SQL Server创建只读账号的两种完整方法
时间:2026-07-17 19:09
SQLServer创建只读账号可通过T-SQL脚本或SSMS图形界面实现,核心步骤包括创建登录名、在目标数据库创建用户并授予db_datareader角色,使其仅具备查询权限,无增删改能力,适用于报表查询、数据安全等场景。
一、T-SQL 脚本方法(推荐,可直接复制运行)
1. 创建服务器登录名(用于连接数据库实例)
-- 替换:ReadOnlyUser 账号名、123456@Abc 自定义强密码CREATE LOGIN ReadOnlyUser WITH PASSWORD = N'123456@Abc',CHECK_EXPIRATION = OFF, -- 密码永不过期(按需开启)CHECK_POLICY = OFF;
2. 进入目标数据库,创建数据库用户并绑定登录名
USE 你的数据库名; -- 替换为实际业务库名GO-- 创建数据库用户,关联上面的登录名CREATE USER ReadOnlyUser FOR LOGIN ReadOnlyUser;-- 分配内置只读角色 db_datareader(仅查询所有表/视图,无修改权限)EXEC sp_addrolemember 'db_datareader', 'ReadOnlyUser';
3. 可选附加权限(按需执行)
场景1:仅允许查看指定几张表(精细权限控制,不授予全局只读)
USE 你的数据库名;GO-- 仅开放表1、表2查询权限GRANT SELECT ON dbo.表1 TO ReadOnlyUser;GRANT SELECT ON dbo.表2 TO ReadOnlyUser;-- 回收全库读权限(如果之前加过db_datareader)EXEC sp_droprolemember 'db_datareader', 'ReadOnlyUser';
场景2:允许查看存储过程/函数定义(仅查看,不能执行修改)
USE 你的数据库名;GRANT VIEW DEFINITION TO ReadOnlyUser;
场景3:允许查看数据库元数据(系统视图权限)
GRANT VIEW SERVER STATE TO ReadOnlyUser;
4. 验证权限配置
-- 查看用户拥有的角色USE 你的数据库名;EXEC sp_helprolemember;-- 测试:只读账号只能SELECT,执行INSERT/UPDATE/DELETE会直接报错SELECT * FROM dbo.表名; -- 正常执行INSERT INTO dbo.表名 VALUES(1); -- 权限拒绝
二、SSMS 图形化操作步骤(可视化创建)
- 展开服务器 → 安全性 → 登录名,右键选择【新建登录名】
- 输入登录名,勾选【SQL Server 身份验证】,设置密码,按需取消强制密码策略
- 左侧切换到【用户映射】,勾选目标业务数据库
- 下方数据库角色成员身份:仅勾选
db_datareader(只读权限),切勿勾选 db_owner 或 db_datawriter - 点击确定保存,只读账号创建完成
三、关键权限说明(角色含义)
- db_datareader:内置只读角色,拥有库内所有表、视图的 SELECT 查询权限,无增删改及 DDL 建表权限,是标准只读账号的首选。
- db_datawriter:禁止勾选,该角色拥有增删改权限,不符合只读需求。
- 多数据库只读:需要对每个需要访问的数据库,重复执行
CREATE USER + sp_addrolemember 来绑定权限。
四、常用运维命令(管理只读账号)
-- 修改只读账号密码ALTER LOGIN ReadOnlyUser WITH PASSWORD=N'新密码@123';-- 临时禁用账号ALTER LOGIN ReadOnlyUser DISABLE;-- 删除账号(先删库用户,再删登录)USE 你的数据库名;DROP USER ReadOnlyUser;GODROP LOGIN ReadOnlyUser;
五、连接示例(Navicat/DBeaver/程序连接串)
服务器地址: 127.0.0.1,1433身份验证: SQL Server 身份验证用户名: ReadOnlyUser密码: 123456@Abc数据库: 你的数据库名
