sqlserver 2000 ，能运行 sqlserver代理“作业”的最低服务器角色和数据库角色

可以从

sp_helpsrvrole

获得固定服务器角色的列表，可以从

sp_srvrolepermission

获得每个角色的特定权限。

每个数据库都有一系列固定数据库角色。虽然每个数据库中都存在名称相同的角色，但各个角色的作用域只是在特定的数据库内。例如，如果

Database1

和

Database2

中都有叫

UserX

的用户

ID，将Database1

中的

UserX

添加到

Database1

的

db_owner

固定数据库角色中，对

Database2

中的

UserX

是否是

Database2

的

db_owner

角色成员没有任何影响。

SQL Server 联机丛书有详细解释：

db_accessadmin 固定数据库角色的成员可以为 Windows 登录帐户、Windows 组和 SQL Server 登录帐户添加或删除访问权限。

db_backupoperator 固定数据库角色的成员可以备份该数据库。

db_datareader 固定数据库角色的成员可以对数据库中的任何表或视图运行 SELECT 语句。

db_datawriter 固定数据库角色的成员可以在所有用户表中添加、删除或更改数据。

db_owner 固定数据库角色的成员可以执行数据库的所有配置和维护活动。

重要提示：

在 SQL Server 2005 中，db_owner 固定数据库角色的成员可以删除数据库。此行为是从早期版本变化而来的。

db_securityadmin 固定数据库角色的成员可以修改角色成员身份和管理权限。

db_ddladmin 固定数据库角色的成员可以在数据库中运行任何数据定义语言 (DDL) 命令。

db_denydatareader 固定服务器角色的成员不能读取数据库内用户表中的任何数据。

db_denydatawriter 固定服务器角色的成员不能添加、修改或删除数据库内用户表中的任何数据。

与SQL SERVER安全控制相关的几点说明

（一）几个基本术语

身份验证（Authentication）是指通过提交服务器评估的凭据以登录到主体请求访问的 SQL Server 的过程。身份验证可以确定接受身份验证的用户或进程的标识。

用户、账户、账号、登录名、[数据库]用户名

用户是指能够在SQL Server安全机制下，访问数据库对象中的数据的 *** 作员或客户。用户若要访问数据库对象，必须获得数据库管理员（DBA）分配的账号和密码。从SQL Server管理系统的角度来看，用户就是一组匹配的账户和密码。

账户和账号是一个概念的不同说法，在服务器中的账户又叫登录名（Login Name），因此访问服务器也称为登录服务器。服务器的登录名可以映射到数据库中成为[数据库]用户名(User Name)。一个登录名可以映射多个数据库用户，而一个用户只能映射一个登录名。

连接或登录SQL Server服务器时是用的登录名而非用户名登录的，程序里面的连接字符串中的用户名也是指登录名。

通常用户名与登录名相同（不是强制相同，但为了一目了然通常都在创建用户名时使用与登录名相同的名字）。

提示：登录名（Login Name）和用户名(User Name)是两个不同的概念：

登录名：服务器方的一个实体，登录名只能进入SQL Server服务器，但是不能让用户访问服务器中的数据库资源。

用户名：一个或多个登录对象在数据库中的映射，可以对用户对象进行授权，以便为登录对象提供对数据库的访问权限。

登录名作用于它所在的服务器。每个登录名的定义存放在master系统数据库的syslogins表中。

用户名作用于它所在的数据库。用户定义信息存放在每个数据库的sysusers表中。用登录名登录到SQL Server后，在访问 *** 作各个数据库时，SQL Server会自动查询此数据库中是否存在与此登录名关联的用户名，若存在就使用此用户的权限访问此数据库，若不存在就是用guest用户访问此数据库（guest是一个特殊的用户名，后面会讲到）。

SQL身份验证：适合于非windows平台的用户或Internet用户，需要提供账户和密码。

Windows身份验证：适合于windows平台用户，利用Windows账户和windows集成验证，不需要提供密码。

用户想要 *** 作数据库的某个对象（如某张表）需要过三关：

第一关：我们需要登录到SQL Server系统，即需要登录账户；

第二关：我们需要访问某个数据库，即需要该数据库的用户账户；

第三关：我们需要访问数据库中的某个对象（如某张表），需要有该对象的权限。

主体(principal)是可被授予对安全资源的访问权限的实体（例如登录名、用户、进程、组或角色）。主体可以是主体的集合（比如数据库角色或Windows组）或不可分割的主体（比如本地登录或域登录）。每个主体都具有一个 ID (identification)和一个安全 ID (SID)。

⊙ Windows级别的主体：Windows组、Windows域登录名、Windows本地登录名。

⊙ SQL Server级的主体：服务器角色、SQLServer登录名。

⊙数据库级的主体：数据库角色、数据库用户、应用程序角色。

上下文切换 (context switch)，更改检查执行语句或执行 *** 作的权限时所依据的标识。

服务器(server)

1)指安装了SQL SERVER的计算机。2）指SQL Server实例——计算机上运行的 SQLServer的副本。3）指为用户提供服务的计算机软件或组件。

需要根据上下文理解。

注册服务器

注册服务器使您可以存储服务器连接信息（服务器的类型、服务器的名称、登录到服务器时使用的身份验证的类型等），以供将来连接时使用——下次连接该服务器时，不需要重新输入登录信息。

