一、T-SQL 脚本(推荐,可直接复制执行)
1. 创建登录名(服务器登录,用于连接数据库)
sql
-- 替换:ReadOnlyUser 账号名、123456@Abc 自定义强密码
CREATE LOGIN ReadOnlyUser
WITH PASSWORD = N'123456@Abc',
CHECK_EXPIRATION = OFF, -- 密码永不过期(按需开启)
CHECK_POLICY = OFF;
2. 进入目标数据库,创建库内用户并绑定登录
sql
USE 你的数据库名; -- 替换为实际业务库名
GO
-- 创建数据库用户,关联上面的登录名
CREATE USER ReadOnlyUser FOR LOGIN ReadOnlyUser;
-- 分配内置只读角色 db_datareader(仅查询所有表/视图,无修改权限)
EXEC sp_addrolemember 'db_datareader', 'ReadOnlyUser';
3. 可选附加权限(按需执行)
场景1:仅允许查看指定几张表(精细权限,不全局只读)
sql
USE 你的数据库名;
GO
-- 仅开放表1、表2查询权限
GRANT SELECT ON dbo.表1 TO ReadOnlyUser;
GRANT SELECT ON dbo.表2 TO ReadOnlyUser;
-- 回收全库读权限(如果之前加过db_datareader)
EXEC sp_droprolemember 'db_datareader', 'ReadOnlyUser';
场景2:允许查看存储过程/函数执行计划(仅查看,不能执行修改)
sql
USE 你的数据库名;
GRANT VIEW DEFINITION TO ReadOnlyUser;
场景3:允许查看数据库元数据(系统视图)
sql
GRANT VIEW SERVER STATE TO ReadOnlyUser;
4. 验证权限
sql
-- 查看用户拥有的角色
USE 你的数据库名;
EXEC sp_helprolemember;
-- 测试:只读账号只能SELECT,执行INSERT/UPDATE/DELETE会直接报错
SELECT * FROM dbo.表名; -- 正常执行
INSERT INTO dbo.表名 VALUES(1); -- 权限拒绝
二、SSMS 图形化操作步骤
- 展开服务器 → 安全性 → 登录名,右键【新建登录名】
- 输入登录名、勾选【SQL Server身份验证】,设置密码,取消强制密码策略(按需)
- 左侧切换到【用户映射】,勾选目标业务数据库
- 下方数据库角色成员身份:只勾选
db_datareader(只读),不要勾选 db_owner/db_datawriter - 确定保存,账号创建完成
三、关键权限说明 ⚠️
- db_datareader:内置只读角色,权限 = 库内所有表、视图 SELECT 查询,无增删改、无DDL建表权限,标准只读账号首选。
- db_datawriter:禁止勾选,拥有增删改权限,不符合只读需求。
- 多数据库只读:需要对每一个需要访问的库 ,重复执行
CREATE USER + sp_addrolemember绑定权限。
四、常用运维命令
sql
-- 修改只读账号密码
ALTER LOGIN ReadOnlyUser WITH PASSWORD=N'新密码@123';
-- 临时禁用账号
ALTER LOGIN ReadOnlyUser DISABLE;
-- 删除账号(先删库用户,再删登录)
USE 你的数据库名;
DROP USER ReadOnlyUser;
GO
DROP LOGIN ReadOnlyUser;
五、连接示例(Navicat/DBeaver/程序连接串)
服务器地址: 127.0.0.1,1433
身份验证: SQL Server 身份验证
用户名: ReadOnlyUser
密码: 123456@Abc
数据库: 你的数据库名