sqlserver对象权限

① 在sqlserver用户验证模式中什么用户是内置的默认管理员

1、salogin是服务器级别的特殊安全主体，登录名是sa，是服务器级别的SQLLOGIN。默认情况下，在安装SQLServer实例时，salogin就被创建了。从SQLServer2005开始，salogin的默认数据库是master，并且是sysadmin角色的成员，因此salogin拥有服务器的最高权限，并且权限不能被限制。虽然salogin不能被删除，但是可以禁用。一旦sa被禁用，任何人都无法使用salogin来管理SQLServer实例。
2、在数据库级别，SQLServer在每个数据库中都预先创建了两个特殊的用户：dbo和guest，在每个数据库中都有这两个用户(User)。
3、dbo(databaseowner的简称)：是WINDOWS_USER，数据库的所有者(Owner)，每个数据库都有一个dbo用户，SQLServer把固定服务器角色sysadmin的成员、salogin和数据库的owner都映射到数据库用户dbo上。
4、guest：宾客，是SQL_USER，对于任何没有映射到数据库用户的有效登陆(Login)，SQLServer使用guest账户登陆数据库。在登陆数据库之前，需要分配权限给guest，一般给guest查看(select)数据库对象的权限，默认情况下，guest是没有登录数据库的权限。

② 怎样设置SQL Server的用户及权限

1

-- SQLServer：

一、操作步骤
首先进入数据库级别的【安全性】-【登录名】-【新建登录名】

（图1：新建登录名）
2. 在【常规】选项卡中，如下图所示，创建登陆名，并设置默认的数据库。

（图2：设置选项）
3. 在【用户映射】选项卡中，如下图所示，勾选需要设置的数据库，并设置【架构】，点击【确认】按钮，完成创建用户的操作

（图3：选择对应数据库）
4. 现在我们就可以对TestLog数据库中的User表进行权限的设置了，【表】-【 属性】

（图4：选择对应表）
5. 在【权限】选项卡中，如下图所示，依此点击【添加】-【浏览】-【选择对象】

（图5：设置访问表的用户）
6. 在上面点击【确认】后，我们就可以下面的列表中找到对应的权限，如果你还想细化到列的权限的话，右下角还有一个【列权限】的按钮可以进行设置，点击【确认】按钮就完成了这些权限的设置了

（图6：权限列表）
7. 现在就使用TestUser用户登陆数据库了，登陆后如下图所示，现在只能看到一个表了

（图7：效果）

二、注意事项
在上面的第3步骤中需要注意：如果这里没有选择对应的数据库的话，之后去TestLog数据库中是找不到TestUser。

（图8：找不到TestUser用户）
2. 在上面的第3步骤，设置完TestLog数据后，需要点击【确认】按钮，完成创建用户操作，如果这个时候去设置【安全对象】，是无法在【添加】-【特定对象】-【对象类型】-【登陆名】-【浏览】中找到刚刚新建的TestUser用户的。
3. 其实在数据库级别的【安全性】创建的用户是属于全局的，当设置了某个数据库，比如TestLog之后，这个用户就会出现在这个数据库的【安全性】列表中。 如果删除TestLog这个用户，会出现下面的提示。删除了后，这个用户就无法登陆了。需要去对应的数据库中删除用户，如果没有删除又创建，是会报错的。

（图9：删除TestUser用户）
4. 在第6步的【显式权限】列表中，如果选择了【Control】这个选项，那么在【Select】中设置查询【列权限】就没有意义了，查询就不会受限制了。如果设置【列权限】，在正常情况下会显示下图的报错信息：

（图10：效果）
5. 在TestLog数据库的【安全性】-【TestUser】-【属性】-【安全对象】-【添加】-【对象类型】这里有更多关于数据库级别的一些对象类型可以设置。

（图11：其它对象类型）

③ 请问在SQLServer 2000中用户和角色的区别以及对象权限和语句权限的区别。麻烦用规范语言作答。

/*--示例说明
示例在数据库pubs中创建一个拥有表jobs的所有权限、拥有表titles的SELECT权限的角色r_test
随后创建了一个登录l_test，然后在数据库pubs中为登录l_test创建了用户账户u_test
同时将用户账户u_test添加到角色r_test中，使其通过权限继承获取了与角色r_test一样的权限
最后使用DENY语句拒绝了用户账户u_test对表titles的SELECT权限。
经过这样的处理，使用l_test登录SQL Server实例后，它只具有表jobs的所有权限。
--*/

USE pubs

--创建角色 r_test
EXEC sp_addrole 'r_test'

--授予 r_test 对 jobs 表的所有权限
GRANT ALL ON jobs TO r_test
--授予角色 r_test 对 titles 表的 SELECT 权限
GRANT SELECT ON titles TO r_test

