三招解决SQL Server数据库权限冲突

在SQL Server数据库中 主要是通过角色来继承相关的权限 但是 这个权限继承很容易造成权限上的冲突 如现在有个销售员账户SALE 有一个销售部门角色DE_SALES 其中销售部门角色DE_SALES具有查询所有客户信息 即CUSTOM表的权限 但是销售员账户SALE 其由于是为试用期的员工设置的临时帐户 所以其不能够查询CUSTOM表 但是 SALE 帐户其是属于销售部门这个角色 其会继承销售部门这个角色的所有访问权限 此时 SALE 帐户所属角色的权限跟自己帐户的权限就产生了冲突 遇到这种情况 SQL Server数据库该如何处理呢

在SQLServer数据库中 授予组或者角色的权限由该组或者角色的成员所继承 虽然某个用户可能在一个级别上授予或者废除权限 但如果这些权限与更高级的权限发生冲突的话 则可能会打破数据库管理员的权限设计思路 让某个用户意外的禁止或者允许访问某个数据库对象 为了避免因为数据库权限冲突所导致的一系列问题 SQLServer数据库提出了一些解决措施 虽然通过这些措施不能够完全避免权限之间的冲突 但是 至少让数据库管理员看到了解决问题的希望

招数一 明确拒绝

应用场景 现在数据库中有用户Landy 其属于销售员SALES角色 其中 销售员角色具有查询客户信息表Customs的权限 而由于某种原因 数据库管理员限制用户Landy访问数据库对象Customs表的权利 此时就会有对象访问权限上的冲突 此时 数据库管理员该如何才能够避免这种冲突呢

第一个招数就是学会使用拒绝 *** 作 在数据库中 拒绝权限始终优先 在任何级别(无论是用户或者角色)上的拒绝权限都拒绝该对象上的权限 无论该用户现有的权限是否已授予权限还是被废除权限 这听起来比较绕口 或许根据上面的例子来讲 大家更容易明白 如上例 若要解决上面的权限冲突问题 则我们只需要在用户Landy的权限设置中 拒绝其具有数据库对象表Customs表的Select权限 由于显示的拒绝其总被优先执行 所以即使其所属的角色具有表Customs的访问权限 但是其成员Landy由于被显示的拒绝 根据拒绝优先的选择 则其最终不会有数据库表Customs的访问权限

所以笔者所传授给大家的第一个招数就是要学会使用拒绝 *** 作 各位数据库管理员要牢记 在权限管理中 拒绝 *** 作总是被优先执行 另外还有一个极端的例子 可以说明这个问题 如果数据库管理员把Public进行设置 设置为拒绝权限 此时由于拒绝权限被优先执行 则数据会禁止任何用户访问能数据库对象 故拒绝权限一般往往用在用户级别上 可以实现对个别特殊用户的权限控制 而不用给他们设置独立的组 这让数据库权限管理更加的灵活

招数二 废除权限 可以让某些帐户恢复正常

应用情景 现在数据库中有用户Landy 其属于销售员SALES角色 其中 销售员角色具有查询客户信息表Customs的权限 而由于某种原因 数据库管理员限制用户Landy访问数据库对象Customs表的权利 此时 数据库管理员给Landy用户显示的拒绝访问Customs表的权利 但是 现在这个限制其访问客户表的原因已经消除 用户Landy 可以正常访问表Customs了 此时 该如何处理呢

此时 数据库管理员可以通过废除权限 *** 作来完成需求 废除权限只删除所废除级别(如用户 角色或者组)上的已授予权限或者已拒绝权限 而在另外级别上所授予或者拒绝的同一权限仍然适用 废除权限类似于拒绝权限 因为二者都是在同一级别上删除已经授予的权限 但是 废除权限是删除已经授予的权限 并不妨碍用户 组或者角色从更高级别继承已授予的权限 为此 如果废除用户查看表的权限 并不一定能够防止用户查看该表 这跟拒绝权限 *** 作就有本质的区别

举例来说 在上面这个例子中 Landy用户刚开始其被显示的拒绝访问表Customs 虽然其所属的角色具有访问表Customs的权限 但是因为拒绝优先 所以用户Landy最终不能过访问这个表 此时 若限制原因消除 则数据库管理员可以采取废除权限 *** 作 把Landy用户上的拒绝权限废除掉 因为废除权限只删除用户Landy上已拒绝访问这个表的权限 而不影响从角色SALES中继承统一权限 为此 用户Landy最终具有访问这个表Customs的权限 这就是废除权限 *** 作的本质

在实际工作中 废除权限 *** 作与拒绝权限 *** 作往往被用来处理一些特殊的帐户 如不少企业中 试用期员工其权限往往会受到限制 出于安全起见 企业不会让一些还在试用期的员工访问所有的数据 为此 就要对他们的权限进行限制 此时 就可以在这些用户帐户级别上显示的拒绝 实现部分访问限制的需求 当他们试用期过后 若试用合格的话 就可以把这些帐户的拒绝权限废除掉 如此的话 他们就可以正常继承他们所属角色或者组的权限 可见 拒绝权限与废除权限结合 可以让数据库全县的管理更加的统一 最终要的是 可以最大程度的避免因为权限冲突而导致的数据管理上的安全漏洞

