创建角色，用户，权限

/*--示例说明
        示例在数据库pubs中创建一个拥有表jobs的所有权限、拥有表titles的SELECT权限的角色r_test
    随后创建了一个登录l_test，然后在数据库pubs中为登录l_test创建了用户账户u_test
    同时将用户账户u_test添加到角色r_test中，使其通过权限继承获取了与角色r_test一样的权限
    最后使用DENY语句拒绝了用户账户u_test对表titles的SELECT权限。
    经过这样的处理，使用l_test登录SQL Server实例后，它只具有表jobs的所有权限。
--*/

USE pubs

--创建角色 r_test
EXEC sp_addrole 'r_test'

--授予 r_test 对 jobs 表的所有权限
GRANT ALL ON jobs TO r_test
--授予角色 r_test 对 titles 表的 SELECT 权限
GRANT SELECT ON titles TO r_test

--添加登录 l_test,设置密码为pwd,默认数据库为pubs
EXEC sp_addlogin 'l_test','pwd','pubs'

--为登录 l_test 在数据库 pubs 中添加安全账户 u_test
EXEC sp_grantdbaccess 'l_test','u_test'

--添加 u_test 为角色 r_test 的成员
EXEC sp_addrolemember 'r_test','u_test'

--拒绝安全账户 u_test 对 titles 表的 SELECT 权限
DENY SELECT ON titles TO u_test

/*--完成上述步骤后,用 l_test 登录,可以对jobs表进行所有操作,但无法对titles表查询,虽然角色 r_test 有titles表的select权限,但已经在安全账户中明确拒绝了对titles的select权限,所以l_test无titles表的select权限--*/

--从数据库 pubs 中删除安全账户
EXEC sp_revokedbaccess 'u_test'

--删除登录 l_test
EXEC sp_droplogin 'l_test'

--删除角色 r_test
EXEC sp_droprole 'r_test'

------解决方案--------------------
SQL code
sql server2005安全管理之用户、角色、架构 与 权限 
2008-12-04 16:47 
--打开数据库 
Use databaseName 

--创建角色 
create role ProgramerRole 

--用于创建表 存储过程 视图 
grant create table,create procedure,create view to ProgramerRole 

--execute用以执行存储过程，alter用以创建、修改存储过程和视图， 
--并可以新建立表，但不能修改表,但也可以删除表和对表改名了 
grant select,insert,execute,alter on schema::dbo to ProgramerRole 

--用于允许用户查看 显示估计的执行计划(081205) 
grant showplan to ProgramerRole 

--创建登录账号 
--create login username with password='password' 
--创建数据库用户 
create user username for login username 

--将用户TestUser添加到TestRole角色中 
exec sp_addrolemember 'ProgramerRole','username ' 

--执行Sql Server Profiler是服务器级权限，所以在master库中授权 
USE master;grant alter trace to auto; 


注：据库引擎优化顾问必须由具有系统管理员权限的用户进行初始化。在具有系统管理员权限的用户对数据库引擎优化顾问进行初始化之后，任何是 db_owner 固定数据库角色成员的用户，都可以使用数据库引擎优化顾问来优化他们拥有的数据库上的表。 
详优化物理数据库设计http://msdn.microsoft.com/zh-cn/library/ms191531(SQL.90).aspx 

参考资料： 
用户架构分离：http://msdn.microsoft.com/zh-cn/library/ms190387(SQL.90).aspx 
    数据库架构是一个独立于数据库用户的非重复命名空间。您可以将架构视为对象的容器 
主体：http://msdn.microsoft.com/zh-cn/library/ms181127(SQL.90).aspx 
      是可以请求 SQL Server 资源的实体 
    
Windows 级别的主体 

Windows 域登录名 
Windows 本地登录名 
SQL Server 级的主体 

SQL Server 登录名 
数据库级的主体 

数据库用户 
数据库角色 
应用程序角色 
安全对象：http://msdn.microsoft.com/zh-cn/library/ms190401(SQL.90).aspx 
安全对象是 SQL Server 数据库引擎 授权系统控制对其进行访问的资源    
安全对象范围有服务器、数据库和架构 
安全对象范围：服务器包含以下安全对象： 
端点 
登录帐户 
数据库 

安全对象范围：数据库包含以下安全对象： 
用户 
角色 
应用程序角色 
程序集 
消息类型 
路由 
服务 
远程服务绑定 
全文目录 
证书 
非对称密钥 
对称密钥 
约定 
架构 

安全对象范围：架构包含以下安全对象： 
类型 
XML 架构集合 
对象 

对象 下面是对象类的成员： 
聚合 
约束 
函数 
过程 
队列 
统计信息 
同义词 
表 
视图 

架构：http://msdn.microsoft.com/zh-cn/library/ms365789(SQL.90).aspx 
架构是指包含表、视图、过程等的容器。它位于数据库内部，而数据库位于服务器内部 
特定架构中的每个安全对象都必须有唯一的名称。架构中安全对象的完全指定名称包括此安全对象所在的架构的名称。因此，架构也是命名空间 

权限：http://msdn.microsoft.com/zh-cn/library/ms190387(SQL.90).aspx 
每个 SQL Server 2005 安全对象都有可以授予主体的关联权限 

数据库级别的角色：http://msdn.microsoft.com/zh-cn/library/ms189121(SQL.90).aspx 
固定数据库角色是在数据库级别定义的，并且存在于每个数据库中。db_owner 和 db_securityadmin 数据库角色的成员可以管理固定数据库角色成员身份；但是，只有 db_owner 数据库的成员可以向 db_owner 固定数据库角色中添加成员。 
每个数据库用户都属于 public 数据库角色。当尚未对某个用户授予或拒绝对安全对象的特定权限时，则该用户将继承授予该安全对象的 public 角色的权限    
服务器级别角色：http://msdn.microsoft.com/zh-cn/library/ms188659(SQL.90).aspx 
固定服务器角色在其作用域内属于服务器范围。固定服务器角色的每个成员都可以向其所属角色添加其他登录名。 

GRANT 架构权限：http://msdn.microsoft.com/zh-cn/library/ms187940(SQL.90).aspx 

如何配置用户以创建和管理 SQL Server 代理作业 http://msdn.microsoft.com/zh-cn/library/ms187901.aspx 

若要配置用户以创建或执行 Microsoft SQL Server 代理作业，必须先将某个现有 SQL Server 登录名或 msdb 角色添加到 msdb 数据库中的下列 SQL Server 代理固定数据库角色之一：SQLAgentUserRole、SQLAgentReaderRole 或 SQLAgentOperatorRole。 

默认情况下，这些数据库角色的成员可以创建各自的作业步骤，这些作业步骤不执行其他作业步骤。如果这些非管理用户要运行那些执行其他作业步骤类型（例如，SSIS 包）的作业，它们需要对代理帐户具有