/*------------------------------------------------------------------------------------ 【服务器级别—服务器角色】 ------------------------------------------------------------------------------------*/ -- 查看固定服务器角色(8个,不可增删,未包括public,每个用户都属于public服务器角色) EXEC sp_helpsrvrole EXEC sp_helpsrvrole @srvrolename = 'sysadmin' -- 查看服务器角色所拥有的权限说明(服务器角色详细权限说明!) EXEC sp_srvrolepermission EXEC sp_srvrolepermission @srvrolename = 'sysadmin' -- 判断某个登录账号是否拥有某个服务器角色(有则为1,否则为0) SELECT IS_SRVROLEMEMBER('sysadmin') SELECT IS_SRVROLEMEMBER('sysadmin','sa') -- 服务器角色在 SQL Server 2012 中可以创建!~ CREATE SERVER ROLE [ServerRoleKK] -- 将登录名添加为某个服务器级角色的成员 EXEC sp_addsrvrolemember @loginame= 'kk' ,@rolename = 'sysadmin' -- 从服务器级角色中删除 SQL Server 登录名或 Windows 用户或组 EXEC sp_dropsrvrolemember @loginame = 'kk' ,@rolename = 'sysadmin' -- 查看 服务器角色 和 成员 关系 EXEC sp_helpsrvrolemember EXEC sp_helpsrvrolemember @srvrolename = 'sysadmin' -- 查看 服务器角色 和 成员 关系(更详细) SELECT sp.name AS [login_name] ,CASE WHEN sp.[type]='S' THEN 'SQL 登录名' WHEN sp.[type]='U' THEN 'Windows 登录名' WHEN sp.[type]='G' THEN 'Windows 组' WHEN sp.[type]='R' THEN '服务器角色' WHEN sp.[type]='C' THEN '映射到证书的登录名' WHEN sp.[type]='K' THEN '映射到非对称密钥的登录名' END AS [principal_type] ,sp.is_disabled ,ISNULL(sp.default_database_name,'') as [default_database_name] ,ISNULL(rsp.name,'') AS [server_role] ,STUFF((SELECT ','+permission_name FROM sys.server_permissions spp where sp.principal_id=spp.grantee_principal_id for xml path('')),1,1,'') as [permissions] FROM sys.server_principals sp LEFT JOIN sys.server_role_members srm ON sp.principal_id=srm.member_principal_id LEFT JOIN sys.server_principals rsp ON srm.role_principal_id=rsp.principal_id ORDER BY [principal_type],sp.principal_id -- 查看服务器对象权限控制情况 SELECT sp1.principal_id AS grantor_principal_id,sp1.name AS grantor_name,sp1.type_desc AS grantor_type_desc ,sp2.principal_id AS grantee_principal_id,sp2.name AS grantee_name,sp2.type_desc AS grantee_type_desc ,spe.class_desc,spe.state_desc,spe.permission_name FROM sys.server_principals sp1 INNER JOIN sys.server_permissions spe ON sp1.principal_id=spe.grantor_principal_id INNER JOIN sys.server_principals sp2 ON sp2.principal_id=spe.grantee_principal_id --对于服务器级别权限控制更改:安全性——>登录名——右键登录账号——>属性——>安全对象——>搜索(有服务器/端点/登录名)——>下方控制权限 ------------------------------------------------------------------------------------------------------------------------------------ /*------------------------------------------------------------------------------------ 【数据库级别—数据库角色】 ------------------------------------------------------------------------------------*/ -- 查看固定数据库角色(不包括public角色,每个数据库用户都属于 public 数据库角色) EXEC sp_helpdbfixedrole EXEC sp_helpdbfixedrole @rolename = 'db_owner' -- 查看数据库角色所拥有的权限说明(数据库角色详细权限说明!) EXEC sp_dbfixedrolepermission EXEC sp_dbfixedrolepermission @rolename = 'db_owner' -- 当前数据库中有关角色的信息(至少10个固定数据库角色) EXEC sp_helprole EXEC sp_helprole @rolename = 'db_owner' --IsAppRole:是否应用程序角色 -- 某个角色的成员的信息 EXEC sp_helprolemember EXEC sp_helprolemember @rolename = 'db_owner' -- 当前用户是否为指定 Microsoft Windows 组或 SQL Server 数据库角色的成员 SELECT IS_MEMBER('db_owner') -- 创建数据库角色(如创建角色 Myrole 并拥有db_owner角色) CREATE ROLE MyRole AUTHORIZATION db_owner -- 授予角色权限(当前数据库中将数据库角色授予 数据库用户、数据库角色、Windows登录名或Windows 组) EXEC sp_addrolemember @rolename= 'MyRole',@membername = 'MyUser' -- 回收角色权限(当前数据库中将数据库角色回收,同上相反) EXEC sp_droprolemember @rolename= 'MyRole',@membername = 'MyUser' -- 更改角色名称 ALTER ROLE MyRole WITH NAME = NewRole -- 删除角色 DROP ROLE NewRole -- 当前 数据库角色 与 用户 关系 SELECT