要想成功訪問 SQL Server 資料庫中的資料， 我們需要兩個方面的授權：

1. 獲得准許連線 SQL Server 伺服器的權利；
2. 獲得訪問特定資料庫中資料的權利（select, update, delete, create table ...）。

假設，我們準備建立一個 dba 資料庫帳戶，用來管理資料庫 mydb。

1. 首先在 SQL Server 伺服器級別，建立登陸帳戶（create login）

--建立登陸帳戶（create login）

create login dba with password='[email protected]', default_database=
 
mydb

登陸帳戶名為：“dba”，登陸密碼：[email protected]”，預設連線到的資料庫：“mydb”。 這時候，dba 帳戶就可以連線到 SQL Server 伺服器上了。但是此時還不能 訪問資料庫中的物件（嚴格的說，此時 dba 帳戶預設是 guest 資料庫使用者身份， 可以訪問 guest 能夠訪問的資料庫物件）。

要使 dba 帳戶能夠在 mydb 資料庫中訪問自己需要的物件， 需要在資料庫 mydb 中建立一個“資料庫使用者”，賦予這個“資料庫使用者” 某些訪問許可權，並且把登陸帳戶“dba” 和這個“資料庫使用者” 對映起來。 習慣上，“資料庫使用者” 的名字和 “登陸帳戶”的名字相同，即：“dba”。 建立“資料庫使用者”和建立對映關係只需要一步即可完成：

2. 建立資料庫使用者（create user）：

--為登陸賬戶建立資料庫使用者（create user）,在mydb資料庫中的security中的user下可以找到新建立的dba

create user dba for login dba with default_schema=dbo

並指定資料庫使用者“dba” 的預設 schema 是“dbo”。這意味著 使用者“dba” 在執行“select * from t”，實際上執行的是 “select * from dbo.t”。

3. 通過加入資料庫角色，賦予資料庫使用者“dba”許可權：

--通過加入資料庫角色，賦予資料庫使用者“db_owner”許可權
 

exec sp_addrolemember 'db_owner', 'dba'

此時，dba 就可以全權管理資料庫 mydb 中的物件了。

如果想讓 SQL Server 登陸帳戶“dba”訪問多個數據庫，比如 mydb2。 可以讓 sa 執行下面的語句：

--讓 SQL Server 登陸帳戶“dba”訪問多個數據庫

use mydb2
go create user dba for login dba with default_schema=dbo
go exec sp_addrolemember 'db_owner', 'dba' go

此時，dba 就可以有兩個資料庫 mydb, mydb2 的管理許可權了！

完整的程式碼示例

--建立資料庫mydb和mydb2

--在mydb和mydb2中建立測試表，預設是dbo這個schema

CREATE TABLE DEPT
       (DEPTNO int primary key,
        DNAME VARCHAR(14),
        LOC VARCHAR(13) );

--插入資料

INSERT INTO DEPT VALUES (101, 'ACCOUNTING', 'NEW YORK');
INSERT INTO DEPT VALUES (201, 'RESEARCH',   'DALLAS');
INSERT INTO DEPT VALUES (301, 'SALES',      'CHICAGO');
INSERT INTO DEPT VALUES (401, 'OPERATIONS', 'BOSTON');

--檢視資料庫schema, user 的儲存過程

select * from sys.database_principals
select * from sys.schemas 
select * from sys.server_principals

--建立登陸帳戶（create login）

create login dba with password='[email protected]', default_database=mydb

--為登陸賬戶建立資料庫使用者（create user）,在mydb資料庫中的security中的user下可以找到新建立的dba

create user dba for login dba with default_schema=dbo

--通過加入資料庫角色，賦予資料庫使用者“db_owner”許可權

exec sp_addrolemember 'db_owner', 'dba'

--讓 SQL Server 登陸帳戶“dba”訪問多個數據庫

use mydb2
go create user dba for login dba with default_schema=dbo
go exec sp_addrolemember 'db_owner', 'dba'go

--禁用登陸帳戶

alter login dba disable
--啟用登陸帳戶

alter login dba enable
--登陸帳戶改名

alter login dba with name=dba_tom
--登陸帳戶改密碼： 

alter login dba with password='[email protected]'