SQLServer 2000在SQL Server企业管理器中注册服务器，才能使用 SQL Server企业管理器来管理这些服务器。从SQLServer 2005始，在 SQL ServerManagement Studio 中注册服务器，才能使用 SQL Server Management Studio 来管理这些服务器。

在 Microsoft SQL Server中，可以注册以下类型的服务器：SQLServer数据库引擎、Analysis Services、Reporting Services、IntegrationServices和 SQL Server Compact 35SP1。

（二）SQL Server实例(SQL Server instance)

SQLServer实例(SQL Server instance)，简称实例 (instance)，是计算机上运行的SQLServer 的副本。同一台计算机上可以安装运行的多个 SQLServer副本。每个SQL Server实例都包含数据库引擎、Analysis Services和 ReportingServices的 SQL Server，每个SQL Server数据库实例各有一套不为其他实例共享的系统及用户数据库。

数据库引擎是用于存储、处理和保护数据的核心服务。利用数据库引擎可控制访问权限并快速处理事务。

实例又分为“默认实例”(default instance)和“命名实例”(namedinstance)，如果在一台计算机上安装第一个SQLSERVER,命名设置保持默认的话，那这个实例就是默认实例。默认实例与安装计算机具有相同名称。命名实例指安装SQL Server时给定了名称，可以安装多个命名实例，给定名称是为了与同一台计算机上的其他命名实例和默认实例区分开。

SQLServer应用程序可以通过仅指定服务器名称而连接到 SQLServer的默认实例。SQL Server应用程序在连接到服务器上的某个命名实例时必须既指定服务器名称又指定实例名称，计算机名称\实例名称。

一台计算机上最多只有一个默认实例，也可以没有默认实例，默认实例名与计算机名相同。如果要访问本机上的默认SQL服务器实例，使用计算机名、(local)、localhost、127001、、本机IP地址，都可以达到相同的目的。但如果要访问非本机的SQL服务器，那就必须使用计算机名称\实例名称。

默认实例和命名实例的区别:

1、服务中服务名称的区别：

(1)默认实例:MSSQLSERVER。

(2)有名命名实例：实列名为benet，在服务中的名称是MSSQL$BENET。

注：如果你有多个实例的时候会在服务中出现多个服务名称。

2、连接到查询分析器或探查器的时候区别：

(1)默认实例可以使用:“”(点)、“(local)”、“计算机名称”。

(2)实例名称：计算机名pcname，实例名benet，连接时使用的名称是pcname\benet。

(三)安全对象和权限

安全对象(Securable)，可以通过权限得到保护的实体。是SQLServer数据库引擎授权系统控制对其进行访问的资源。如表、视图、触发器等。

SQLServer中将安全对象分为三个层次,分别为:

⊙服务器层级，包含的安全对象：端点、登录、服务器角色、数据库。

⊙数据库层级，包含的安全对象：用户、数据库角色、应用程序角色、程序集、消息类型、路由、服务、远程服务绑定、全文目录、证书、非对称密钥、对称密钥、约定、架构。

⊙构架（SCHEMA）层级，包含的安全对象：类型、XML架构集合、对象（函数、过程、同义词、表、视图）

这三个层级是从上到下包含的，级别从高到低。

说明：端点(endpoint)为服务器级安全对象。Microsoft SQL Server 2005 中的连接管理基于“端点”。一个端点就是一个SQL Server对象，它能够使 SQL Server在网络中通信。对于数据库镜像，服务器实例需要有自己专用的“数据库镜像端点”。此端点用途特殊，专门用于接收来自其他服务器实例的数据库镜像连接。

权限 (permission)，与对象关联的规则，用来规定哪些用户可以获得该对象的访问权限以及方式如何。对安全对象的访问通过授予或拒绝权限进行控制。

权限可以明确用户能够使用哪些数据库对象，并对它们进行何种 *** 作。用户在数据库内的权限取决于用户账号的权限和该用户所属的角色的权限。

提示：在设置权限时，尤其要注意权限在安全对象上的继承关系。对于高级别安全对象上设置的权限，会被自动继承到低级别安全对象上。

理解权限的继承和权限的覆盖会在设置权限时减少很多问题，最佳方法是统筹规划，上机验证。

（四）架构(schema)

架构是指包含表、视图、过程等的容器。它位于数据库内部，而数据库位于服务器内部。这些实体就像嵌套框放置在一起。服务器是最外面的框，而架构是最里面的框。架构包含表、视图、过程、函数、同义词、类型、队列、XML架构集合等安全对象。

注意：

在 SQL Server 2000和早期版本中，数据库可以包含一个名为“架构”的实体， SQL Server 2000包含 CREATE SCHEMA语句，但此实体实际上是所有者（创建对象时的用户）。在 SQL Server 2005 开始，架构既是一个容器，又是一个命名空间。任何用户都可以拥有架构，并且架构所有权可以转移。从 SQL Server 2005开始，每个用户都拥有一个默认架构。可以使用 CREATE USER或 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将使用 dbo作为默认架构。

