在SQL Server数据库中，主要是通过角色来继承相关的权限。但是，这个权限继承很容易造成权限上的冲突。如现在有个销售员账户SALE1，有一个销售部门角 色DE_SALES。其中销售部门角色DE_SALES具有查询所有客户信息，即CUSTOM表的权限。但是销售员账户SALE1其由于是为试用期的员工 设置的临时帐户，所以其不能够查询CUSTOM表。但是，SALE1帐户其是属于销售部门这个角色，其会继承销售部门这个角色的所有访问权限。此 时，SALE1帐户所属角色的权限跟自己帐户的权限就产生了冲突。遇到这种情况，SQL Server数据库该如何处理呢?

　　在SQLServer数据库中，授予组或者角色的权限由该组或者角色的成员所继承。虽然某个用户可能在一个级别上授予或者废除权限，但如果这些 权限与更高级的权限发生冲突的话，则可能会打破数据库管理员的权限设计思路，让某个用户意外的禁止或者允许访问某个数据库对象。为了避免因为数据库权限冲 突所导致的一系列问题，SQLServer数据库提出了一些解决措施。虽然通过这些措施不能够完全避免权限之间的冲突，但是，至少让数据库管理员看到了解 决问题的希望。

　　招数一：明确拒绝

　　应用场景：现在数据库中有用户Landy，其属于销售员SALES角色。其中，销售员角色具有查询客户信息表Customs的权限。而由于某种 原因，数据库管理员限制用户Landy访问数据库对象Customs表的权利。此时就会有对象访问权限上的冲突。此时，数据库管理员该如何才能够避免这种 冲突呢?

　　第一个招数就是学会使用拒绝操作。在数据库中，拒绝权限始终优先。在任何级别(无论是用户或者角色)上的拒绝权限都拒绝该对象上的权限，无论该 用户现有的权限是否已授予权限还是被废除权限。这听起来比较绕口，或许根据上面的例子来讲，大家更容易明白。如上例，若要解决上面的权限冲突问题，则我们 只需要在用户Landy的权限设置中，拒绝其具有数据库对象表Customs表的Select权限。由于显示的拒绝其总被优先执行，所以即使其所属的角色 具有表Customs的访问权限，但是其成员Landy由于被显示的拒绝，根据拒绝优先的选择，则其最终不会有数据库表Customs的访问权限。

　　所以笔者所传授给大家的第一个招数就是要学会使用拒绝操作。各位数据库管理员要牢记，在权限管理中，拒绝操作总是被优先执行。另外还有一个极端 的例子，可以说明这个问题。如果数据库管理员把Public进行设置，设置为拒绝权限。此时由于拒绝权限被优先执行，则数据会禁止任何用户访问能数据库对 象。故拒绝权限一般往往用在用户级别上，可以实现对个别特殊用户的权限控制，而不用给他们设置独立的组。这让数据库权限管理更加的灵活。

　　招数二：废除权限，可以让某些帐户恢复正常

　　应用情景：现在数据库中有用户Landy，其属于销售员SALES角色。其中，销售员角色具有查询客户信息表Customs的权限。而由于某种 原因，数据库管理员限制用户Landy访问数据库对象Customs表的权利。此时，数据库管理员给Landy用户显示的拒绝访问Customs表的权 利。但是，现在这个限制其访问客户表的原因已经消除，用户Landy 可以正常访问表Customs了。此时，该如何处理呢?

　　此时，数据库管理员可以通过废除权限操作来完成需求。废除权限只删除所废除级别(如用户、角色或者组)上的已授予权限或者已拒绝权限，而在另外 级别上所授予或者拒绝的同一权限仍然适用。废除权限类似于拒绝权限，因为二者都是在同一级别上删除已经授予的权限。但是，废除权限是删除已经授予的权限， 并不妨碍用户、组或者角色从更高级别继承已授予的权限。为此，如果废除用户查看表的权限，并不一定能够防止用户查看该表。这跟拒绝权限操作就有本质的区 别。

