一、權(quán)限設(shè)置的基本概念

SQL Server 的權(quán)限體系主要包括以下幾個(gè)層次：

登錄名(Login)：用于連接到 SQL Server 實(shí)例(服務(wù)器級(jí))。

數(shù)據(jù)庫(kù)用戶(User)：登錄名映射到數(shù)據(jù)庫(kù)中的具體用戶(數(shù)據(jù)庫(kù)級(jí))。

角色(Role)：權(quán)限的集合，用于簡(jiǎn)化用戶管理。

權(quán)限類型：包括連接、查詢、修改、創(chuàng)建對(duì)象、執(zhí)行存儲(chǔ)過程等。

二、創(chuàng)建登錄名(Login)

登錄名用于授權(quán)用戶連接 SQL Server 實(shí)例。有兩種常用方式：

1. 使用 SQL Server 身份驗(yàn)證方式

CREATE LOGIN user1 WITH PASSWORD = 'StrongPassword123!';

2. 使用 Windows 身份驗(yàn)證方式

CREATE LOGIN [DOMAIN\user1] FROM WINDOWS;

三、創(chuàng)建數(shù)據(jù)庫(kù)用戶(User)

登錄名創(chuàng)建后，需要在目標(biāo)數(shù)據(jù)庫(kù)中創(chuàng)建對(duì)應(yīng)的用戶：

USE YourDatabase;
CREATE USER user1 FOR LOGIN user1;

四、分配角色權(quán)限(推薦做法)

使用數(shù)據(jù)庫(kù)內(nèi)置角色管理權(quán)限是更安全、規(guī)范的方式。常見角色包括：

db_owner：擁有數(shù)據(jù)庫(kù)內(nèi)所有權(quán)限;

db_datareader：可讀取所有數(shù)據(jù);

db_datawriter：可寫入所有表;

db_ddladmin：可創(chuàng)建、修改表/視圖等對(duì)象結(jié)構(gòu);

db_executor：可執(zhí)行存儲(chǔ)過程(需手動(dòng)創(chuàng)建)。

示例：賦予讀取權(quán)限

EXEC sp_addrolemember 'db_datareader', 'user1';

自定義角色(如 db_executor)

-- 創(chuàng)建角色
CREATE ROLE db_executor;
-- 賦予執(zhí)行權(quán)限
GRANT EXECUTE TO db_executor;
-- 將用戶加入角色
EXEC sp_addrolemember 'db_executor', 'user1';

五、細(xì)粒度權(quán)限控制(對(duì)象級(jí))

如果你需要對(duì)單個(gè)表、視圖、存儲(chǔ)過程等對(duì)象控制訪問權(quán)限，可以使用 GRANT、DENY、REVOKE 語句：

示例：賦予查詢權(quán)限

GRANT SELECT ON dbo.Employees TO user1;

示例：禁止刪除表數(shù)據(jù)

DENY DELETE ON dbo.Employees TO user1;

六、查看權(quán)限狀態(tài)

1. 查看某用戶已授權(quán)限

EXEC sp_helprotect @username = 'user1';

2. 查看角色成員列表

EXEC sp_helpuser;

七、最佳實(shí)踐建議

避免將用戶直接加入 sysadmin 或 db_owner，權(quán)限過大;

使用角色統(tǒng)一管理權(quán)限，便于審計(jì)與維護(hù);

為每個(gè)系統(tǒng)/服務(wù)創(chuàng)建獨(dú)立的登錄名與數(shù)據(jù)庫(kù)用戶;

定期審計(jì)用戶權(quán)限，刪除無用用戶;

盡量避免使用 sa 賬戶，尤其是在生產(chǎn)環(huán)境;

使用復(fù)雜密碼并啟用 SQL Server 身份驗(yàn)證的登錄失敗鎖定策略。

到此這篇關(guān)于SQL Server權(quán)限設(shè)置的幾種方法小結(jié)的文章就介紹到這了,更多相關(guān)SQL Server權(quán)限設(shè)置內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論