETCH_STATUS=0)

BEGIN EXEC(@DROP_STRING) FETCH NEXT FROM DROP_FK INTO @DROP_STRING

END

CLOSE DROP_FK

DEALLOCATE DROP_FK

8.删除表

DECLARE DROP_TABLE CURSOR FOR

SELECT 'DROP TABLE '+NAME

FROM SYSOBJECTS

WHERE XTYPE = 'U'

OPEN DROP_TABLE

FETCH NEXT FROM DROP_TABLE INTO @DROP_STRING

WHILE(@@FETCH_STATUS=0)

BEGIN EXEC(@DROP_STRING) FETCH NEXT FROM DROP_TABLE INTO @DROP_STRING

END

CLOSE DROP_TABLE

DEALLOCATE DROP_TABLE

来自 <https://www.cnblogs.com/jhno1/p/15180471.html>

一、创建用户映射,映射到此登录名的用户

--use [model]

--go