--添加登录 l_test,设置密码为pwd,默认数据库为pubs
EXEC sp_addlogin 'l_test','pwd','pubs'

--为登录 l_test 在数据库 pubs 中添加安全账户 u_test
EXEC sp_grantdbaccess 'l_test','u_test'

--添加 u_test 为角色 r_test 的成员
EXEC sp_addrolemember 'r_test','u_test'

--拒绝安全账户 u_test 对 titles 表的 SELECT 权限
DENY SELECT ON titles TO u_test

/*--完成上述步骤后,用 l_test 登录,可以对jobs表进行所有操作,但无法对titles表查询,虽然角色 r_test 有titles表的select权限,但已经在安全账户中明确拒绝了对titles的select权限,所以l_test无titles表的select权限--*/

--从数据库 pubs 中删除安全账户
EXEC sp_revokedbaccess 'u_test'

--删除登录 l_test
EXEC sp_droplogin 'l_test'

--删除角色 r_test
EXEC sp_droprole 'r_test'

首先,做好用户安全:

--简单的,只允许sql的用户访问sql(防止利用administrator组用户访问)

1.企业管理器--右键SQL实例--属性--安全性--身份验证--选择"sql server和windows"--确定

2.企业管理器--安全性--登陆--右键sa--设置密码--其他用户也设置密码

3.删除用户:
BUILTIN\Administrators
<机器名>\Administrator --这个用户不一定有
这样可以防止用windows身份登陆SQL

4.设置进入企业管理器需要输入密码
在企业管理器中
--右键你的服务器实例(就是那个有绿色图标的)
--编辑SQL Server注册属性
--选择"使用 SQL Server 身份验证"
--并勾选"总是提示输入登录名和密码"
--确定

--经过上面的设置,你的SQL Server基本上算是安全了.

------------------------------------------------------------------------

其次,改默认端口,隐藏服务器,减少被攻击的可能性

SQL Server服务器
--开始
--程序
--Microsoft SQL Server
--服务器网络实用工具
--启用的协议中"TCP/IP"
--属性
--默认端口,输入一个自已定义的端口,比如2433
--勾选隐藏服务器

----------------------------------------------------------------------------

--管好sql的用户,防止访问他不该访问的数据库(总控制,明细还可以控制他对于某个数据库的具体对象具有的权限)

--切换到你新增的用户要控制的数据库
use 你的库名
go

--新增用户
exec sp_addlogin 'test' --添加登录
exec sp_grantdbaccess N'test' --使其成为当前数据库的合法用户
exec sp_addrolemember N'db_owner', N'test' --授予对自己数据库的所有权限

--这样创建的用户就只能访问自己的数据库,及数据库中包含了guest用户的公共表
go

--删除测试用户
exec sp_revokedbaccess N'test' --移除对数据库的访问权限
exec sp_droplogin N'test' --删除登录

如果在企业管理器中创建的话,就用:

企业管理器--安全性--右键登录--新建登录

常规项
--名称中输入用户名
--身份验证方式根据你的需要选择(如果是使用windows身份验证,则要先在操作系统的用户中新建用户)
--默认设置中,选择你新建的用户要访问的数据库名

服务器角色项
这个里面不要选择任何东西

数据库访问项
勾选你创建的用户需要访问的数据库名
数据库角色中允许,勾选"public","db_ownew"

确定,这样建好的用户与上面语句建立的用户一样
---------------------------------------------------------------------------

最后一步,为具体的用户设置具体的访问权限,这个可以参考下面的最简示例:

--添加只允许访问指定表的用户:
exec sp_addlogin '用户名','密码','默认数据库名'

--添加到数据库
exec sp_grantdbaccess '用户名'

--分配整表权限
GRANT SELECT , INSERT , UPDATE , DELETE ON table1 TO [用户名]

--分配权限到具体的列
GRANT SELECT , UPDATE ON table1(id,AA) TO [用户名]

-------------------------------------------------------------------
至于具体的安全设置和理论知道,参考SQL联机帮助

④ 怎么给sqlserver的用户添加权限

grant 权限 on 数据库对象 to 用户

例如 grant select on employee to user
给user这个用户对表employee的查询权限

grant all privileges on testdb to user
给user这个用户对数据库testdb 的所有权限

⑤ sqlserver 在对象上的权限设置有哪些动作分别是什么意义

以下粘贴自SQL Server 的帮助信息，文字太多不能贴全，你自己可在帮助中查到更多信息。

-----------------------------

每个 SQL Server 安全对象都有可以授予主体的关联权限。本主题提供了下列信息：

权限命名约定

与特定的安全对象相关的权限

SQL Server 权限

权限检查算法

示例

权限命名约定

下面介绍命名权限时遵循的一般约定：

CONTROL

为被授权者授予类似所有权的功能。被授权者实际上对安全对象具有所定义的所有权限。也可以为已被授予 CONTROL
权限的主体授予对安全对象的权限。因为 SQL Server 安全模型是分层的，所以 CONTROL 权限在特定范围内隐含着对该范围内的所有安全对象的
CONTROL 权限。例如，对数据库的 CONTROL
权限隐含着对数据库的所有权限、对数据库中所有组件的所有权限、对数据库中所有架构的所有权限以及对数据库的所有架构中的所有对象的权限。

