项目
04/01/2012

数据库级别的角色

为便于管理数据库中的权限，SQL Server 提供了若干“角色”，这些角色是用于分组其他主体的安全主体。它们类似于 Microsoft Windows 操作系统中的组。数据库级角色的权限作用域为数据库范围。

SQL Server 中有两种类型的数据库级角色：数据库中预定义的“固定数据库角色”和您可以创建的“灵活数据库角色”。

固定数据库角色是在数据库级别定义的，并且存在于每个数据库中。db_owner 和 db_securityadmin 数据库角色的成员可以管理固定数据库角色成员身份。但是，只有 db_owner 数据库角色的成员能够向 db_owner 固定数据库角色中添加成员。msdb 数据库中还有一些特殊用途的固定数据库角色。

您可以向数据库级角色中添加任何数据库帐户和其他 SQL Server 角色。固定数据库角色的每个成员都可向同一个角色添加其他登录名。

重要提示
请不要将灵活数据库角色添加为固定角色的成员。这会导致意外的权限升级。

下表显示了固定数据库级角色及其能够执行的操作。所有数据库中都有这些角色。

数据库级别的角色名称	说明
db_owner	db_owner 固定数据库角色的成员可以执行数据库的所有配置和维护活动，还可以删除数据库。
db_securityadmin	db_securityadmin 固定数据库角色的成员可以修改角色成员身份和管理权限。向此角色中添加主体可能会导致意外的权限升级。
db_accessadmin	db_accessadmin 固定数据库角色的成员可以为 Windows 登录名、Windows 组和 SQL Server 登录名添加或删除数据库访问权限。
db_backupoperator	db_backupoperator 固定数据库角色的成员可以备份数据库。
db_ddladmin	db_ddladmin 固定数据库角色的成员可以在数据库中运行任何数据定义语言 (DDL) 命令。
db_datawriter	db_datawriter 固定数据库角色的成员可以在所有用户表中添加、删除或更改数据。
db_datareader	db_datareader 固定数据库角色的成员可以从所有用户表中读取所有数据。
db_denydatawriter	db_denydatawriter 固定数据库角色的成员不能添加、修改或删除数据库内用户表中的任何数据。
db_denydatareader	db_denydatareader 固定数据库角色的成员不能读取数据库内用户表中的任何数据。

有关数据库级固定角色权限的特定信息，请参阅固定数据库角色的权限（数据库引擎）。

msdb 角色

msdb 数据库中包含下表显示的特殊用途的角色。

msdb 角色名称	说明
db_ssisadmin db_ssisoperator db_ssisltduser	这些数据库角色的成员可以管理和使用 SSIS。从早期版本升级的 SQL Server 实例可能包含使用 Data Transformation Services (DTS)（而不是 SSIS）命名的旧版本角色。有关详细信息，请参阅使用 Integration Services 角色。
dc_admin dc_operator dc_proxy	这些数据库角色的成员可以管理和使用数据收集器。有关详细信息，请参阅数据收集器的安全性。
PolicyAdministratorRole	db_ PolicyAdministratorRole 数据库角色的成员可以对基于策略的管理策略和条件执行所有配置和维护活动。有关详细信息，请参阅使用基于策略的管理来管理服务器。
ServerGroupAdministratorRole ServerGroupReaderRole	这些数据库角色的成员可以管理和使用注册的服务器组。有关详细信息，请参阅创建服务器组。
dbm_monitor	在数据库镜像监视器中注册第一个数据库时在 msdb 数据库中创建。在系统管理员为 dbm_monitor 角色分配用户之前，该角色没有任何成员。

重要提示
db_ssisadmin 角色和 dc_admin 角色的成员可以将其特权提升为 sysadmin。因为这些角色可以修改 Integration Services 包，而 SQL Server 使用 SQL Server 代理的 sysadmin 安全上下文可以执行 Integration Services 包，所以可以实现特权提升。若要防止在运行维护计划、数据收集组和其他 Integration Services 包时提升特权，请将运行包的 SQL Server 代理作业配置为具有有限特权的代理帐户，或仅将 sysadmin 成员添加到 db_ssisadmin 和 dc_admin 角色。

db_ssisadmin 角色和 dc_admin 角色的成员可以将其特权提升为 sysadmin。因为这些角色可以修改 Integration Services 包，而 SQL Server 使用 SQL Server 代理的 sysadmin 安全上下文可以执行 Integration Services 包，所以可以实现特权提升。若要防止在运行维护计划、数据收集组和其他 Integration Services 包时提升特权，请将运行包的 SQL Server 代理作业配置为具有有限特权的代理帐户，或仅将 sysadmin 成员添加到 db_ssisadmin 和 dc_admin 角色。

使用数据库级角色

下表说明了用于数据库级角色的命令、视图和函数。

功能	类型	说明
sp_helpdbfixedrole (Transact-SQL)	元数据	返回固定数据库角色的列表。
sp_dbfixedrolepermission (Transact-SQL)	元数据	显示固定数据库角色的权限。
sp_helprole (Transact-SQL)	元数据	返回当前数据库中有关角色的信息。
sp_helprolemember (Transact-SQL)	元数据	返回有关当前数据库中某个角色的成员的信息。
sys.database_role_members (Transact-SQL)	元数据	为每个数据库角色的每个成员返回一行。
IS_MEMBER (Transact-SQL)	元数据	指示当前用户是否为指定 Microsoft Windows 组或 Microsoft SQL Server 数据库角色的成员。
CREATE ROLE (Transact-SQL)	命令	在当前数据库中创建新的数据库角色。
ALTER ROLE (Transact-SQL)	命令	更改数据库角色的名称。
DROP ROLE (Transact-SQL)	命令	从数据库中删除角色。
sp_addrole (Transact-SQL)	命令	在当前数据库中创建新的数据库角色。
sp_droprole (Transact-SQL)	命令	从当前数据库中删除数据库角色。
sp_addrolemember (Transact-SQL)	命令	为当前数据库中的数据库角色添加数据库用户、数据库角色、Windows 登录名或 Windows 组。
sp_droprolemember (Transact-SQL)	命令	从当前数据库的 SQL Server 角色中删除安全帐户。