1、制作：荊州職業技術學院 彭嵐第五章第五章 項目數據庫安全項目數據庫安全管理管理制作：荊州職業技術學院 彭嵐本章目標本章目標1學習目標了解SQL Server服務器安全特性； 掌握數據庫安全性管理掌握數據庫角色管理；掌握數據庫權限管理； 2. 學習要點用戶的種類及其創建方法；角色的種類及使用方法；權限的種類及操作方法；數據庫安全性數據庫安全性 保護數據庫中的各種數據，以防止保護數據庫中的各種數據，以防止因非法使用而造成數據的泄密和破壞。因非法使用而造成數據的泄密和破壞。簡單的說就是保護數據庫以防止不合法簡單的說就是保護數據庫以防止不合法的使用所造成的數據泄露。的使用所造成的數據泄露。 制作：荊州

2、職業技術學院 彭嵐5.1.1 SQL Server 2008安全管理新特性SQL Server 2008 提供了豐富的安全特性，用于保護數據和網絡資源。它的安裝更輕松、更安全，除了最基本的特性之外，其他特性都不是默認安裝的，即便安裝了也處于未啟用的狀態。SQL Server提供了豐富的服務器配置工具，特別值得關注的就是 SQL Server Surface Area Configuration Tool，它的身份驗證特性得到了增強， SQL Server 更加緊密地與Windows身份驗證相集成，并保護弱口令或陳舊的口令。有了細粒度授權、SQL Server Agent 代理和執行上下文，在經

3、過驗證之后，授權和控制用戶可以采取的操作將更加靈活。元數據也更加安全，因為系統元數據視圖僅返回關于用戶有權以某種形式使用的對象的信息。在數據庫級別，加密提供了最后一道安全防線，而用戶與架構的分離使得用戶的管理更加輕松。制作：荊州職業技術學院 彭嵐5.1.2 SQL Server 2008安全性機制服務器級別的安全機制 這個級別的安全性主要通過登錄帳戶進行控制，要想訪問一個數據庫服務器 ，必須擁有一個登錄帳戶。登錄帳戶可以是Windows賬戶或組，也可以是SQL Server的登錄賬戶。登錄賬戶可以屬于相應的服務器角色。至于角色，可以理解為權限的組合。數據庫級別的安全機制 這個級別的安全性主要通

4、過用戶帳戶進行控制，要想訪問一個數據庫，必須擁有該數據庫的一個用戶賬戶身份。用戶賬戶是通過登錄賬戶進行映射的，可以屬于固定的數據庫角色或自定義數據庫角色。數據對象級別的安全機制 這個級別的安全性通過設置數據對象的訪問權限進行控制。如果是使用圖形界面管理工具，可以在表上右擊，選擇“屬性”|“權限”選項，然后啟用相應的權限復選框即可。制作：荊州職業技術學院 彭嵐5.1.3 SQL Server 2008安全主體主體級別主體對象Windows級別Windows域登錄、Windows本地登錄、Windows組SQL Server級別服務器角色、SQL Server登錄SQL Server登錄映射為非對

5、稱密鑰SQL Server登錄映射為證書SQL Server登錄映射為Windows登錄數據庫級別數據庫用戶、應用程序角色、數據庫角色、公共數據庫角色數據庫映射為非對稱密鑰數據庫映射為證書數據庫映射為Windows登錄制作：荊州職業技術學院 彭嵐5.2.1管理SQL Server服務器安全性內容包括：內容包括： 確認用戶帳號是否有效；確認用戶帳號是否有效； 能否訪問系統；能否訪問系統； 能訪問系統的哪些數據。能訪問系統的哪些數據。 制作：荊州職業技術學院 彭嵐 身份驗證是指當用戶訪問系統時，系身份驗證是指當用戶訪問系統時，系統對該用戶的賬號和口令的確認過程。統對該用戶的賬號和口令的確認過程。S

6、QL SERVER能識別兩種類型的身份：能識別兩種類型的身份： WINDOWS身份；身份； SQL SERVER身份身份。 用戶和客戶機在連接用戶和客戶機在連接SQL時，可任選其時，可任選其一。一。 制作：荊州職業技術學院 彭嵐 1、WINDOWS身份：身份： 在使用Windows身份驗證模式時，可以使用Windows域中有效的用戶和組賬戶來進行身份驗證。這種模式下，域用戶不需要獨立的SQL Server用戶賬戶和密碼就可以訪問數據庫。 2、SQL SERVER身份：身份： 由由SQL SERVER系統管理員定義系統管理員定義SQL 的登錄帳號和密碼，用戶連接時必須提的登錄帳號和密碼，用戶連接

