SQL Server创建只读账号完整操作的两种方法

 更新时间:2026年07月14日 09:08:19   作者:龙仔725  
还在为SQL Server只读权限配置发愁,本文手把手教你用T-SQL脚本和SSMS图形界面创建只读登录名与用户,详解db_datareader角色作用,避免误赋db_datawriter导致数据被改,附带表级精细权限、元数据查看及常用运维命令,需要的朋友可以参考下

一、T-SQL 脚本(推荐,可直接复制执行)

1. 创建登录名(服务器登录,用于连接数据库)

-- 替换:ReadOnlyUser 账号名、123456@Abc 自定义强密码
CREATE LOGIN ReadOnlyUser 
WITH PASSWORD = N'123456@Abc',
CHECK_EXPIRATION = OFF,  -- 密码永不过期(按需开启)
CHECK_POLICY = OFF;

2. 进入目标数据库,创建库内用户并绑定登录

USE 你的数据库名; -- 替换为实际业务库名
GO

-- 创建数据库用户,关联上面的登录名
CREATE USER ReadOnlyUser FOR LOGIN ReadOnlyUser;

-- 分配内置只读角色 db_datareader(仅查询所有表/视图,无修改权限)
EXEC sp_addrolemember 'db_datareader', 'ReadOnlyUser';

3. 可选附加权限(按需执行)

场景1:仅允许查看指定几张表(精细权限,不全局只读)

USE 你的数据库名;
GO
-- 仅开放表1、表2查询权限
GRANT SELECT ON dbo.表1 TO ReadOnlyUser;
GRANT SELECT ON dbo.表2 TO ReadOnlyUser;
-- 回收全库读权限(如果之前加过db_datareader)
EXEC sp_droprolemember 'db_datareader', 'ReadOnlyUser';

场景2:允许查看存储过程/函数执行计划(仅查看,不能执行修改)

USE 你的数据库名;
GRANT VIEW DEFINITION TO ReadOnlyUser;

场景3:允许查看数据库元数据(系统视图)

GRANT VIEW SERVER STATE TO ReadOnlyUser;

4. 验证权限

-- 查看用户拥有的角色
USE 你的数据库名;
EXEC sp_helprolemember;

-- 测试:只读账号只能SELECT,执行INSERT/UPDATE/DELETE会直接报错
SELECT * FROM dbo.表名; -- 正常执行
INSERT INTO dbo.表名 VALUES(1); -- 权限拒绝

二、SSMS 图形化操作步骤

  1. 展开服务器 → 安全性登录名,右键【新建登录名】
  2. 输入登录名、勾选【SQL Server身份验证】,设置密码,取消强制密码策略(按需)
  3. 左侧切换到【用户映射】,勾选目标业务数据库
  4. 下方数据库角色成员身份:只勾选 db_datareader(只读),不要勾选 db_owner/db_datawriter
  5. 确定保存,账号创建完成

三、关键权限说明

  1. db_datareader:内置只读角色,权限 = 库内所有表、视图 SELECT 查询,无增删改、无DDL建表权限,标准只读账号首选。
  2. db_datawriter:禁止勾选,拥有增删改权限,不符合只读需求。
  3. 多数据库只读:需要对每一个需要访问的库,重复执行 CREATE USER + sp_addrolemember 绑定权限。

四、常用运维命令

-- 修改只读账号密码
ALTER LOGIN ReadOnlyUser WITH PASSWORD=N'新密码@123';

-- 临时禁用账号
ALTER LOGIN ReadOnlyUser DISABLE;

-- 删除账号(先删库用户,再删登录)
USE 你的数据库名;
DROP USER ReadOnlyUser;
GO
DROP LOGIN ReadOnlyUser;

五、连接示例(Navicat/DBeaver/程序连接串)

服务器地址: 127.0.0.1,1433
身份验证: SQL Server 身份验证
用户名: ReadOnlyUser
密码: 123456@Abc
数据库: 你的数据库名

以上就是SQL Server创建只读账号完整操作的两种方法的详细内容,更多关于SQL Server创建只读账号方法的资料请关注脚本之家其它相关文章!

相关文章

最新评论