Статья
04/01/2012

CREATE ROLE (Transact-SQL)

Создает новую роль базы данных в текущей базе данных.

Значок ссылки на раздел Синтаксические обозначения в Transact-SQL

Синтаксис

CREATE ROLE role_name [ AUTHORIZATION owner_name ]

Аргументы

role_name
Имя создаваемой роли.
AUTHORIZATION owner_name
Пользователь (или роль) базы данных, который станет владельцем новой роли. Если пользователь не указан, владельцем роли станет пользователь, выполнивший инструкцию CREATE ROLE.

Замечания

Роли — это сущности, защищаемые на уровне базы данных. После создания роли необходимо настроить для нее разрешения уровня базы данных при помощи инструкций GRANT, DENY и REVOKE. Для добавления членов в роль базы данных следует использовать хранимую процедуру sp_addrolemember. Дополнительные сведения см. в разделе Роли уровня базы данных.

Роли базы данных можно просмотреть в представлениях каталога sys.database_role_members и sys.database_principals.

Внимание!
Начиная с SQL Server 2005, поведение схем изменилось. В результате программный код, предполагающий, что схемы эквивалентны пользователям базы данных, возможно, не будет более возвращать правильные результаты. Старые представления каталога, включая sysobjects, не должны использоваться в той базе данных, где когда-либо выполнялась любая из следующих инструкций DDL: CREATE SCHEMA, ALTER SCHEMA, DROP SCHEMA, CREATE USER, ALTER USER, DROP USER, CREATE ROLE, ALTER ROLE, DROP ROLE, CREATE APPROLE, ALTER APPROLE, DROP APPROLE, ALTER AUTHORIZATION. В таких базах данных необходимо использовать новые представления каталогов. Новые представления каталога учитывают разделение участников и схем, введенное в SQL Server 2005. Дополнительные сведения о представлениях каталогов см. в разделе Представления каталогов (Transact-SQL).

Начиная с SQL Server 2005, поведение схем изменилось. В результате программный код, предполагающий, что схемы эквивалентны пользователям базы данных, возможно, не будет более возвращать правильные результаты. Старые представления каталога, включая sysobjects, не должны использоваться в той базе данных, где когда-либо выполнялась любая из следующих инструкций DDL: CREATE SCHEMA, ALTER SCHEMA, DROP SCHEMA, CREATE USER, ALTER USER, DROP USER, CREATE ROLE, ALTER ROLE, DROP ROLE, CREATE APPROLE, ALTER APPROLE, DROP APPROLE, ALTER AUTHORIZATION. В таких базах данных необходимо использовать новые представления каталогов. Новые представления каталога учитывают разделение участников и схем, введенное в SQL Server 2005. Дополнительные сведения о представлениях каталогов см. в разделе Представления каталогов (Transact-SQL).

Разрешения

Требуется разрешение CREATE ROLE для базы данных или членство в предопределенной роли базы данных db_securityadmin. Если указан параметр AUTHORIZATION, то необходимы также следующие разрешения.

Для передачи роли во владение другому пользователю необходимо связанное с этим пользователем разрешение IMPERSONATE.
Для передачи роли во владение другой роли необходимо членство в роли-получателе или связанное с этой ролью разрешение ALTER.
Для передачи роли во владение роли приложения необходимо связанное с прикладной ролью разрешение ALTER.

Примеры

A. Создание роли базы данных, принадлежащей пользователю базы данных

В следующем примере создается роль базы данных buyers, принадлежащая пользователю BenMiller.

USE AdventureWorks2008R2;
CREATE ROLE buyers AUTHORIZATION BenMiller;
GO

Б. Создание роли базы данных, принадлежащей предопределенной роли базы данных

Следующий пример создает роль базы данных auditors, принадлежащую предопределенной роли базы данных db_securityadmin.

USE AdventureWorks2008R2;
CREATE ROLE auditors AUTHORIZATION db_securityadmin;
GO

См. также

Справочник

ALTER ROLE (Transact-SQL)

DROP ROLE (Transact-SQL)

EVENTDATA (Transact-SQL)

Хранимая процедура sp_addrolemember (Transact-SQL)

sys.database_role_members (Transact-SQL)

sys.database_principals (Transact-SQL)

Основные понятия

Участники (компонент Database Engine)

Поделиться через