角色
角色是一個強大的工具，使您得以將用戶集中到一個單元中，然后對該單元應用權限。對一個角色授予、拒絕或廢除的權限也適用于該角色的任何成員。可以建立一個角色來代表單位中一類工作人員所執行的工作，然后給這個角色授予適當的權限。當工作人員開始工作時，只須將他們添加為該角色成員，當他們離開工作時，將他們從該角色中刪除。而不必在每個人接受或離開工作時，反復授予、拒絕和廢除其權限。權限在用戶成為角色成員時自動生效。

Microsoft® Windows NT® 和 Windows® 2000 組的使用方式與角色很相似。有關更多信息，請參見組。

如果根據工作職能定義了一系列角色，并給每個角色指派了適合這項工作的權限，則很容易在數據庫中管理這些權限。之后，不用管理各個用戶的權限，而只須在角色之間移動用戶即可。如果工作職能發生改變，則只須更改一次角色的權限，并使更改自動應用于角色的所有成員，操作比較容易。

在 Microsoft® SQL Server™ 2000 和 SQL Server 7.0 版中，用戶可屬于多個角色。

以下腳本說明登錄、用戶和角色的添加，并為角色授予權限。

USE master
GO
sp_grantlogin 'NETDOMAIN\John'
GO
sp_defaultdb 'NETDOMAIN\John', 'courses'
GO
sp_grantlogin 'NETDOMAIN\Sarah'
GO
sp_defaultdb 'NETDOMAIN\Sarah', 'courses'
GO
sp_grantlogin 'NETDOMAIN\Betty'
GO
sp_defaultdb 'NETDOMAIN\Betty', 'courses'
GO
sp_grantlogin 'NETDOMAIN\Ralph'
GO
sp_defaultdb 'NETDOMAIN\Ralph', 'courses'
GO
sp_grantlogin 'NETDOMAIN\Diane'
GO
sp_defaultdb 'NETDOMAIN\Diane', 'courses'
GO
USE courses
GO
sp_grantdbaccess 'NETDOMAIN\John'
GO
sp_grantdbaccess 'NETDOMAIN\Sarah'
GO
sp_grantdbaccess 'NETDOMAIN\Betty'
GO
sp_grantdbaccess 'NETDOMAIN\Ralph'
GO
sp_grantdbaccess 'NETDOMAIN\Diane'
GO
sp_addrole 'Professor'
GO
sp_addrole 'Student'
GO
sp_addrolemember 'Professor', 'NETDOMAIN\John'
GO
sp_addrolemember 'Professor', 'NETDOMAIN\Sarah'
GO
sp_addrolemember 'Professor', 'NETDOMAIN\Diane'
GO
sp_addrolemember 'Student', 'NETDOMAIN\Betty'
GO
sp_addrolemember 'Student', 'NETDOMAIN\Ralph'
GO
sp_addrolemember 'Student', 'NETDOMAIN\Diane'
GO
GRANT SELECT ON StudentGradeView TO Student
GO
GRANT SELECT, UPDATE ON ProfessorGradeView TO Professor
GO

該腳本給 John 和 Sarah 教授提供了更新學生成績的權限，而學生 Betty 和 Ralph 只能選擇他們自己的成績。Diane 因同時教兩個班，所以添加到兩個角色中。ProfessorGradeView 視圖應將教授限制在自己班學生的行上，而 StudentGradeView 應限制學生只能選擇自己的成績。

SQL Server 2000 和 SQL Server 7.0 版在安裝過程中定義幾個固定角色。可以在這些角色中添加用戶以獲得相關的管理權限。下面是服務器范圍內的角色。

固定服務器角色 描述 (轉)
sysadmin 可以在 SQL Server 中執行任何活動。
serveradmin 可以設置服務器范圍的配置選項，關閉服務器。
setupadmin 可以管理鏈接服務器和啟動過程。
securityadmin 可以管理登錄和 CREATE DATABASE 權限，還可以讀取錯誤日志和更改密碼。
processadmin 可以管理在 SQL Server 中運行的進程。
dbcreator 可以創建、更改和除去數據庫。
diskadmin 可以管理磁盤文件。
bulkadmin 可以執行 BULK INSERT 語句。


可以從 sp_helpsrvrole 獲得固定服務器角色的列表，可以從 sp_srvrolepermission 獲得每個角色的特定權限。

每個數據庫都有一系列固定數據庫角色。雖然每個數據庫中都存在名稱相同的角色，但各個角色的作用域只是在特定的數據庫內。例如，如果 Database1 和 Database2 中都有叫 UserX 的用戶 ID，將 Database1 中的 UserX 添加到 Database1 的 db_owner 固定數據庫角色中，對 Database2 中的 UserX 是否是 Database2 的 db_owner 角色成員沒有任何影響。

固定數據庫角色 描述 (轉)
db_owner 在數據庫中有全部權限。
db_accessadmin 可以添加或刪除用戶 ID。
db_securityadmin 可以管理全部權限、對象所有權、角色和角色成員資格。
db_ddladmin 可以發出 ALL DDL，但不能發出 GRANT、REVOKE 或 DENY 語句。
db_backupoperator 可以發出 DBCC、CHECKPOINT 和 BACKUP 語句。
db_datareader 可以選擇數據庫內任何用戶表中的所有數據。
db_datawriter 可以更改數據庫內任何用戶表中的所有數據。
db_denydatareader 不能選擇數據庫內任何用戶表中的任何數據。
db_denydatawriter 不能更改數據庫內任何用戶表中的任何數據。


可以從 sp_helpdbfixedrole 獲得固定數據庫角色的列表，可以從 sp_dbfixedrolepermission 獲得每個角色的特定權限。

數據庫中的每個用戶都屬于 public 數據庫角色。如果想讓數據庫中的每個用戶都能有某個特定的權限，則將該權限指派給 public 角色。如果沒有給用戶專門授予對某個對象的權限，他們就使用指派給 public 角色的權限。