服务器角色.doc

服务器角色所有的服务器角色都是“固定的”角色,并且,从一开始就存在于那里——自安装完 SQL Server 的那一刻起,你将拥有的所有服务器角色就已经存在了。角色特性 sysadmin 该角色能够执行 SQL Server 上的任何操作。本质上,任何具有这种角色成员身份的人都是那个服务器上的 sa。这种服务器角色的创建为微软提供了某一天去除 sa登录的能力——实际上,联机丛书把 sa称作本质上为遗留物的东西值得注意的是,在 SQL Server 上, Windows 的 Administrators 组被自动映射到 sysadmin 角色中。这意味着服务器的 Administrators 组中的任何成员同时也具有对 SQL 数据的 sa级别的访问权限。如果需要,你可以从 sysadmin 角色中删除 Windows 的administrators 组,以提高安全性、防范漏洞 serveradmin 该角色能设置服务器范围的配置选项或关闭服务器。尽管它在范围上相当有限,但是,由该角色的成员所控制的功能对于服务器的性能会产生非常重大的影响 setupadmin 该角色仅限于管理链接服务器和启动过程 securityadmin 对于专门创建出来用于管理登录名、读取错误日志和创建数据库许可权限的登录名来说,该角色非常便利。在很多方面,该角色是典型的系统操作员角色——它能够处理多数的日常事务,但是,却不具备一个真正无所不能的超级用户所拥有的那种全局访问 processadmin 能够管理 SQL Server 中运行的进程——必要的话,该角色能够终止长时间运行的进程 dbcreator 该角色仅限于创建和更改数据库 diskadmin 管理磁盘文件(指派给了什么文件组、附加和分离数据库, 角色特性等等) bulkadmin 该角色有些怪异。它被明确创建出来,用于执行 BULK INSERT 语句的权限,否则的话,只能由具有 sysadmin 权限的人来执行 BULK INSERT 语句。坦白地说,我不明白为什么该语句不能像其他事情那样通过 GRANT 命令来授予权限,但它的确没有。要记住,即使把一个用户加入到了 bulkadmi n 组中,也只是给了他们访问那个语句的权限,对于运行该语句的表,并没有授予用户访问那个表的权限。这意味着不仅需要把用户添加到 bulkadmin 中,而且,对于想要用户能在其上执行 BULK INSERT 的表,还要授予(GRANT )用户 INSER T 许可权限。此外,对于将在 BULK INSERT 语句中引用的所有表,还要确保用户拥有正确的到那些表的 SELECT 访问权限对于在服务器上承担管理角色任务的单个用户,你可以对其混合搭配这些角色。一般来说,我怀疑只有最大型的数据库才会使用比 sysadmin 和 securityadmin 更多的角色,然而,有它们在旁边还是很便利的。在本章的前面,我曾就全能用户会带来的麻烦进行过抨击。当新的 sysadmin 角色添加到 版时, 我完全是欣喜若狂的, 或许, 得知此事你不会感到惊奇。 sysadmin 角色的存在表明, 在不断发展的基础上, 不再需要让所有人都有 sa 登录账户——只要让需要拥有那种访问级别的用户成为 sysadmin 角色的成员,这样他们就不再