首页 › 数据库综合论坛 › SQL Server权限设置的几种方法小结

杨六少 發表於 2025-5-19 09:40:36

SQL Server权限设置的几种方法小结

<div id="navCategory"><h5 class="catalogue">目录</h5><ul class="first_class_ul"><li><a href="#_label0">一、权限设置的基本概念</a></li><li><a href="#_label1">二、创建登录名(Login)</a></li><li><a href="#_label2">三、创建数据库用户(User)</a></li><li><a href="#_label3">四、分配角色权限(推荐做法)</a></li><li><a href="#_label4">五、细粒度权限控制(对象级)</a></li><li><a href="#_label5">六、查看权限状态</a></li><li><a href="#_label6">七、最佳实践建议</a></li></ul></div><p class="maodian"><a name="_label0"></a></p><h2>一、权限设置的基本概念</h2>
<p>SQL Server 的权限体系主要包括以下几个层次：</p>
<p>登录名(Login)：用于连接到 SQL Server 实例(服务器级)。</p>
<p>数据库用户(User)：登录名映射到数据库中的具体用户(数据库级)。</p>
<p>角色(Role)：权限的集合，用于简化用户管理。</p>
<p>权限类型：包括连接、查询、修改、创建对象、执行存储过程等。</p>
<p class="maodian"><a name="_label1"></a></p><h2>二、创建登录名(Login)</h2>
<p>登录名用于授权用户连接 SQL Server 实例。有两种常用方式：</p>
<p>1. 使用 SQL Server 身份验证方式</p>
<div class="jb51code"><pre class="brush:sql;">CREATE LOGIN user1 WITH PASSWORD = 'StrongPassword123!';</pre></div>
<p>2. 使用 Windows 身份验证方式</p>
<div class="jb51code"><pre class="brush:sql;">CREATE LOGIN FROM WINDOWS;</pre></div>
<p class="maodian"><a name="_label2"></a></p><h2>三、创建数据库用户(User)</h2>
<p>登录名创建后，需要在目标数据库中创建对应的用户：</p>
<div class="jb51code"><pre class="brush:sql;">USE YourDatabase;
CREATE USER user1 FOR LOGIN user1;</pre></div>
<p class="maodian"><a name="_label3"></a></p><h2>四、分配角色权限(推荐做法)</h2>
<p>使用数据库内置角色管理权限是更安全、规范的方式。常见角色包括：</p>
<p>db_owner：拥有数据库内所有权限;</p>
<p>db_datareader：可读取所有数据;</p>
<p>db_datawriter：可写入所有表;</p>
<p>db_ddladmin：可创建、修改表/视图等对象结构;</p>
<p>db_executor：可执行存储过程(需手动创建)。</p>
<p>示例：赋予读取权限</p>
<div class="jb51code"><pre class="brush:sql;">EXEC sp_addrolemember 'db_datareader', 'user1';
</pre></div>
<p>自定义角色(如 db_executor)</p>
<div class="jb51code"><pre class="brush:sql;">-- 创建角色
CREATE ROLE db_executor;
-- 赋予执行权限
GRANT EXECUTE TO db_executor;
-- 将用户加入角色
EXEC sp_addrolemember 'db_executor', 'user1';</pre></div>
<p class="maodian"><a name="_label4"></a></p><h2>五、细粒度权限控制(对象级)</h2>
<p>如果你需要对单个表、视图、存储过程等对象控制访问权限，可以使用 GRANT、DENY、REVOKE 语句：</p>
<p>示例：赋予查询权限</p>
<div class="jb51code"><pre class="brush:sql;">GRANT SELECT ON dbo.Employees TO user1;
</pre></div>
<p>示例：禁止删除表数据</p>
<div class="jb51code"><pre class="brush:sql;">DENY DELETE ON dbo.Employees TO user1;</pre></div>
<p class="maodian"><a name="_label5"></a></p><h2>六、查看权限状态</h2>
<p>1. 查看某用户已授权限</p>
<div class="jb51code"><pre class="brush:sql;">EXEC sp_helprotect @username = 'user1';</pre></div>
<p>2. 查看角色成员列表</p>
<div class="jb51code"><pre class="brush:sql;">EXEC sp_helpuser;</pre></div>
<p class="maodian"><a name="_label6"></a></p><h2>七、最佳实践建议</h2>
<p>避免将用户直接加入 sysadmin 或 db_owner，权限过大;</p>
<p>使用角色统一管理权限，便于审计与维护;</p>
<p>为每个系统/服务创建独立的登录名与数据库用户;</p>
<p>定期审计用户权限，删除无用用户;</p>
<p>尽量避免使用 sa 账户，尤其是在生产环境;</p>
<p>使用复杂密码并启用 SQL Server 身份验证的登录失败锁定策略。</p>

查看完整版本: SQL Server权限设置的几种方法小结