sql默认架构

❶ 什么是架构，sql中的架构有哪些

架构（Schema）是一组数据库对象的集合，它被单个负责人（可以是用户或角色）所拥有并构成唯一命名空间。你可以将架构看成是对象的容器。
在 SQL Server 2000 中，用户（User）和架构是隐含关联的，即每个用户拥有与其同名的架构。因此要删除一个用户，必须先删除或修改这个用户所拥有的所有数据库对象。
在 SQL Server 2005 中，架构和创建它的数据库用户不再关联，完全限定名（fully-qualified name）现在包含4个部分：server.database.schema.object
1. 体系结构（Architecture）
体系结构亦可称为架构，所谓软件架构，根据Perry 和Wolfe之定义：Software Architecture = {Elements,Forms, Rationale / Constraint }，也就是软件主架构 = {组件元素，元素互助合作之模式，基础要求与限制}。Philippe Kruchten采用上面的定义，并说明主架构之设计就是：将各组件元素以某些理想的合作模式组织起来，以达成系统的基本功能和限制。体系结构又分为多种样式，如Pipes and Filters等。
2. 框架(Framework)
框架亦可称为应用架构，框架的一般定义就是：在特定领域基于体系结构的可重用的设计。也可以认为框架是体系结构在特定领域下的应用。框架比较出名的例子就是MVC。
3. 库(Library)
库应该是可重用的、相互协作的资源的集合，供开发人员进行重复调用。它与框架的主要区别在于运行时与程序的调用关系。库是被程序调用，而框架则调用程序。比较好的库有JDK。
4. 设计模式（Design Pattern）
设计模式大家应该很熟悉，尤其四人帮所写的书更是家喻户晓。“四人帮”将模式描述为“在一定的环境中解决某一问题的方案”。这三个事物 — 问题、解决方案和环境 — 是模式的基本要素。给模式一个名称，考虑使用模式将产生的结果和提供一个或多个示例，对于说明模式也都是有用的。
5. 平台（PlatForm）
由多种系统构成，其中也可以包含硬件部分。
对于以上的概念有一个比较清楚的认识之后，就可以在软件的开发过程中进行应用。理论和实践是缺一不可的，相辅相成的。没有理论的指导，实践就缺乏基础；没有实践的证明，理论就缺乏依据，因此我一直认为：对于当代的程序员，在有一定的实践基础后，必须学习更深的理论知识。无论你是从那方面先开始学习的。
在软件的开发过程中，从许多过程实践和方法中，大致可以提炼出五大步骤：需求、分析、设计、编码、测试。而体系结构是软件的骨架，是最重要的基础。体系结构是涉及到每一步骤中。一般在获取需要的同时，就应该开始分析软件的体系结构。体系结构现在一般是各个大的功能模块组合成，然后描述各个部分的关系。
我一般认为框架是体系结构中每个模块中更细小的结构。如需要表示web技术，就会用到MVC框架，而web功能只是整个软件体系中的一个功能模块。每个框架可以有许多个实例，如用java实现的MVC框架structs。
而在框架之下就是设计模式，设计模式一般是应用中框架之中的，也可以说是对框架的补充。因为框架只是提供了一个环境，需要我们我里面填入更多的东西。无论是否应用了设计模式，你都可以实现软件的功能，而正确应用了设计模式，是我们对前人软件的设计或实现方法的一种继承，从而让你的软件更软。
体系结构是可以从不同视角来进行分析的，所以软件体系结构的设计可以按照不同的视角来进行的。按4+1 views的论述，那是四种views：逻辑、开发、过程、物理和场景。因此体系结构是逐渐细化的，你不可能开始就拿出一个完美的体系结构，而只能根据开发过程逐渐对体系结构进行细化。
打个比方：如果我们准备建一个房子，那房子如果按功能来分：墙壁、地板、照明等，它是按那种样式来组成的，房子是四方的还是圆形的等，这样就组成了房子的体系结构。在体系结构之下，我们可以把框架应用在每个模块中，例如墙壁，我们准备应用什么框架。墙壁可以包括：窗户、门等。窗户和门的组成的就是一种框架。而窗户是什么形状的或者是大还是小，是要为了实现屋内的亮度的，因此挑选什么样的窗户就是设计模式。