7、時必須提供帳號和口令。供帳號和口令。制作：荊州職業技術學院 彭嵐 1、WINDOWS身份驗證方式：身份驗證方式： 在使用Windows身份驗證模式時，可以使用Windows域中有效的用戶和組賬戶來進行身份驗證。這種模式下，域用戶不需要獨立的SQL Server用戶賬戶和密碼就可以訪問數據庫。WindowsWindows身份驗證模式有以下主要優點：身份驗證模式有以下主要優點： 數據庫管理員的工作可以集中在管理數據庫上面，而不是管理用戶賬戶。對用戶賬戶的管理可以交給Windows去完成。 Windows有更強的用戶賬戶管理工具。可以設置賬戶鎖定、密碼期限等。如果不通過定制來擴展SQL Server

8、，SQL Server則不具備這些功能。 Windows的組策略支持多個用戶同時被授權訪問SQL Server。521身份驗證模式身份驗證模式制作：荊州職業技術學院 彭嵐登錄過程：登錄過程：制作：荊州職業技術學院 彭嵐2、混合安全模式、混合安全模式 功 能 ： 指 用 戶 登 錄 時 ， 其 身 份 由功 能 ： 指 用 戶 登 錄 時 ， 其 身 份 由WINDOWS NT和和SQL SERVER共同認共同認證。證。 適用對象：適合用于外界用戶訪問數據適用對象：適合用于外界用戶訪問數據庫或不能登錄到庫或不能登錄到WINDOWS域時使用。域時使用。 制作：荊州職業技術學院 彭嵐登錄過程：登錄過

9、程：制作：荊州職業技術學院 彭嵐混合模式身份驗證的優點如下：混合模式身份驗證的優點如下：l允許SQL Server支持那些需要進行SQL Server身份驗證的舊版應用程序和由第三方提供的應用程序。l允許SQL Server支持具有混合操作系統的環境，在這種環境中并不是所有用戶均由Windows域進行驗證。l允許用戶從未知的或不可信的域進行連接。例如，既定客戶使用指定的SQL Server登錄名進行連接以接收其訂單狀態的應用程序。l允許SQL Server支持基于Web的應用程序，在這些應用程序中用戶可創建自己的標識。l允許軟件開發人員通過使用基于已知的預設SQL Server登錄名的復雜權限

10、層次結構來分發應用程序。制作：荊州職業技術學院 彭嵐3配置身份驗證模式配置身份驗證模式制作：荊州職業技術學院 彭嵐5.2.2管理登錄帳號管理登錄帳號服務器登錄有兩種情況：l可用使用域賬號登錄使用域賬號登錄，域賬號可用是域或本地用戶賬號、本地組賬戶或通用的和全局的域組賬戶；l可用通過指定唯一的登錄指定唯一的登錄ID和密碼來創建和密碼來創建SQL Server 2008登錄登錄，默認登錄包括本地管理員組、本地管理員、sa、Network Service和SYSTEM。制作：荊州職業技術學院 彭嵐默認登錄帳號l系統管理員組系統管理員組 SQL Server 2008中管理員組在數據庫服務器上屬于本地

11、組。這個組的成員通常包括本地管理員用戶賬戶和任何設置為管理員本地系統的其他用戶。在SQL Server 2008中，此組默認授予sysadmin服務器角色。l管理員用戶賬戶管理員用戶賬戶 管理員在SQL Server 2008服務器上的本地用戶賬戶。該賬戶提供對本地系統的管理權限，主要在安裝系統時使用它。如果計算機是Windows域的一部分，管理員賬戶通常也有域范圍的權限。在SQL Server 2008中，這個賬戶默認授予sysadmin服務器角色。lSa登錄登錄 是SQL Server系統管理員的賬戶。而在SQL Server 2008中采用了新的集成和擴展的安全模式，sa不再是必需的，提

12、供此登錄賬戶主要是為了針對以前SQL Server版本的向后兼容性。與其他管理員登錄一樣，sa默認授予sysadmin服務器角色。在默認安裝SQL Server 2008的時候，sa賬戶沒有被指派密碼。lNetwork Service和和SYSTEM登錄登錄 它是SQL Server 2008服務器上內置的本地賬戶，而是否創建這些賬戶的服務器登錄，依賴于服務器的配置。例如，如果已經將服務器配置為報表服務器，此時將有一個NETWORK SERVICE的登錄賬戶，這個登錄將是mester、msdb、ReportServer和ReportServerTempDB數據庫的特殊數據庫角色RSExceRo