在SQL Server 2000中，DataBaseNamedboTableName解释为：数据库名所有者表名。

从 SQL Server 2005开始，DataBaseNamedboTableName解释为：数据库名架构名表名。

在SQL Server 2000中，数据库对象全称是server_name[database_name][owner_name]object_name

从SQL Server 2005始，数据库对象全称是server_name[database_name][schema_name]object_name

在SQL SERVER2000或以前版本中创建一个对象，对象必须要有一个所有者(owner)。对象是如何属于某个所有者的呢？这依赖于创建对象时的用户。您不能取消对象所有者(object owner)的特权(privileges)。对象所有者可以执行任何与对象有关的 *** 作（例如 INSERT、UPDATE、DELETE、SELECT或 EXECUTE），也可以管理对象的权限。

从2005/2008后，一个我们必须重新认识的情况是对象不再有所有者（owner）。架构包含对象，架构有所有者。

在2005前（如SQL Server 2000中），没有架构的概念，只有用户的概念，那时候DBO是默认用户。到了2005，有了架构概念，但是为了向后兼容，保留了DBO，并且把DBO作为默认架构，在不指定架构的情况下，默认为dbo，“默认架构”的概念，用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2005 中，每个用户都有一个默认架构，用于指定服务器在解析对象的名称时将要搜索的第一个架构。可以使用 CREATE USER和 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将把 DBO作为其默认架构。

（五）dbo

dbo既是默认架构，也是默认用户。在SQL Server 2000中，dbo作为默认用户。在SQL Server2005中，dbo既作为默认用户，也作为默认架构（如图）。

dbo作为默认用户，dbo (DataBase Owner，数据库的所有者，拥有数据库中的所有对象)，每个数据库都有dbo， sysadmin服务器角色的成员自动映射成dbo，无法删除 dbo用户，且此用户始终出现在每个数据库中。通常，登录名sa映射为库中的用户dbo。另外，固定服务器角色 sysadmin的任何成员都映射到每个数据库内称为 dbo的一个特殊用户上。由固定服务器角色sysadmin的任何成员创建的任何对象都自动属于 dbo。由固定服务器角色 sysadmin的任何成员或 dbo用户创建的任何对象都自动属于dbo，由任何其他用户（包括 db_owner固定数据库角色成员）创建的对象，属于创建该对象的用户，而不是 dbo，用创建该对象的用户名限定。例如：

如果用户 Andrew是固定服务器角色sysadmin的成员，并创建表 T1，则表 T1属于 dbo，并以 dboT1而不是 AndrewT1进行限定。相反，如果 Andrew不是固定服务器角色sysadmin的成员，而只是固定数据库角色 db_owner的成员，并创建表 T1，则 T1属于 Andrew，并限定为AndrewT1。该表属于 Andrew，因为该成员没有将表限定为dboT1。

dbo作为默认架构，在不指定架构的情况下，默认为dbo，“默认架构”的概念，用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2005 中，每个用户都有一个默认架构，用于指定服务器在解析对象的名称时将要搜索的第一个架构。可以使用 CREATE USER和 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将把 DBO作为其默认架构。

（六）Guest用户

guest用户不需要映射到登录名。这种用户账号是供数据库中没有明确授予权限给已映射至认证用户使用的。guest供那些已经成功登录到SQL SERVER实例，但是却没有通过用户访问数据库的权限的登录者使用的。

SQLSERVER 2000中guest用户可以删除；而2005/2008中是不能删除的，却可以取消CONNECT权限，而且为安全起见，所有用户定义的数据库中缺省情况下guest用户的权限都是被取消了的，可在除master和tempdb之外的任何数据库中禁用Guest用户。

在SQL SERVER 2000中，新建的数据库中没有Guest用户，但可以添加它，也可删除它，添加与删除方法与普通数据库相同。

在SQL Server 2005或以上版本中GUEST已经默认存在于每个数据库中，但默认情况下，会在新数据库中禁用GUEST用户(在“对象资源管理器→安全性→登录”节点中图标上有禁用标识)，我们可以通过以下语句启用GUEST用户：GRANT CONNECT TO GUEST 。当你决定不再想让该数据库被非数据库授权的用户以GUEST身份进行访问时，可以再次将GUEST帐号禁用。值得一提的是，GUEST用户在数据库中不能被删除，我们只能通过以下语句禁用GUEST用户：REVOKE CONNECT FROMGUEST 。

在SQL SERVER 2000中，要允许guest用户帐户访问数据库，可以像添加其它数据库用户那样添加它，如：

USE<Database Name>

GO

EXECsp_grantdbaccess 'guest'

GO

在SQL SERVER 2005中，允许guest用户帐户

USE<Database Name>

GO

GRANT CONNECT TO GUEST

GO

需要提醒的是，对于是否添加Guest用户要谨慎权衡利弊。

--SQLServer 2000删除guest用户账号

USE<Database Name>

GO

EXECsp_revokedbaccess 'guest'