❷ sql server 2005 添加架构 需要什么权限

架构的作用与示例

用户与架构（schema）分开，让数据库内各对象不再绑在某个用户账号上，可以解决SQL SERVER 2000及以前版本中“用户离开公司＂问题，也就是在拥有该对象的用户离开公司，或离开该职务时，不必要大费周章地更改该用户所有的对象属于新的用户所有。另外，也可让 DBA 在安装某个套装软件时，设置该套装软件所用的数据库对象都属于某个特定的架构，容易区别。也就是说，在单一数据库内，不同部门或目的的对象，可以通过架构区分不同的对象命名原则与权限。
在 SQL Server 2005 /2008中，架构独立于创建它们的数据库用户而存在。可以在不更改架构名称的情况下转让架构的所有权。并且可以在架构中创建具有用户友好名称的对象，明确指示对象的功能。例如，除了 cus.app.entry.customEntry 外，您还可以创建名为 cus.app.manifest.customEntry 的架构。因为“manifest”不是用户，所以从数据库中删除用户后，无需更改此名称。这就简化了数据库管理员和开发人员的工作。
SQL Server 2005/2008 还引入了“默认架构”的概念，用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2000 中，首先检查的是调用数据库用户所拥有的架构，然后是 DBO 拥有的架构。在 SQL Server 2005 /2008中，每个用户都有一个默认架构，用于指定服务器在解析对象的名称时将要搜索的第一个架构。可以使用 CREATE USER 和 ALTER USER 的 DEFAULT_SCHEMA 选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将把 DBO 作为其默认架构。
下面的显示SQL Server权限层次结构的图可能会给我们一个直观的认识：

SQL Server 2005/2008 Database Engine 管理着可以通过权限进行保护的实体的分层集合。这些实体称为“安全对象”。在安全对象中，最突出的是服务器和数据库，但可以在更细的级别上设置离散权限。SQL Server 通过验证主体是否已获得适当的权限来控制主体对安全对象执行的操作。

安全对象关系如下图：

下面举个具体的示例来说明以一下架构的作用。

--命令对架构进行操作

use master

go

setuser

go

--创建测试数据库

create database schTest

go

create login df with password='sj1234',default_database=schTest

create login xhl with password='sj1245',default_database=schTest

go

use schTest

go

-- 创建两个用户时没有指定属于哪个架构

create user df for login df

create user xhl for login xhl

-- 这个表没指定属于哪个架构属于默认DBO 架构

go

create table tb1 (姓名 varchar(8),性别 char(2))

go

--这个表就属于sch架构

create schema sch

go

create table sch.tb2(姓名 varchar(8),性别 char(2),年龄 int)

go

-- 赋予schTest这个用户查询sche架构中的对象的权限.

grant select on schema::sch to df

go

setuser 'df' --切换用户df

select * from tb2

-- 此时报告"对象名无效" 是因为没有指定tb2的架构,系统默认为dbo,而我们的tb2属于sch架构.

--带上架构名称，就可以查询了

go

select * from sch.tb2

go

setuser -- 切换到sa

---切换到xhl

setuser 'xhl'

--不能查询,是因为没有权限

select * from sch.tb2

go

setuser --切换sa

--给df用户赋默认架构

alter user df with default_schema=sch

go

setuser 'df' --切换df

-- 此时不需要指定sch 也可以了,如果架构中还有其他对象，也可以查询

select * from tb2

go

setuser --切换sa

--创建第三张测试表，同样的是sch架构下

create table sch.tb3 (id int,uname varchar(8))

go

--切换用户df

setuser 'df'

---可以进行查询

select * from tb3

go

---但是无法进行数据插入，因为没有插入权限

insert into tb3 values (1,'abcde') --拒绝了insert权限

go

setuser

--赋插入权限

grant insert on schema::sch to df

--切换用户df

setuser 'df'

go

---可以进行数据插入

insert into tb3 values (1,'abcde') --OK!

---查询结果

select * from tb3

GO

Grant alter on schema::sch to df -- 使schTest 这个用户对所有的架构都有可更改的能力。

--错误

--无法对sa、dbo、实体所有者、information_schema、sys 或您自己授予、拒绝或撤消权限。

GO

Use master

go

Grant control server to df -- 使schTest这个用户能够控制服务器。

--错误

--无法对sa、dbo、实体所有者、information_schema、sys 或您自己授予、拒绝或撤消权限。

setuser

go

use schtest

go

--创建架构sch1

create schema sch1

go
-- 修改对象的架构tb2表的架构由sch 转移到sch1

alter schema sch1 transfer sch.tb2

go

--创建一个新用户，同时指定默认schema,默认属于DBO

create login yhy with password='sj1234',default_database=master

GO

use schTest

GO

create user yhy for login yhy with default_schema=sch --属于sch

--切换用户yhy

setuser 'yhy'

