主页 / dba / 问题 / 318169
Accepted
George Menoutis
Asked: 2022-10-14 01:16:40 +0800 CST

找不到角色 db_datareader

  • 772

我以 sa 身份登录(在我的会话中使用 select suser_name() 仔细检查了它)。

cards_login_generator在数据库 [cards] 上创建了一个登录名和同名用户。我想允许该用户创建登录名、用户,并使他们成为db_datareader和的成员db_datawriter

我已经同意ALTER ANY LOGIN/USER并且它有效。现在是时候了:

grant alter on role::[db_datareader] to cards_login_generator

失败了:

找不到角色“dbo.db_datareader”,因为它不存在或您没有权限。

我已经彻底搜索过,但无法想象此消息的任何原因。该角色是一个(可能是不可删除的?)数据库角色,我是 sa,所以不会出现权限问题。为什么会失败?

Microsoft SQL Server 2017 (RTM-GDR) (KB5014354) - 14.0.2042.3 (X64)

sql-server

2 个回答

  1. Best Answer

    this answer中所述,修改固定数据库角色中的成员资格要求修改主体是db_owner固定数据库角色的成员。

    这是一个测试平台来展示它是如何工作的。首先,我们将创建一个有权创建其他登录名的登录名,然后将该登录名添加到我们的[Test]数据库中,在那里我们将为该登录名创建一个用户,并授予该用户更改用户和角色的权限。

    USE [master];
GO
CREATE LOGIN [user_creator_test] 
WITH 
    PASSWORD = N'SomeExceptionally
StrongPassword5%'
    , DEFAULT_LANGUAGE = us_english
    , DEFAULT_DATABASE = [Test];

GRANT ALTER ANY LOGIN TO [user_creator_test];
GO

USE [Test];
GO
CREATE USER [user_creator_test]
FOR LOGIN [user_creator_test]
WITH DEFAULT_SCHEMA = [dbo];

GRANT ALTER ANY USER TO [user_creator_test];
GRANT ALTER ANY ROLE TO [user_creator_test];
GO

    接下来,我们将模拟新的登录名并尝试创建一个新的登录名和用户,并将该用户添加到固定的数据库角色中,db_datareader并且db_datawriter

    EXECUTE AS LOGIN = N'user_creator_test';

CREATE LOGIN [test_login] 
WITH PASSWORD = N'SomeCrazyHardToGuessPasswords27%'
    , DEFAULT_DATABASE = [Test]
    , DEFAULT_LANGUAGE = us_english;

CREATE USER [test_login_user]
FOR LOGIN [test_login]
WITH DEFAULT_SCHEMA = [dbo]

ALTER ROLE db_datareader ADD MEMBER [test_login_user];
ALTER ROLE db_datawriter ADD MEMBER [test_login_user];

REVERT;

    上面的ALTER ROLE语句失败,报告这个错误:

    消息 15151,级别 16,状态 1,第 83 行
    无法更改角色“db_datareader”,因为它不存在或您没有权限。
    消息 15151,级别 16,状态 1,第 84 行
    无法更改角色“db_datawriter”,因为它不存在或您没有权限。

    但是,如果我们在数据库中创建角色[user_creator_test]的成员,然后重新运行测试,它会成功:db_owner[Test]

    ALTER ROLE db_owner ADD MEMBER [user_creator_test];
GO

EXECUTE AS LOGIN = N'user_creator_test';
SELECT USER_NAME(), DB_NAME();

ALTER ROLE db_datareader ADD MEMBER [test_login_user];
ALTER ROLE db_datawriter ADD MEMBER [test_login_user];

REVERT;
SELECT USER_NAME();
GO

    此查询显示数据库角色成员资格:

    SELECT 
      [role]            = dpr.[name]
    , [member]          = dpm.[name]
FROM 
    [sys].[database_principals]                 dpm
    INNER JOIN [sys].[database_role_members]    drm ON dpm.[principal_id]           = drm.[member_principal_id]
    INNER JOIN [sys].[database_principals]      dpr ON drm.[role_principal_id]      = dpr.[principal_id]
ORDER BY 
      [role]
    , [member];

    结果:

    角色 成员
    db_datareader test_login_user
    db_datawriter test_login_user
    db_owner 德博
    db_owner user_creator_test

    清理:

    USE [master];
GO

IF EXISTS
(
    SELECT 1
    FROM [sys].[server_principals] sp
    WHERE sp.[name] = N'test_login'
)
BEGIN
    DROP LOGIN [test_login];
    PRINT N'Dropped login [test_login]';
END
GO

USE [Test];
GO

IF EXISTS
(
    SELECT 1
    FROM [sys].[database_principals] dp
    WHERE dp.[name] = N'test_login_user'
)
BEGIN
    DROP USER [test_login_user];
    PRINT N'Dropped user [test_login_user]';
END
GO

USE [master];
GO

IF EXISTS
(
    SELECT 1
    FROM [sys].[server_principals] sp
    WHERE sp.[name] = N'user_creator_test'
)
BEGIN
    DROP LOGIN [user_creator_test];
END
GO

USE [Test];
GO

IF EXISTS
(
    SELECT 1
    FROM [sys].[database_principals] dp
    WHERE dp.[name] = N'user_creator_test'
)
BEGIN
    DROP USER [user_creator_test];
END
GO
    • 2

  2. 根据ALTER ROLE文档,为了能够更改固定数据库角色的成员身份,用户还必须是db_owner数据库上的成员:

    此外,要更改固定数据库角色的成员资格,您需要:

    • db_owner固定数据库角色的成员资格
    • 1

相关问题