GO

-- SQLServer 2005禁用guest用户账号

USE<Database Name>

GO

REVOKECONNECT FROM GUEST

GO

（七）sa登录名

SQLServer的 sa登录名是服务器级的主体。默认情况下，该登录名是在安装实例时创建的。在 SQL Server 2005和 SQL Server2008中，sa的默认数据库为 master。这是对早期版本的 SQLServer的行为的更改。

sa（system administrator系统管理员）是为向后兼容而提供的特殊登录。sysadmin是一种角色。该角色能够执行SQLServer上的任何 *** 作。本质上，任何具有这种角色成员身份的人都是那个服务器上的sa。这种服务器角色的创建为微软提供了某一天去除sa登录的能力——实际上，联机丛书把sa称作本质上为遗留物的东西。

与以前版本不同，SQL Server 2008，即使是用混合模式安装，sa也默认禁用。

注意，sa是一个默认的SQL Server登录名，拥有 *** 作SQL Server系统的所有权限，该登录名不能被删除。当采用混合模式安装Microsoft SQL Server系统之后，应该为sa指定一个密码，应为 sa登录分配一个强密码（strongpassword）。

sa登录名会映射到 sysadmin固定服务器角色，它对整个服务器有不能撤销的管理凭据。如果攻击者以系统管理员的身份获取了访问权限，则可能造成的危害是无法预计的。

(八)其它几个默认配置的的登录（Logins）和用户（Users）

默认配置的的登录和用户除了dbo用户、Guest用户、sa登录，还有如下几个：

Administrators组是一个特殊的登录。administrator用户默认administrators组的成员。

Administrators组实际名称为BUILTIN\Administrators。早期版本，这个组的所有成员均为 sysadmin 角色的成员（这意味着Administrators组中的成员具有最高权限），但可以从该角色中移除这些成员。与以前版本不同，SQL Server 2008默认情况下，本地 Windows组 BUILTIN\Administrators不再包含在新的 SQL Server 2008安装上的 SQL Server的 sysadmin固定服务器角色中。

提示：每个版本的 SQL Server都具有不同的安全功能，默认配置也不尽相同，后出的版本更有利于安全，但安全性和使用方便这两种需求可能有矛盾的一面，最佳方法是上机了解验证。

NETWORKSERVICE和SYSTEM登录账户

NETWORKSERVICE和SYSTEM登录账户，实际名称为NT AUTHORITY\NETWORK SERVICE和NT AUTHORITY\SYSTEM，是否存在这些，依赖于服务器的配置。如果配置了报表服务器，将出现NETWORK SERVICE登录账户。

INFORMATION_SCHEMA和sys用户

INFORMATION_SCHEMA和sys又是SQL Server 预定义的架构（内置架构）名称，它们与INFORMATION_SCHEMA和sys用户具有相同的名称。不能删除，主要用于向后兼容性。可以使用INFORMATION_SCHEMA用户和sys用户访问INFORMATION_SCHEMA和sys架构的系统视图，获取有关数据库元数据信息。

（九）SQL Server中的角色

角色 (role)，是SQL Server用来管理服务器和数据库权限的，是安全帐户的集合，在管理权限时可以视为一个单元——作为分配权限的单位。

SQLServer中的角色分为服务器级别和数据库级别角色。

◇服务器级别角色

服务器级别角色用于帮助管理服务器上的权限。服务器角色的权限作用域为服务器范围。可以将登录名（Login Name）添加到服务器角色。

符合权限要求的用户，可以将服务器级主体（SQL Server登录名、Windows帐户和 Windows组）添加到服务器级角色。固定服务器角色的每个成员都可以将其他登录名添加到该同一角色。

固定服务器角色简介：

1）sysadmin：系统管理员，角色成员可对SQLServer服务器进行所有的管理工作，为最高管理角色。这个角色一般适合于数据库管理员（DBA）。

2）securityadmin：安全管理员，角色成员可以管理登录名及其属性。可以授予、拒绝、撤销服务器级和数据库级的权限。另外还可以重置SQL Server登录名的密码。

3）serveradmin：服务器管理员，角色成员具有对服务器进行设置及关闭服务器的权限。

4）setupadmin：设置管理员，角色成员可以添加和删除链接服务器，并执行某些系统存储过程。

5）processadmin：进程管理员，角色成员可以终止SQLServer实例中运行的进程。

6）diskadmin：用于管理磁盘文件。

7）dbcreator：数据库创建者，角色成员可以创建、更改、删除或还原任何数据库。

8）bulkadmin：可执行BULK INSERT语句，但是这些成员对要插入数据的表必须有INSERT权限。BULK INSERT语句的功能是以用户指定的格式复制一个数据文件至数据库表或视图。

9）在sql server 2005 sp2（补丁）及以后版本，服务器角色中还可以看到一个public角色。每个 SQL Server登录名均属于 public服务器角色。 如果未向某个服务器主体授予或拒绝对某个安全对象的特定权限，该用户将继承授予该对象的 public角色的权限。public服务器角色默认拥有 VIEW ANY DATABASE（查看任何数据库）权限。[VIEW ANY DATABASE权限控制是否显示sysdatabases和 syssysdatabases视图以及 sp_helpdb系统存储过程中的元数据(metadata)。]

