SQL Server安全：登录和用户

前言

建议配合sql server登录名、服务器角色、数据库用户、数据库角色、架构区别联系一起看。

授予 Principal （安全主体）操作 Securable（安全对象）的 Permission（权限）。

Grants permissions on a securable to a principal

Principal是被授予权限的实体，包括login、user、role等。
Securable是Principal操作的对象，可以是table、view、SP、函数等，也可以是login、user、role等对象；有时Principal会作为Securable，被Principal操纵，也就是说，Principal 是抽象意义上的安全主体，可以向安全主体授予权限。

Principal分为Server level和Database level，最重要的两个Principal是Login和User，他们的区别是：
- 登录名（Login）是Server级别的Principal，作用域是整个数据库引擎。若要连接 SQL Server 实例上的特定数据库，登录名必须映射到数据库用户。数据库内的权限是向数据库用户而不是登录名授予的。
- 数据库用户（User）是数据库级别的Principal，作用域是数据库，登录名必须映射到数据库用户才能连接到数据库。一个登录名可以作为不同用户映射到不同的数据库，但在每个数据库中只能作为一个用户进行映射。

Login和User最基本的区别是Login用于控制用户是否有权限登陆SQL Server实例，User用于用户控制是否有权限访问数据库：

Login是登陆SQL Server的凭证，验证方式有两种，Windows 验证和SQL Server 验证。
User用于访问数据库，使用Login登陆到SQL Server实例之后，必须映射到User，才能访问数据库。
Login提供登录Server的帐号和密码，User用于访问数据库，Role是权限的集合，控制User访问的资源。User只有担当某一个角色或具有某些权限，才能访问数据库。
创建Login之后，该Login能够登录到SQL Server实例，但是，仅仅被授予Public角色，在访问数据库时，必须基于Login创建相应的数据库用户（User），Login和User通过SID关联。

创建Login

根据验证类型，Login分为SQL Server登录和Windows域登录，在创建登录时，可以设置默认数据库（Default Database），指定Login登录的默认数据库，默认值是master数据库。

创建SQL Server 登录

CREATE LOGIN login_name 
WITH PASSWORD = 'password'
,DEFAULT_DATABASE = database

创建Windows域登录

如果创建Windows域登录，映射到一个Windows域账户，登录名必须使用Windows域格式: [<domainName>\<login_name>].

CREATE LOGIN [<domain_Name>\<login_name>] 
FROM WINDOWSWITH DEFAULT_DATABASE = database

创建User

在SQL Server中，通常情况下，User的创建都是基于master数据库中Login，该Login的来源有三种：基于Windows域用户、Windows域用户组、SQL Server验证。

创建User

CREATE USER user_name
FOR LOGIN login_name
WITH DEFAULT_SCHEMA = shcema_name

参数解释：

user_name：创建的数据库用户的名字，该名字在数据库中是唯一的，用于唯一表示一个用户。
login_name：是用户登录SQL Server实例的登录名，分为Windows域登录名和SQL Server登录名。Windows域用户名的格式是：[<domainName>\<loginName>] 通过SID将登录名（Login）和用户名（User）关联在一起。
WITH DEFAULT_SCHEMA = schema_name：指定用户默认的架构（Schema)，默认的Schema是指用户在引用数据库对象时，如果省略框架名，那么SQL Server将首先从默认框架下进行查找数据库对象。

在创建新的用户时，没有指定用户默认的架构，有三种处理方式：

如果该用户是某一个Windows 用户组的成员，该组有默认的架构，那么该用户默认的架构是组的默认架构；
对于sysadmin角色（Fixed Server Role）的成员，其默认的架构始终是dbo，忽略Create User命令的设置；
如果用户不属于组，也不是sysadmin角色的成员，SQL Server不能确定该用户的架构，设置默认的架构名dbo；

创建用户名，基于SQL Server登录

CREATE LOGIN WanidaBenshoof 
WITH PASSWORD = '8fdKJl3$nlNv3049jsKK';
USE AdventureWorks2012;
go
CREATE USER Wanida 
FOR LOGIN WanidaBenshoof 
WITH DEFAULT_SCHEMA = Marketing;

创建用户名，基于Windows域登录

CREATE USER [Domain1\WindowsUserBarry] 
FOR LOGIN [Domain1\WindowsUserBarry];
use database_name
go
CREATE USER [Domain1\WindowsGroupManagers] 
FOR LOGIN [Domain1\WindowsGroupManagers];

权限模拟

在SQL Server的安全模型中，模拟（IMPERSONATE ）权限的安全对象是User或Login，被授予者（grantee ）有权限模拟特定用户的安全上下文执行特定的操作。

例如，user1授予模拟user2的权限，当user2的安全上下文有足够的权限，而user1没有时，通过权限模拟，user1能够在user2的权限上下文中执行查询请求：

GRANT IMPERSONATE 
ON USER:: user2 
TO user1;

通过执行EXECUTE AS 命令模拟用户的权限，用户user1就运行在user2的安全上下文中，例如，user1在登陆数据库之后，模拟user2的权限：

EXECUTE AS USER = 'user2';

通过执行 REVERT 命令退出权限模拟，返回到用户原始的安全上下文中：

REVERT;

用户和组

SQL Server 可以创建一个Windows Group作为登陆和用户（User），所有属于该组的成员，都具有相同的权限。

列出组的所有成员

在当数据库中，查看某一个Security Group的所有成员：

exec master..xp_logininfo @acctname = 'domain\group',@option = 'members'

检查组的成员

在当前数据库中，检查当前的用户是否属于特定的Security Group：

select is_member('domain\group')

函数is_member的返回值是：

0：当前的用户（User）不是组的成员；
1：当前的用户（User）是组的成员；
NULL：组名或角色名不存在于当前的数据库中；

注意，数据库是当前的数据库，如果用于资源管理（Resource Governor）中的分类函数（Classifier Function），那么，要注意分类函数所在的数据库，如果分类函数创建于master数据库，那么is_member函数的当前数据库就是master，检查的结果是当前用户是否属于当前数据库的组或角色。

特殊的用户

SQL Server在每个数据库中都内置两个特殊的用户：dbo和guest，在每个数据库中都有这两个用户（User）：

dbo（database owner的简称）：是WINDOWS_USER，数据库的所有者（Owner），每个数据库都有一个dbo用户，SQL Server把固定服务器角色 sysadmin 的成员都映射到数据库用户 dbo上。
guest：顾客，是SQL_USER，SQL Server 允许任何没有映射到数据库用户的有效登陆（Login），使用guest账户登陆数据库。在登陆数据库之前，要求dbo分配权限给guest, 一般给guest查看（select）的权限。

1，dbo用户

sysadmin 服务器角色的成员自动映射为dbo用户，dbo不同于db_owner 数据库角色，db_owner角色的成员资格不授予dbo用户特权。

2，guest用户

当一个Login登陆到SQL Server之后，如果没有在数据库中映射相应的用户，那么该Login可以使用guest用户登陆数据库。guest用户默认存在每个数据库中，默认情况下，guest用户是禁用的，可以通过命令启用guest用户。