u.name as UserName,u.type_desc,u.default_schema_name,g.name as DBRole FROM sys.database_principals u inner join sys.database_role_members m on u.principal_id = m.member_principal_id inner join sys.database_principals g on g.principal_id = m.role_principal_id ORDER BY UserName,DBRole --对于数据库级别权限控制更改:某数据库——>安全性——角色——>数据库角色——>右键角色——>可自行添加成员 ------------------------------------------------------------------------------------------------------------------- --查看用户各对象的权限: SELECT pr.name,pe.state_desc,pe.permission_name,o.name,o.type_desc FROM sys.database_principals AS pr JOIN sys.database_permissions AS pe ON pe.grantee_principal_id = pr.principal_id JOIN sys.objects AS o ON pe.major_id = o.object_id WHERE pr.name = '' --user_name AND o.name = '' -- object_name ------------------------------------------------------------------------------------------------------------------- --系统中所有数据库授权情况: SELECT A.name,schema_name(A.schema_id) [schema],A.type,b.permission_name,B.type,B.state_desc,C.name,c.type_desc FROM sys.all_objects AS A INNER JOIN sys.database_permissions AS B ON B.major_id=A.object_id AND B.minor_id=0 AND B.class=1 INNER JOIN sys.database_principals AS C ON C.principal_id = B.grantee_principal_id ORDER BY A.name ------------------------------------------------------------------------------------------------------------------- --账户映射的数据库用户: SELECT isnull(s.name,'') as [login_name] ,isnull(s.default_database_name,'') as [default_database_name] ,u.name as [user_name] ,u.default_schema_name ,g.name as [database_role] FROM sys.database_principals u inner join sys.database_role_members m on u.principal_id = m.member_principal_id inner join sys.database_principals g on g.principal_id = m.role_principal_id left join sys.server_principals s on u.sid = s.sid ORDER BY [login_name],[default_database_name],[database_role] ------------------------------------------------------------------------------------------------------------------- /*------------------------------------------------------------------------------------ 【数据库级别-应用程序角色】 ------------------------------------------------------------------------------------*/ /*应用程序角色是一个数据库主体,只能通过其他数据库中为 guest 授予的权限来访问这些数据库 其他数据库中的应用程序角色将无法访问任何已禁用 guest 的数据库 可以只允许通过特定应用程序连接的用户访问特定数据 与数据库角色不同的是,应用程序角色默认情况下不包含任何成员,而且是非活动的 启用应用程序角色需要密码 应用程序角色无法访问服务器级元数据,若允许访问,需开启跟踪标志4616( DBCC TRACEON(4616,-1))*/ -- 创建应用程序角色 CREATE APPLICATION ROLE [MyAppRole] WITH DEFAULT_SCHEMA = [dbo], PASSWORD = N'AppRole' -- 更改应用程序角色的名称、密码或默认架构 ALTER APPLICATION ROLE [MyAppRole] WITH NAME = [AppRole], PASSWORD = 'AppRole', DEFAULT_SCHEMA = [dbo] -- 激活与当前数据库中的应用程序角色关联的权限(不能在其他存储过程或用户定义事务中执行) DECLARE @cookie varbinary(8000) EXEC sp_setapprole @rolename = 'AppRole' , @password = 'AppRole' --, @password = { encrypt N'AppRole' } --ODBC encrypt 函数加密 , @encrypt = 'none' --'none'|'odbc':是否模糊加密处理 , @fCreateCookie = true -- true|false :是否创建 cookie , @cookie = @cookie OUTPUT --获取应用程序角色之前安全上下文 SELECT @cookie --记住cookie -- 查看当前登录用户(发现为 [AppRole]) SELECT CURRENT_USER,USER_NAME() -- 停用应用程序角色并恢复到前一个安全上下文(cookie 为sp_setapprole创建的) EXEC sp_unsetapprole @cookie = 0x5E76DB4EF3E20388C5CBDE4FEB63DC409BAAD344D11919EF23AF18743A8B40BBEB3F972E3D84C5F7FBE2C1A853934EBC0100 -- 删除应用程序角色 DROP APPLICATION ROLE [AppRole] -- 查看用程序角色 SELECT * FROM sys.sysusers WHERE isapprole = 1 ------------------------------------------------------------------------------------------------------------------- --当前所有权限: select * from sys.fn_builtin_permissions(default)