从 SQL Server 2012开始，您可以创建用户定义的服务器角色，并将服务器级权限添加到用户定义的服务器角色。

每个版本的 SQL Server都具有不同的安全功能，版本越高，功能越强。

可以利用系统函数IS_SRVROLEMEMBER指示当前用户的 SQLServer登录名是否是固定服务器角色的成员。

可以利用系统存储过程sp_helpsrvrolemember返回有关 SQL Server 固定服务器角色成员的信息。

--查询 sysadmin固定服务器角色的成员。

execsp_helpsrvrolemember 'sysadmin'

◇数据库级别的角色

数据库级别角色用于帮助管理数据库中的权限。数据库级角色的权限作用域为数据库范围。可以将[数据库]用户名(User Name)添加到数据库角色。

SQLServer中有两种类型的数据库级角色：数据库中预定义的“固定数据库角色”和您可以创建的“灵活数据库角色”（自定义数据库角色）。

固定数据库角色是在数据库级别定义的，并且存在于每个数据库中。 db_owner和db_securityadmin数据库角色的成员可以管理固定数据库角色成员身份。但是，只有db_owner数据库角色的成员能够向db_owner固定数据库角色中添加成员。 msdb数据库中还有一些特殊用途的固定数据库角色。

符合权限要求的用户，可以向数据库级角色中添加数据库帐户和其他 SQL Server角色。固定数据库角色的每个成员都可向同一个角色添加其他登录名。

固定数据库角色简介：

1）db_owner：数据库所有者，这个数据库角色的成员可执行数据库的所有管理 *** 作。

2）db_accessadmin：数据库访问权限管理者，角色成员具有添加、删除数据库使用者、数据库角色和组的权限。

3）db_securityadmin：数据库安全管理员，角色成员可管理数据库中的权限，如设置数据库表的增加、删除、修改和查询等存取权限。

4）db_ddladmin：数据库DDL管理员，角色成员可增加、修改或删除数据库中的对象。

5）db_backupoperator：数据库备份 *** 作员，角色成员具有执行数据库备份的权限。

6）db_datareader：数据库数据读取者，角色成员可以从所有用户表中读取数据。

7）db_datawriter：数据库数据写入者，角色成员具有对所有用户表进行增加、删除、修改的权限。

8）db_denydatareader：数据库拒绝数据读取者，角色成员不能读取数据库中任何表的内容。

9）db_denydatawriter：数据库拒绝数据写入者，角色成员不能对任何表进行增加、删修、修改 *** 作。

10）public：是一个特殊的数据库角色，每个数据库用户都是public角色的成员，因此不能将用户、组或角色指派为public角色的成员，也不能删除public角色的成员。public数据库角色默认的权限很少[使用某些系统过程查看并显示master数据库中的信息；执行一些不需要一些权限的语句(例如PRINT)]。

可以利用系统函数IS_MEMBER检查当前用户是否是数据库角色或Windows域组的成员。

可以利用系统存储过程sp_helprolemember显示数据库角色的成员。

可以利用系统存储过程sp_helpuser报告有关当前数据库中数据库级主体的信息。

可以利用系统存储过程sp_helprotect报告当前数据库中某对象的用户权限或语句权限的信息。

--查询用户拥有的数据库角色

useyourdb

execsp_helpuser 'UserName'

go

--查询用户被赋予的权限

useyourdb

execsp_helprotect @username = 'user name'

