用友u8怎么添加新用户(操作员)

1、首先打开用友u8应用程序，进入到用友u8的首页中，然后看一下需要添加的用户资料。

2、然后登录自己的管理员账号。

3、然后点击打开主菜单权限中的“用户”。

4、然后就进入到用户管理的页面中，找到顶上的“增加”，点击打开它。

5、然后在接下来的窗口中，输入想要添加的一个用户资料，输入口令和确认口令“101”（口令令就是用户的编号），选择这个用户的角色名称，回车确定。

6、然后在弹出来的窗口中，点击打开“增加”，重复上面的步骤。

7、添加完成后，回到用户管理页面就看到新增加的用户了、

Linux添加/删除用户和用户组

本文总结了Linux添加或者删除用户和用户组时常用的一些命令和参数。

1、建用户：adduser phpq                             //新建phpq用户passwd phpq                               //给phpq用户设置密码

2、建工作组groupadd test                          //新建test工作组

3、新建用户同时增加工作组useradd -g test phpq                      //新建phpq用户并增加到test工作组

注：：-g 所属组 -d 家目录 -s 所用的SHELL

4、给已有的用户增加工作组usermod -G groupname username

或者：gpasswd -a user group

5、临时关闭：在/etc/shadow文件中属于该用户的行的第二个字段（密码）前面加上就可以了。想恢复该用户，去掉即可。

或者使用如下命令关闭用户账号：passwd peter –l

重新释放：passwd peter –u

6、永久性删除用户账号userdel peter

groupdel peter

usermod –G peter peter（强制删除该用户的主目录和主目录下的所有文件和子目录）

7、从组中删除用户编辑/etc/group 找到GROUP1那一行，删除 A或者用命令gpasswd -d A GROUP

8、显示用户信息id usercat /etc/passwd

更详细的用户和用户组的解说请参考Linux用户和用户组详细解说本文主要讲述在Linux 系统中用户(user)和用户组(group)管理相应的概念；用户(user)和用户组(group)相关命令的列举；其中也对单用户多任务，多用户多任务也做以解说。

本篇文章来源于PHP资讯 原文链接： http://wwwphpqnet/linux/linux-add-delete-user-grouphtml

Linux用户（user）和用户组（group）管理概述

、理解Linux的单用户多任务，多用户多任务概念；Linux是一个多用户、多任务的操作系统；我们应该了解单用户多任务和多用户多任务的概念；

1、Linux 的单用户多任务； 单用户多任务；比如我们以beinan 登录系统，进入系统后，我要打开gedit 来写文档，但在写文档的过程中，我感觉少点音乐，所以又打开xmms 来点音乐；当然听点音乐还不行，MSN 还得打开，想知道几个弟兄现在正在做什么，这样一样，我在用beinan 用户登录时，执行了gedit 、xmms以及msn等，当然还有输入法fcitx ；这样说来就有点简单了，一个beinan用户，为了完成工作，执行了几个任务；当然beinan这个用户，其它的人还能以远程登录过来，也能做其它的工作。

2、Linux 的多用户、多任务；

有时可能是很多用户同时用同一个系统，但并不所有的用户都一定都要做同一件事，所以这就有多用户多任务之说；

举个例子，比如LinuxSirOrg 服务器，上面有FTP 用户、系统管理员、web 用户、常规普通用户等，在同一时刻，可能有的弟兄正在访问论坛；有的可能在上传软件包管理子站，比如luma 或Yuking 兄在管理他们的主页系统和FTP ；在与此同时，可能还会有系统管理员在维护系统；浏览主页的用的是nobody 用户，大家都用同一个，而上传软件包用的是FTP用户；管理员的对系统的维护或查看，可能用的是普通帐号或超级权限root帐号； 不同用户所具有的权限也不同，要完成不同的任务得需要不同的用户 ，也可以说 不同的用户，可能完成的工作也不一样 ；

