2. 程式人生 > >SQL Server中通用資料庫角色許可權的處理詳解

SQL Server中通用資料庫角色許可權的處理詳解

阿新 發佈:2018-11-27

SQL Server中通用資料庫角色許可權的處理詳解

前言

安全性是所有資料庫管理系統的一個重要特徵。理解安全性問題是理解資料庫管理系統安全性機制的前提。

最近和同事在做資料庫許可權清理的事情,主要是刪除一些賬號;取消一些賬號的較大的許可權等,例如,有一些有db_owner許可權,我們取消賬號的資料庫角色db_owner,授予最低要求的相關許可權。但是這種工作完全是一個體力活,而且是吃力不討好,而且推進很慢。另外,為了管理方便和細化,我們又在常用的資料庫角色外,新增了6個通用的資料庫角色。

如下截圖所示。

 

另外,為了減少授權工作量和一些重複的體力活,我們建立了一個作業,每天定期執行一個儲存過程db_common_role_grant_rigths,這個儲存過程的邏輯如下:

    1:遍歷所有使用者資料庫(排除了系統資料庫以及一些特殊資料庫),發現該資料庫不存在這些通用資料庫角色,那麼就建立相關資料庫角色。

    2:遍歷所有使用者資料庫,為相關資料庫角色授權,例如,如果發現某個新增的儲存過程,沒有授權給db_procedure_execute資料庫角色。那麼就執行授權操作。

當然目前還在測試、應用階段,以後會根據具體相關需求,不斷完善相關功能。

 