124 角色 当几个用户需要在某个特定的数据库中执行类似的动作时(这里没有相应的Windows用户组)，就可以向该数据库中添加一个角色(role)。数据库角色指定了可以访问相同数据库对象的一组数据库用户。数据库角色的成员可以分为如下几类：Windows用户组或用户账户SQL Server登录其他角色SQL Server的安全体系结构中包括了几个含有特定隐含权限的角色。除了数据库拥有者创建的角色之外，还有两类预定义的角色。这些可以创建的角色可以分为如下几类：固定服务器固定数据库用户自定义1241 固定服务器 由于固定服务器是在服务器层次上定义的，因此它们位于从属于数据库服务器的数据库外面。表12-1列出了所有现有的固定服务器角色。表12-1 固定服务器角色固定服务器角色说 明sysadmin执行SQL Server中的任何动作serveradmin配置服务器设置setupadmin安装复制和管理扩展过程securityadmin管理登录和CREATE DATABASE的权限以及阅读审计processadmin管理SQL Server进程dbcreator创建和修改数据库diskadmin管理磁盘文件下面两个系统过程用来添加或删除固定服务器角色成员：sp_addsrvrolemember sp_dropsrvrolemember 注意：您不能添加、修改或删除固定服务器角色。另外，只有固定服务器角色的成员才能执行上述两个系统过程来从角色中添加或删除登录账户。sa登录 sa登录是系统管理员的登录。在以前的SQL Server版本中不存在角色，sa登录具有所有可能的关于系统管理工作的权限。在SQL Server 2005中，sa登录保持了向后兼容性。sa登录永远是固定服务器角色syadmin中的成员，并且不能从该角色中删除。注意：只有当没有其他方法登录到SQL Server系统中时，再使用sa登录。1242 固定服务器角色及其权限 在某个SQL Server系统中，每个固定服务器角色都有其隐含的权限。使用系统过程sp_srvrolepermission可以浏览每个固定服务器角色的权限。该系统过程的语法形式为：sp_srvrolepermission[[@srvrolename =] 'role'] 如果没有指定role的值，那么所有的固定服务器角色的权限都将显示出来。下面的部分将讨论每个固定服务器角色的权限。1 sysadmin 固定服务器角色sysadmin的成员被赋予了SQL Server系统中所有可能的权限。例如，只有这个角色中的成员(或一个被这个角色中的成员赋予了CREATE DATABASE权限的用户)才能够创建数据库。固定服务器角色和sa登录之间有着特殊的关系。sa登录一直都是固定服务器角色中的成员，并且不能从该角色中删除。2 serveradmin 固定服务器角色serveradmin的成员可以执行如下的动作：向该服务器角色中添加其他登录运行dbcc pintable命令(从而使表常驻于主内存中)运行系统过程sp_configure(以显示或更改系统选项)运行reconfigure选项(以更新系统过程sp_configure所做的所有改动)使用shutdown命令关掉数据库服务器运行系统过程sp_tableoption为用户自定义表设置选项的值3 setupadmin 固定服务器角色setupadmin中的成员可以执行如下的动作：向该服务器角色中添加其他登录添加、删除或配置链接的服务器执行一些系统过程，如sp_serveroption4 securityadmin 固定服务器角色securitypadmin中的成员可以执行关于服务器访问和安全的所有动作。这些成员可以进行如下的系统动作：向该服务器角色中添加其他登录读取SQL Server的错误日志运行如下的系统过程：如sp_addlinkedsrvlogin、sp_addlogin、sp_defaultdb、sp_defaultlanguage、sp_denylogin、sp_droplinkedsrvlogin、sp_droplogin、sp_grantlogin、sp_helplogins、sp_remoteoption和sp_revokelogin(所有这些系统过程都与系统安全相关。)5 processadmin 固定服务器角色processadmin中的成员用来管理SQL Server进程，如中止用户正在运行的查询。这些成员可以进行如下的动作：向该服务器角色中添加其他登录执行KILL命令(以取消用户进程)6 dbcreator 固定服务器角色dbcreator中的成员用来管理与数据库创建和修改有关的所有动作。这些成员可以进行如下的动作：向该服务器角色中添加其他登录运行CREATE DATABASE和ALTER DATABASE语句使用系统过程sp_renamedb来修改数据库的名称7 diskadmin 固定服务器角色diskadmin的成员可以进行如下与用来存储数据库对象的文件和文件组有关的动作：向该服务器角色中添加其他登录运行如下系统过程：sp_ddumpdevice和sp_dropdevice。运行DISK INIT语句1243 固定数据库角色 固定数据库角色在数据库层上进行定义，因此它们存在于属于数据库服务器的每个数据库中。表12-2列出了所有的固定数据库角色。表12-2 固定数据库角色固定数据库角色说 明db_owner可以执行数据库中技术所有动作的用户db_accessadmin可以添加、删除用户的用户db_datareader可以查看所有数据库中用户表内数据的用户db_datawriter可以添加、修改或删除所有数据库中用户表内数据的用户db_ddladmin可以在数据库中执行所有DDL *** 作的用户db_securityadmin可以管理数据库中与安全权限有关所有动作的用户db_backoperator可以备份数据库的用户(并可以发布DBCC和CHECKPOINT语句，这两个语句一般在备份前都会被执行)db_denydatareader不能看到数据库中任何数据的用户db_denydatawriter不能改变数据库中任何数据的用户除了表12-2中列出的固定数据库角色之外，还有一种特殊的固定数据库角色，名为public，这里将首先介绍这一角色。public角色 public角色是一种特殊的固定数据库角色，数据库的每个合法用户都属于该角色。它为数据库中的用户提供了所有默认权限。这样就提供了一种机制，即给予那些没有适当权限的所有用户以一定的(通常是有限的)权限。public角色为数据库中的所有用户都保留了默认的权限，因此是不能被删除的。