Пользователи баз данных

После создания логинов следующая задача администратора — спуститься на уровень базы данных и создать объекты пользователей базы данных. Пользователи баз данных — это специальные объекты, которые создаются на уровне базы данных и используются для предоставления разрешений в базе данных (на таблицы, представления, хранимые процедуры). Для пользователей используется термин database users (или просто users), в отличие от логинов (logins) — учетных записей для подключения к SQL Server. Логины и пользователи баз данных — это совершенно разные объекты.

Теоретически такое решение, видимо, вполне возможно. Но на практике разделение логинов и пользователей баз данных обеспечивает большую гибкость. Например, пользователь, который входит от имени одного и того же логина, сможет работать в разных базах данных от имени разных пользователей.

Создать пользователя базы данных можно:

• 1. на графическом экране из контейнера Имя_базы_данных | Security | Users в Management Studio;
• 2. при помощи команды CREATE USER (хранимая процедура sp_adduser, которая использовалась для этой цели в предыдущих версиях SQL Server, оставлена только для обеспечения обратной совместимости). Например, команда на создание пользователя User1, которому будет соответствовать логин SQL Server Login1 со схемой по умолчанию dbo, может выглядеть так:

CREATE USER User1 FOR LOGIN Login1 WITH DEFAULT_SCHEMA = dbo;

При создании пользователя вам нужно будет указать:

• 1. имя пользователя (User name), к которому применяются те же правила, что и для других объектовSQL Server;
• 2. логин (SQL Server или Windows), которой будет назначен пользователю этой базы данных. После создания пользователя назначенный ему логин изменять будет нельзя. Можно создать пользователя, которому не будет назначен никакой логин (при помощи переключателя Without login). Такому пользователю уже не получится назначить логин. Пользователи этого типа — без логинов — используются только для дополнительной настройки безопасности в Service Broker. Отметим также, что если какой-то логин уже был назначен пользователю, то другому пользователю одновременно назначить его нельзя;
• 3. сертификат (Certificate name) или асимметричный ключ (Key name);
• 4. схему по умолчанию (Default schema);
• 5. для каких схем этот пользователь будет являться владельцем (Owned schemas);
• 6. какие роли базы данных (Database roles) будут ему назначены.

Обязательных параметра всего два — имя пользователя и логин.

На вкладке Securables пользователю можно сразу же предоставить разрешения на объекты базы данных. Речь о предоставлении разрешений пойдет в следующих разделах. Вкладка Extended Properties позволяет определить дополнительные пользовательские свойства для данного объекта. Применяются они для тех же целей, что и расширенные свойства баз данных.

Изменение свойств пользователя и его удаление производится из того же контейнера в Management Studio, что и создание пользователя, а также при помощи команд ALTER USER/DROP USER. Удалить пользователя, владеющего какими-либо объектами в базе данных, нельзя.