值得注意的是：多用户多任务并不是大家同时挤到一接在一台机器的的键盘和显示器前来操作机器，多用户可能通过远程登录来进行，比如对服务器的远程控制，只要有用户权限任何人都是可以上去操作或访问的；

3、用户的角色区分；

用户在系统中是分角色的，在Linux 系统中，由于角色不同，权限和所完成的任务也不同；值得注意的是用户的角色是通过UID和识别的，特别是UID；在系统管理中，系统管理员一定要坚守UID 唯一的特性；

root用户：系统唯一，是真实的，可以登录系统，可以操作系统任何文件和命令，拥有最高权限；虚拟用户：这类用户也被称之为伪用户或假用户，与真实用户区分开来，这类用户不具有登录系统的能力，但却是系统运行不可缺少的用户，比如bin、daemon、adm、ftp、mail等；这类用户都系统自身拥有的，而非后来添加的，当然我们也可以添加虚拟用户；普通真实用户：这类用户能登录系统，但只能操作自己家目录的内容；权限有限；这类用户都是系统管理员自行添加的；

4、多用户操作系统的安全；

多用户系统从事实来说对系统管理更为方便。从安全角度来说，多用户管理的系统更为安全，比如beinan用户下的某个文件不想让其它用户看到，只是设置一下文件的权限，只有beinan一个用户可读可写可编辑就行了，这样一来只有beinan一个用户可以对其私有文件进行操作，Linux 在多用户下表现最佳，Linux能很好的保护每个用户的安全，但我们也得学会Linux 才是，再安全的系统，如果没有安全意识的管理员或管理技术，这样的系统也不是安全的。

从服务器角度来说，多用户的下的系统安全性也是最为重要的，我们常用的Windows 操作系统，它在系纺权限管理的能力只能说是一般般，根本没有没有办法和Linux或Unix 类系统相比；

二、用户(user）和用户组（group）概念； 1、用户（user）的概念； 通过前面对Linux 多用户的理解，我们明白Linux 是真正意义上的多用户操作系统，所以我们能在Linux系统中建若干用户（user）。比如我们的同事想用我的计算机，但我不想让他用我的用户名登录，因为我的用户名下有不想让别人看到的资料和信息（也就是隐私内容）这时我就可以给他建一个新的用户名，让他用我所开的用户名去折腾，这从计算机安全角度来说是符合操作规则的；

当然用户（user）的概念理解还不仅仅于此，在Linux系统中还有一些用户是用来完成特定任务的，比如nobody和ftp 等，我们访问LinuxSirOrg 的网页程序，就是nobody用户；我们匿名访问ftp 时，会用到用户ftp或nobody ；如果您想了解Linux系统的一些帐号，请查看 /etc/passwd ；

2、用户组（group）的概念； 用户组（group）就是具有相同特征的用户（user）的集合体；比如有时我们要让多个用户具有相同的权限，比如查看、修改某一文件或执行某个命令，这时我们需要用户组，我们把用户都定义到同一用户组，我们通过修改文件或目录的权限，让用户组具有一定的操作权限，这样用户组下的用户对该文件或目录都具有相同的权限，这是我们通过定义组和修改文件的权限来实现的；

举例：我们为了让一些用户有权限查看某一文档，比如是一个时间表，而编写时间表的人要具有读写执行的权限，我们想让一些用户知道这个时间表的内容，而不让他们修改，所以我们可以把这些用户都划到一个组，然后来修改这个文件的权限，让用户组可读，这样用户组下面的每个用户都是可读的； 用户和用户组的对应关系是：一对一、多对一、一对多或多对多； 一对一：某个用户可以是某个组的唯一成员；多对一：多个用户可以是某个唯一的组的成员，不归属其它用户组；比如beinan和linuxsir两个用户只归属于beinan用户组；一对多：某个用户可以是多个用户组的成员；比如beinan可以是root组成员，也可以是linuxsir用户组成员，还可以是adm用户组成员；多对多：多个用户对应多个用户组，并且几个用户可以是归属相同的组；其实多对多的关系是前面三条的扩展；理解了上面的三条，这条也能理解；

