2. 程式人生 > 資料庫 >SQL Server中通用資料庫角色許可權的處理詳解

SQL Server中通用資料庫角色許可權的處理詳解

阿新 發佈:2020-01-09

前言

安全性是所有資料庫管理系統的一個重要特徵。理解安全性問題是理解資料庫管理系統安全性機制的前提。

最近和同事在做資料庫許可權清理的事情,主要是刪除一些賬號;取消一些賬號的較大的許可權等,例如,有一些有db_owner許可權,我們取消賬號的資料庫角色db_owner,授予最低要求的相關許可權。但是這種工作完全是一個體力活,而且是吃力不討好,而且推進很慢。另外,為了管理方便和細化,我們又在常用的資料庫角色外,新增了6個通用的資料庫角色。

如下截圖所示。

另外,為了減少授權工作量和一些重複的體力活,我們建立了一個作業,每天定期執行一個儲存過程db_common_role_grant_rigths,這個儲存過程的邏輯如下:

1:遍歷所有使用者資料庫(排除了系統資料庫以及一些特殊資料庫),發現該資料庫不存在這些通用資料庫角色,那麼就建立相關資料庫角色。

2:遍歷所有使用者資料庫,為相關資料庫角色授權,例如,如果發現某個新增的儲存過程,沒有授權給db_procedure_execute資料庫角色。那麼就執行授權操作。

當然目前還在測試、應用階段,以後會根據具體相關需求,不斷完善相關功能。

--==================================================================================================================
--  ScriptName   :   db_common_role_grant_rigths.sql
--  Author    :   瀟湘隱者 
--  CreateDate   :   2018-09-13
--  Description   :   建立資料庫角色db_procedure_execute等,並授予相關許可權給角色。
--  Note     :   
/******************************************************************************************************************
  Parameters    :         引數說明
********************************************************************************************************************
    @RoleName   :   角色名
********************************************************************************************************************
 Modified Date Modified User  Version     Modified Reason
********************************************************************************************************************
 2018-09-12  瀟湘隱者   V01.00.00  新建該指令碼。
 2018-09-12  瀟湘隱者   V01.00.01  注意@@ROWCOUNT的生效範圍;解決迴圈邏輯問題。
 2018-09-26  瀟湘隱者   V01.00.02  修正型別為FT(CLR_TABLE_VALUED_FUNCTION)的函式問題。程式集 (CLR) 表值函式
*******************************************************************************************************************/
--===================================================================================================================
USE YourSQLDba;
GO
 
 
IF EXISTS (SELECT 1 FROM sys.procedures WHERE type='P' AND name='db_common_role_grant_rigths')
BEGIN
 DROP PROCEDURE Maint.db_common_role_grant_rigths;
END
GO
 
CREATE PROCEDURE Maint.db_common_role_grant_rigths
AS
BEGIN
 
DECLARE @database_id INT;
DECLARE @database_name sysname;
DECLARE @cmdText  NVARCHAR(MAX);
DECLARE @prc_text  NVARCHAR(MAX);
DECLARE @RowIndex  INT;
 
IF OBJECT_ID('TempDB.dbo.#databases') IS NOT NULL
 DROP TABLE dbo.#databases;
 
CREATE TABLE #databases
(
 database_id  INT,database_name sysname
)
 
IF OBJECT_ID('TempDB.dbo.#sql_text') IS NOT NULL
 DROP TABLE dbo.#sql_text;
 
 
CREATE TABLE #sql_text
(
 sql_id  INT IDENTITY(1,1),sql_cmd  NVARCHAR(MAX)
)
 
INSERT INTO #databases
SELECT database_id,name
FROM sys.databases
WHERE name NOT IN ( 'master','tempdb','model','msdb','distribution','ReportServer','ReportServerTempDB','YourSQLDba' )
  AND state = 0; --state_desc=ONLINE 
 
 
--開始迴圈每一個使用者資料庫(排除了上面相關資料庫)
WHILE 1= 1
BEGIN
 
 
 SELECT TOP 1 @database_name= database_name 
 FROM #databases
 ORDER BY database_id;
 
 
 IF @@ROWCOUNT =0 
  BREAK;
 
 --PRINT(@database_name);
 
 -- SP_EXECUTESQL 中切換資料庫不能當引數傳入。
 
 --建立資料庫角色db_procedure_execute
 SET @cmdText = 'USE ' + @database_name + ';' +CHAR(10)
 
 SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_procedure_execute'')
      BEGIN
       CREATE ROLE [db_procedure_execute] AUTHORIZATION [dbo];
      END ' + CHAR(10);
 
 
 
 --建立資料庫角色db_function_execute
 SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_function_execute'')
      BEGIN
       CREATE ROLE [db_function_execute] AUTHORIZATION [dbo];
      END' + CHAR(10);
 
 
 --建立資料庫角色db_view_table_definition
 SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_view_table_definition'')
      BEGIN
       CREATE ROLE [db_view_table_definition] AUTHORIZATION [dbo];
      END ' + CHAR(10);
 
 --建立資料庫角色db_view_view_definition
 SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_view_view_definition'')
       BEGIN
       CREATE ROLE [db_view_view_definition] AUTHORIZATION [dbo];
       END ' + CHAR(10);
 
 --建立資料庫角色db_view_procedure_definition
 SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_view_procedure_definition'')
      BEGIN
       CREATE ROLE [db_view_procedure_definition] AUTHORIZATION [dbo];
      END ' + CHAR(10);
 
  --建立資料庫角色db_view_function_definition
 SELECT @cmdText += 'IF NOT EXISTS (SELECT 1 FROM sys.database_principals WHERE name =''db_view_function_definition'')
      BEGIN
       CREATE ROLE [db_view_function_definition] AUTHORIZATION [dbo];
      END ' + CHAR(10);
 
 --PRINT @cmdText;
 -- EXECUTE SP_EXECUTESQL @cmdText;
 EXECUTE (@cmdText);
 
 
 
 --給角色db_procedure_execute授權
 
 SET @cmdText ='USE ' + QUOTENAME(@database_name) + ';' 
 
 SET @cmdText +='INSERT INTO #sql_text(sql_cmd)
     SELECT ''GRANT EXECUTE ON '' + SCHEMA_NAME(schema_id) + ''.''
      + QUOTENAME(name) + '' TO db_procedure_execute;''
      FROM sys.procedures s
      WHERE  NOT EXISTS ( SELECT 1
            FROM sys.database_permissions p
            WHERE p.major_id = s.object_id 
             AND p.grantee_principal_id = USER_ID(''db_procedure_execute''))';
  EXECUTE SP_EXECUTESQL @cmdText;
 
 
 
 
  --給角色db_function_execute(標量函式授權)
 
  SET @cmdText ='USE ' + QUOTENAME(@database_name) + ';' 
 
  SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)
      SELECT ''GRANT EXEC ON '' + SCHEMA_NAME(schema_id) + ''.'' + QUOTENAME(name) + '' TO db_function_execute; '' 
      FROM sys.all_objects s
      WHERE SCHEMA_NAME(schema_id) NOT IN (''sys'',''INFORMATION_SCHEMA'') 
      AND NOT EXISTS ( SELECT 1
            FROM sys.database_permissions p
            WHERE p.major_id = s.object_id 
            AND p.grantee_principal_id =USER_ID(''db_function_execute'') )
            AND ( s.[type] = ''FN''
              OR s.[type] = ''AF''
              OR s.[type] = ''FS''
              --OR s.[type] = ''FT''
             ) ;'
  EXECUTE SP_EXECUTESQL @cmdText;
 
 
 
  --給角色db_function_execute(表值函式授權)
  SET @cmdText ='USE ' + @database_name + ';'
 
  SET @cmdText += 'INSERT INTO #sql_text(sql_cmd)
      SELECT ''GRANT SELECT ON '' + SCHEMA_NAME(schema_id) + ''.'' + QUOTENAME(name) + '' TO db_function_execute;''
      FROM sys.all_objects s
      WHERE SCHEMA_NAME(schema_id) NOT IN (''sys'',''INFORMATION_SCHEMA'') 
       AND NOT EXISTS ( SELECT 1
            FROM sys.database_permissions p
            WHERE p.major_id = s.object_id 
             AND p.grantee_principal_id = USER_ID(''db_function_execute''))
         AND ( s.[type] = ''TF''
          OR s.[type] = ''IF''
       ) ; '
 
  EXECUTE SP_EXECUTESQL @cmdText;
 
 
  --檢視儲存過程定義授權
  SET @cmdText ='USE ' + @database_name + ';'
 