13、le的成員。制作：荊州職業技術學院 彭嵐登錄帳號的創建制作：荊州職業技術學院 彭嵐5.2.3管理用戶 用戶名在特定的數據庫內創建，并關聯一個登錄名（當一個用戶創建時，必須關聯一個登錄名）。通過授權給用戶來指定用戶可以訪問的數據庫對象的權限。制作：荊州職業技術學院 彭嵐用戶的創建用戶的創建(一一)制作：荊州職業技術學院 彭嵐用戶的創建用戶的創建(二二)制作：荊州職業技術學院 彭嵐用戶的創建用戶的創建(三三)制作：荊州職業技術學院 彭嵐登錄名和數據庫用戶名的關系：登錄名和數據庫用戶名的關系： 登錄名是訪問登錄名是訪問SQL SERVERSQL SERVER的通行證，其本身并不能證的通行證，其本身并

14、不能證用戶訪問服務器中的數據庫；用戶名是登錄名在數據用戶訪問服務器中的數據庫；用戶名是登錄名在數據庫中使用的名稱，一個用戶名必須和一個登錄名相關庫中使用的名稱，一個用戶名必須和一個登錄名相關聯；聯； 登錄帳戶和數據庫用戶是登錄帳戶和數據庫用戶是SQL SERVERSQL SERVER進行權限管理的進行權限管理的兩種不同的對象。兩種不同的對象。 一個登錄帳戶可與服務器上的所有數據庫進行關聯，一個登錄帳戶可與服務器上的所有數據庫進行關聯，產生多個數據庫用戶產生多個數據庫用戶, ,但在一個數據庫中只能擁有一個但在一個數據庫中只能擁有一個用戶；用戶； 而一個數據庫用戶只能映射到一個登錄帳戶。而一個數據

15、庫用戶只能映射到一個登錄帳戶。 SQL SERVERSQL SERVER允許數據庫為每個用戶對象分配不同的權允許數據庫為每個用戶對象分配不同的權限，為數據庫用戶授權的過程也就是為登錄對象提供限，為數據庫用戶授權的過程也就是為登錄對象提供對數據庫的訪問權限的過程。對數據庫的訪問權限的過程。制作：荊州職業技術學院 彭嵐改變數據庫所有權改變數據庫所有權 一個數據庫只能有一個數據庫所有者，其不能一個數據庫只能有一個數據庫所有者，其不能被刪除，默認情況下，被刪除，默認情況下，sasa帳戶映射到庫中的用帳戶映射到庫中的用戶是戶是dbodbo，改變所有權步驟：，改變所有權步驟： 打開要更改所有權的數據庫：打

16、開要更改所有權的數據庫： 更改所有權：更改所有權：sp_changedbowner sp_changedbowner 登錄號登錄號注：若將所有權授予某個登錄時，該登錄不能在注：若將所有權授予某個登錄時，該登錄不能在數據庫中已存在用戶，若存在則先刪除用戶后數據庫中已存在用戶，若存在則先刪除用戶后授予所有權授予所有權。制作：荊州職業技術學院 彭嵐 例：將例：將cpmscpms的所有權授序的所有權授序login2login2帳號：帳號：use cpmsGoSp_revokedbaccess abcd 先刪除已有用戶名先刪除已有用戶名gogosp_changedbowner login2 -授予所有權

17、給授予所有權給LOGIN2帳號帳號制作：荊州職業技術學院 彭嵐53管理角色 1 1、定義：角色類似于組，一般將具有相、定義：角色類似于組，一般將具有相同權限的一群用戶群添加為某角色成員，同權限的一群用戶群添加為某角色成員，然后給這個角色授予適當的權限。這樣然后給這個角色授予適當的權限。這樣該用戶群的所有用戶就都具有了該角色該用戶群的所有用戶就都具有了該角色的權限，而沒有必要逐個對每一個用戶的權限，而沒有必要逐個對每一個用戶去授予相同的權限去授予相同的權限 2、優點：避免大量重復的工作，簡化和、優點：避免大量重復的工作，簡化和方便對用戶的管理。方便對用戶的管理。 制作：荊州職業技術學院 彭嵐3