ALTER

授予更改特定安全对象的属性（所有权除外）的权限。当授予对某个范围的 ALTER
权限时，也授予更改、创建或删除该范围内包含的任何安全对象的权限。例如，对架构的 ALTER 权限包括在该架构中创建、更改和删除对象的权限。

ALTER ANY
<服务器安全对象>，其中的服务器安全对象可以是任何服务器安全对象。

授予创建、更改或删除服务器安全对象的各个实例的权限。例如，ALTER
ANY LOGIN 将授予创建、更改或删除实例中的任何登录名的权限。

ALTER ANY
<数据库安全对象>，其中的数据库安全对象可以是数据库级别的任何安全对象。

授予创建、更改或删除数据库安全对象的各个实例的权限。例如，ALTER
ANY SCHEMA 将授予创建、更改或删除数据库中的任何架构的权限。

TAKE OWNERSHIP

允许被授权者获取所授予的安全对象的所有权。

IMPERSONATE <登录名>

允许被授权者模拟该登录名。

IMPERSONATE <用户>

允许被授权者模拟该用户。

CREATE <服务器安全对象>

授予被授权者创建服务器安全对象的权限。

CREATE <数据库安全对象>

授予被授权者创建数据库安全对象的权限。

CREATE
<包含在架构中的安全对象>

授予创建包含在架构中的安全对象的权限。但是，若要在特定架构中创建安全对象，必须对该架构具有
ALTER 权限。

VIEW DEFINITION

允许被授权者访问元数据。

REFERENCES

表的 REFERENCES 权限是创建引用该表的外键约束时所必需的。

对象的 REFERENCES
权限是使用引用该对象的 WITH SCHEMABINDING 子句创建 FUNCTION 或 VIEW
时所必需的。

适用于特定安全对象的权限

下表列出了主要的权限类别以及可应用这些权限的安全对象的种类。

权限

适用于

SELECT

同义词

表和列

表值函数 [Transact-SQL 和公共语言运行时 (CLR)] 和列

视图和列

VIEW CHANGE TRACKING

表

架构

UPDATE

同义词

表和列

视图和列

REFERENCES

标量函数和聚合函数（Transact-SQL 和 CLR）

Service Broker 队列

表和列

表值函数（Transact-SQL 和 CLR）和列

视图和列

INSERT

同义词

表和列

视图和列

DELETE

同义词

表和列

视图和列

EXECUTE

过程（Transact-SQL 和 CLR）

标量函数和聚合函数（Transact-SQL 和 CLR）

同义词

CLR 类型

RECEIVE

Service Broker 队列

VIEW DEFINITION

过程（Transact-SQL 和 CLR）

Service Broker 队列

标量函数和聚合函数（Transact-SQL 和 CLR）

同义词

表

表值函数（Transact-SQL 和 CLR）

视图

ALTER

过程（Transact-SQL 和 CLR）

标量函数和聚合函数（Transact-SQL 和 CLR）

Service Broker 队列

表

表值函数（Transact-SQL 和 CLR）

视图

TAKE OWNERSHIP

过程（Transact-SQL 和 CLR）

标量函数和聚合函数（Transact-SQL 和 CLR）

同义词

表

表值函数（Transact-SQL 和 CLR）

视图

CONTROL

过程（Transact-SQL 和 CLR）

标量函数和聚合函数（Transact-SQL 和 CLR）

Service Broker 队列

同义词

表

表值函数（Transact-SQL 和 CLR）

视图

⑥ SQLServer安全规划全攻略的分配权限

实施安全策略的最后一个步骤是创建用户定义的数据库角色，然后分配权限。完成这个步骤最简单的方法是创建一些名字与全局组名字配套的角色。例如对于前面例子中的会计系统，我们可以创建Accounting Data Entry Operators、Accounting Data Entry Managers之类的角色。
只要规划得恰当，你能够在域控制器上完成所有的访问和权限维护工作，使得服务器反映出你在域控制器上进行的各种设置调整。虽然实际应用中情况可能有所变化，但本文介绍的基本措施仍旧适用，它们能够帮助你构造出很容易管理的安全策略。&not;
由于会计数据库中的角色与帐务处理任务有关，你可能想要缩短这些角色的名字。然而，如果角色名字与全局组的名字配套，你可以减少混乱，能够更方便地判断出哪些组属于特定的角色。
创建好角色之后就可以分配权限。在这个过程中，我们只需用到标准的GRANT、REVOKE和DENY命令。但应该注意DENY权限，这个权限优先于所有其他权限。如果用户是任意具有DENY权限的角色或者组的成员，SQL Server将拒绝用户访问对象。