三、用户（user）和用户组（group）相关的配置文件、命令或目录； 1、与用户（user）和用户组（group）相关的配置文件；

1）与用户（user）相关的配置文件；

/etc/passwd注：用户（user）的配置文件；/etc/shadow注：用户（user）影子口令文件；

2）与用户组（group）相关的配置文件； /etc/group注：用户组（group）配置文件；/etc/gshadow注：用户组（group）的影子文件；

2、管理用户（user）和用户组（group）的相关工具或命令； 1）管理用户（user）的工具或命令；

useradd    注：添加用户 

adduser    注：添加用户

passwd     注：为用户设置密码

usermod  注：修改用户命令，可以通过usermod 来修改登录名、用户的家目录等等；

pwcov       注：同步用户从/etc/passwd 到/etc/shadow 

pwck         注：pwck是校验用户配置文件/etc/passwd 和/etc/shadow 文件内容是否合法或完整；

pwunconv  注：是pwcov 的立逆向操作，是从/etc/shadow和 /etc/passwd 创建/etc/passwd ，然后会删除 /etc/shadow 文件；

finger        注：查看用户信息工具

id              注：查看用户的UID、GID及所归属的用户组

chfn          注：更改用户信息工具

su             注：用户切换工具

sudo         注：sudo 是通过另一个用户来执行命令（execute a command as another user），su 是用来切换用户，然后通过切换到的用户来完成相应的任务，但sudo 能后面直接执行命令，比如sudo 不需要root 密码就可以执行root 赋与的执行只有root才能执行相应的命令；但得通过visudo 来编辑/etc/sudoers来实现；

visudo      注：visodo 是编辑 /etc/sudoers 的命令；也可以不用这个命令，直接用vi 来编辑 /etc/sudoers 的效果是一样的；

sudoedit  注：和sudo 功能差不多；

2）管理用户组（group）的工具或命令；

groupadd  注：添加用户组；

groupdel         注：删除用户组；

groupmod        注：修改用户组信息

groups     注：显示用户所属的用户组

grpckgrpconv   注：通过/etc/group和/etc/gshadow 的文件内容来同步或创建/etc/gshadow ，如果/etc/gshadow 不存在则创建；

grpunconv   注：通过/etc/group 和/etc/gshadow 文件内容来同步或创建/etc/group ，然后删除gshadow文件；

3、/etc/skel 目录； /etc/skel目录一般是存放用户启动文件的目录，这个目录是由root权限控制，当我们添加用户时，这个目录下的文件自动复制到新添加的用户的家目录下；/etc/skel 目录下的文件都是隐藏文件，也就是类似file格式的；我们可通过修改、添加、删除/etc/skel目录下的文件，来为用户提供一个统一、标准的、默认的用户环境；

[root@localhost beinan]# ls -la /etc/skel/

总用量92

drwxr-xr-x    3 root root  4096  8月 11 23:32

drwxr-xr-x  115 root root 12288 10月 14 13:44

-rw-r--r--    1 root root    24  5月 11 00:15 bash_logout

-rw-r--r--    1 root root   191  5月 11 00:15 bash_profile-rw-r--r--    1 root root   124  5月 11 00:15 bashrc

-rw-r--r--    1 root root  5619 2005-03-08  canna

-rw-r--r--    1 root root   438  5月 18 15:23 emacs

-rw-r--r--    1 root root   120  5月 23 05:18 gtkrcd

rwxr-xr-x    3 root root  4096  8月 11 23:16 kde

-rw-r--r--    1 root root   658 2005-01-17  zshrc

/etc/skel目录下的文件，一般是我们用useradd 和adduser 命令添加用户（user）时，系统自动复制到新添加用户（user）的家目录下；如果我们通过修改 /etc/passwd 来添加用户时，我们可以自己创建用户的家目录，然后把/etc/skel 下的文件复制到用户的家目录下，然后要用chown 来改变新用户家目录的属主； 4、/etc/logindefs 配置文件； /etc/logindefs文件是当创建用户时的一些规划，比如创建用户时，是否需要家目录，UID和GID的范围；用户的期限等等，这个文件是可以通过root来定义的；