--查询表,对象名'tb2' 无效。

select * from tb2

go

setuser

--赋架构权限

grant select on schema::sch1 to yhy

--切换用户yhy

setuser 'yhy'

go

select * from tb2 ---还是无效，因为不在同一个schema

go

setuser

go

alter user yhy with default_schema=sch1 --更改yhy的默认架构

GO

--由于yhy不是当前用户，所以无法进行查询

select * from tb2

--显示当前用户

GO

select user

GO

--切换用户yhy

setuser 'yhy'

-- 此时就可以进行查询了,如果架构中还有其他对象，也可以查询

go

select * from tb2

--显示当前用户

select user

go

--切换用户

Setuser

--切换用户为df

setuser 'df'

-- 此时由于tb2的架构由sch变为了sch1，所以df就不可以查询tb2了

go

--查询报错
select * from tb2

--显示当前用户
select user

go

setuser

go

use master

go

---删除用户

drop user df

drop user xhl

drop user yhy

---删除登录名

drop login df

drop login yhy

drop login xhl

--删除数据库

drop database schTest

❸ sql server中的架构是什么意思

在sqlserver 2005中，可能大家在工作或学习的时候会经常发现这样一些问题，你使用一个账户在数据库中创建了一张表，却发现你自己创建的表却没有修改和查询的权限，这是一件很郁闷的事情，在sqlserver2000中却不存在这样的问题，那为什么在2005中会出现这样的事情，这样的设置可以带来哪些好处？其实导致这一问题的原因主要在于2005中多了一个新的概念—架构。
首先我们来看一下msdn中对架构的定义:架构(Schema)是形成单个命名空间的数据库实体的集合。命名空间是一个集合，其中每个元素的名称都是唯一的。在这里，我们可以将架构看成一个存放数据库中对象的一个容器。
架构实际上在sqlserver2000中就已经存在，当我们使用查询分析器去查询一个表的时候，一个完整的表的名称应该包括服务器名.数据库名.用户名.对象名，而在sqlserver2005中一个表的完全限定名称应该为服务器名.数据库名.架构名.对象名
在2000中，假如有一个账户tt在test数据库中创建了一张表table1的时候，在服务器上对查询的语句应为select * from test.tt.table1,也就是说，在sqlserver 2000中一张表所属的架构默认就是表的创建者的登录名称，用户可以和修改他所创建的所有数据库对象。但在2005中已经将用户和其创建对象所属架构的关联取消了，而加入了一个全新的架构体系，这样做的优点主要在于下面几个方面：
1. 多个用户可以通过角色（role）或组（Windows groups）成员关系拥有同一个架构。
2. 删除数据库用户变得极为简单。
3. 共享缺省架构使得开发人员可以为特定的应用程序创建特定的架构来存放对象，这比仅使用管理员架构（DBO schema）要好。
4. 在架构和架构所包含的对象上设置权限（permissions）比以前的版本拥有更高的可管理性。
5. 区分不同业务处理需要的对象，例如，我们可以把公共的表设置成pub的架构，把销售相关的设置为sales，这样管理和访问起来更容易.

❹ sql server2005数据库中使用架构

引用帮助文档对架构的定义： 从 SQL Server 2005 开始，每个对象都属于一个数据库架构。数据库架构是一个独立于数据库用户的非重复命名空间。您可以将架构视为对象的容器。可以在数据库中创建和更改架构，并且可以授予用户访问架构的权限。任何用户都可以拥有架构，并且架构所有权可以转移。 在SQL Server 2000中架构和用户是没有多大的区别，我们在2000中一般是指所有者。2005后，用户和架构开始明确的分开，架构可以理解为对象的容器或者命名空间。 对于架构特点的理解小节如下： 1.一个架构中不能包含相同名称的对象，相同名称的对象可以在不同的架构中存在。 2.一个架构只能有一个所有者，所有者可以是用户, 数据库角色, 应用程序角色。 3.一个用数据库角色可以可以拥有一个默认架构，和多个架构。 4.多个数据库用户可以共享单个默认架构。 5.由于架构与用户独立，删除用户不会删除架构中的对象。 6.SQL Server 2000 中对象引用是： [DatabaseServer].[DatabaseName].[ObjectOwner].[DatabaseObject] SQL Server 2005 中对象引用是： [DatabaseServer].[DatabaseName].[DatabaseSchema].[DatabaseObject]