接下来我们就可以加入所有SQL Server验证的登录。用户定义的数据库角色可以包含SQL Server登录以及NT全局组、本地组、个人帐户，这是它最宝贵的特点之一。用户定义的数据库角色可以作为各种登录的通用容器，我们使用用户定义角色而不是直接把权限分配给全局组的主要原因就在于此。
由于内建的角色一般适用于整个数据库而不是单独的对象，因此这里建议你只使用两个内建的数据库角色,，即db_securityadmin和db_owner。其他内建数据库角色，例如db_datareader，它授予对数据库里面所有对象的SELECT权限。
虽然你可以用db_datareader角色授予SELECT权限，然后有选择地对个别用户或组拒绝SELECT权限，但使用这种方法时，你可能忘记为某些用户或者对象设置权限。一种更简单、更直接而且不容易出现错误的方法是为这些特殊的用户创建一个用户定义的角色，然后只把那些用户访问对象所需要的权限授予这个用户定义的角色。

⑦ sqlserver 创建数据库的权限是哪个

在实例节点下有一个节点叫做安全性，打开安全性，下面有节点叫做服务器角色。

如果想创建数据库，需要这个login是dbcreator角色。

⑧ 与SQL SERVER 安全控制相关的几点说明

与SQL SERVER安全控制相关的几点说明

（一）几个基本术语

身份验证（Authentication）是指通过提交服务器评估的凭据以登录到主体请求访问的 SQL Server 的过程。身份验证可以确定接受身份验证的用户或进程的标识。

用户、账户、账号、登录名、[数据库]用户名
用户是指能够在SQL Server安全机制下，访问数据库对象中的数据的操作员或客户。用户若要访问数据库对象，必须获得数据库管理员（DBA）分配的账号和密码。从SQL Server管理系统的角度来看，用户就是一组匹配的账户和密码。
账户和账号是一个概念的不同说法，在服务器中的账户又叫登录名（Login Name），因此访问服务器也称为登录服务器。服务器的登录名可以映射到数据库中成为[数据库]用户名(User Name)。一个登录名可以映射多个数据库用户，而一个用户只能映射一个登录名。
连接或登录SQL Server服务器时是用的登录名而非用户名登录的，程序里面的连接字符串中的用户名也是指登录名。
通常用户名与登录名相同（不是强制相同，但为了一目了然通常都在创建用户名时使用与登录名相同的名字）。
提示：登录名（Login Name）和用户名(User Name)是两个不同的概念：
登录名：服务器方的一个实体，登录名只能进入SQL Server服务器，但是不能让用户访问服务器中的数据库资源。
用户名：一个或多个登录对象在数据库中的映射，可以对用户对象进行授权，以便为登录对象提供对数据库的访问权限。
登录名作用于它所在的服务器。每个登录名的定义存放在master系统数据库的syslogins表中。
用户名作用于它所在的数据库。用户定义信息存放在每个数据库的sysusers表中。用登录名登录到SQL Server后，在访问操作各个数据库时，SQL Server会自动查询此数据库中是否存在与此登录名关联的用户名，若存在就使用此用户的权限访问此数据库，若不存在就是用guest用户访问此数据库（guest是一个特殊的用户名，后面会讲到）。

SQL身份验证：适合于非windows平台的用户或Internet用户，需要提供账户和密码。
Windows身份验证：适合于windows平台用户，利用Windows账户和windows集成验证，不需要提供密码。
用户想要操作数据库的某个对象（如某张表）需要过三关：
第一关：我们需要登录到SQL Server系统，即需要登录账户；
第二关：我们需要访问某个数据库，即需要该数据库的用户账户；
第三关：我们需要访问数据库中的某个对象（如某张表），需要有该对象的权限。

主体(principal)是可被授予对安全资源的访问权限的实体（例如登录名、用户、进程、组或角色）。主体可以是主体的集合（比如数据库角色或Windows组）或不可分割的主体（比如本地登录或域登录）。每个主体都具有一个 ID (identification)和一个安全 ID (SID)。
⊙ Windows级别的主体：Windows组、Windows域登录名、Windows本地登录名。
⊙ SQL Server级的主体：服务器角色、SQLServer登录名。
⊙数据库级的主体：数据库角色、数据库用户、应用程序角色。

上下文切换 (context switch)，更改检查执行语句或执行操作的权限时所依据的标识。

服务器(server)
1)指安装了SQL SERVER的计算机。2）指SQL Server实例——计算机上运行的 SQLServer的副本。3）指为用户提供服务的计算机软件或组件。
需要根据上下文理解。