  SET @cmdText +=' INSERT INTO #sql_text(sql_cmd)
      SELECT ''GRANT VIEW DEFINITION ON '' + SCHEMA_NAME(schema_id) + ''.''
      + QUOTENAME(name) + '' TO db_view_procedure_definition;'' 
      FROM sys.procedures s
      WHERE  NOT EXISTS ( SELECT 1
            FROM sys.database_permissions p
            WHERE p.major_id = s.object_id 
             AND p.grantee_principal_id = USER_ID(''db_view_procedure_definition''))'
 
  EXECUTE(@cmdText);
 
  --檢視函式定義的授權
  SET @cmdText ='USE ' + @database_name + ';'
 
  SELECT @cmdText += 'INSERT INTO #sql_text(sql_cmd)
       SELECT ''GRANT VIEW DEFINITION ON '' + SCHEMA_NAME(schema_id) + ''.''
       + QUOTENAME(name) + '' TO db_view_function_definition;'' 
       FROM sys.objects s
       WHERE type_desc IN (''SQL_SCALAR_FUNCTION'',''SQL_TABLE_VALUED_FUNCTION'',''AGGREGATE_FUNCTION'' )
         AND NOT EXISTS ( SELECT 1
            FROM sys.database_permissions p
            WHERE p.major_id = s.object_id 
             AND p.grantee_principal_id = USER_ID(''db_view_function_definition''))';
 
  EXECUTE SP_EXECUTESQL @cmdText;
 
 
  --查看錶定義的授權
  SET @cmdText ='USE ' + @database_name + ';'
 
  SET @cmdText +='INSERT INTO #sql_text(sql_cmd)
      SELECT ''GRANT VIEW DEFINITION ON '' + SCHEMA_NAME(schema_id) + ''.''
      + QUOTENAME(name) + '' TO db_view_table_definition ;'' 
      FROM sys.tables s
      WHERE NOT EXISTS ( SELECT 1
            FROM sys.database_permissions p
            WHERE p.major_id = s.object_id 
             AND p.grantee_principal_id = USER_ID(''db_view_table_definition''))';
 
  EXECUTE SP_EXECUTESQL @cmdText;
 
 
  --檢視檢視定義的授權
  SET @cmdText ='USE ' + @database_name + ';'
 
  SET @cmdText +='INSERT INTO #sql_text(sql_cmd)
      SELECT ''GRANT VIEW DEFINITION ON '' + SCHEMA_NAME(schema_id) + ''.''
        + QUOTENAME(name) + '' TO db_view_view_definition; ''
      FROM sys.views s
      WHERE NOT EXISTS ( SELECT 1
            FROM sys.database_permissions p
            WHERE p.major_id = s.object_id 
             AND p.grantee_principal_id = USER_ID(''db_view_view_definition''))';
 
  EXECUTE SP_EXECUTESQL @cmdText;
 
 
 
  WHILE 1= 1
  BEGIN
   
   
   SELECT TOP 1 @RowIndex=sql_id,@cmdText = 'USE ' + @database_name + '; '+ sql_cmd FROM #sql_text ORDER BY sql_id;
 
   IF @@ROWCOUNT =0 
    BREAK;
 
  
   PRINT(@cmdText);
   EXECUTE(@cmdText);
 
   DELETE FROM #sql_text WHERE sql_id =@RowIndex
 
 
  END
  
   
  DELETE FROM #databases WHERE database_name=@database_name;
END
  
  DROP TABLE #databases;
  DROP TABLE #sql_text;
 
END

總結

以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對我們的支援。

相關推薦

SQL Server通用資料庫角色許可權處理

前言 安全性是所有資料庫管理系統的一個重要特徵。理解安全性問題是理解資料庫管理系統安全性機制的前提。

SQL Serveridentity(自增)的用法

一、identity的基本用法 1.含義 identity表示該欄位的值會自動更新,不需要我們維護,通常情況下我們不可以直接給identity修飾的字元賦值,否則編譯時會報錯

sql – Oracle匿名TABLE/VARRAY型別示例

前言 本文主要介紹的是關於sql Oracle匿名TABLE/VARRAY型別的相關內容,在Oracle,我有時會建立一些這樣的結構

Sql Server 開窗函式Over()的使用例項

利用over(),將統計資訊計算出來,然後直接篩選結果集 declare @t table( ProductID int,ProductName varchar(20),ProductType varchar(20),Price int)

pytorch的自定義資料處理

pytorch在資料採用Dataset的資料儲存方式,需要繼承data.Dataset類,如果需要自己處理資料的話,需要實現兩個基本方法。

sql server編寫通用指令碼自動檢查兩個不同伺服器的新舊資料庫的表結構差異

/*使用說明:Old資料庫為DB_V1,New資料庫為[localhost].DB_V2。根據實際需要批量替換資料庫名稱指令碼來源:https://www.cnblogs.com/zhang502219048/p/11028767.html*/