18、3、分類：、分類： 服務器角色服務器角色：是服務器級的一個對象，：是服務器級的一個對象，主要用于對登錄名設置其對服務器的管主要用于對登錄名設置其對服務器的管理權限理權限 數據庫角色數據庫角色：是數據庫級的一個對象，主：是數據庫級的一個對象，主要用于對數據庫用戶設置其對數據庫的要用于對數據庫用戶設置其對數據庫的管理權限管理權限 注：同一用戶可屬于多個角色。注：同一用戶可屬于多個角色。 制作：荊州職業技術學院 彭嵐5.3.1固定服務器角色固定服務器角色 SQL安裝完成后，系統自動創建安裝完成后，系統自動創建8個固個固定的服務器角色，對于服務器角色來說，定的服務器角色，對于服務器角色來說，數據庫管理

19、員只能完成以下兩個操作：數據庫管理員只能完成以下兩個操作：添加和刪除服務器角色中的成員，而不添加和刪除服務器角色中的成員，而不能刪除服務預定義的角色。能刪除服務預定義的角色。 制作：荊州職業技術學院 彭嵐固定服務器角色及功能（一）：固定服務器角色及功能（一）：sysadmin 這個服務器角色的成員有權在SQL Server 2008中執行任何任務。不熟悉SQL Server 2008的用戶可能會意外地造成嚴重問題，所以給這個角色批派用戶時應該特別小心。通常情況下，這個角色僅適合數據庫管理員（DBA）。securityadmin 這個服務器角色的成員將管理登錄名及其屬性。他們可以GRANT、DE

20、NY和REVOKE服務器級權限。也可以GRANT、DENY和REVOKE數據庫級權限。另外，他們可以重置SQL Server 2008登錄名的密碼。serveradmin 這個服務器角色的成員可以更改服務器范圍的配置選項和關閉服務器。比如SQL Server 2008可以使用多大內存或者關閉服務器，這個角色可以減輕管理員的一些管理負擔。setupadmin 這個服務器角色的成員可以添加和刪除鏈接服務器，并且也可以執行某些系統存儲過程。 制作：荊州職業技術學院 彭嵐固定服務器角色及功能（二）：固定服務器角色及功能（二）：lprocessadmin SQL Server 2008能夠多任務化，也就

21、是說，他可以通過執行多個進程做多件事件。例如，SQL Server 2008可以生成一個進程用于向高速緩存寫數據，同時生成另一個進程用于從高速緩存中讀取數據。這個角色的成員可以結束（在SQL Server 2008中稱為刪除）進程。ldiskadmin 這個服務器角色用于管理磁盤文件，比臺鏡像數據庫和添加備份設備。這適合于助理DBA。ldbcreator 這個服務器角色的成員可以創建、更改、刪除和還原任何數據庫。這不僅是適合助理DBA的角色，也可能是個適合開發人員的角色。lbulkadmin 這個服務器角色的成員可以運行BULK INSERT語句。這條語句允許他們從文本文件中將數據導入到SQL

22、 Server 2008數據庫中。 制作：荊州職業技術學院 彭嵐系統存儲過程對固定服務器角色的操作功能類型說明sp_helpsrvrole元數據返回服務器級角色的列表sp_helpsrvrolemember元數據返回有關服務器級角色成員的信息sp_srvrolepermission元數據顯示服務器級角色的權限IS_SRVROLEMEMBER元數據指示SQL Server登錄名是否為指定服務器級角色的成員sys.server_role_members元數據為每個服務器級角色的每個成員返回一行sp_addsrvrolemember命令將登錄名添加為某個服務器級角色的成員sp_dropsrvrole

23、member命令從 服 務 器 級 角 色 中 刪 除 S Q L Server登錄名或者Windows用戶或者組制作：荊州職業技術學院 彭嵐管理服務器角色( 一)制作：荊州職業技術學院 彭嵐管理服務器角色（二）制作：荊州職業技術學院 彭嵐5.3.2固定數據庫角色 固定數據庫角色存在于每個數據庫中，在數據庫級別提供管理特權分組。管理員可將任何有效的數據庫用戶添加為固定數據庫角色成員。每個成員都獲得應用于固定數據庫角色的權限。用戶不能增加、修改和刪除固定數據庫角色。制作：荊州職業技術學院 彭嵐固定數據庫角色db_owner 進行所有數據庫角色的活動，以及數據庫中的其他維護和配置活動。該角色的權限