--==================================================================================================================
--  ScriptName   :   db_common_role_grant_rigths.sql --  Author    :   瀟湘隱者 --  CreateDate   :   2018-09-13 --  Description   :   建立資料庫角色db_procedure_execute等,並授予相關許可權給角色。 --  Note     :  
/******************************************************************************************************************    Parameters    :         引數說明 ********************************************************************************************************************      @RoleName   :   角色名 ********************************************************************************************************************   Modified Date Modified User  Version     Modified Reason ********************************************************************************************************************   2018-09-12  瀟湘隱者   V01.00.00  新建該指令碼。   2018-09-12  瀟湘隱者   V01.00.01  注意@@ROWCOUNT的生效範圍;解決迴圈邏輯問題。   2018-09-26  瀟湘隱者   V01.00.02  修正型別為FT(CLR_TABLE_VALUED_FUNCTION)的函式問題。程式集 (CLR) 表值函式 *******************************************************************************************************************/ --=================================================================================================================== USE YourSQLDba; GO       IF EXISTS ( SELECT 1 FROM sys.procedures WHERE type= 'P' AND name = 'db_common_role_grant_rigths' ) BEGIN   DROP PROCEDURE Maint.db_common_role_grant_rigths; END GO    CREATE PROCEDURE Maint.db_common_role_grant_rigths AS BEGIN    DECLARE @database_id INT ; DECLARE @database_name sysname; DECLARE @cmdText  NVARCHAR( MAX ); DECLARE @prc_text  NVARCHAR( MAX ); DECLARE @RowIndex  INT ;    IF OBJECT_ID( 'TempDB.dbo.#databases' ) IS NOT NULL   DROP TABLE dbo.#databases;    CREATE TABLE #databases (   database_id  INT ,   database_name sysname )    IF OBJECT_ID( 'TempDB.dbo.#sql_text' ) IS NOT NULL   DROP TABLE dbo.#sql_text;       CREATE TABLE #sql_text (   sql_id  INT IDENTITY(1,1),   sql_cmd  NVARCHAR( MAX ) )    INSERT INTO #databases SELECT database_id ,    name FROM sys.databases WHERE name NOT IN ( 'master' , 'tempdb' , 'model' , 'msdb' ,        'distribution' , 'ReportServer' ,        'ReportServerTempDB' , 'YourSQLDba' )    AND state = 0; --state_desc=ONLINE       --開始迴圈每一個使用者資料庫(排除了上面相關資料庫) WHILE 1= 1 BEGIN         SELECT TOP 1 @database_name= database_name   FROM #databases   ORDER BY database_id;         IF @@ROWCOUNT =0    BREAK;      --PRINT(@database_name);      -- SP_EXECUTESQL 中切換資料庫不能當引數傳入。      --建立資料庫角色db_procedure_execute   SET @cmdText = 'USE ' + @database_name + ';' + CHAR (10)      SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_procedure_execute' ')        BEGIN         CREATE ROLE [db_procedure_execute] AUTHORIZATION [dbo];        END ' + CHAR (10);            --建立資料庫角色db_function_execute   SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_function_execute' ')        BEGIN         CREATE ROLE [db_function_execute] AUTHORIZATION [dbo];        END' + CHAR (10);         --建立資料庫角色db_view_table_definition   SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_view_table_definition' ')        BEGIN         CREATE ROLE [db_view_table_definition] AUTHORIZATION [dbo];        END ' + CHAR (10);      --建立資料庫角色db_view_view_definition   SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_view_view_definition' ')         BEGIN         CREATE ROLE [db_view_view_definition] AUTHORIZATION [dbo];         END ' + CHAR (10);      --建立資料庫角色db_view_procedure_definition   SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_view_procedure_definition' ')        BEGIN         CREATE ROLE [db_view_procedure_definition] AUTHORIZATION [dbo];        END ' + CHAR (10);       --建立資料庫角色db_view_function_definition   SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =' 'db_view_function_definition' ')        BEGIN         CREATE ROLE [db_view_function_definition] AUTHORIZATION [dbo];        END ' + CHAR (10);      --PRINT @cmdText;   -- EXECUTE SP_EXECUTESQL @cmdText;   EXECUTE (@cmdText);            --給角色db_procedure_execute授權      SET @cmdText = 'USE ' + QUOTENAME(@database_name) + ';'      SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)       SELECT ' 'GRANT EXECUTE ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '        + QUOTENAME(name) + ' ' TO db_procedure_execute;' '        FROM sys.procedures s        WHERE  NOT EXISTS ( SELECT 1              FROM sys.database_permissions p              WHERE p.major_id = s.object_id               AND p.grantee_principal_id = USER_ID(' 'db_procedure_execute' '))' ;    EXECUTE SP_EXECUTESQL @cmdText;                --給角色db_function_execute(標量函式授權)       SET @cmdText = 'USE ' + QUOTENAME(@database_name) + ';'       SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)        SELECT ' 'GRANT EXEC ON ' ' + SCHEMA_NAME(schema_id) + ' '.' ' + QUOTENAME(name) + ' ' TO db_function_execute; ' '        FROM sys.all_objects s        WHERE SCHEMA_NAME(schema_id) NOT IN (' 'sys' ', ' 'INFORMATION_SCHEMA' ')        AND NOT EXISTS ( SELECT 1              FROM sys.database_permissions p              WHERE p.major_id = s.object_id              AND p.grantee_principal_id =USER_ID(' 'db_function_execute' ') )              AND ( s.[type] = ' 'FN' '                OR s.[type] = ' 'AF' '                OR s.[type] = ' 'FS' '                --OR s.[type] = ' 'FT' '               ) ;'    EXECUTE SP_EXECUTESQL @cmdText;             --給角色db_function_execute(表值函式授權)    SET @cmdText = 'USE ' + @database_name + ';'       SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)        SELECT ' 'GRANT SELECT ON ' ' + SCHEMA_NAME(schema_id) + ' '.' ' + QUOTENAME(name) + ' ' TO db_function_execute;' '        FROM sys.all_objects s        WHERE SCHEMA_NAME(schema_id) NOT IN (' 'sys' ', ' 'INFORMATION_SCHEMA' ')         AND NOT EXISTS ( SELECT 1              FROM sys.database_permissions p              WHERE p.major_id = s.object_id               AND p.grantee_principal_id = USER_ID(' 'db_function_execute' '))           AND ( s.[type] = ' 'TF' '            OR s.[type] = ' 'IF' '         ) ; '       EXECUTE SP_EXECUTESQL @cmdText;          --檢視儲存過程定義授權    SET @cmdText = 'USE ' + @database_name + ';'       SET @cmdText += ' INSERT INTO #sql_text(sql_cmd)        SELECT ' 'GRANT VIEW DEFINITION ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '        + QUOTENAME(name) + ' ' TO db_view_procedure_definition;' '        FROM sys.procedures s        WHERE  NOT EXISTS ( SELECT 1              FROM sys.database_permissions p              WHERE p.major_id = s.object_id               AND p.grantee_principal_id = USER_ID(' 'db_view_procedure_definition' '))'       EXECUTE (@cmdText);       --檢視函式定義的授權    SET @cmdText = 'USE ' + @database_name + ';'       SELECT @cmdText += 'INSERT INTO #sql_text(sql_cmd)         SELECT ' 'GRANT VIEW DEFINITION ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '         + QUOTENAME(name) + ' ' TO db_view_function_definition;' '         FROM sys.objects s         WHERE type_desc IN (' 'SQL_SCALAR_FUNCTION' ', ' 'SQL_TABLE_VALUED_FUNCTION' ',           ' 'AGGREGATE_FUNCTION' ' )           AND NOT EXISTS ( SELECT 1              FROM sys.database_permissions p              WHERE p.major_id = s.object_id               AND p.grantee_principal_id = USER_ID(' 'db_view_function_definition' '))' ;       EXECUTE SP_EXECUTESQL @cmdText;          --查看錶定義的授權    SET @cmdText = 'USE ' + @database_name + ';'       SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)        SELECT ' 'GRANT VIEW DEFINITION ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '        + QUOTENAME(name) + ' ' TO db_view_table_definition ;' '        FROM sys.tables s        WHERE NOT EXISTS ( SELECT 1              FROM sys.database_permissions p              WHERE p.major_id = s.object_id               AND p.grantee_principal_id = USER_ID(' 'db_view_table_definition' '))' ;       EXECUTE SP_EXECUTESQL @cmdText;          --檢視檢視定義的授權    SET @cmdText = 'USE ' + @database_name + ';'       SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)        SELECT ' 'GRANT VIEW DEFINITION ON ' ' + SCHEMA_NAME(schema_id) + ' '.' '          + QUOTENAME(name) + ' ' TO db_view_view_definition; ' '        FROM sys.views s        WHERE NOT EXISTS ( SELECT 1              FROM sys.database_permissions p              WHERE p.major_id = s.object_id               AND p.grantee_principal_id = USER_ID(' 'db_view_view_definition' '))' ;       EXECUTE SP_EXECUTESQL @cmdText;             WHILE 1= 1    BEGIN               SELECT TOP 1 @RowIndex=sql_id, @cmdText = 'USE ' + @database_name + '; ' + sql_cmd FROM #sql_text ORDER BY sql_id;        IF @@ROWCOUNT =0      BREAK;            PRINT(@cmdText);     EXECUTE (@cmdText);        DELETE FROM #sql_text WHERE sql_id [email protected]          END             DELETE FROM #databases WHERE [email protected]_name; END        DROP TABLE #databases;    DROP TABLE #sql_text;    END  

