六、登录和安全

一，数据库中用户的角色

//打开数据库AA
1,
use aa
//新建一个登录'slc',默认和数据库的GUEST用户连接，如果没有此用户，那么此登录没有任何权限。在任何数据库中GUEST用户的权限就是此登录对此数据库的权限。
2,
exec sp_addlogin 'slc'
//让此登录和‘AA’数据库连接，默认和MASTER数据库连接。
3,
exec sp_defaultdb 'slc','aa'
//为此登录在当前数据库创建一个用户‘SLC’
4,
exec sp_grantdbaccess 'slc','slc'
//在当前数据库中增加一个角色。
5,
exec sp_addrole 'teacher'
//把‘SLC’用户增加到‘TEACHER’角色中。
6,
exec sp_addrolemember 'teacher','slc'
//授予‘TEACHER’角色更新表TABLE1的权限。
//注意：当此角色没有SELECT权限时，他不能更新表中的记录。
7,
grant update on table1 to teacher
//授予‘TEACHER’角色查看表TABLE1的权限。
//注意：此权限是授予其他权限的先决条件。
8,
grant select on table1 to teacher
//授予‘SLC’用户删除表TABLE1中记录的权限。
//注意：同上。
//可以为用户授予权限，同样也可以为角色授予权限。
9,
grant delete on table1 to slc

//授予‘SLC‘对数据库可以增加表的权限，除了默认数据库外，也可以其他数据库中GUEST用户有此权限的数据库做此操作。
10，
grant create table to teacher

//取消对此数据库建表的权限。
11，
revoke create table to teacher

//禁用对此数据库建表的权限
//注意：其与REVOKE的区别，有权但不能用。而REVOKE是没权可用。
//注意：deny权限高于任何权限。
12，
deny create table to teacher
//授予用户’SLC‘以’db_owner‘角色。
13，
sp_addrolemember 'db_owner','slc'
//此时‘SLC’能建表吗？不能，因为DENY权限高于任何权限
reovke select on table1 to 'slc'
//此时‘SLC’能查看表吗？能，因为‘SLC’的权限是两个权限的叠加，其权限是权力最大的一个，即为DB—OWNER的权限。

注意：
如果表不是此用户建立的，如果想访问需加上表所有者的名字来访问，如BB.TABLE1.

14，
//从角色中删除用户
exec sp_droprolemember 'db_owner','slc'

15，
//授予角色‘TEACHER’对SLC.SS1的所有访问权限。
grant all on slc.ss1 to teacher

16，
//更改表的所有者,只有sysadmin和db_owner中的角色才有权执行此存储过程。
exec sp_changeobjectowner 'slc.ss1','clm'

//再想访问表SS1必须用CLM.SS1,而非SCL.SS1.
select * from clm.ss1
二，服务器角色

17，
create database bb
//此语句可以执行吗？不能，因为‘SLC’只有对数据库的访问权限，而没有对服务器的角色，所以不能执行服务器的各种操作。

18，
exec sp_addsrvrolemember 'slc','sysadmin'
//授予‘SLC’以服务器的‘sysadmin’角色。
19，
create database bb
//此时用户‘SLC’对整个服务器有完全控制权，可以建立数据库。

三，WINDOWS用户。
20，
sp_grantlogin 'wx-clm/clm'
//授予WX-CLM服务器上的用户CLM可以以WINDOWS用户的身份访问此数据库。
//注意：CLM用户在服务器WX-CLM上必须存在。
//注意：必须是以CLM登录服务器才有效。
其它和普通用户一样。