24、跨越所有其他的固定數據庫角色。db_accessadmin 這些用戶有權通過添加或者刪除用戶來指定誰可以訪問數據庫。db_securityadmin 這個數據庫角色的成員可以修改角色成員身份和管理權限。db_ddladmin 這個數據庫角色的成員可以在數據庫中運行任何數據定義語言(DDL)命令。這個角色允許他們創建、修改或者刪除數據庫對象，而不必瀏覽里面的數據。db_backupoperator 這個數據庫角色的成員可以備份該數據庫。db_datareader 這個數據庫角色的成員可以讀取所有用戶表中的所有數據。db_datawriter 這個數據庫角色的成員可以在所有用戶表中添加、刪除或者更

25、改數據。db_denydatareader 這個服務器角色的成員不能讀取數據庫內用戶表中的任何數據，但可以執行架構修改（比如在表中添加列）。db_denydatawriter 這個服務器角色的成員不能添加、修改或者刪除數據庫內用戶表中的任何數據。制作：荊州職業技術學院 彭嵐固定數據庫角色的操作代碼功能功能類型類型說明說明sp_helpdbfixedrole元數據返回固定數據庫角色的列表sp_dbfixedrolepermission元數據顯示固定數據庫角色的權限sp_helprole元數據返回當前數據庫中有關角色的信息sp_helprolemember元數據返回有關當前數據庫中某個角色的成員的

26、信息sys.database_role_members元數據為每個數據庫角色的每個成員返回一行IS_MEMBER元數據指示當前用戶是否為指定Microsoft Windows組或者Microsoft SQL Server數據庫角色的成員CREATE ROLE命令在當前數據庫中創建新的數據庫角色ALTER ROLE命令更改數據庫角色的名稱DROP ROLE命令從數據庫中刪除角色sp_addrole命令在當前數據庫中創建新的數據庫角色sp_droprole命令從當前數據庫中刪除數據庫角色sp_addrolemember命令為當前數據庫中的數據庫角色添加數據庫用戶、數據庫角色、Windows登錄名或

27、者Windows組sp_droprolemember命令從當前數據庫的SQL Server角色中刪除安全賬戶制作：荊州職業技術學院 彭嵐5.3.3應用程序角色 應用程序角色是一個數據庫主體，他使應用程序能夠用其自身的、類似用戶的特權來運行。使用應用程序角色，可以只允許通過特定應用程序連接的用戶訪問特定數據。與數據庫角色不同的是，應用程序角色默認情況下不包含任何成員，而且不活動。制作：荊州職業技術學院 彭嵐應用程序角色的創建制作：荊州職業技術學院 彭嵐應用程序角色和固定數據庫角色的區別 應用程序角色不包含任何成員。不能將Windows組、用戶和角色添加到應用程序角色。 當應用程序角色被激活以后，

28、這次服務器連接將暫時失去所有應用于登錄賬戶、數據庫用戶等的權限，而只擁有與應用程序相關的權限。在斷開本次連接以后，應用程序失去作用。 默認情況下，應用程序角色非活動，需要密碼激活。 應用程序角色不使用標準權限。制作：荊州職業技術學院 彭嵐5.3.4用戶自定義角色 自定義數據角色當打算為某些數據庫用戶設置自定義數據角色當打算為某些數據庫用戶設置相同的權限但預定義的數據庫角色不能滿足所相同的權限但預定義的數據庫角色不能滿足所實際要求的權限時，就通過自定義新數據庫角實際要求的權限時，就通過自定義新數據庫角色來滿足這一要求，從而使這些用戶能夠在數色來滿足這一要求，從而使這些用戶能夠在數據庫中實現某一特

29、定功能。據庫中實現某一特定功能。制作：荊州職業技術學院 彭嵐用戶自定義角色的創建（一）制作：荊州職業技術學院 彭嵐用戶自定義角色的創建（二）制作：荊州職業技術學院 彭嵐用戶自定義角色的創建（三）制作：荊州職業技術學院 彭嵐54管理權限 數據庫權限指明用戶獲得哪些數據庫對象的使用權，以及用戶能夠對這些對象執行何種操作。用戶在數據庫中擁有的權限取決于以下兩方面的因素： 用戶賬戶的數據庫權限 用戶所在角色的類型制作：荊州職業技術學院 彭嵐權限的種類權限的種類 在在SQL Server SQL Server 中，權限分為三類：中，權限分為三類： 對象權限對象權限（Object PermissionOb

30、ject Permission）；）； 語句權限語句權限（Statement Permission Statement Permission ）；）； 隱含權限隱含權限（Implied Permission ） 制作：荊州職業技術學院 彭嵐5.4.1對象權限 是指用戶對數據庫中的表、視圖、存儲過程等是指用戶對數據庫中的表、視圖、存儲過程等對象的操作權限，相當于數據庫操作語言對象的操作權限，相當于數據庫操作語言（DMLDML）的語句權限，例如是否允許查詢、添）的語句權限，例如是否允許查詢、添加、刪除和修改數據等。對象權限的具體內容加、刪除和修改數據等。對象權限的具體內容包括以下包括以下3 3個方