比如Fedora 的 /etc/loginsdefs 文件内容；

# REQUIRED#   Directory where mailboxes reside, _or_ name of file, relative to the#   home directory  If you _do_ define both, MAIL_DIR takes precedence#   QMAIL_DIR is for Qmail##QMAIL_DIR      MaildirMAIL_DIR        /var/spool/mail  注：创建用户时，要在目录/var/spool/mail中创建一个用户mail文件；#MAIL_FILE      mail# Password aging controls:##       PASS_MAX_DAYS   Maximum number of days a password may be used#       PASS_MIN_DAYS   Minimum number of days allowed between password changes#       PASS_MIN_LEN    Minimum acceptable password length#       PASS_WARN_AGE   Number of days warning given before a password expires#PASS_MAX_DAYS   99999   注：用户的密码不过期最多的天数；PASS_MIN_DAYS   0       注：密码修改之间最小的天数；PASS_MIN_LEN    5       注：密码最小长度；PASS_WARN_AGE   7       注：## Min/max values for automatic uid selection in useradd#UID_MIN                   500  注：最小UID为500 ，也就是说添加用户时，UID 是从500开始的；UID_MAX                 60000   注：最大UID为60000；## Min/max values for automatic gid selection in groupadd#GID_MIN                   500   注：GID 是从500开始；GID_MAX                 60000## If defined, this command is run when removing a user# It should remove any at/cron/print jobs etc owned by# the user to be removed (passed as the first argument)##USERDEL_CMD    /usr/sbin/userdel_local## If useradd should create home directories for users by default# On RH systems, we do This option is ORed with the -m flag on# useradd command line#CREATE_HOME     yes   注：是否创用户家目录，要求创建；

5、/etc/default/useradd 文件；

通过useradd 添加用户时的规则文件；

# useradd defaults fileGROUP=100HOME=/home  注：把用户的家目录建在/home中；INACTIVE=-1  注：是否启用帐号过期停权，-1表示不启用；EXPIRE=   注：帐号终止日期，不设置表示不启用；SHELL=/bin/bash  注：所用SHELL的类型；SKEL=/etc/skel   注： 默认添加用户的目录默认文件存放位置；也就是说，当我们用adduser添加用户时，用户家目录下的文件，都是从这个目录中复制过去的；

后记：

关于用户（user）和用户组（group）管理内容大约就是这么多；只要把上面所说的内容了解和掌握，用户（user）和用户组（group）管理就差不多了；由于用户（user）和用户组（group）是和文件及目录权限联系在一起的，所以文件及目录权限的操作也会独立成文来给大家介绍；

摘自  http://fedoralinuxsirorg/main/q=node/91

你要先加个用户名,再设置密码。

其实SMB可以使用用户名列表,具体的吗,不怎么好说清楚,就是说SMB服务器可以设置账号映射,就是说SMB用户可以不是系统用户

在SMBconf文件中可以开启用户账号映射,

方法:

先打开smbconf这个文件,找到:username map =/etc/samba/smbusers 这一项

把前面的分号去掉,记住username map= 后面的路径

然后手动的编辑这个文件

使用命令：

vi /etc/samba/smbusers

这个命令是编辑 username map 所指定的那个文件

在这个文件里面添加虚拟用户名

如

root administrator admin

这里的意思是说 root这个系统用户名有两个虚拟的SMB用户名，一个是administrator,一个是admin

就按这个方法去添加新的用户名，比如你先在系统中添加一个系统用户

命令：

useradd username

这个命令是添加一个系统用户账号，账号名是：username ，你可以自己改账号名

然后 在/etc/samba/smbusers这个文件中添加虚拟账号：比如：

username abc aaa aab

username是系统账号名 abc,aaa,aab这三个是SMB的虚拟账号，你公司有多少个用户就在这里添加，把他们的用户名都添加到这个文件里面

然后在你的smbconf的文件中建立共享目录，比如

[tmp]