❺ 与SQL SERVER 安全控制相关的几点说明

与SQL SERVER安全控制相关的几点说明

（一）几个基本术语

身份验证（Authentication）是指通过提交服务器评估的凭据以登录到主体请求访问的 SQL Server 的过程。身份验证可以确定接受身份验证的用户或进程的标识。

用户、账户、账号、登录名、[数据库]用户名
用户是指能够在SQL Server安全机制下，访问数据库对象中的数据的操作员或客户。用户若要访问数据库对象，必须获得数据库管理员（DBA）分配的账号和密码。从SQL Server管理系统的角度来看，用户就是一组匹配的账户和密码。
账户和账号是一个概念的不同说法，在服务器中的账户又叫登录名（Login Name），因此访问服务器也称为登录服务器。服务器的登录名可以映射到数据库中成为[数据库]用户名(User Name)。一个登录名可以映射多个数据库用户，而一个用户只能映射一个登录名。
连接或登录SQL Server服务器时是用的登录名而非用户名登录的，程序里面的连接字符串中的用户名也是指登录名。
通常用户名与登录名相同（不是强制相同，但为了一目了然通常都在创建用户名时使用与登录名相同的名字）。
提示：登录名（Login Name）和用户名(User Name)是两个不同的概念：
登录名：服务器方的一个实体，登录名只能进入SQL Server服务器，但是不能让用户访问服务器中的数据库资源。
用户名：一个或多个登录对象在数据库中的映射，可以对用户对象进行授权，以便为登录对象提供对数据库的访问权限。
登录名作用于它所在的服务器。每个登录名的定义存放在master系统数据库的syslogins表中。
用户名作用于它所在的数据库。用户定义信息存放在每个数据库的sysusers表中。用登录名登录到SQL Server后，在访问操作各个数据库时，SQL Server会自动查询此数据库中是否存在与此登录名关联的用户名，若存在就使用此用户的权限访问此数据库，若不存在就是用guest用户访问此数据库（guest是一个特殊的用户名，后面会讲到）。

SQL身份验证：适合于非windows平台的用户或Internet用户，需要提供账户和密码。
Windows身份验证：适合于windows平台用户，利用Windows账户和windows集成验证，不需要提供密码。
用户想要操作数据库的某个对象（如某张表）需要过三关：
第一关：我们需要登录到SQL Server系统，即需要登录账户；
第二关：我们需要访问某个数据库，即需要该数据库的用户账户；
第三关：我们需要访问数据库中的某个对象（如某张表），需要有该对象的权限。

主体(principal)是可被授予对安全资源的访问权限的实体（例如登录名、用户、进程、组或角色）。主体可以是主体的集合（比如数据库角色或Windows组）或不可分割的主体（比如本地登录或域登录）。每个主体都具有一个 ID (identification)和一个安全 ID (SID)。
⊙ Windows级别的主体：Windows组、Windows域登录名、Windows本地登录名。
⊙ SQL Server级的主体：服务器角色、SQLServer登录名。
⊙数据库级的主体：数据库角色、数据库用户、应用程序角色。

上下文切换 (context switch)，更改检查执行语句或执行操作的权限时所依据的标识。

服务器(server)
1)指安装了SQL SERVER的计算机。2）指SQL Server实例——计算机上运行的 SQLServer的副本。3）指为用户提供服务的计算机软件或组件。
需要根据上下文理解。

注册服务器
注册服务器使您可以存储服务器连接信息（服务器的类型、服务器的名称、登录到服务器时使用的身份验证的类型等），以供将来连接时使用——下次连接该服务器时，不需要重新输入登录信息。
SQLServer 2000在SQL Server企业管理器中注册服务器，才能使用 SQL Server企业管理器来管理这些服务器。从SQLServer 2005始，在 SQL ServerManagement Studio 中注册服务器，才能使用 SQL Server Management Studio 来管理这些服务器。
在 Microsoft SQL Server中，可以注册以下类型的服务器：SQLServer数据库引擎、Analysis Services、Reporting Services、IntegrationServices和 SQL Server Compact 3.5SP1。