　　举例来说，在上面这个例子中，Landy用户刚开始其被显示的拒绝访问表Customs。虽然其所属的角色具有访问表Customs的权限，但 是因为拒绝优先，所以用户Landy最终不能过访问这个表。此时，若限制原因消除，则数据库管理员可以采取废除权限操作，把Landy用户上的拒绝权限废 除掉。因为废除权限只删除用户Landy上已拒绝访问这个表的权限，而不影响从角色SALES中继承统一权限。为此，用户Landy最终具有访问这个表 Customs的权限。这就是废除权限操作的本质。

　　在实际工作中，废除权限操作与拒绝权限操作往往被用来处理一些特殊的帐户。如不少企业中，试用期员工其权限往往会受到限制。出于安全起 见，企业不会让一些还在试用期的员工访问所有的数据。为此，就要对他们的权限进行限制。此时，就可以在这些用户帐户级别上显示的拒绝，实现部分访问限制的 需求。当他们试用期过后，若试用合格的话，就可以把这些帐户的拒绝权限废除掉。如此的话，他们就可以正常继承他们所属角色或者组的权限。可见，拒绝权限与 废除权限结合，可以让数据库全县的管理更加的统一。最终要的是，可以最大程度的避免因为权限冲突而导致的数据管理上的安全漏洞。

　　另外，在实际配置中，需要注意一个问题，虽然废除权限具有废除拒绝权限的能力，但是，他只能够在一个级别上其作用。如上面这个例子中，另外还有 一个T_SALES的角色，其权限设置中，显示的拒绝访问表Customs。此时，若用户Landy同时属于SALES角色和T_SALES角色。虽然通 过废除权限废除了用户Landy级别上的拒绝访问表Customs的权限。但是，用户Landy所属的T_SALES角色中的拒绝权限仍然具有优先执行的 权力。所以，最终这个用户仍然不能够访问表Customs。所以，通过废除对权限的拒绝可以删除已经拒绝的权限。但是，如果用户在其他组或者角色级别有其 他拒绝权限的话，在该用户访问某个对象的权限仍然会被拒绝。

　　招数三：授权操作，让用户访问权限一目了然

　　应用情景：现在数据库中有用户Landy，其属于销售员SALES角色。其中，销售员角色具有查询客户信息表Customs的权限。而由于某种 原因，数据库管理员限制用户Landy访问数据库对象Customs表的权利。此时，数据库管理员给Landy用户显示的拒绝访问Customs表的权 利。但是，现在这个限制其访问客户表的原因已经消除，用户Landy 可以正常访问表Customs了。此时，该如何处理呢?

　　此时，除了可以通过上面的废除权限操作来处理，还可以通过授权操作来完成。废除权限操作有一个缺陷，就是数据库管理员要判断这个用户到底是否具 有某个数据库对象的访问权限时，还需要去查看其所属的角色或者组中的权限设置。这会增加一定的工作量。而授权操作则可以避免这种情况。授予权限删除所授予 级别伤的已经拒绝权限或者已经废除权限，而在另一级别上所拒绝权限的同一权限仍然适用。但是，虽然在另一级别上所废除的同一权限仍然适用，但他不阻止用户 访问该对象。也就是说，如果Sales角色可以访问表Customs，现在数据库管理员授予了用户Landy访问Customs表的权限，则用户最终具有 访问表Customs的权限。但是，如果Sales角色显示的拒绝了表Customs的查询权限，此时即使显示的授予用户Landy表Customs的访 问权限，则该用户仍然不能够访问表Customs。因为拒绝权限总是被优先执行。所以说，用户最终得到的是对象上所授予、拒绝或者废除权限的全部权限的并 集。其中，拒绝权限具有最优先的权利。

　　通过拒绝、废除、授权等权限操作，可以减少因为权限继承所导致的权限冲突。最后，笔者建议，在高级别的权限设置上，如组或者角色上，最好不要轻 易使用拒绝权限。拒绝权限因为具有最优先的执行权力，所以一般在用户级别上采用即可。若在组或者角色上采用拒绝权限，则在用户上所采取的废除权限或者授予 权限操作都将不能够其作用。为此，为了提高权限管理的灵活性，笔者认为拒绝权限在用户级别上实施比较合理，可以提高权限管理的灵活性。