注册服务器
注册服务器使您可以存储服务器连接信息（服务器的类型、服务器的名称、登录到服务器时使用的身份验证的类型等），以供将来连接时使用——下次连接该服务器时，不需要重新输入登录信息。
SQLServer 2000在SQL Server企业管理器中注册服务器，才能使用 SQL Server企业管理器来管理这些服务器。从SQLServer 2005始，在 SQL ServerManagement Studio 中注册服务器，才能使用 SQL Server Management Studio 来管理这些服务器。
在 Microsoft SQL Server中，可以注册以下类型的服务器：SQLServer数据库引擎、Analysis Services、Reporting Services、IntegrationServices和 SQL Server Compact 3.5SP1。

（二）SQL Server实例(SQL Server instance)
SQLServer实例(SQL Server instance)，简称实例 (instance)，是计算机上运行的SQLServer 的副本。同一台计算机上可以安装运行的多个 SQLServer副本。每个SQL Server实例都包含数据库引擎、Analysis Services和 ReportingServices的 SQL Server，每个SQL Server数据库实例各有一套不为其他实例共享的系统及用户数据库。
数据库引擎是用于存储、处理和保护数据的核心服务。利用数据库引擎可控制访问权限并快速处理事务。
实例又分为“默认实例”(default instance)和“命名实例”(namedinstance)，如果在一台计算机上安装第一个SQLSERVER,命名设置保持默认的话，那这个实例就是默认实例。默认实例与安装计算机具有相同名称。命名实例指安装SQL Server时给定了名称，可以安装多个命名实例，给定名称是为了与同一台计算机上的其他命名实例和默认实例区分开。

SQLServer应用程序可以通过仅指定服务器名称而连接到 SQLServer的默认实例。SQL Server应用程序在连接到服务器上的某个命名实例时必须既指定服务器名称又指定实例名称，计算机名称\实例名称。
一台计算机上最多只有一个默认实例，也可以没有默认实例，默认实例名与计算机名相同。如果要访问本机上的默认SQL服务器实例，使用计算机名、(local)、localhost、127.0.0.1、.、本机IP地址，都可以达到相同的目的。但如果要访问非本机的SQL服务器，那就必须使用计算机名称\实例名称。

默认实例和命名实例的区别:
1、服务中服务名称的区别：
(1)默认实例:MSSQLSERVER。
(2)有名命名实例：实列名为benet，在服务中的名称是MSSQL$BENET。
注：如果你有多个实例的时候会在服务中出现多个服务名称。
2、连接到查询分析器或探查器的时候区别：
(1)默认实例可以使用:“.”(点)、“(local)”、“计算机名称”。
(2)实例名称：计算机名pcname，实例名benet，连接时使用的名称是pcname\benet。

(三)安全对象和权限

安全对象(Securable)，可以通过权限得到保护的实体。是SQLServer数据库引擎授权系统控制对其进行访问的资源。如表、视图、触发器等。
SQLServer中将安全对象分为三个层次,分别为:
⊙服务器层级，包含的安全对象：端点、登录、服务器角色、数据库。
⊙数据库层级，包含的安全对象：用户、数据库角色、应用程序角色、程序集、消息类型、路由、服务、远程服务绑定、全文目录、证书、非对称密钥、对称密钥、约定、架构。
⊙构架（SCHEMA）层级，包含的安全对象：类型、XML架构集合、对象（函数、过程、同义词、表、视图）
这三个层级是从上到下包含的，级别从高到低。

说明：端点(endpoint)为服务器级安全对象。Microsoft SQL Server 2005 中的连接管理基于“端点”。一个端点就是一个SQL Server对象，它能够使 SQL Server在网络中通信。对于数据库镜像，服务器实例需要有自己专用的“数据库镜像端点”。此端点用途特殊，专门用于接收来自其他服务器实例的数据库镜像连接。

权限 (permission)，与对象关联的规则，用来规定哪些用户可以获得该对象的访问权限以及方式如何。对安全对象的访问通过授予或拒绝权限进行控制。
权限可以明确用户能够使用哪些数据库对象，并对它们进行何种操作。用户在数据库内的权限取决于用户账号的权限和该用户所属的角色的权限。
提示：在设置权限时，尤其要注意权限在安全对象上的继承关系。对于高级别安全对象上设置的权限，会被自动继承到低级别安全对象上。
理解权限的继承和权限的覆盖会在设置权限时减少很多问题，最佳方法是统筹规划，上机验证。

（四）架构(schema)
架构是指包含表、视图、过程等的容器。它位于数据库内部，而数据库位于服务器内部。这些实体就像嵌套框放置在一起。服务器是最外面的框，而架构是最里面的框。架构包含表、视图、过程、函数、同义词、类型、队列、XML架构集合等安全对象。

