第四篇 SQL Server安全权限

代码4.1 创建创建名并映射到数据库用户
在AdventureWorks2012数据库创建一个DataEntry自定义数据库角色，参考如下步骤：
1、SSMS连接到安装有AdventureWorks2012数据库的实例。对象资源管理器->数据库->AdventureWorks2012->安全性->角色->数据库角色
2、右击数据库角色，弹出菜单选择新建数据库角色
3、角色名称键入DataEntry，所有者dbo
4、点击添加按钮，将用户Topaz添加到角色(如果用户不存在请先创建)。在你关闭选择数据库用户或角色对话框后，数据库角色-新建对话框应该如图4.1所示

图4.1 创建DataEntry数据库角色并添加Topaz用户
5、点击确定保存修改并创建角色
当前DataEntry角色并不允许角色中的成员能做什么，因为你还没有给角色分配任何权限。DataEntry角色中的成员需要能够往表Employee、Address、JobCandidate插入和更新数据，同时他们需要执行uspUpdateEmployeeHireInfo和uspUpdateEmployeePersonaInfo存储过程。但是他们不能查看存储过程的定义。
使用下面的步骤给DataEntry角色添加合适的权限
1、对象资源管理器->数据库->AdventureWorks2012->安全性->角色->数据库角色->DataEntry
2、右击DataEntry，弹出菜单选择属性。打开数据库角色属性对话框
3、左侧选择安全对象，这个页面让你选择角色有权操作的安全对象，并指定对安全对象上的权限
4、点击“搜索”按钮添加安全对象。这将打开“添加对象”对话框，该对话框提供了特定对象、特定类型的所有对象、属于该架构的所有对象的选项。在本例中，因为你想为表和存储过程中添加权限，图4.2中保持默认选择-特定对象，然后单击“确定”

图4.2 选择添加对象
5、打开“选择对象”对话框。单击“对象类型”按钮打开“选择对象类型”对话框，然后从列表中选择“存储过程”和“表”，如图4.3所示。请单击“确定”以关闭该对话框并返回“选择对象”对话框，该对话框现在看起来像图4.4。你将看到在对象类型框中列出的存储过程和表

图4.3 选择对象类型

图4.4 选择对象
6、单击“浏览”按钮以查看数据库中的存储过程和表的列表。这将打开“查找对象”对话框，向下滚动查找并选择对象。

图4.5 选择存储过程和表
7、单击“确定”以关闭“查找对象”对话框中。此时你选择的对象以分号分隔列在选择对象对话框中，如图4.6所示。请单击“确定”以关闭该对话框并保存更改

图4.6 选择对象结果
8、现在DataEntry数据库角色属性对话框列出你选择的安全对象，并且列出每个对象可用的权限。DataEntry角色成员需要可以插入和更新数据到这些表，逐一选择表，在对话框的下部勾选插入/更新授予列的复选框。图4.7显示了HumanResources.Employee表的权限

图4.7 在表上授予插入/更新权限
提示：授予(Grant)允许指定的权限，具有授予权限(With Grant)允许用户或角色授予其他主体的权限。小心With Grant权限！
9、对于每一个存储过程，授予执行权限并拒绝查看定义权限。图4.8显示了useUpdateEmployeeHireInfo存储过程的权限

图4.8 授予执行过程权限、拒绝查看定义权限
10、在“数据库角色属性”对话框中单击“确定”以保存你的更改并提交到数据库。根据选定的对象和权限的数量，这可能需要一些时间。
当然，你可以使用T-SQL代码创建对象并分配权限。代码4.2创建DataEntry角色，添加Topaz用户，然后分配和图形界面相同的权限。