（二）SQL Server实例(SQL Server instance)
SQLServer实例(SQL Server instance)，简称实例 (instance)，是计算机上运行的SQLServer 的副本。同一台计算机上可以安装运行的多个 SQLServer副本。每个SQL Server实例都包含数据库引擎、Analysis Services和 ReportingServices的 SQL Server，每个SQL Server数据库实例各有一套不为其他实例共享的系统及用户数据库。
数据库引擎是用于存储、处理和保护数据的核心服务。利用数据库引擎可控制访问权限并快速处理事务。
实例又分为“默认实例”(default instance)和“命名实例”(namedinstance)，如果在一台计算机上安装第一个SQLSERVER,命名设置保持默认的话，那这个实例就是默认实例。默认实例与安装计算机具有相同名称。命名实例指安装SQL Server时给定了名称，可以安装多个命名实例，给定名称是为了与同一台计算机上的其他命名实例和默认实例区分开。

SQLServer应用程序可以通过仅指定服务器名称而连接到 SQLServer的默认实例。SQL Server应用程序在连接到服务器上的某个命名实例时必须既指定服务器名称又指定实例名称，计算机名称\实例名称。
一台计算机上最多只有一个默认实例，也可以没有默认实例，默认实例名与计算机名相同。如果要访问本机上的默认SQL服务器实例，使用计算机名、(local)、localhost、127.0.0.1、.、本机IP地址，都可以达到相同的目的。但如果要访问非本机的SQL服务器，那就必须使用计算机名称\实例名称。

默认实例和命名实例的区别:
1、服务中服务名称的区别：
(1)默认实例:MSSQLSERVER。
(2)有名命名实例：实列名为benet，在服务中的名称是MSSQL$BENET。
注：如果你有多个实例的时候会在服务中出现多个服务名称。
2、连接到查询分析器或探查器的时候区别：
(1)默认实例可以使用:“.”(点)、“(local)”、“计算机名称”。
(2)实例名称：计算机名pcname，实例名benet，连接时使用的名称是pcname\benet。

(三)安全对象和权限

安全对象(Securable)，可以通过权限得到保护的实体。是SQLServer数据库引擎授权系统控制对其进行访问的资源。如表、视图、触发器等。
SQLServer中将安全对象分为三个层次,分别为:
⊙服务器层级，包含的安全对象：端点、登录、服务器角色、数据库。
⊙数据库层级，包含的安全对象：用户、数据库角色、应用程序角色、程序集、消息类型、路由、服务、远程服务绑定、全文目录、证书、非对称密钥、对称密钥、约定、架构。
⊙构架（SCHEMA）层级，包含的安全对象：类型、XML架构集合、对象（函数、过程、同义词、表、视图）
这三个层级是从上到下包含的，级别从高到低。

说明：端点(endpoint)为服务器级安全对象。Microsoft SQL Server 2005 中的连接管理基于“端点”。一个端点就是一个SQL Server对象，它能够使 SQL Server在网络中通信。对于数据库镜像，服务器实例需要有自己专用的“数据库镜像端点”。此端点用途特殊，专门用于接收来自其他服务器实例的数据库镜像连接。

权限 (permission)，与对象关联的规则，用来规定哪些用户可以获得该对象的访问权限以及方式如何。对安全对象的访问通过授予或拒绝权限进行控制。
权限可以明确用户能够使用哪些数据库对象，并对它们进行何种操作。用户在数据库内的权限取决于用户账号的权限和该用户所属的角色的权限。
提示：在设置权限时，尤其要注意权限在安全对象上的继承关系。对于高级别安全对象上设置的权限，会被自动继承到低级别安全对象上。
理解权限的继承和权限的覆盖会在设置权限时减少很多问题，最佳方法是统筹规划，上机验证。

（四）架构(schema)
架构是指包含表、视图、过程等的容器。它位于数据库内部，而数据库位于服务器内部。这些实体就像嵌套框放置在一起。服务器是最外面的框，而架构是最里面的框。架构包含表、视图、过程、函数、同义词、类型、队列、XML架构集合等安全对象。

注意：
在 SQL Server 2000和早期版本中，数据库可以包含一个名为“架构”的实体， SQL Server 2000包含 CREATE SCHEMA语句，但此实体实际上是所有者（创建对象时的用户）。在 SQL Server 2005 开始，架构既是一个容器，又是一个命名空间。任何用户都可以拥有架构，并且架构所有权可以转移。从 SQL Server 2005开始，每个用户都拥有一个默认架构。可以使用 CREATE USER或 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将使用 dbo作为默认架构。

在SQL Server 2000中，DataBaseName.dbo.TableName解释为：数据库名.所有者.表名。
从 SQL Server 2005开始，DataBaseName.dbo.TableName解释为：数据库名.架构名.表名。

