国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

SQL Server2005中權(quán)限管理的主要對(duì)象包括服務(wù)器登錄名、服務(wù)器角色、數(shù)據(jù)庫用戶（User）、數(shù)據(jù)庫角色（Role）、數(shù)據(jù)庫架構(gòu)（Schema），搞清楚這些對(duì)象間的關(guān)系，對(duì)于理解SQL Server2005的權(quán)限管理有很大幫助。比如為大型企業(yè)設(shè)計(jì)數(shù)據(jù)庫的時(shí)候必然考慮到角色劃分、權(quán)限劃分的問題。本文主要以AdventureWorks為樣本數(shù)據(jù)庫進(jìn)行分析，該數(shù)據(jù)可以從微軟官網(wǎng)下載，安裝非常方便。

首先談?wù)撘幌路?wù)器級(jí)別的兩個(gè)對(duì)象，服務(wù)器登陸名和服務(wù)器角色。

服務(wù)器登陸名即登錄服務(wù)器時(shí)所用的用戶名，依靠這個(gè)服務(wù)器登陸名對(duì)象，數(shù)據(jù)庫系統(tǒng)才能根據(jù)對(duì)象間的關(guān)系獲取相應(yīng)的數(shù)據(jù)庫操作權(quán)限，因此可以把該對(duì)象看作權(quán)限樹的根部和起點(diǎn)。SQL Server支持兩種方式的登錄：Windows身份認(rèn)證和SQL Server身份認(rèn)證。SQL Server2005默認(rèn)的是Windows身份認(rèn)證，集成Windows系統(tǒng)的驗(yàn)證模式，登錄過程中登錄名是確定的，不需要輸入密碼。SQL Server身份認(rèn)證需要輸入登陸名和相應(yīng)密碼，系統(tǒng)自動(dòng)帶有一個(gè)具有高級(jí)權(quán)限的登錄名對(duì)象sa,其他對(duì)象可以通過TSQL語句創(chuàng)建。例如：create login Kelvin with Password = 'password' 執(zhí)行后，數(shù)據(jù)庫中即產(chǎn)生了名為Kelvin的服務(wù)器登錄名對(duì)象。 

上圖中選中的為Windows身份方式登錄的用戶名，默認(rèn)的登陸名一般是服務(wù)器名稱。

服務(wù)器角色：SQL Server提供一組固定的服務(wù)器角色，比如sysadmin、securityadmin等，通過將這些固定的服務(wù)器角色賦予不同的服務(wù)器登陸名對(duì)象，可以是實(shí)現(xiàn)服務(wù)器級(jí)別的權(quán)限管理。將服務(wù)器角色賦予登陸名對(duì)象的語句如下： exec sp_addsrvrolemember Kelvin, sysadmin ; exec sp_dropsrvrolemember Kelvin, sysadmin; 一個(gè)服務(wù)器登錄名對(duì)象可以擁有多個(gè)固定服務(wù)器角色權(quán)限，但是固定服務(wù)器角色不能被修改、添加和刪除。

值得注意的是，服務(wù)器角色主要是控制服務(wù)器端對(duì)請(qǐng)求數(shù)據(jù)庫資源的訪問權(quán)限，他允許或拒絕服務(wù)器登陸名的訪問操作，但是在設(shè)置具體數(shù)據(jù)庫的管理和操作權(quán)限方面，服務(wù)器對(duì)象的權(quán)限設(shè)置粒度過大，因此要依靠數(shù)據(jù)庫級(jí)別的對(duì)象：數(shù)據(jù)庫用戶（User）、數(shù)據(jù)角色（Role）、數(shù)據(jù)庫架構(gòu)（Schema），這三個(gè)對(duì)象是針對(duì)每一個(gè)數(shù)據(jù)庫實(shí)例的，因此可以對(duì)單個(gè)數(shù)據(jù)庫實(shí)例進(jìn)行細(xì)化權(quán)限劃分。