注意：
在 SQL Server 2000和早期版本中，数据库可以包含一个名为“架构”的实体， SQL Server 2000包含 CREATE SCHEMA语句，但此实体实际上是所有者（创建对象时的用户）。在 SQL Server 2005 开始，架构既是一个容器，又是一个命名空间。任何用户都可以拥有架构，并且架构所有权可以转移。从 SQL Server 2005开始，每个用户都拥有一个默认架构。可以使用 CREATE USER或 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将使用 dbo作为默认架构。

在SQL Server 2000中，DataBaseName.dbo.TableName解释为：数据库名.所有者.表名。
从 SQL Server 2005开始，DataBaseName.dbo.TableName解释为：数据库名.架构名.表名。

在SQL Server 2000中，数据库对象全称是server_name.[database_name].[owner_name].object_name
从SQL Server 2005始，数据库对象全称是server_name.[database_name].[schema_name].object_name
在SQL SERVER2000或以前版本中创建一个对象，对象必须要有一个所有者(owner)。对象是如何属于某个所有者的呢？这依赖于创建对象时的用户。您不能取消对象所有者(object owner)的特权(privileges)。对象所有者可以执行任何与对象有关的操作（例如 INSERT、UPDATE、DELETE、SELECT或 EXECUTE），也可以管理对象的权限。
从2005/2008后，一个我们必须重新认识的情况是对象不再有所有者（owner）。架构包含对象，架构有所有者。

在2005前（如SQL Server 2000中），没有架构的概念，只有用户的概念，那时候DBO是默认用户。到了2005，有了架构概念，但是为了向后兼容，保留了DBO，并且把DBO作为默认架构，在不指定架构的情况下，默认为dbo，“默认架构”的概念，用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2005 中，每个用户都有一个默认架构，用于指定服务器在解析对象的名称时将要搜索的第一个架构。可以使用 CREATE USER和 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将把 DBO作为其默认架构。

（五）dbo
dbo既是默认架构，也是默认用户。在SQL Server 2000中，dbo作为默认用户。在SQL Server2005中，dbo既作为默认用户，也作为默认架构（如图）。

dbo作为默认用户，dbo (DataBase Owner，数据库的所有者，拥有数据库中的所有对象)，每个数据库都有dbo， sysadmin服务器角色的成员自动映射成dbo，无法删除 dbo用户，且此用户始终出现在每个数据库中。通常，登录名sa映射为库中的用户dbo。另外，固定服务器角色 sysadmin的任何成员都映射到每个数据库内称为 dbo的一个特殊用户上。由固定服务器角色sysadmin的任何成员创建的任何对象都自动属于 dbo。由固定服务器角色 sysadmin的任何成员或 dbo用户创建的任何对象都自动属于dbo，由任何其他用户（包括 db_owner固定数据库角色成员）创建的对象，属于创建该对象的用户，而不是 dbo，用创建该对象的用户名限定。例如：
如果用户 Andrew是固定服务器角色sysadmin的成员，并创建表 T1，则表 T1属于 dbo，并以 dbo.T1而不是 Andrew.T1进行限定。相反，如果 Andrew不是固定服务器角色sysadmin的成员，而只是固定数据库角色 db_owner的成员，并创建表 T1，则 T1属于 Andrew，并限定为Andrew.T1。该表属于 Andrew，因为该成员没有将表限定为dbo.T1。

dbo作为默认架构，在不指定架构的情况下，默认为dbo，“默认架构”的概念，用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2005 中，每个用户都有一个默认架构，用于指定服务器在解析对象的名称时将要搜索的第一个架构。可以使用 CREATE USER和 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将把 DBO作为其默认架构。

（六）Guest用户
guest用户不需要映射到登录名。这种用户账号是供数据库中没有明确授予权限给已映射至认证用户使用的。guest供那些已经成功登录到SQL SERVER实例，但是却没有通过用户访问数据库的权限的登录者使用的。

SQLSERVER 2000中guest用户可以删除；而2005/2008中是不能删除的，却可以取消CONNECT权限，而且为安全起见，所有用户定义的数据库中缺省情况下guest用户的权限都是被取消了的，可在除master和tempdb之外的任何数据库中禁用Guest用户。
在SQL SERVER 2000中，新建的数据库中没有Guest用户，但可以添加它，也可删除它，添加与删除方法与普通数据库相同。
在SQL Server 2005或以上版本中GUEST已经默认存在于每个数据库中，但默认情况下，会在新数据库中禁用GUEST用户(在“对象资源管理器→安全性→登录”节点中图标上有禁用标识)，我们可以通过以下语句启用GUEST用户：GRANT CONNECT TO GUEST 。当你决定不再想让该数据库被非数据库授权的用户以GUEST身份进行访问时，可以再次将GUEST帐号禁用。值得一提的是，GUEST用户在数据库中不能被删除，我们只能通过以下语句禁用GUEST用户：REVOKE CONNECT FROMGUEST 。