-- Create the DataEntry role and assign Topaz to it
CREATE ROLE [DataEntry] AUTHORIZATION [dbo];
ALTER ROLE [DataEntry] ADD MEMBER [Topaz];
-- Assign permissions to the DataEntry role
GRANT INSERT ON [HumanResources].[Employee] TO [DataEntry];
GRANT UPDATE ON [HumanResources].[Employee] TO [DataEntry];
GRANT INSERT ON [HumanResources].[JobCandidate] TO [DataEntry];
GRANT UPDATE ON [HumanResources].[JobCandidate] TO [DataEntry];
GRANT INSERT ON [Person].[Address] TO [DataEntry];
GRANT UPDATE ON [Person].[Address] TO [DataEntry];
GRANT EXECUTE ON [HumanResources].[uspUpdateEmployeeHireInfo] TO [DataEntry];
DENY VIEW DEFINITION ON [HumanResources].[uspUpdateEmployeeHireInfo] TO [DataEntry];
GRANT EXECUTE ON [HumanResources].[uspUpdateEmployeePersonalInfo] TO [DataEntry]
DENY VIEW DEFINITION ON [HumanResources].[uspUpdateEmployeePersonalInfo] TO [DataEntry];
GO

代码4.2 语句创建角色并分配权限
检查和测试权限
如果你想检查DataEntry角色的权限，你可以使用GUI工具或执行T-SQL代码访问数据库对象的元数据。使用GUI，对象资源管理器->数据库->AdventureWorks2012->安全性->角色->数据库角色->DataEntry->属性。这将打开和创建角色相同的"数据库角色属性"对话框，你可以使用安全对象审查该角色的权限。
或者你可以使用代码4.3中的T-SQL查看DataEntry角色的权限，利用sys.database_permissions和sys.database_principals安全目录视图和sys.objects目录视图。

SELECT DB_NAME() AS ‘Database‘, p.name, p.type_desc, dbp.state_desc, 
    dbp.permission_name, so.name, so.type_desc
FROM sys.database_permissions dbp 
    LEFT JOIN sys.objects so ON dbp.major_id = so.object_id 
    LEFT JOIN sys.database_principals p ON dbp.grantee_principal_id = p.principal_id 
WHERE p.name = ‘DataEntry‘
ORDER BY so.name, dbp.permission_name;

代码4.3 查看DataEntry角色的权限
当你执行上面代码，你将会看到结果如图4.9所示

图4.9 DataEntry角色的权限
你可以通过打开新建查询->更改连接用Topaz登录测试这些权限。然后尝试在HumanResources.Employee、HumanResources.JobCandidate、Person.Address表插入新行或更新已有数据，并执行分配权限的存储过程。这些操作应该成功。然后尝试插入或更新其他表中的数据，这些操作应该失败。你应该只能够执行已经授予的权限。
你可以用代码4.4执行相同的测试。代码开始设置的执行上下文为Topaz，DataEntry角色的成员。然后插入新行到Person.Address表。这一操作成功，因为角色允许在Person.Address表插入数据。然后代码试图插入新行到HumanResources.Department表，插入失败，因为角色在此表没有insert权限。接下来的代码成功执行HumanResources.uspUpdateEmployeePersonalInfo存储过程；执行dbo.uspGetManagerEmployees失败，因为角色没有此过程执行权限。最后，代码将执行上下文切回到登录时的安全上下文。

EXECUTE AS USER = ‘Topaz‘;
-- Succeeds
INSERT INTO Person.Address
    (AddressLine1, City, StateProvinceID, PostalCode)
VALUES
    (‘8 Hazelnut‘, ‘Irvine‘, 9, ‘92602‘);
GO
-- Fails
INSERT INTO HumanResources.Department
    (Name, GroupName)
VALUES
    (‘Advertising‘, ‘Sales and Marketing‘);
GO
-- Succeeds (doesn‘t actually change any data)
DECLARE @RC INT;
EXECUTE @RC = HumanResources.uspUpdateEmployeePersonalInfo 
   1, ‘295847284‘, ‘1963-03-02‘, ‘S‘, ‘M‘;
GO
-- Fails
EXECUTE dbo.uspGetManagerEmployees 1;
GO
REVERT;

代码4.4 测试DataEntry角色的权限
总结
The ability to assign granular permissions on securable objects throughout SQL Server to various types of principals gives you very fine control over the security of a SQL Server instance.它让你充分利用最小特权的安全原则，能够限制主体执行操作和访问数据的能力到他们需要的最低限度。

第四篇 SQL Server安全权限

标签：