path=/tmp

public=no

valid users=username

保存退出

重启动SMB

service smb restart

如果你不用虚拟账号

要先建立系统账号

方式：

useradd username

smbpasswd -a username

设置密码

重启SMB服务器

service smb restart

方法有二。

一、再Web中添加用户

因为添加用户，所以运行php(做为现在的主流开发语言)程序的用户必须是管理员权限(Administrator)，并且同时需要自己的php(做为现在的主流开发语言)ini中的安全模式没有打开，并且关闭函数中没有关闭system()、exec()、passthru()等函数。

( 以下说明针对Windows2000/Windows XP/Windows 2003 )

1、使用iis(微软的WEB服务器平台)做Web服务器

如果是使用iis(微软的WEB服务器平台)做服务器的话，那么运行php(做为现在的主流开发语言)的帐户就是：IUSR_XXXXXXXX，IWAM_XXXXXXX，(XXXX代表服务器的计算机名)，那么必须把这两个用户加到管理员组：Administrators 。当然，这样做的话，会给服务器安全带来威胁。

1、使用apache(Unix平台最流行的WEB服务器平台)作为Web服务器

据个人了解，apache(Unix平台最流行的WEB服务器平台)安装成服务以后，那么就是以system权限运行的，那么就是说php(做为现在的主流开发语言)运行的话，直接就是系统权限，已经超过了管理员权限，那么执行命令更不再话下。如果修改了apache(Unix平台最流行的WEB服务器平台)的运行用户，那么必须指定apache(Unix平台最流行的WEB服务器平台)服务运行用户是管理员以上权限，比如Administor或者system权限。

然后就可以在自己的php(做为现在的主流开发语言)代码中执行添加用户操作了：

按照楼主的需求，描述如下代码：

<php(做为现在的主流开发语言)

define("USER_GROUP", "users"); //用户组，默认为users，为了安全，定义还是的用户组

define("ACTIVE", "YES"); //是否创建后直接激活用户，YES为激活，NO为不激活

//从数据库提取用户名和密码

//假设表为user_info，并且只有字段id, user, passwod

$sql = "SELECT user,password FROM user_info";

$result = MySQL(和PHP搭配之最佳组合)_query($sql) or die("Query database failed");

//循环插入用户

while ($array = MySQL(和PHP搭配之最佳组合)_fetch_array($result)) {

if (!function_exists("system"))

die(Function system() not exists, add user failed);

//添加用户

@system("net user $array[user] $array[passwd] /active:ACTIVE /add");

//添加到指定组

@system("net localgroup users $array[user] /del");

@system("net localgroup USER_GROUP $array[user] /add");

}

>

以上代码实现了把自己所有数据库的用户添加到本地系统，如果想单个的添加，可以考虑更改成用户注册成功后就添加用户，这个可以自己扩展。

二、使用php(做为现在的主流开发语言)做shell脚本来添加用户

另外，其实还有个思路。可以在服务器端利用php(做为现在的主流开发语言)exe来执行，并且不会有安全问题。刚做了测试，已经通过。

假设自己的php(做为现在的主流开发语言)安装在c:php(做为现在的主流开发语言)中，那么就使用命令提示符的来执行php(做为现在的主流开发语言)脚本来添加用户。

php(做为现在的主流开发语言)代码：

//c: estphp(做为现在的主流开发语言)

<php(做为现在的主流开发语言)

@system("net user heiyeluren test /add");

>

保存在c: estphp(做为现在的主流开发语言)文件中

在cmd下执行：

c:php(做为现在的主流开发语言)php(做为现在的主流开发语言)exe c: estphp(做为现在的主流开发语言)