在SQL Server 2000中，数据库对象全称是server_name.[database_name].[owner_name].object_name
从SQL Server 2005始，数据库对象全称是server_name.[database_name].[schema_name].object_name
在SQL SERVER2000或以前版本中创建一个对象，对象必须要有一个所有者(owner)。对象是如何属于某个所有者的呢？这依赖于创建对象时的用户。您不能取消对象所有者(object owner)的特权(privileges)。对象所有者可以执行任何与对象有关的操作（例如 INSERT、UPDATE、DELETE、SELECT或 EXECUTE），也可以管理对象的权限。
从2005/2008后，一个我们必须重新认识的情况是对象不再有所有者（owner）。架构包含对象，架构有所有者。

在2005前（如SQL Server 2000中），没有架构的概念，只有用户的概念，那时候DBO是默认用户。到了2005，有了架构概念，但是为了向后兼容，保留了DBO，并且把DBO作为默认架构，在不指定架构的情况下，默认为dbo，“默认架构”的概念，用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2005 中，每个用户都有一个默认架构，用于指定服务器在解析对象的名称时将要搜索的第一个架构。可以使用 CREATE USER和 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将把 DBO作为其默认架构。

（五）dbo
dbo既是默认架构，也是默认用户。在SQL Server 2000中，dbo作为默认用户。在SQL Server2005中，dbo既作为默认用户，也作为默认架构（如图）。

dbo作为默认用户，dbo (DataBase Owner，数据库的所有者，拥有数据库中的所有对象)，每个数据库都有dbo， sysadmin服务器角色的成员自动映射成dbo，无法删除 dbo用户，且此用户始终出现在每个数据库中。通常，登录名sa映射为库中的用户dbo。另外，固定服务器角色 sysadmin的任何成员都映射到每个数据库内称为 dbo的一个特殊用户上。由固定服务器角色sysadmin的任何成员创建的任何对象都自动属于 dbo。由固定服务器角色 sysadmin的任何成员或 dbo用户创建的任何对象都自动属于dbo，由任何其他用户（包括 db_owner固定数据库角色成员）创建的对象，属于创建该对象的用户，而不是 dbo，用创建该对象的用户名限定。例如：
如果用户 Andrew是固定服务器角色sysadmin的成员，并创建表 T1，则表 T1属于 dbo，并以 dbo.T1而不是 Andrew.T1进行限定。相反，如果 Andrew不是固定服务器角色sysadmin的成员，而只是固定数据库角色 db_owner的成员，并创建表 T1，则 T1属于 Andrew，并限定为Andrew.T1。该表属于 Andrew，因为该成员没有将表限定为dbo.T1。

dbo作为默认架构，在不指定架构的情况下，默认为dbo，“默认架构”的概念，用于解析未使用其完全限定名称引用的对象的名称。在 SQL Server 2005 中，每个用户都有一个默认架构，用于指定服务器在解析对象的名称时将要搜索的第一个架构。可以使用 CREATE USER和 ALTER USER的 DEFAULT_SCHEMA选项设置和更改默认架构。如果未定义 DEFAULT_SCHEMA，则数据库用户将把 DBO作为其默认架构。

（六）Guest用户
guest用户不需要映射到登录名。这种用户账号是供数据库中没有明确授予权限给已映射至认证用户使用的。guest供那些已经成功登录到SQL SERVER实例，但是却没有通过用户访问数据库的权限的登录者使用的。

SQLSERVER 2000中guest用户可以删除；而2005/2008中是不能删除的，却可以取消CONNECT权限，而且为安全起见，所有用户定义的数据库中缺省情况下guest用户的权限都是被取消了的，可在除master和tempdb之外的任何数据库中禁用Guest用户。
在SQL SERVER 2000中，新建的数据库中没有Guest用户，但可以添加它，也可删除它，添加与删除方法与普通数据库相同。
在SQL Server 2005或以上版本中GUEST已经默认存在于每个数据库中，但默认情况下，会在新数据库中禁用GUEST用户(在“对象资源管理器→安全性→登录”节点中图标上有禁用标识)，我们可以通过以下语句启用GUEST用户：GRANT CONNECT TO GUEST 。当你决定不再想让该数据库被非数据库授权的用户以GUEST身份进行访问时，可以再次将GUEST帐号禁用。值得一提的是，GUEST用户在数据库中不能被删除，我们只能通过以下语句禁用GUEST用户：REVOKE CONNECT FROMGUEST 。

在SQL SERVER 2000中，要允许guest用户帐户访问数据库，可以像添加其它数据库用户那样添加它，如：
USE<Database Name>
GO
EXECsp_grantdbaccess 'guest'
GO