 

相關推薦

SQL Server通用資料庫角色許可權處理

--==================================================================================================================--        ScriptName            :      

SQL Server通用資料庫角色許可權處理

SQL Server中通用資料庫角色許可權的處理詳解 前言 安全性是所有資料庫管理系統的一個重要特徵。理解安全性問題是理解資料庫管理系統安全性機制的前提。 最近和同事在做資料庫許可權清理的事情,主要是刪除一些賬號;取消一些賬號的較大的許可權等,例如,有一些有db_owner許可權,我們取消賬號的資料庫角

轉:SQL Server服務器角色和數據庫角色權限

ice 擁有 錯誤 update ini 語法 remote login spl 當幾個用戶需要在某個特定的數據庫中執行類似的動作時(這裏沒有相應的Windows用戶組),就可以向該數據庫中添加一個角色(role)。數據庫角色指定了可以訪問相同數據庫對象的一組數據庫用戶。數

sql server的一些角色,命令,函式的講解

今天悲劇了,把資料庫中的使用者設定成了db_denydatareader角色,沒有sa的密碼,找了好久。可以使用系統儲存過程將使用者從中移除 exec sp_droprolemember 'db_denydatareader', 'Mssql_NLTS'; 為便於管理資

用VB程式碼在SQL SERVER 建立資料庫,表,列.以及對資料庫的操作

前面看了一編用VB程式碼建立ACCESS資料庫的文章,寫的很好.根據思路,寫下建立SQL 資料庫的方法,供大家參考.1:引用ADO2.5lib2:在窗體上新增一個按鈕COMMAND13:按鈕程式碼如下:Private Sub Command1_Click()Dim cnn A

SQL Server建立使用者角色及授權

要想成功訪問 SQL Server 資料庫中的資料, 我們需要兩個方面的授權: 獲得准許連線 SQL Server 伺服器的權利;獲得訪問特定資料庫中資料的權利(select, update, delete, create table ...)。 假設,我們準備建立一個

SQL Server建立使用者角色及授權(使用SQL語句)

要想成功訪問 SQL Server 資料庫中的資料, 我們需要兩個方面的授權: 獲得准許連線 SQL Server 伺服器的權利;獲得訪問特定資料庫中資料的權利(select, update, delete, create table ...)。 假設,我們準備建立一個

BAT批處理的字符串處理(字符串截取)