(示例1212给出了public角色的使用方法。)一般情况下，public角色允许用户进行如下的 *** 作：使用某些系统过程查看并显示master数据库中的信息执行一些不需要一些权限的语句(例如PRINT)1244 固定数据库角色及其权限 在数据库中，每个固定数据库角色都有其特定的权限。这就意味着对于某个数据库来说，固定数据库角色的成员的权限是有限的。使用系统过程sp_dbfixedrolepermission就可以查看每个固定数据库角色的权限。该系统过程的语法为：sp_dbxedrolepermission [[@rolename =] 'role'] 如果没有指定role的值，那么所有固定数据库角色的权限都可以显示出来。下面的几节将讨论每个固定数据库角色的权限。1 db_owner 固定数据库角色db_owner的成员可以在特定的数据库中进行如下的动作：向其他固定数据库角色中添加成员，或从其中删除成员运行所有的DDL语句运行BACKUP DATABASE和BACKUP LOG语句使用CHECKPOINT语句显式地启动检查点进程运行下列dbcc命令：dbcc checkalloc、dbcc checkcatalog、dbcc checkdb、dbcc updateusage授予、取消或剥夺每一个数据库对象上的下列权限：SELECT、INSERT、UPDATE、DELETE和REFERENCES使用下列系统过程向数据库中添加用户或角色：sp_addapprole、sp_addrole、sp_addrolemember、sp_approlepassword、sp_changeobjectowner、sp_dropapprole、sp_droprole、sp_droprolemember、sp_dropuser、sp_grantdbaccess使用系统过程sp_rename为任何数据库对象重新命名2 db_accessadmin 固定数据库角色db_accessadmin的成员可以执行与数据库访问有关的所有动作。这些角色可以在具体的数据库中执行下列 *** 作：运行下列系统过程：sp_addalias、sp_dropalias、sp_dropuser、sp_grantdbacess、sp_revokedbaccess为Windows用户账户、Windows组和SQL Server登录添加或删除访问3 dbdatareader 固定数据库角色dbdatareader的成员对数据库中的数据库对象(表或视图)具有SELECT权限。然而，这些成员不能把这个权限授予其他任何用户或角色。(这个限制对REVOKE语句来说同样成立。)4 dbdatawriter 固定数据库角色dbdatawriter的成员对数据库中的数据库对象(表或视图)具有INSERT、UPDATE和DELETE权限。然而，这些成员不能把这个权限授予其他任何用户或角色。(这个限制对REVOKE语句来说也同样成立。)5 db_ddladmin 固定数据库角色db_ddladmin的成员可以进行如下的动作：运行所有DDL语句对任何表上授予REFERENCESE权限使用系统过程sp_procoption和sp_recompile来修改任何存储过程的结构使用系统过程sp_rename为任何数据库对象重命名使用系统过程sp_tableoption和sp_changeobjectowner分别修改表的选项和任何数据库对象的拥有者6 db_securityadmin 固定数据库角色db_securityadmin的成员可以管理数据库中的安全。这些成员可以进行如下的动作：运行与安全有关的所有Transact-SQL语句(GRANT、DENY和REVOKE)运行以下系统过程：sp_addapprole、sp_addrole、sp_addrolemember、sp_approlepassword、sp_changeobjectowner、sp_dropapprole、sp_droprole、sp_droprolemember7 db_backupoperator 固定数据库角色db_backupoperator的成员可以管理数据库备份的过程。这些成员可以进行如下动作：运行BACKUP DATABASE和BACKUP LOG语句用CHECKPOINT语句显式地启动检查点进程运行如下dbcc命令：dbcc checkalloc、dbcc checkcatalog、dbcc checkdb、dbcc updateusage8 db_denydatareader和db_denydatawriter 顾名思义，固定数据库角色db_denydatareader的成员对数据库中的数据库对象(表或视图)没有SELECT权限。如果数据库中含有敏感数据并且其他用户不能读取这些数据，那么就可以使用这个角色。固定数据库角色db_denydatawriter的成员对数据库中的任何数据库对象(表或视图)没有INSERT、UPDATE和DELETE权限。1245 应用程序角色 应用程序角色可以加强对某个特定的应用程序的安全。换句话说，这些角色允许应用程序自己代替SQL Server接管用户身份验证的职责。比如，如果公司中的员工只是使用某个特定的应用程序(而不是Transact-SQL语句或其他任何工具)来修改员工的数据信息，那么就可以为它创建一个应用程序角色。应用程序角色与其他的角色类型有着显著不同。首先，因为应用程序角色只使用应用程序，因而不需要把权限直接赋予用户，所以应用程序角色没有任何成员。其次，您需要为应用程序设置一个口令来激活它。当应用程序角色被应用程序的会话激活以后，在会话期间，会话就失去了适用于登录、用户账户或所有数据库中的角色的权限。1 创建应用程序角色 使用下列方法可以创建应用程序角色：CREATE APPLICATION ROLE语句系统过程sp_addapproleCREATE APPLICATION ROLE语句可以为当前数据库创建一个应用程序角色。该语句有两个选项：一个与口令的规范有关，另一个用于默认模式的定义，也就是，当服务器为该角色指定对象的名称时，服务器将要搜索的第一个模式。示例1210显示了一个应用程序角色的创建方法。示例1210USE sample CREATE APPLICATION ROLE weekly_reports WITH PASSWORD ='x1y2z3w4', DEFAULT_SCHEMA =my_schema 示例1210向当前数据库中添加了一个名为weekly_reports的新的应用程序角色。创建新的应用程序角色的第二种方法是使用系统过程sp_addapprole。