在SQL SERVER 2005中，允许guest用户帐户
USE<Database Name>
GO
GRANT CONNECT TO GUEST
GO

需要提醒的是，对于是否添加Guest用户要谨慎权衡利弊。

--SQLServer 2000删除guest用户账号
USE<Database Name>
GO
EXECsp_revokedbaccess 'guest'
GO

-- SQLServer 2005禁用guest用户账号
USE<Database Name>
GO
REVOKECONNECT FROM GUEST
GO

（七）sa登录名
SQLServer的 sa登录名是服务器级的主体。默认情况下，该登录名是在安装实例时创建的。在 SQL Server 2005和 SQL Server2008中，sa的默认数据库为 master。这是对早期版本的 SQLServer的行为的更改。

sa（system administrator系统管理员）是为向后兼容而提供的特殊登录。sysadmin是一种角色。该角色能够执行SQLServer上的任何操作。本质上，任何具有这种角色成员身份的人都是那个服务器上的sa。这种服务器角色的创建为微软提供了某一天去除sa登录的能力——实际上，联机丛书把sa称作本质上为遗留物的东西。

与以前版本不同，SQL Server 2008，即使是用混合模式安装，sa也默认禁用。
注意，sa是一个默认的SQL Server登录名，拥有操作SQL Server系统的所有权限，该登录名不能被删除。当采用混合模式安装Microsoft SQL Server系统之后，应该为sa指定一个密码，应为 sa登录分配一个强密码（strongpassword）。

sa登录名会映射到 sysadmin固定服务器角色，它对整个服务器有不能撤销的管理凭据。如果攻击者以系统管理员的身份获取了访问权限，则可能造成的危害是无法预计的。

(八)其它几个默认配置的的登录（Logins）和用户（Users）
默认配置的的登录和用户除了dbo用户、Guest用户、sa登录，还有如下几个：

Administrators组是一个特殊的登录。administrator用户默认administrators组的成员。
Administrators组实际名称为BUILTIN\Administrators。早期版本，这个组的所有成员均为 sysadmin 角色的成员（这意味着Administrators组中的成员具有最高权限），但可以从该角色中移除这些成员。与以前版本不同，SQL Server 2008默认情况下，本地 Windows组 BUILTIN\Administrators不再包含在新的 SQL Server 2008安装上的 SQL Server的 sysadmin固定服务器角色中。

提示：每个版本的 SQL Server都具有不同的安全功能，默认配置也不尽相同，后出的版本更有利于安全，但安全性和使用方便这两种需求可能有矛盾的一面，最佳方法是上机了解验证。

NETWORKSERVICE和SYSTEM登录账户
NETWORKSERVICE和SYSTEM登录账户，实际名称为NT AUTHORITY\NETWORK SERVICE和NT AUTHORITY\SYSTEM，是否存在这些，依赖于服务器的配置。如果配置了报表服务器，将出现NETWORK SERVICE登录账户。

INFORMATION_SCHEMA和sys用户
INFORMATION_SCHEMA和sys又是SQL Server 预定义的架构（内置架构）名称，它们与INFORMATION_SCHEMA和sys用户具有相同的名称。不能删除，主要用于向后兼容性。可以使用INFORMATION_SCHEMA用户和sys用户访问INFORMATION_SCHEMA和sys架构的系统视图，获取有关数据库元数据信息。

（九）SQL Server中的角色
角色 (role)，是SQL Server用来管理服务器和数据库权限的，是安全帐户的集合，在管理权限时可以视为一个单元——作为分配权限的单位。
SQLServer中的角色分为服务器级别和数据库级别角色。

◇服务器级别角色
服务器级别角色用于帮助管理服务器上的权限。服务器角色的权限作用域为服务器范围。可以将登录名（Login Name）添加到服务器角色。

符合权限要求的用户，可以将服务器级主体（SQL Server登录名、Windows帐户和 Windows组）添加到服务器级角色。固定服务器角色的每个成员都可以将其他登录名添加到该同一角色。