在SQL SERVER 2000中，要允许guest用户帐户访问数据库，可以像添加其它数据库用户那样添加它，如：
USE<Database Name>
GO
EXECsp_grantdbaccess 'guest'
GO

在SQL SERVER 2005中，允许guest用户帐户
USE<Database Name>
GO
GRANT CONNECT TO GUEST
GO

需要提醒的是，对于是否添加Guest用户要谨慎权衡利弊。

--SQLServer 2000删除guest用户账号
USE<Database Name>
GO
EXECsp_revokedbaccess 'guest'
GO

-- SQLServer 2005禁用guest用户账号
USE<Database Name>
GO
REVOKECONNECT FROM GUEST
GO

（七）sa登录名
SQLServer的 sa登录名是服务器级的主体。默认情况下，该登录名是在安装实例时创建的。在 SQL Server 2005和 SQL Server2008中，sa的默认数据库为 master。这是对早期版本的 SQLServer的行为的更改。

sa（system administrator系统管理员）是为向后兼容而提供的特殊登录。sysadmin是一种角色。该角色能够执行SQLServer上的任何操作。本质上，任何具有这种角色成员身份的人都是那个服务器上的sa。这种服务器角色的创建为微软提供了某一天去除sa登录的能力——实际上，联机丛书把sa称作本质上为遗留物的东西。

与以前版本不同，SQL Server 2008，即使是用混合模式安装，sa也默认禁用。
注意，sa是一个默认的SQL Server登录名，拥有操作SQL Server系统的所有权限，该登录名不能被删除。当采用混合模式安装Microsoft SQL Server系统之后，应该为sa指定一个密码，应为 sa登录分配一个强密码（strongpassword）。

sa登录名会映射到 sysadmin固定服务器角色，它对整个服务器有不能撤销的管理凭据。如果攻击者以系统管理员的身份获取了访问权限，则可能造成的危害是无法预计的。

(八)其它几个默认配置的的登录（Logins）和用户（Users）
默认配置的的登录和用户除了dbo用户、Guest用户、sa登录，还有如下几个：

Administrators组是一个特殊的登录。administrator用户默认administrators组的成员。
Administrators组实际名称为BUILTIN\Administrators。早期版本，这个组的所有成员均为 sysadmin 角色的成员（这意味着Administrators组中的成员具有最高权限），但可以从该角色中移除这些成员。与以前版本不同，SQL Server 2008默认情况下，本地 Windows组 BUILTIN\Administrators不再包含在新的 SQL Server 2008安装上的 SQL Server的 sysadmin固定服务器角色中。

提示：每个版本的 SQL Server都具有不同的安全功能，默认配置也不尽相同，后出的版本更有利于安全，但安全性和使用方便这两种需求可能有矛盾的一面，最佳方法是上机了解验证。

NETWORKSERVICE和SYSTEM登录账户
NETWORKSERVICE和SYSTEM登录账户，实际名称为NT AUTHORITY\NETWORK SERVICE和NT AUTHORITY\SYSTEM，是否存在这些，依赖于服务器的配置。如果配置了报表服务器，将出现NETWORK SERVICE登录账户。

INFORMATION_SCHEMA和sys用户
INFORMATION_SCHEMA和sys又是SQL Server 预定义的架构（内置架构）名称，它们与INFORMATION_SCHEMA和sys用户具有相同的名称。不能删除，主要用于向后兼容性。可以使用INFORMATION_SCHEMA用户和sys用户访问INFORMATION_SCHEMA和sys架构的系统视图，获取有关数据库元数据信息。

（九）SQL Server中的角色
角色 (role)，是SQL Server用来管理服务器和数据库权限的，是安全帐户的集合，在管理权限时可以视为一个单元——作为分配权限的单位。
SQLServer中的角色分为服务器级别和数据库级别角色。

◇服务器级别角色
服务器级别角色用于帮助管理服务器上的权限。服务器角色的权限作用域为服务器范围。可以将登录名（Login Name）添加到服务器角色。

符合权限要求的用户，可以将服务器级主体（SQL Server登录名、Windows帐户和 Windows组）添加到服务器级角色。固定服务器角色的每个成员都可以将其他登录名添加到该同一角色。

