SQL Server權限分配是SQL Server安全策略的重要組成部分，下面就對SQL Server權限的分配管理作詳細的介紹，希望對您能有所幫助。

允許數據庫訪問

在數據庫內部，與迄今為止我們對登錄驗證的處理方式不同，我們可以把SQL Server權限分配給角色而不是直接把它們分配給全局組。這種能力使得我們能夠輕松地在安全策略中使用SQL Server驗證的登錄。即使你從來沒有想要使用SQL Server登錄帳戶，本文仍舊建議分配權限給角色，因為這樣你能夠為未來可能出現的變化做好準備。

創建了數據庫之后，我們可以用sp_grantdbaccess存儲過程授權DB_Name Users組訪問它。但應該注意的是，與sp_grantdbaccess對應的sp_denydbaccess存儲過程并不存在，也就是說，你不能按照拒絕對服務器訪問的方法拒絕對數據庫的訪問。如果要拒絕數據庫訪問，我們可以創建另外一個名為DB_Name Denied Users的全局組，授權它訪問數據庫，然后把它設置為db_denydatareader以及db_denydatawriter角色的成員。注意SQL語句權限的分配，這里的角色只限制對對象的訪問，但不限制對DDL（Data Definition Language，數據定義語言）命令的訪問。

正如對登錄過程的處理，如果訪問標記中的任意SID已經在Sysusers系統表登記，SQL將允許用戶訪問數據庫。因此，我們既可以通過用戶的個人NT帳戶SID授權用戶訪問數據庫，也可以通過用戶所在的一個（或者多個）組的SID授權。為了簡化管理，我們可以創建一個名為DB_Name Users的擁有數據庫訪問SQL Server權限的全局組，同時不把訪問權授予所有其他的組。這樣，我們只需簡單地在一個全局組中添加或者刪除成員就可以增加或者減少數據庫用戶。

分配SQL Server權限

實施安全策略的最后一個步驟是創建用戶定義的數據庫角色，然后分配權限。完成這個步驟最簡單的方法是創建一些名字與全局組名字配套的角色。例如對于前面例子中的會計系統，我們可以創建Accounting Data Entry Operators、Accounting Data Entry Managers之類的角色。由于會計數據庫中的角色與帳務處理任務有關，你可能想要縮短這些角色的名字。然而，如果角色名字與全局組的名字配套，你可以減少混亂，能夠更方便地判斷出哪些組屬于特定的角色。

創建好角色之后就可以分配權限。在這個過程中，我們只需用到標準的GRANT、REVOKE和DENY命令。但應該注意DENY權限，這個權限優先于所有其他權限。如果用戶是任意具有DENY權限的角色或者組的成員，SQL Server將拒絕用戶訪問對象。

接下來我們就可以加入所有SQL Server驗證的登錄。用戶定義的數據庫角色可以包含SQL Server登錄以及NT全局組、本地組、個人帳戶，這是它最寶貴的特點之一。用戶定義的數據庫角色可以作為各種登錄的通用容器，我們使用用戶定義角色而不是直接把SQL Server權限分配給全局組的主要原因就在于此。

由于內建的角色一般適用于整個數據庫而不是單獨的對象，因此這里建議你只使用兩個內建的數據庫角色,，即db_securityadmin和db_owner。其他內建數據庫角色，例如db_datareader，它授予對數據庫里面所有對象的SELECT權限。雖然你可以用db_datareader角色授予SELECT權限，然后有選擇地對個別用戶或組拒絕SELECT權限，但使用這種方法時，你可能忘記為某些用戶或者對象設置權限。一種更簡單、更直接而且不容易出現錯誤的方法是為這些特殊的用戶創建一個用戶定義的角色，然后只把那些用戶訪問對象所需要的權限授予這個用戶定義的角色。

【編輯推薦】

Web環境中的SQL Server驗證

SQL Server驗證方法選擇

SQL Server數據轉換服務簡介

sql server系統文件簡介

sql server升級的兩種方式