另外 在实际配置中 需要注意一个问题 虽然废除权限具有废除拒绝权限的能力 但是 他只能够在一个级别上其作用 如上面这个例子中 另外还有一个T_SALES的角色 其权限设置中 显示的拒绝访问表Customs 此时 若用户Landy同时属于SALES角色和T_SALES角色 虽然通过废除权限废除了用户Landy级别上的拒绝访问表Customs的权限 但是 用户Landy所属的T_SALES角色中的拒绝权限仍然具有优先执行的权力 所以 最终这个用户仍然不能够访问表Customs 所以 通过废除对权限的拒绝可以删除已经拒绝的权限 但是 如果用户在其他组或者角色级别有其他拒绝权限的话 在该用户访问某个对象的权限仍然会被拒绝

招数三 授权 *** 作 让用户访问权限一目了然

应用情景 现在数据库中有用户Landy 其属于销售员SALES角色 其中 销售员角色具有查询客户信息表Customs的权限 而由于某种原因 数据库管理员限制用户Landy访问数据库对象Customs表的权利 此时 数据库管理员给Landy用户显示的拒绝访问Customs表的权利 但是 现在这个限制其访问客户表的原因已经消除 用户Landy 可以正常访问表Customs了 此时 该如何处理呢

此时 除了可以通过上面的废除权限 *** 作来处理 还可以通过授权 *** 作来完成 废除权限 *** 作有一个缺陷 就是数据库管理员要判断这个用户到底是否具有某个数据库对象的访问权限时 还需要去查看其所属的角色或者组中的权限设置 这会增加一定的工作量 而授权 *** 作则可以避免这种情况 授予权限删除所授予级别伤的已经拒绝权限或者已经废除权限 而在另一级别上所拒绝权限的同一权限仍然适用 但是 虽然在另一级别上所废除的同一权限仍然适用 但他不阻止用户访问该对象 也就是说 如果Sales角色可以访问表Customs 现在数据库管理员授予了用户Landy访问Customs表的权限 则用户最终具有访问表Customs的权限 但是 如果Sales角色显示的拒绝了表Customs的查询权限 此时即使显示的授予用户Landy表Customs的访问权限 则该用户仍然不能够访问表Customs 因为拒绝权限总是被优先执行 所以说 用户最终得到的是对象上所授予 拒绝或者废除权限的全部权限的并集 其中 拒绝权限具有最优先的权利

lishixinzhi/Article/program/SQLServer/201311/22467

亲，您好。oa没有访问数据库的权限解决办法如下：

针对OA系统提示连不上数据库的问题，现将常见原因汇总如下：

一、sql2000数据库

原因一：sql server2000未打sp3〔或sp4〕补丁，通过一下方式可以查看到版本信息。

红色线框中，显示当前数据库版本。

原因二：数据库未开通sql身份验证，通过以下 *** 作可以检查

择“平安性〞选项，确认身份验证为“SQL Server和Windows〞

原因三：配置文件中对应的数据库访问用户，在OA数据库不具备db_owner权限

二、sql server2005数据库

原因一：tcp/ip端口、远程访问未开启，其 *** 作如下

1、开启TCP/IP端

在 SQL Server中，设置tcp/ip端口，需要设置的地方如下列

2、开启远程访问

原因二：配置文件中对应的数据库访问用户，在OA数据库不具备db_owner权

你的MYSQL数据库里面有一个数据库，名字教做mysql，里面有个表，名字叫做user，你看一下这个表的结构和现有数据，你就知道应该怎么做了，比如你可以添加一条数据，Host为你指定的IP，user可以是%，password就不管了，后面设置相应的权限（可以全部都是Y)，这样那个机器无论用什么用户和密码都可以连接数据库，而拥有你指定的权限。

