时间:2022-08-14 09:29:48 | 栏目:MsSql | 点击:次
今天客户问到一个问题。 我想新建一个账号给外部人员使用,但是我只想给他创建表的权限,这应该如何操作。开始可能认为这个问题很简单。
我新建一个登录账号A
USE [master] GO CREATE LOGIN [A] WITH PASSWORD=N'123456', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF GO
创建数据库级别的用户A
USE [security_test] GO CREATE USER [a] FOR LOGIN [a] WITH DEFAULT_SCHEMA=[dbo] GO
赋予创建表的权限
GRANT CREATE TABLE TO A;
然后给他赋予创建表的权限
现在试试建表
CREATE TABLE test (id int)
提示如下信息:
这是什么情况?
创建表,每个表都是需要一个所有者,就是架构名。 对于我们的创建表语句 CREATE TABLE test (id int) 它其实默认使用的是 dbo架构。
A用户有了创建表的权限,还需要有dbo 架构的修改权限。 于是我们需要:
GRANT ALTER ON SCHEMA::dbo TO A; GO
但此时我们会遇到另外一个问题,就是加上这个权限之后,A用户除了create table 之外还能做drop table ,alter table等操作。
所以我们需要创建一个DDL 触发器 ,来阻止其他的操作
CREATE TRIGGER db_trigger_BlockNonTableDDL ON DATABASE FOR DDL_DATABASE_LEVEL_EVENTS AS BEGIN IF IS_MEMBER('A') = 1 BEGIN DECLARE @TriggerEventText nvarchar(max); SET @TriggerEventText = EVENTDATA().value('(/EVENT_INSTANCE/TSQLCommand/CommandText)[1]','nvarchar(max)') IF NOT ((@TriggerEventText LIKE 'CREATE TABLE%')) BEGIN RAISERROR (@TriggerEventText, 16, 1) ROLLBACK TRANSACTION; END END; END; GO
如果,创建的表不需要使用默认的dbo架构
那么可以给 给外部人员单独创建一个shchema 。给新建一个架构schema ,
create schema schema1 authorization dbo go
然后
grant create table to A grant alter, insert on schema::schema1 to A
此时,A仍然可以创建表,和删除表,但是他直接创建和删除属于它的架构的表。这也起到了限定权限的问题。