字符數組 blog 詳細 修改 長度 num 函數 str2 置0 BAT批處理中的字符串處理詳解(字符串截取 批處理有著具有非常強大的字符串處理能力,其功能絕不低於C語言裏面的字符串函數集。批處理中可實現的字符串處理功能有:截取字符串內容、替換字符串特定字

SQL Server"登陸名"-"使用者對映"-"資料庫角色成員身份"下面10個可選項的意思

  public 維護所有預設許可權 db_owner 執行所有資料庫角色活動 db_accessadmin 新增和刪除資料庫使用者, 組及角色 db_ddladmin 新增、更改或刪除資料庫物件 db_security admin 分配語句執行和物件許可權 db_bac

Sql Server 2008 R2資料庫之登入名、使用者、架構、許可權角色

原文地址http://www.shaoqun.com/a/106188.aspx 這幾天先是研究了一下有關資料庫的安全性、許可權等方面的東西,那就是先說一下資料庫安全性和許可權的問題,首先是對資料庫的登入名、使用者和架構做一個簡單的介紹。登入名大家都知道就是登入資料庫時

SQL Server 的伺服器和資料庫角色分配

伺服器角色:按照從最低級別角色(bulkadmin)到最高級別角色(sysadmin)的順序進行描述:1.bulkadmin:這個角色可以執行BULK INSERT語句.該語句允許從文字檔案中將資料匯入到SQL Server2008資料庫中,為需要執行大容量插入到資料庫的域帳

MySQL、SQL server 、Oracle資料庫查詢所有的資料庫,查詢指定資料庫所有表名,查詢所有的欄位的名字

MySQL中查詢所有資料庫名和表名 1.查詢所有資料庫 show databases; 2.查詢指定資料庫中所有表名 select table_name from information_schema.tables where table_schema='database_name' a

sql server 查詢一定時間段內訪問資料庫情況

SELECT TOP 30000 total_worker_time/1000 AS [總消耗CPU 時間(ms)], execution_count [執行次數], qs.total_worker_time/qs.execution_count/1000 AS [平均消耗CPU

如何在SQL Server附加Pubs資料庫

在本教程中,我將解釋如何在SQL Server中附加Pubs資料庫 。每個其他資料庫的過程都是相同的。您需要將Pubs MDF和LDF檔案附加到SQL Server。  請注意,Northwind和Pubs資料庫都與下載檔案一起提供。 什麼是Pubs資料庫 Pubs資料庫包含一組

SQL server刪除synonym時報不存在,或者您沒有所需的許可權

sql server 2008  使用sa登入的。建立了synonym成了,但是刪除時發生下面的錯誤資訊: 建立>create synonym dbo.test1  for table_test; 檢視所有同義詞>select * 

使用Setup Factory 打包軟體,安裝時自動建立資料庫資料庫的表(效果類似sql server的附加資料庫操作)

前提:已安裝Setup Fatory軟體、我使用的是 安裝工廠永樂漢化版,需要的請自行下載安裝 下面只列出關鍵性步驟,黃色字型較為關鍵,是一個出錯點   步驟一(關鍵):生成資料庫備份檔案,以及建表sql指令碼,和bat命令檔案 備份資料庫,生成檔案1,.bak檔

SQL Server特定時間資料庫篡改的取證分析

Microsoft SQL Server是最好的關係資料庫管理系統,各種公司都使用它來維護其關鍵資料庫。但是,在某些情況下 - 比如有人故意更改資料庫 - 組織需要一種方法來跟蹤資料庫中最後修改的內容以及他們可以採取適當措施的時間。 需要幫助事務日誌檔案。實際上,T-Log檔案是SQL Serv

SQL Server重新命名資料庫

此處以SQL Server 2008中將資料庫BPMDB改名為BPMDB-BI為例說明 步驟: 分離資料庫 開啟management studio,找到BPMDB資料庫-->右鍵-->任務-->分離 修改資料庫物理檔名 找到資料庫物理檔案所

如何終止SQL Server的使用者程序(終止某一個使用者訪問sql server資料庫

  在很多情況下,往往會要求資料庫管理員終止SQL Server中的使用者程序,例如在停止某個資料庫的運作時,或者還原資料庫之前,或者長時間執行活動事務等情況下。資料庫管理員通常會使用SQL Server中提供的“KILL”命令來完成任務。   但是,SQL Server提供的“KILL”命令靈活性不夠,

SQL Server授予使用者檢視物件定義的許可權

SQL Server中授予使用者檢視物件定義的許可權 函式 SQL 資料庫 Server 指令碼 grant fetch 儲存過程 view 摘要: SQL Server中授予使用者檢視物件定義的許可權   在SQL Ser