使用系统过程sp_addapprole，就可以创建应用程序角色并把权限授予它们。该系统过程有如下的语法形式：sp_addapprole [@rolename =] 'role', [@passwd_name =] 'password'其中role指定了应用程序角色的名称，password是相应的口令。(激活角需要用到password的值。)注意：SQL Server将来的版本中将删除系统过程sp_addapprole这部分内容。请避免使用这一功能。您可以使用CREATE APPLICATION ROLE语句来代替。2 激活应用程序角色 当启动连接以后，必须执行sp_setapprole系统过程来激活与应用程序角色有关的权限。该过程的语法形式如下所示：sp_setapprole[@rolename =] 'role', [@password =] 'password'[,[@encrypt =] 'encrypt_style'] 其中role是在当前数据库中定义的应用程序角色的名称。password指定了相应的口令，而encrypt_style则定义了口令的加密样式。在使用系统过程sp_setapprole激活应用程序角色时，必须知道如下的一些事项：在激活了应用程序角色之后，在当前数据库中就不能使这个角色无效，而必须等到会话从SQL Server中断开连接之后才可以。应用程序角色总是和数据库绑定在一起的。也就是说，应用程序角色的作用域是当前数据库。如果在会话中改变了当前数据库，那么根据那个数据库的权限，只能执行那个数据库中允许的(其他)动作。注意：通过提供应用程序角色的正确口令，任何用户都可以执行系统过程sp_setapprole。3 修改应用程序角色 使用下列Transact SQL语句可以修改应用程序角色：ALTER APPLICATION ROLEDROP APPLICATION ROLEALTER APPLICATION ROLE语句可以修改已有的应用程序角色的名称、口令或默认模式。该语句的语法与CREATE APPLICATION ROLE语句的语法形式类似。要想执行ALTER APPLICATION ROLE语句，需要取得对该对象的ALTER权限。DROP APPLICATION ROLE语句可以从当前数据库中删除应用程序角色。如果应用程序角色拥有任何对象(可保护对象)，就不能删除该角色。注意：您同样可以使用系统过程sp_dropapprole来删除某个应用程序角色，但是在SQL Server将来的版本将删除该系统过程，不再使用它。1246 用户自定义的数据库角色 一般来说，在一组数据库用户需要在数据库中执行一套常用 *** 作并且不存在可用的Windows用户组的情况下，才可能用到用户自定义的数据库角色。这些角色通过Transact-SQL语句或SQL Server系统过程进行管理。接下来我们将讨论Transact-SQL语句，然后介绍相应的系统过程。1 角色和Transact-SQL CREATE ROLE语句可以在当前数据库中创建一个新的数据库角色。该语句的语法格式为：CREATE ROLE role_name[AUTHORIZATION owner_name] 其中role_name是创建的用户自定义的角色的名称。Owner_name指定了即将拥有这个新角色的数据库用户或角色。(如果没有指定用户，那么该角色将由执行CREATE ROLE语句的用户所拥有。)CREATE ROLE语句可以修改用户自定义的数据库角色的名称。类似地，DROP ROLE语句可以从数据库中删除角色。拥有数据库对象(可保护对象)的角色不能从数据库中删除。要想删除这类角色，必须首先转换那些对象的从属关系。DROP ROLE语句的语法形式如下所示：DROP ROLE role_name 2 角色和系统过程 创建或修改用户自定义角色的另一个方法是使用SQL Server系统过程。下列系统过程可以用来创建和显示用户自定义的数据库角色：sp_addrole sp_addrolemember sp_droprolemember sp_droprole sp_helprole 系统过程sp_addrole可以在当前数据库中创建一个新的角色。只有数据库角色db_securityadmin或db_owner才能够执行这个系统过程。注意：SQL Server 2005中包含的系统过程sp_addrole只是向后兼容的，在将来发布的SQL Server版本中可能不再支持该系统过程。所以请使用CREATE ROLE语句来代替。向当前数据库中添加了一个角色之后，就可以使用系统过程sp_addrolemember来添加该角色的成员。角色的成员可以是任何SQL Server中的合法用户、Windows用户组或用户，或另一个SQL Server角色。只有数据库角色db_owner的成员才能执行该系统过程。另外，角色拥有者也可以执行sp_addrolemember来向它所拥有的任何角色中添加成员。系统过程sp_droprolemember可以用来从角色中删除现有的成员。(但是不能使用这一系统过程来从某个Windows组中删除现有的Windows用户。)只有数据库角色db_owner或db_securityadmin才能执行该系统过程。在使用系统过程sp_droprolemember删除了角色中的所有成员之后，可以使用系统过程sp_droprole来从当前数据库中删除角色。(含有现有成员的角色不能删除。)只有数据库角色db_owner或db_securityadmin才能执行该系统过程。注意：SQL Server 2005中包含的系统过程sp_droprole只是向后兼容的，在将来发布的SQL Server版本中可能不再支持该系统过程。所以请使用DROP ROLE语句来代替。系统过程sp_helprole可以用来显示当前数据库中某个特定的角色或所有角色(如果没有提供角色名称)的相关信息(角色名称和角色的ID号)。只有数据库角色db_owner或db_securityadmin才能执行该系统过程。

以上就是关于sqlserver 2000 ，能运行 sqlserver代理“作业”的最低服务器角色和数据库角色全部的内容，包括:sqlserver 2000 ，能运行 sqlserver代理“作业”的最低服务器角色和数据库角色、在角色成员中那几个选项各自的含义和区别是什么、与SQL SERVER 安全控制相关的几点说明等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！