提示：

C:>c:php(做为现在的主流开发语言)php(做为现在的主流开发语言)exe c: estphp(做为现在的主流开发语言)

命令成功完成。

那么从这个角度出发，完全可以将上面咱写的那段代码拿到这里来执行，然后php(做为现在的主流开发语言)exe充当shell脚本引擎。然后写成批处理，通过定时任务来执行。当然，也可以考虑使用其他语言来实现，比如vb/vc之类的，定期去数据库中检索是否有新添加的用户，然后再把用户添加到系统中。

#!/bin/sh

useradd -m -g users -u 1010 -c "Thomas Barnes" -s /bin/bash tbarnes

useradd -m -g users -u 1011 -c "James King" -s /bin/bash jking

echo -e "novell\nnovell" | passwd tbarnes

echo -e "novell\nnovell" | passwd jking

用网络管理员账户登录到需要远程连接的服务器系统上，或者任何可以登录到服务器的域用户账户。

系统设置

登录到服务器后，选中我的电脑图标，右键→属性，如果是windows10系统的话，会先弹出一个系统设置窗口，点击高级系统设置。windows10之前的系统直接转到下一步。

远程桌面

在系统属性窗口中选择最右边的远程这一页，下半部分是远程桌面的设置内容。

选择用户

默认是不允许远程链接，勾选下面的允许。点击选择用户，进入远程桌面用户这个窗口。

添加用户

上面是有权限远程连接的用户。点击添加，进入选择用户或组窗口。如果知道要添加的用户名，直接加上就行，如果不知道点击下面的高级，域服务器会要求登录域用户验证身份（步骤1中的账号就可以）。

查找添加

验证通过后，点击立即查找，搜索结果会显示所有域用户，选择要添加的用户，确认，在选择用户或组窗口中会看到已经选择添加的用户。

7

确认应用

确认，回到远程桌面用户窗口，上面会增加一条新的可以远程连接该服务器的用户数据，点击确定回到系统属性窗口，点应用→确定，完成添加。

数据库角色的成员可以分为如下几类：

Windows用户组或用户账户

SQL Server登录

其他角色

SQL Server的安全体系结构中包括了几个含有特定隐含权限的角色。除了数据库拥有者创建的角色之外，还有两类预定义的角色。这些可以创建的角色可以分为如下几类：

固定服务器

固定数据库

用户自定义

固定服务器

由于固定服务器是在服务器层次上定义的，因此它们位于从属于数据库服务器的数据库外面。下表列出了所有现有的固定服务器角色。

固定服务器角色

说 明

sysadmin

执行SQL Server中的任何动作

serveradmin

配置服务器设置

setupadmin

安装复制和管理扩展过程

securityadmin

管理登录和CREATE DATABASE的权限以及阅读审计

processadmin

管理SQL Server进程

dbcreator

创建和修改数据库

diskadmin

管理磁盘文件

下面两个系统过程用来添加或删除固定服务器角色成员：

sp_addsrvrolemember

sp_dropsrvrolemember

注意：您不能添加、修改或删除固定服务器角色。另外，只有固定服务器角色的成员才能执行上述两个系统过程来从角色中添加或删除登录账户。

sa登录

sa登录是系统管理员的登录。在以前的SQL Server版本中不存在角色，sa登录具有所有可能的关于系统管理工作的权限。在SQL Server 2005中，sa登录保持了向后兼容性。sa登录永远是固定服务器角色syadmin中的成员，并且不能从该角色中删除。

注意：只有当没有其他方法登录到SQL Server系统中时，再使用sa登录。

固定服务器角色及其权限

在某个SQL Server系统中，每个固定服务器角色都有其隐含的权限。使用系统过程sp_srvrolepermission可以浏览每个固定服务器角色的权限。该系统过程的语法形式为：

sp_srvrolepermission[[@srvrolename =] 'role']