31、面：個方面： a.a.對于表和視圖：是否允許執行對于表和視圖：是否允許執行SelectSelect、InsertInsert、UpdateUpdate、DeleteDelete語句。語句。 b.b.對于表和視圖的字段：是否允許執行對于表和視圖的字段：是否允許執行SelectSelect和和UpdateUpdate語句。語句。 c.對于存儲過程：是否允許執行對于存儲過程：是否允許執行Execute語句。語句。 制作：荊州職業技術學院 彭嵐5.4.2語句權限語句權限 相當于數據定義語言（相當于數據定義語言（DLLDLL）的語句權限，這）的語句權限，這種權限專指是否允許執行下列語句：種權限專指是否允

32、許執行下列語句： Create Table Create DefaultCreate Table Create Default Create Procedure Create RuleCreate Procedure Create Rule Create View Backup DatabaseCreate View Backup Database Backup LogBackup Log制作：荊州職業技術學院 彭嵐5.4.3隱含權限隱含權限 是指由是指由SQL Server SQL Server 預定義的服務器角預定義的服務器角色、數據庫所有者（色、數據庫所有者（dbodbo）和數據庫對象）

33、和數據庫對象所有者（所有者（dboodboo）所擁有的權限，隱含權）所擁有的權限，隱含權限相當于內置權限，并不需要明確地授限相當于內置權限，并不需要明確地授予這些權限。予這些權限。 例如，服務器角色例如，服務器角色Sysadmin的成員可在的成員可在整個服務器范圍內從事任何操作，數據整個服務器范圍內從事任何操作，數據庫所有者庫所有者dbo可對本數據庫進行任何操作可對本數據庫進行任何操作 制作：荊州職業技術學院 彭嵐2 2、權限的管理、權限的管理 在上述三種權限中，隱含權限是由系統在上述三種權限中，隱含權限是由系統預定義的，這類權限是不需要、也不能預定義的，這類權限是不需要、也不能夠進行設置的。

34、因此，權限的設置實際夠進行設置的。因此，權限的設置實際上就是指上就是指對象權限和語句權限的設置對象權限和語句權限的設置。權限可由數據庫所有者和角色進行管理。權限可由數據庫所有者和角色進行管理。 制作：荊州職業技術學院 彭嵐權限管理的內容包括以下權限管理的內容包括以下3 3個方面的內容個方面的內容 a.a.授予權限（授予權限（GrantGrant）：）：即允許某個用戶或角即允許某個用戶或角色對一個對象執行某種操作或某種語句。色對一個對象執行某種操作或某種語句。 b.b.剝奪權限（剝奪權限（RevokeRevoke）：）：即不允許某個用戶或即不允許某個用戶或角色對一個對象執行某種操作或某種語句，或

35、角色對一個對象執行某種操作或某種語句，或者收回曾經授予的某種權限，這與授予權限正者收回曾經授予的某種權限，這與授予權限正好相反。好相反。 c.拒絕訪問（拒絕訪問（Deny）：）：即拒絕某個用戶或角色即拒絕某個用戶或角色訪問某個對象，即使該用戶或角色被授予這種訪問某個對象，即使該用戶或角色被授予這種權限，或者由于繼承而獲得這種權限，仍然不權限，或者由于繼承而獲得這種權限，仍然不允許執行相應的操作允許執行相應的操作 制作：荊州職業技術學院 彭嵐3 3）使用）使用T-SQLT-SQL語句管理語句的權限語句管理語句的權限 在在T-SQLT-SQL語言中，與權限管理有關的語語言中，與權限管理有關的語句有以下三個：句有以下三個： Grant語句：用于授予權限語句：用于授予權限； Revoke語句：用于剝奪權限語句：用于剝奪權限； Deny語句：用于禁止權限語句：用于禁止權限 制作：荊州職業技術學院 彭嵐語法為：語法為： Grant | Deny Grant | Deny 語句名稱語句名稱 , , n n TO TO 用戶帳戶名稱或角色名稱用戶帳戶名稱或角色名稱 , , n n Revoke Revoke 語句名稱語句名稱 , , n FROM n FROM 用戶帳戶名稱或角色名稱用戶帳戶名稱或角色名