面向数据库管理员的SQL Server 2008安全性概述

主体和安全实体

在 SQLServer2008中，“主体”就是可以访问受保护资源且能获得访问资源所需权限的任何个人、组或流程。与旧版 SQL Server 一样，可以在 Windows 中定义主体，也可将没有对应 Windows 主体的 SQL Server 登录作为其基础。下面的列表显示了 SQL Server 2008主体的层次结构，但不包括固定服务器和数据库角色，还显示了将登录和数据库用户映射为安全对象的方法。主体的影响范围取决于它的定义范围，这样 Windows 级别的主体就比 SQL Server 级别的主体拥有更大的影响范围，而后者的影响范围又大于数据库级别的主体。每个数据库用户都会自动隶属于固定的 public 角色。

Windows 级别的主体

Windows 域登录

Windows 本地登录

Windows 组

SQL Server 级别的主体

SQL Server登录

映射为 Windows 登录的 SQL Server 登录

映射为证书的 SQL Server 登录

映射为不对称密钥的 SQL Server 登录

数据库级别的主体

数据库用户

映射为 SQL Server 登录的数据库用户

映射为 Windows 登录的数据库用户

映射为证书的数据库用户

映射为不对称密钥的数据库用户

数据库角色

应用程序角色

公共角色

授权的另一部分就是可用以保护权限授予操作或拒绝授予操作的对象。图4列出了SQLServer2008 中安全实体对象的层次结构。在服务器级别，可以保护网络端点，以控制进出服务器的通信通道，以及数据库、绑定角色和登录。在数据库和架构级别，用户创建的每一个对象都被当作安全主体，包括那些驻留在架构中的对象。

角色和权限

要了解可在 SQL Server 中可用的权限数量，可以调用 fn_builtin_permissions 系统函数：

SELECT * FROM sys.fn_builtin_permissions(default)