如果没有指定role的值，那么所有的固定服务器角色的权限都将显示出来。下面的部分将讨论每个固定服务器角色的权限。

1 sysadmin

固定服务器角色sysadmin的成员被赋予了SQL Server系统中所有可能的权限。例如，只有这个角色中的成员(或一个被这个角色中的成员赋予了CREATE DATABASE权限的用户)才能够创建数据库。

固定服务器角色和sa登录之间有着特殊的关系。sa登录一直都是固定服务器角色中的成员，并且不能从该角色中删除。

2 serveradmin

固定服务器角色serveradmin的成员可以执行如下的动作：

向该服务器角色中添加其他登录

运行dbcc pintable命令(从而使表常驻于主内存中)

运行系统过程sp_configure(以显示或更改系统选项)

运行reconfigure选项(以更新系统过程sp_configure所做的所有改动)

使用shutdown命令关掉数据库服务器

运行系统过程sp_tableoption为用户自定义表设置选项的值

3 setupadmin

固定服务器角色setupadmin中的成员可以执行如下的动作：

向该服务器角色中添加其他登录

添加、删除或配置链接的服务器

执行一些系统过程，如sp_serveroption

4 securityadmin

固定服务器角色securitypadmin中的成员可以执行关于服务器访问和安全的所有动作。这些成员可以进行如下的系统动作：

向该服务器角色中添加其他登录

读取SQL Server的错误日志

运行如下的系统过程：如sp_addlinkedsrvlogin、sp_addlogin、sp_defaultdb、sp_defaultlanguage、sp_denylogin、sp_droplinkedsrvlogin、sp_droplogin、sp_grantlogin、sp_helplogins、sp_remoteoption和sp_revokelogin(所有这些系统过程都与系统安全相关。)

5 processadmin

固定服务器角色processadmin中的成员用来管理SQL Server进程，如中止用户正在运行的查询。这些成员可以进行如下的动作：

向该服务器角色中添加其他登录

执行KILL命令(以取消用户进程)

6 dbcreator

固定服务器角色dbcreator中的成员用来管理与数据库创建和修改有关的所有动作。这些成员可以进行如下的动作：

向该服务器角色中添加其他登录

运行CREATE DATABASE和ALTER DATABASE语句

使用系统过程sp_renamedb来修改数据库的名称

7 diskadmin

固定服务器角色diskadmin的成员可以进行如下与用来存储数据库对象的文件和文件组有关的动作：

向该服务器角色中添加其他登录

运行如下系统过程：sp_ddumpdevice和sp_dropdevice。

运行DISK INIT语句

固定数据库角色

固定数据库角色在数据库层上进行定义，因此它们存在于属于数据库服务器的每个数据库中。下表列出了所有的固定数据库角色。

固定数据库角色

说 明

db_owner

可以执行数据库中技术所有动作的用户

db_accessadmin

可以添加、删除用户的用户

db_datareader

可以查看所有数据库中用户表内数据的用户

db_datawriter

可以添加、修改或删除所有数据库中用户表内数据的用户

db_ddladmin

可以在数据库中执行所有DDL操作的用户

db_securityadmin

可以管理数据库中与安全权限有关所有动作的用户

db_backoperator

可以备份数据库的用户(并可以发布DBCC和CHECKPOINT语句，这两个语句一般在备份前都会被执行)

db_denydatareader

不能看到数据库中任何数据的用户

db_denydatawriter

不能改变数据库中任何数据的用户

除了上表中列出的固定数据库角色之外，还有一种特殊的固定数据库角色，名为public，这里将首先介绍这一角色。

public角色

public角色是一种特殊的固定数据库角色，数据库的每个合法用户都属于该角色。它为数据库中的用户提供了所有默认权限。这样就提供了一种机制，即给予那些没有适当权限的所有用户以一定的(通常是有限的)权限。public角色为数据库中的所有用户都保留了默认的权限，因此是不能被删除的。

一般情况下，public角色允许用户进行如下的操作：

使用某些系统过程查看并显示master数据库中的信息

执行一些不需要一些权限的语句(例如PRINT)

