Security2：角色和权限

权限的授予分为三部分：权限(Permission)，安全对象(Securable)和安全主体(Principal)，这三个术语之间的关系是：Grant Permission on Securable to Principal，通俗地解释是：授予Principal操作Securable的Permission。Principal是被授予权限的实体，Securable是table，view等对象，是Principal操作的对象；有时Principal也会作为Securable，被其他Principal操纵。

一，Role 作为 Principal，被授予权限

查看Permission列表，点击：Permissions (Database Engine)，这里列出的是单个权限(Individual permission)，role 是权限的集合。

1, 创建角色

Role分为数据库角色和服务器角色，AUTHORIZATION owner_name 子句用于指定角色Owner

CREATE ROLE role_name
AUTHORIZATION owner_nameCREATE SERVER ROLE role_name
AUTHORIZATION server_principal

角色的所有者，在删除所有者之前，必须修改角色的所有者关系，经常把角色的所有者设置为dbo：

ALTER AUTHORIZATION
ON ROLE::[role_name] TO [dbo]

如果数据库用户拥有一个role，在删除用户时，数据库将抛出错误：

The database principal owns a database role and cannot be dropped.

2，将权限授予角色，角色是权限的集合

Role作为一个Principal，可以使用Grant子句为role授予权限，这里为role授予Object的Permissions

GRANT <permission> [ ,...n ]
ON [ OBJECT :: ][ schema_name ]. object_name [ ( column [ ,...n ] ) ]
TO <database_principal> [ ,...n ]
[ WITH GRANT OPTION ]<database_principal> ::= Database_user | Database_role

3，为角色增加或删除一个用户成员

ALTER [Server] ROLE role_name
{[ ADD MEMBER database_principal ]| [ DROP MEMBER database_principal ]
}

4，示例，授予数据库角色访问table的权限

grant ALTER,DELETE,INSERT,SELECT,UPDATE  --Permission List
on dbo.dt_test    --Table Name
to dabase_level_role    --Role Name
with GRANT OPTION

二，Role 作为Securable，Principal授予操纵Role的权限

Role 可以是数据库的安全主体(Principal)，被授予权限;Role可以是数据库的安全对象(Securable)，Grant子句可以授予Principal操纵Role的权限。

GRANT permission [ ,...n ]  ON {  [ USER :: database_user ]| [ ROLE :: database_role ]}TO <database_principal> [ ,...n ][ WITH GRANT OPTION ]<database_principal> ::= Database_user | Database_role

1，Granting CONTROL permission on a user to another user

GRANT CONTROL
ON USER::Wanida
TO RolandX;

2，Granting VIEW DEFINITION permission on a role to a user with GRANT OPTION

GRANT VIEW DEFINITION
ON ROLE::SammamishParking TO JinghaoLiu  WITH GRANT OPTION;

三，数据库对象权限

对数据库对象的权限控制，粒度是表列，数据行是对象的所有数据行。

GRANT <permission> [ ,...n ] ON [ OBJECT :: ][ schema_name ]. object_name [ ( column [ ,...n ] ) ]TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ][ AS <database_principal> ]<database_principal> ::= Database_user | Database_role

对象的权限列表：

Scalar function permissions: EXECUTE, REFERENCES.
Table-valued function permissions: DELETE, INSERT, REFERENCES, SELECT, UPDATE.
Stored procedure permissions: EXECUTE.
Table permissions: DELETE, INSERT, REFERENCES, SELECT, UPDATE.
View permissions: DELETE, INSERT, REFERENCES, SELECT, UPDATE.

1，Granting SELECT permission on a table

GRANT SELECT ON OBJECT::Person.Address TO RosaQdM;

2，Granting EXECUTE permission on a stored procedure

GRANT EXECUTE ON OBJECT::HumanResources.uspUpdateEmployeeHireInfoTO Recruiting11;

四，使用固定数据库角色授权，授予某个User只读数据的权限

Step1，在SQL Server中为该用户创建一个Login和User，在创建User时，建立Login 和 User 之间的Mapping 关系。

由于权限是授予user的，所以必须使用Use 子句切换到当前db中

--create Login Name
create login [domain\login]
from windows;use current_db_name
go
--create --UserName
Create User DWReadOnly
for login [domain\login]

Step2，使用DB的Fixed Role

db_datareader ：Members of the db_datareader fixed database role can read all data from all user tables.

只需要将User 添加到DB的 db_datareader 中，那么这个User 就能只能 read 所有的User table，而不会修改任何数据。

step3，使用Alter Role 授予user 只读权限

--Grant readonly
ALTER ROLE [db_datareader]
add MEMBER DWReadOnly

如果要授予Server Role(服务器角色)权限，授予权限的Principal 是Login。

create login [domain\username]
from windows;alter server role sysadmin
add member [domain\username];

五，固定角色

固定角色分为服务器级别和数据库级别，角色的权限是预先定义好的，除了public角色之外，不能修改角色的权限。

1，数据库级别的固定角色

在数据库级别最高的权限是db_owner角色，拥有数据库的最高权限：control database

db_owner：允许在数据库中执行任何操作，包括删除数据库
db_ddladmin：允许执行DDL命令
db_datawriter：允许对所有表进行增删改查操作
db_datareader：允许对所有表进行查找操作
db_denydatawriter：不允许对表执行insert、update和delete命令
db_denydatareader：不允许对表执行select命令
public：数据库级别的public角色，权限可以被修改，所有的用户都会继承public角色的权限

2，服务器级别的固定角色

在服务器级别，最高的权限是sysadmin，能够在服务器中执行任何操作。

public 角色，权限可以被修改，所有的login都会继承public角色的权限

3，特殊的public角色

public角色分为：数据库级别和服务器级别

对于数据库级别的public角色，任何数据库的用户(User)都属于public角色
对于服务器级别的public角色，任何服务器的登录(Login)都属于public角色

虽然public角色属于固定(服务器级别和固定数据库级别)的角色，但是其特殊之处在于：角色的权限可以被修改。

每个 SQL Server 的登录(Login)均属于 public 服务器角色，所有的数据库用户(User) 都属于public数据库角色。用户不能删除public角色，但是，可以授予或收回public角色的权限。默认情况下，public角色被分配很多权限，大部分权限都跟数据库中的日常操作有关。默认情况下，

数据库级别的public 角色拥有的权限：查看特定系统表
服务器级别的public 角色拥有的权限：查看数据库，链接服务器(VIEW ANY DATABASE, CONNECT)

当一个对象对所有用户或登录可用时，只需把权限分配给 public 角色即可。默认情况下，所有的数据库用户都属于public角色，因此，授予或回收public角色的权限，将会影响所有的用户。

参考文档：

GRANT Object Permissions (Transact-SQL)

GRANT Database Principal Permissions (Transact-SQL)

GRANT Database Permissions (Transact-SQL)

Database-Level Roles

Server-Level Roles