--資料庫使用者改名： 

alter user dba with name=dba_tom
--更改資料庫使用者 defult_schema： 

alter user dba with default_schema=sales
--刪除資料庫使用者： 

drop user dba
--刪除 SQL Server登陸帳戶： 

drop login dba

使用儲存過程來完成使用者建立

下面一個例項來說明在sqlserver中如何使用儲存過程建立角色，重建登入，以及如何為登入授權等問題。

/*--示例說明
        示例在資料庫InsideTSQL2008中建立一個擁有表HR.Employees的所有許可權、擁有表Sales.Orders的SELECT許可權的角色r_test
    隨後建立了一個登入l_test，然後在資料庫InsideTSQL2008中為登入l_test建立了使用者賬戶u_test
    同時將使用者賬戶u_test新增到角色r_test中，使其通過許可權繼承獲取了與角色r_test一樣的許可權
    最後使用DENY語句拒絕了使用者賬戶u_test對錶HR.Employees的SELECT許可權。
    經過這樣的處理，使用l_test登入SQL Server例項後，它只具有表Sales.Orders的select許可權和對錶HR.Employees出select外的所有許可權。
--*/


USE InsideTSQL2008

--建立角色 r_test
EXEC sp_addrole 'r_test'

--新增登入 l_test,設定密碼為pwd,預設資料庫為pubs
EXEC sp_addlogin 'l_test','[email protected]','InsideTSQL2008'

--為登入 l_test 在資料庫 pubs 中新增安全賬戶 u_test
EXEC sp_grantdbaccess 'l_test','u_test'

--新增 u_test 為角色 r_test 的成員
EXEC sp_addrolemember 'r_test','u_test'


--用l_test登陸,發現在SSMS中找不到仍和表，因此執行下述兩條語句出錯。
select * from Sales.Orders
select * from HR.Employees

--授予角色 r_test 對 HR.Employees 表的所有許可權
GRANT ALL ON HR.Employees TO r_test
--The ALL permission is deprecated and maintained only for compatibility. 
--It DOES NOT imply ALL permissions defined on the entity.
--ALL 許可權已不再推薦使用，並且只保留用於相容性目的。它並不表示對實體定義了 ALL 許可權。

--測試可以查詢表HR.Employees，但是Sales.Orders無法查詢
select * from HR.Employees


--如果要收回許可權，可以使用如下語句。（可選擇執行）
revoke all on HR.Employees from r_test
--ALL 許可權已不再推薦使用，並且只保留用於相容性目的。它並不表示對實體定義了 ALL 許可權。


--授予角色 r_test 對 Sales.Orders 表的 SELECT 許可權
GRANT SELECT ON Sales.Orders TO r_test

--用l_test登陸,發現可以查詢Sales.Orders和HR.Employees兩張表
select * from Sales.Orders
select * from HR.Employees

--拒絕安全賬戶 u_test 對 HR.Employees 表的 SELECT 許可權
DENY SELECT ON HR.Employees TO u_test

--再次執行查詢HR.Employees表的語句，提示：拒絕了對物件 'Employees' (資料庫 'InsideTSQL2008'，架構 'HR')的 SELECT 許可權。
select * from HR.Employees

--重新授權
GRANT SELECT ON HR.Employees TO u_test

--再次查詢，可以查詢出結果。
select * from HR.Employees


USE InsideTSQL2008
--從資料庫中刪除安全賬戶,failed
EXEC sp_revokedbaccess 'u_test'
--刪除角色 r_test,failed
EXEC sp_droprole 'r_test'
--刪除登入 l_test,success
EXEC sp_droplogin 'l_test'

revoke 與 deny的區別

revoke：收回之前被授予的許可權

deny：拒絕給當前資料庫內的安全帳戶授予許可權並防止安全帳戶通過其組或角色成員資格繼承許可權。比如UserA所在的角色組有inset許可權，但是我們Deny UserA使其沒有insert許可權，那麼以後即使UserA再怎麼到其他含有Insert的角色組中去，還是沒有insert許可權，除非該使用者被顯示授權。

簡單來說，deny就是將來都不許給，revoke就是收回已經給予的。

例項

GRANT INSERT ON TableA TO RoleA
GO
EXEC sp_addrolemember RoleA, 'UserA' -- 使用者UserA將有TableA的INSERT許可權
GO

REVOKE INSERT ON TableA FROM RoleA -- 使用者UserA將沒有TableA的INSERT許可權，收回許可權
GO

GRANT INSERT ON TableA TORoleA --重新給RoleA以TableA的INSERT許可權
GO 

DENY INSERT ON TableA TO UserA -- 雖然使用者UserA所在RoleA有TableA的INSERT許可權，但UserA本身被DENY了，所以使用者UserA將沒有TableA的INSERT許可權。