SQL Server角色成员身份和权限简介

时　间:2016-10-21 08:23:15
作　者:缪炜   ID：24010  城市：江阴
摘　要:
正　文:

db_owner 固定数据库角色的成员可以执行数据库的所有配置和维护活动，还可以删除数据库。

db_securityadmin 固定数据库角色的成员可以修改角色成员身份和管理权限。向此角色中添加主体可能会导致意外的权限升级。

db_accessadmin 固定数据库角色的成员可以为 Windows 登录名、Windows 组和 SQL Server
登录名添加或删除数据库访问权限。

db_backupoperator 固定数据库角色的成员可以备份数据库。

db_ddladmin 固定数据库角色的成员可以在数据库中运行任何数据定义语言 (DDL) 命令。

db_datawriter 固定数据库角色的成员可以在所有用户表中添加、删除或更改数据。

db_datareader 固定数据库角色的成员可以从所有用户表中读取所有数据。

db_denydatawriter 固定数据库角色的成员不能添加、修改或删除数据库内用户表中的任何数据。

db_denydatareader 固定数据库角色的成员不能读取数据库内用户表中的任何数据。

有关数据库级固定角色权限的特定信息，请参阅固定数据库角色的权限（数据库引擎）。

msdb 角色名称及说明

db_ssisadmin

db_ssisoperator 

db_ssisltduser 

这些数据库角色的成员可以管理和使用SSIS。从早期版本升级的 SQL Server 实例可能包含使用 Data
Transformation Services (DTS)（而不是 SSIS）命名的旧版本角色。有关详细信息，请参阅使用 Integration Services 角色。

dc_admin

dc_operator

dc_proxy

这些数据库角色的成员可以管理和使用数据收集器。有关详细信息，请参阅数据收集器的安全性。

PolicyAdministratorRole

db_ PolicyAdministratorRole 
数据库角色的成员可以对基于策略的管理策略和条件执行所有配置和维护活动。有关详细信息，请参阅使用基于策略的管理来管理服务器。

ServerGroupAdministratorRole

ServerGroupReaderRole

这些数据库角色的成员可以管理和使用注册的服务器组。有关详细信息，请参阅创建服务器组。

重要提示：

db_ssisadmin 角色和 dc_admin
角色的成员也许可以将其权限提升到sysadmin。之所以会发生此权限提升，是因为这些角色可以修改Integration Services 包，而 SQL
Server 可以使用SQL Server 代理的sysadmin 安全上下文来执行Integration Services
包。若要防止在运行维护计划、数据收集组和其他 Integration Services 包时出现此权限提升，请将运行包的 SQL Server
代理作业配置为使用拥有有限权限的代理帐户，或只将 sysadmin 成员添加到 db_ssisadmin 和dc_admin 角色。

使用服务器级角色

sp_helpdbfixedrole (Transact-SQL)   →  元数据   →  返回固定数据库角色的列表。

sp_dbfixedrolepermission (Transact-SQL)   →  元数据   →  显示固定数据库角色的权限。

sp_helprole (Transact-SQL)   →  元数据   →  返回当前数据库中有关角色的信息。

sp_helprolemember (Transact-SQL)   →  元数据   →  返回有关当前数据库中某个角色的成员的信息。

sys.database_role_members (Transact-SQL)   →  元数据   →  为每个数据库角色的每个成员返回一行。

IS_MEMBER (Transact-SQL)   →  元数据   →  指示当前用户是否为指定 Microsoft Windows 组或
Microsoft SQL Server 数据库角色的成员。

Create ROLE (Transact-SQL)   →  命令   →  在当前数据库中创建新的数据库角色。

Alter ROLE (Transact-SQL)   →  命令   →  更改数据库角色的名称。

Drop ROLE (Transact-SQL)    →  命令从数据库中删除角色。

sp_addrole (Transact-SQL)   →  命令   →  在当前数据库中创建新的数据库角色。

sp_droprole (Transact-SQL)   →  命令   →  从当前数据库中删除数据库角色。

sp_addrolemember (Transact-SQL)   →  命令   → 
为当前数据库中的数据库角色添加数据库用户、数据库角色、Windows 登录名或 Windows 组。

sp_droprolemember (Transact-SQL)   →  命令   →  从当前数据库的 SQL Server
角色中删除安全帐户。

public 数据库角色

每个数据库用户都属于public 数据库角色。如果未向某个用户授予或拒绝对安全对象的特定权限时，该用户将继承授予该对象的public 角色的权限。