耐心点吧，我相信你一看就明白。

可是提交到服务器之后，一切显地都无比陌生。因为不熟悉SQL，准确来说就只会点Select，Update，Delete，Insert而已。昨天不小心误删了一张数据不多但是不在人工处理范围内的一张表内的数据。因为知道SQL Server是有日志这种东西的，事后我表现地无比淡定，在事发一个小时以内。一个小时之后，我发现我无法掌控这一事件了。上网查找了恢复数据的办法。有必要啰嗦一下。 问题1：无论是远程端还是服务器端，都无法对数据库（假设数据库叫Test）进行除‘增删查改’的其它 *** 作，譬如分离，脱机，还原错误提示是eg1 “无法分离 Test 数据库 因为它当前正在使用。”eg2 “因为数据库正在使用,未获得对数据的排他访问权, *** 作异常终止”反正嘛，就是说你丫不能阻止别人的访问。可我们就是要这样做的只好跟它说拜拜了。 说拜拜的方法就是关掉所有访问数据库Test的进程。createproc killspid (@dbnamevarchar(20))asbegindeclare@sqlnvarchar(500)declare@spidintset@sql='declare getspid cursor for select spid from sysprocesses where dbid=db_id('''+@dbname+''')'exec(@sql)open getspidfetchnextfrom getspid into@spidwhile@@fetch_status<>-1beginexec('kill '+@spid)fetchnextfrom getspid into@spidendclose getspiddeallocate getspidend--用法use masterexec killspid '数据库名'PS：代码我是这样理解的，定义一段杀死访问数据库进程的存储过程。写一段获取进程ID的代码，循环杀死每一个进程。最后调用存储过程。虽然不了解存储过程，但是意思就是这样的吧。问题2：没有备份数据库，那该如何恢复数据呢有个软件叫做Log Explorer 这个东西可以根据数据库的日志回到过去的任何一个时刻。View Code Log Explorer for SQL Server 是个好东西，但是这根本无法解决我的问题。数据库在服务器端，学校根本不会让我安装一个软件在服务器上面。而且我证实过，这个软件必须要在服务器端装服务器端软件的。所以，这个对于我来说，是泡汤的。但是不代表这不是一个利器。 最后我用了一个很蛋疼的方法解决了。1分离数据库，备份一个Test；2将数据库附加回去，用自带的恢复方式恢复到一个很久以前的状态；3将需要的那张表复制到备份的那个数据库；4将备份的那个数据库挂回去，原数据库删了。 这是一个很蛋疼而且碰巧那张表没被改的方法。头一次知道DBA的重要性。我的方法是一个很偶然的东西，希望大家分享一下真正能解决恢复问题的办法。当然，每隔一段时间备份是绝对没有错的。 方法 另外发现一个比较有技术性的可行的方法 1，如果误 *** 作之前存在一个全库备份（或已有多个差异备份或增量备份），首先要做的事就是进进行一次日志备份 （如果为了不让日志文件变大而置trunc log on chkpt选项为1那你就死翘了）backuplog dbName todisk='fileName'----注意：是日志备份! 2，恢复一个全库备份，注意需要使用with norecovery，如果还有其他差异或增量备份，则逐个恢复restoredatabase dbName fromdisk='fileName'with norecovery 3，恢复最后一个日志备份即刚做的日志备份，指定恢复时间点到误 *** 作之前的时刻restorelog dbName fromdisk='fileName'with stopat='date_time' 完整代码View Code 经过验证，这才叫有技术性！我那纯属“邓艾的屯‘田’”小孩子过家家。。。

数据库的权限是指允许特定用户访问特定数据库或数据库表的授权。按照降序范围，数据库的权限主要有三种类型：数据库、系统和对象。

1 数据库权限：

执行特定类型的SQL语句；

访问其他用户的对象；

控制计算资源的使用；

不适用于数据库管理员（DBA）。

2 系统权限：

对特定类型的对象执行活动，如创建、更改、删除等；

例如，增加或删除某个数据库任何表格的行与列。

3 对象权限：

对特定表、函数或包执行特定 *** 作的权限；

例如，删除某个表格中的行；

允许用户插入、删除、更新或选择数据库对象中的数据；

对象的所有者拥有该对象的所有对象权限，并且这些权限不能被撤销；

对象的所有者可以将该对象的对象权限授予其他数据库用户；

具有管理员权限的用户可以向用户授予和撤销对象权限，该用户无授予权限的对象。

针对数据库的权限有对应的权限命令，在多用户数据库环境中加强数据库安全。权限命令主要有三个：

1 GRANT命令：提供用户对数据库对象的访问权限，还允许用户向其他用户授予访问权限。该命令的基本语法是：

GRANT SELECT ON <table1> to <user1> 授予user1对table1的SELECT *** 作权限

2 REVOKE命令：删除用户对数据库对象的访问权限。该命令的基本语法是：

REVOKE DELETE ON <table1> FROM <user1>删除user1对table1的DELETE *** 作权限

3 DENY命令：拒绝对对象的权限，并阻止主体基于组或角色中的成员身份获得GRANT权限。该命令的基本语法是：

DENY UPDATE ON <table1> to <user1>拒绝user1对table1的UPDATE *** 作权限

个人觉得提的问题范围有些大,如果只针对案例要解决这个问题很简单,只需要设置部门,个人的使用权限即可,权限都是叠加的,比如A员工只能查看A部门的工资,只需将A部门权限给a员工即可,部门隶属权限都具备了这都不是问题了

如果是企业级系统涉及多模块及业务数据的权限控制的话,就需要设计独立的数据权限模块才能做到架构层面解决了,可对表级设置权限策略

建议通过phpMyAdmin 来设置数据库用户的权限。phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。

一、首先您需要在服务器上安装配置 phpMyAdmin。

安装比较复杂，详见>

二、创建用户（如之前已经创建好用户，可以省略这一步）

点击“添加新用户”这个连接，添加一个新的数据库用户名；

三、权限设置

编辑刚刚创建的用户的权限（如下图所示）

四、重新加载授权表

修改完用户权限以后需要回到 phpMyAdmin 的首页，重新加载一下授权（如下图）即可。

以上就是关于三招解决SQL Server数据库权限冲突全部的内容，包括:三招解决SQL Server数据库权限冲突、oa没有访问数据库的权限、MYSQL数据库如何赋予远程某个IP访问权限等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！