固定服务器角色简介：
1）sysadmin：系统管理员，角色成员可对SQLServer服务器进行所有的管理工作，为最高管理角色。这个角色一般适合于数据库管理员（DBA）。
2）securityadmin：安全管理员，角色成员可以管理登录名及其属性。可以授予、拒绝、撤销服务器级和数据库级的权限。另外还可以重置SQL Server登录名的密码。
3）serveradmin：服务器管理员，角色成员具有对服务器进行设置及关闭服务器的权限。
4）setupadmin：设置管理员，角色成员可以添加和删除链接服务器，并执行某些系统存储过程。
5）processadmin：进程管理员，角色成员可以终止SQLServer实例中运行的进程。
6）diskadmin：用于管理磁盘文件。
7）dbcreator：数据库创建者，角色成员可以创建、更改、删除或还原任何数据库。
8）bulkadmin：可执行BULK INSERT语句，但是这些成员对要插入数据的表必须有INSERT权限。BULK INSERT语句的功能是以用户指定的格式复制一个数据文件至数据库表或视图。
9）在sql server 2005 sp2（补丁）及以后版本，服务器角色中还可以看到一个public角色。每个 SQL Server登录名均属于 public服务器角色。 如果未向某个服务器主体授予或拒绝对某个安全对象的特定权限，该用户将继承授予该对象的 public角色的权限。public服务器角色默认拥有 VIEW ANY DATABASE（查看任何数据库）权限。[VIEW ANY DATABASE权限控制是否显示sys.databases和 sys.sysdatabases视图以及 sp_helpdb系统存储过程中的元数据(metadata)。]

从 SQL Server 2012开始，您可以创建用户定义的服务器角色，并将服务器级权限添加到用户定义的服务器角色。
每个版本的 SQL Server都具有不同的安全功能，版本越高，功能越强。

可以利用系统函数IS_SRVROLEMEMBER指示当前用户的 SQLServer登录名是否是固定服务器角色的成员。
可以利用系统存储过程sp_helpsrvrolemember返回有关 SQL Server 固定服务器角色成员的信息。
--查询 sysadmin固定服务器角色的成员。
execsp_helpsrvrolemember 'sysadmin'

◇数据库级别的角色
数据库级别角色用于帮助管理数据库中的权限。数据库级角色的权限作用域为数据库范围。可以将[数据库]用户名(User Name)添加到数据库角色。
SQLServer中有两种类型的数据库级角色：数据库中预定义的“固定数据库角色”和您可以创建的“灵活数据库角色”（自定义数据库角色）。

固定数据库角色是在数据库级别定义的，并且存在于每个数据库中。 db_owner和db_securityadmin数据库角色的成员可以管理固定数据库角色成员身份。但是，只有db_owner数据库角色的成员能够向db_owner固定数据库角色中添加成员。 msdb数据库中还有一些特殊用途的固定数据库角色。

符合权限要求的用户，可以向数据库级角色中添加数据库帐户和其他 SQL Server角色。固定数据库角色的每个成员都可向同一个角色添加其他登录名。

固定数据库角色简介：
1）db_owner：数据库所有者，这个数据库角色的成员可执行数据库的所有管理操作。
2）db_accessadmin：数据库访问权限管理者，角色成员具有添加、删除数据库使用者、数据库角色和组的权限。
3）db_securityadmin：数据库安全管理员，角色成员可管理数据库中的权限，如设置数据库表的增加、删除、修改和查询等存取权限。
4）db_ddladmin：数据库DDL管理员，角色成员可增加、修改或删除数据库中的对象。
5）db_backupoperator：数据库备份操作员，角色成员具有执行数据库备份的权限。
6）db_datareader：数据库数据读取者，角色成员可以从所有用户表中读取数据。
7）db_datawriter：数据库数据写入者，角色成员具有对所有用户表进行增加、删除、修改的权限。
8）db_denydatareader：数据库拒绝数据读取者，角色成员不能读取数据库中任何表的内容。
9）db_denydatawriter：数据库拒绝数据写入者，角色成员不能对任何表进行增加、删修、修改操作。
10）public：是一个特殊的数据库角色，每个数据库用户都是public角色的成员，因此不能将用户、组或角色指派为public角色的成员，也不能删除public角色的成员。public数据库角色默认的权限很少[使用某些系统过程查看并显示master数据库中的信息；执行一些不需要一些权限的语句(例如PRINT)]。

可以利用系统函数IS_MEMBER检查当前用户是否是数据库角色或Windows域组的成员。
可以利用系统存储过程sp_helprolemember显示数据库角色的成员。
可以利用系统存储过程sp_helpuser报告有关当前数据库中数据库级主体的信息。
可以利用系统存储过程sp_helprotect报告当前数据库中某对象的用户权限或语句权限的信息。

--查询用户拥有的数据库角色
useyourdb
execsp_helpuser 'UserName'
go
--查询用户被赋予的权限
useyourdb
execsp_helprotect @username = 'user name'

⑨ sqlserver 创建数据库的权限是哪个

举个例子：
通过加入数据库角色，赋予数据库用户“dba”权限：
--通过加入数据库角色，赋予数据库用户“db_owner”权限
exec sp_addrolemember 'db_owner', 'dba'此时，dba
就可以全权管理数据库中的对象了。