固定服务器角色简介：
1）sysadmin：系统管理员，角色成员可对SQLServer服务器进行所有的管理工作，为最高管理角色。这个角色一般适合于数据库管理员（DBA）。
2）securityadmin：安全管理员，角色成员可以管理登录名及其属性。可以授予、拒绝、撤销服务器级和数据库级的权限。另外还可以重置SQL Server登录名的密码。
3）serveradmin：服务器管理员，角色成员具有对服务器进行设置及关闭服务器的权限。
4）setupadmin：设置管理员，角色成员可以添加和删除链接服务器，并执行某些系统存储过程。
5）processadmin：进程管理员，角色成员可以终止SQLServer实例中运行的进程。
6）diskadmin：用于管理磁盘文件。
7）dbcreator：数据库创建者，角色成员可以创建、更改、删除或还原任何数据库。
8）bulkadmin：可执行BULK INSERT语句，但是这些成员对要插入数据的表必须有INSERT权限。BULK INSERT语句的功能是以用户指定的格式复制一个数据文件至数据库表或视图。
9）在sql server 2005 sp2（补丁）及以后版本，服务器角色中还可以看到一个public角色。每个 SQL Server登录名均属于 public服务器角色。 如果未向某个服务器主体授予或拒绝对某个安全对象的特定权限，该用户将继承授予该对象的 public角色的权限。public服务器角色默认拥有 VIEW ANY DATABASE（查看任何数据库）权限。[VIEW ANY DATABASE权限控制是否显示sys.databases和 sys.sysdatabases视图以及 sp_helpdb系统存储过程中的元数据(metadata)。]

从 SQL Server 2012开始，您可以创建用户定义的服务器角色，并将服务器级权限添加到用户定义的服务器角色。
每个版本的 SQL Server都具有不同的安全功能，版本越高，功能越强。

可以利用系统函数IS_SRVROLEMEMBER指示当前用户的 SQLServer登录名是否是固定服务器角色的成员。
可以利用系统存储过程sp_helpsrvrolemember返回有关 SQL Server 固定服务器角色成员的信息。
--查询 sysadmin固定服务器角色的成员。
execsp_helpsrvrolemember 'sysadmin'

◇数据库级别的角色
数据库级别角色用于帮助管理数据库中的权限。数据库级角色的权限作用域为数据库范围。可以将[数据库]用户名(User Name)添加到数据库角色。
SQLServer中有两种类型的数据库级角色：数据库中预定义的“固定数据库角色”和您可以创建的“灵活数据库角色”（自定义数据库角色）。

固定数据库角色是在数据库级别定义的，并且存在于每个数据库中。 db_owner和db_securityadmin数据库角色的成员可以管理固定数据库角色成员身份。但是，只有db_owner数据库角色的成员能够向db_owner固定数据库角色中添加成员。 msdb数据库中还有一些特殊用途的固定数据库角色。

符合权限要求的用户，可以向数据库级角色中添加数据库帐户和其他 SQL Server角色。固定数据库角色的每个成员都可向同一个角色添加其他登录名。

固定数据库角色简介：
1）db_owner：数据库所有者，这个数据库角色的成员可执行数据库的所有管理操作。
2）db_accessadmin：数据库访问权限管理者，角色成员具有添加、删除数据库使用者、数据库角色和组的权限。
3）db_securityadmin：数据库安全管理员，角色成员可管理数据库中的权限，如设置数据库表的增加、删除、修改和查询等存取权限。
4）db_ddladmin：数据库DDL管理员，角色成员可增加、修改或删除数据库中的对象。
5）db_backupoperator：数据库备份操作员，角色成员具有执行数据库备份的权限。
6）db_datareader：数据库数据读取者，角色成员可以从所有用户表中读取数据。
7）db_datawriter：数据库数据写入者，角色成员具有对所有用户表进行增加、删除、修改的权限。
8）db_denydatareader：数据库拒绝数据读取者，角色成员不能读取数据库中任何表的内容。
9）db_denydatawriter：数据库拒绝数据写入者，角色成员不能对任何表进行增加、删修、修改操作。
10）public：是一个特殊的数据库角色，每个数据库用户都是public角色的成员，因此不能将用户、组或角色指派为public角色的成员，也不能删除public角色的成员。public数据库角色默认的权限很少[使用某些系统过程查看并显示master数据库中的信息；执行一些不需要一些权限的语句(例如PRINT)]。

可以利用系统函数IS_MEMBER检查当前用户是否是数据库角色或Windows域组的成员。
可以利用系统存储过程sp_helprolemember显示数据库角色的成员。
可以利用系统存储过程sp_helpuser报告有关当前数据库中数据库级主体的信息。
可以利用系统存储过程sp_helprotect报告当前数据库中某对象的用户权限或语句权限的信息。

--查询用户拥有的数据库角色
useyourdb
execsp_helpuser 'UserName'
go
--查询用户被赋予的权限
useyourdb
execsp_helprotect @username = 'user name'