SQL Server WITH (NOLOCK)淺析 sql語句對資料庫表進行加鎖和解鎖

概念介紹    開發人員喜歡在SQL指令碼使用WITH(NOLOCK), WITH(NOLOCK)其實是表提示(table_hint)的一種。它等同於 READUNCOMMITTED 。 具體的功能作用如下所示(摘自MSDN):

SQL SERVERSELECT和SET賦值相同點與不同點(推薦)

SELECT和SET在SQL SERVER都可以用來對變數進行賦值,但其用法和效果在一些細節上有些不同。

SQL Server查詢結果超出了查詢時間範圍解決方法

廢話少說,直接上SQL程式碼(有興趣的測試驗證一下),下面這個查詢語句為什麼將2008-11-27的記錄查詢出來了呢?這個是同事遇到的一個問題,個人設計了一個例子。

SQL Server JSON_MODIFY 的使用

SQL Server JSON_MODIFY 的使用 Intro SQL Server 從 2016 開始支援了一些 JSON操作,最近的專案裡也是好多地方欄位直接存成了 JSON,需要了一下怎麼在SQL Server 操作 JSON.

SQL Serverwith as使用介紹

一.WITH AS的含義 WITH AS短語,也叫做子查詢部分(subquery factoring),可以讓你做很多事情,定義一個SQL片斷,該SQL片斷會被整個SQL語句所用到。有的時候,是為了讓SQL語句的可讀性更高些,也有可能是在UNION

SQL Server 的資料型別隱式轉換問題

寫這篇文章的時候,還真不知道如何取名,也不知道這個該如何將其歸類。這個是同事遇到的一個案例,案例比較複雜,這裡抽絲剝繭,僅僅構造一個簡單的案例來展現一下這個問題。我們先構造測試資料,如下所示:

sql server編寫通用指令碼實現獲取一年前日期的方法

問題:   在資料庫程式設計開發,有時需要獲取一年前的日期,以便以此為時間的分界點,查詢其前後對應的資料量。例如:

SQL Server的SELECT會阻塞SELECT嗎

前言 在SQL Server中,我們知道一個SELECT語句執行過程只會申請一些意向共享鎖(IS) 與共享鎖(S),例如我使用SQL Profile跟蹤會話86執行SELECT * FROM dbo.TEST WHERE OBJECT_ID =1 這個查詢語句,其申請、釋放的鎖資

sql server錯誤日誌errorlog的深入講解

一 .概述 SQL Server 將某些系統事件和使用者定義事件記錄到 SQL Server 錯誤日誌和 Microsoft Windows 應用程式日誌。 這兩種日誌都會自動給所有記錄事件加上時間戳。 使用 SQL Server 錯誤日誌的資訊可以解決S

SQL ServerTable字典資料的查詢SQL示例程式碼

前言 在資料庫系統原理與設計(第3版)教科書這樣寫道: 資料庫包含4類資料:

sql server的任務排程與CPU深入講解

一. 概述 我們知道在作業系統看來, sql server產品與其它應用程式一樣,沒有特別對待。但記憶體,硬碟,cpu又是資料庫系統最重要的核心資源,所以在sql server 2005及以後出現了SQLOS,這個元件是sqlserver和window

sql server死鎖排查的全過程分享

前言 記得以前客戶在使用軟體時,有偶發出現死鎖問題,因為發生的時間不確定,不好做問題的重現,當時解決問題有點棘手了。

SQL Server的事務與鎖問題

一 概述 在資料庫方面,對於非DBA的程式設計師來說,事務與鎖是一大難點,針對該難點,本篇文章試圖採用圖文的方式來與大家一起探討。

SQL ServerT-SQL 資料型別轉換

常用的轉換函式是 cast 和 convert,用於把表示式得出的值的型別轉換成另一個數據型別,如果轉換失敗,該函式丟擲錯誤,導致整個事務回滾。在SQL Server 2012版本,新增兩個容錯的轉換函式:try_cast 和 try_conve