對(duì)于擁有服務(wù)器角色sysadmin的登陸名對(duì)象，它可以SQL Server2005中做任何操作（由此可見服務(wù)器角色權(quán)限粒度之大）。但對(duì)那些沒有sysadmin角色的登陸名對(duì)象，它需要擁有一個(gè)能訪問特定數(shù)據(jù)庫實(shí)例的數(shù)據(jù)庫用戶名（User）以實(shí)現(xiàn)對(duì)該數(shù)據(jù)庫的操作。比如說為登陸名Kelvin想要訪問AdventureWorks數(shù)據(jù)庫，但不具備sysadmin的服務(wù)器角色。那么則在AdventureWorks數(shù)據(jù)庫中中創(chuàng)建一個(gè)名為user_Kelvin的數(shù)據(jù)庫用戶。TSQL：USE AdventureWorks; GO; create user user_Kelvin for login Kelvin; 執(zhí)行之后，用Kelvin登陸名登錄的用戶與AdventureWorks下的user_Kelvin用戶建立起了關(guān)聯(lián)。

而數(shù)據(jù)庫用戶（User）的權(quán)限來源則是下面的兩個(gè)對(duì)象：數(shù)據(jù)庫角色（Role）和數(shù)據(jù)庫架構(gòu)（Schema）。通過在用戶中選定相應(yīng)的角色和架構(gòu)，我們可以較為方便的實(shí)現(xiàn)數(shù)據(jù)庫中數(shù)據(jù)的分離、存取權(quán)限的分離等權(quán)限管理。

數(shù)據(jù)庫角色分為固定數(shù)據(jù)庫角色和用戶創(chuàng)建的數(shù)據(jù)庫角色。固定數(shù)據(jù)庫角色是系統(tǒng)默認(rèn)用于組織數(shù)據(jù)庫用戶權(quán)限的角色，包括db_datareader、db_ddladmin、db_owner等，這些角色都包含與其名稱相同的數(shù)據(jù)庫架構(gòu)（Schema），比如db_datareader就默認(rèn)只擁有名為db_datareader的架構(gòu)。用戶可以創(chuàng)建角色，并讓角色獲取相應(yīng)的架構(gòu)，最后將角色（Role）與數(shù)據(jù)庫用戶（User）建立起聯(lián)系即可。 比如： Use AdventureWorks; exec sp_addrolemember db_datareader, user_Kelvin; 執(zhí)行后user_Kelvin就擁有了讀取數(shù)據(jù)的權(quán)限（該權(quán)限為db_datareader角色擁有）。

數(shù)據(jù)庫的架構(gòu)應(yīng)該是最小粒度的權(quán)限設(shè)置，既包括固定數(shù)據(jù)庫角色對(duì)應(yīng)的數(shù)據(jù)庫架構(gòu)，又可包括用戶自身定義的架構(gòu)。固定數(shù)據(jù)庫角色對(duì)應(yīng)架構(gòu)主要涉及數(shù)據(jù)存取權(quán)限，比如db_datareader是允許讀取該數(shù)據(jù)庫中所有數(shù)據(jù)內(nèi)容，db_datawriter即允許update、insert、delete語句等；用戶自定義的架構(gòu)主要用于分離數(shù)據(jù)，比如AdventureWorks數(shù)據(jù)庫中擁有下列表：

對(duì)于只擁有Production架構(gòu)的數(shù)據(jù)庫用戶來說，登錄Adventure數(shù)據(jù)庫只能看到前綴為Production.的表，其他前綴的表隸屬于其他架構(gòu)，對(duì)當(dāng)前用戶就不可見了（除非擁有其他架構(gòu)）。

綜上，服務(wù)器登陸名對(duì)象分別與服務(wù)器角色和數(shù)據(jù)庫用戶直接關(guān)聯(lián)，而數(shù)據(jù)庫用戶與數(shù)據(jù)庫角色和數(shù)據(jù)庫架構(gòu)直接聯(lián)系，從而形成了整個(gè)數(shù)據(jù)庫結(jié)構(gòu)的權(quán)限管理。