固定数据库角色及其权限

在数据库中，每个固定数据库角色都有其特定的权限。这就意味着对于某个数据库来说，固定数据库角色的成员的权限是有限的。使用系统过程sp_dbfixedrolepermission就可以查看每个固定数据库角色的权限。该系统过程的语法为：

sp_dbxedrolepermission [[@rolename =] 'role']

如果没有指定role的值，那么所有固定数据库角色的权限都可以显示出来。下面的几节将讨论每个固定数据库角色的权限。

1 db_owner

固定数据库角色db_owner的成员可以在特定的数据库中进行如下的动作：

向其他固定数据库角色中添加成员，或从其中删除成员

运行所有的DDL语句

运行BACKUP DATABASE和BACKUP LOG语句

使用CHECKPOINT语句显式地启动检查点进程

运行下列dbcc命令：dbcc checkalloc、dbcc checkcatalog、dbcc checkdb、dbcc updateusage

授予、取消或剥夺每一个数据库对象上的下列权限：SELECT、INSERT、UPDATE、DELETE和REFERENCES

使用下列系统过程向数据库中添加用户或角色：sp_addapprole、sp_addrole、sp_addrolemember、sp_approlepassword、sp_changeobjectowner、sp_dropapprole、sp_droprole、sp_droprolemember、sp_dropuser、sp_grantdbaccess

使用系统过程sp_rename为任何数据库对象重新命名

2 db_accessadmin

固定数据库角色db_accessadmin的成员可以执行与数据库访问有关的所有动作。这些角色可以在具体的数据库中执行下列操作：

运行下列系统过程：sp_addalias、sp_dropalias、sp_dropuser、sp_grantdbacess、sp_revokedbaccess

为Windows用户账户、Windows组和SQL Server登录添加或删除访问

3 dbdatareader

固定数据库角色dbdatareader的成员对数据库中的数据库对象(表或视图)具有SELECT权限。然而，这些成员不能把这个权限授予其他任何用户或角色。(这个限制对REVOKE语句来说同样成立。)

4 dbdatawriter

固定数据库角色dbdatawriter的成员对数据库中的数据库对象(表或视图)具有INSERT、UPDATE和DELETE权限。然而，这些成员不能把这个权限授予其他任何用户或角色。(这个限制对REVOKE语句来说也同样成立。)

5 db_ddladmin

固定数据库角色db_ddladmin的成员可以进行如下的动作：

运行所有DDL语句

对任何表上授予REFERENCESE权限

使用系统过程sp_procoption和sp_recompile来修改任何存储过程的结构

使用系统过程sp_rename为任何数据库对象重命名

使用系统过程sp_tableoption和sp_changeobjectowner分别修改表的选项和任何数据库对象的拥有者

6 db_securityadmin

固定数据库角色db_securityadmin的成员可以管理数据库中的安全。这些成员可以进行如下的动作：

运行与安全有关的所有Transact-SQL语句(GRANT、DENY和REVOKE)

运行以下系统过程：sp_addapprole、sp_addrole、sp_addrolemember、sp_approlepassword、sp_changeobjectowner、sp_dropapprole、sp_droprole、sp_droprolemember

7 db_backupoperator

固定数据库角色db_backupoperator的成员可以管理数据库备份的过程。这些成员可以进行如下动作：

运行BACKUP DATABASE和BACKUP LOG语句

用CHECKPOINT语句显式地启动检查点进程

运行如下dbcc命令：dbcc checkalloc、dbcc checkcatalog、dbcc checkdb、dbcc updateusage

8 db_denydatareader和db_denydatawriter

顾名思义，固定数据库角色db_denydatareader的成员对数据库中的数据库对象(表或视图)没有SELECT权限。如果数据库中含有敏感数据并且其他用户不能读取这些数据，那么就可以使用这个角色。

固定数据库角色db_denydatawriter的成员对数据库中的任何数据库对象(表或视图)没有INSERT、UPDATE和DELETE权限。