针对你在SQL Server Express环境中遇到的独立账户权限错误，我整理了一套逐步排查和修复的方案，适配你后续要对接SSRS报表和Power BI的场景：

1. 验证服务器级登录权限 #

首先确保你的独立账户拥有最基础的服务器连接权限：

• 用管理员账户登录SSMS，执行以下语句检查该账户是否具备CONNECT SQL权限：

  SELECT permission_name, state_desc 
  FROM sys.server_permissions
  WHERE grantee_principal_id = SUSER_ID('你的独立登录账户名')
    AND permission_name = 'CONNECT SQL';
  

• 如果结果为空，说明缺少该权限，执行以下语句添加：

  GRANT CONNECT SQL TO [你的独立登录账户名];
  

• 同时确认该账户是有效的SQL Server登录账户（如果是Windows域账户，需确保已添加为服务器登录）：

  SELECT name, type_desc FROM sys.server_principals WHERE name = '你的独立登录账户名';
  

2. 确认数据库级映射与基础权限 #

服务器权限没问题后，要确保登录账户正确映射到目标数据库的用户，且具备必要的数据库访问权限：

• 切换到目标数据库，执行语句验证用户映射和CONNECT权限：

  USE [你的数据库名];
  -- 检查是否存在对应的数据库用户
  SELECT name, type_desc FROM sys.database_principals WHERE name = '你的数据库用户名';
  -- 检查CONNECT权限
  SELECT permission_name, state_desc 
  FROM sys.database_permissions
  WHERE grantee_principal_id = USER_ID('你的数据库用户名')
    AND permission_name = 'CONNECT';
  

• 如果没有映射的用户，先创建并关联登录：

  USE [你的数据库名];
  CREATE USER [你的数据库用户名] FOR LOGIN [你的独立登录账户名];
  GRANT CONNECT TO [你的数据库用户名];
  

• 授予用户对目标表的SELECT权限（RLS是在SELECT之上过滤，基础的SELECT权限必须存在）：

  USE [你的数据库名];
  -- 单表授权
  GRANT SELECT ON [dbo].[你的表名] TO [你的数据库用户名];
  -- 或授权所有用户表（按需选择）
  GRANT SELECT TO [你的数据库用户名];
  

3. 排查行级安全（RLS）相关权限与策略 #

RLS本身有一些特定的注意点，可能导致权限问题：

• 确保你的独立账户没有被RLS策略排除（比如策略中是否有针对特定角色的过滤，而该账户不在角色内）。可以查看RLS策略定义：

  USE [你的数据库名];
  SELECT name, predicate_definition FROM sys.security_predicates;
  

• 如果你在RLS中使用了USER_NAME()或SUSER_SNAME()等函数，要确认当前账户的上下文是否匹配（比如SQL登录账户的USER_NAME()就是数据库用户名，Windows账户则对应域账户名）。
• 测试RLS效果可以用模拟登录的方式，避免反复切换账户：

  USE [你的数据库名];
  EXECUTE AS LOGIN = '你的独立登录账户名';
  -- 执行查询测试权限
  SELECT * FROM [dbo].[你的表名];
  -- 回到管理员身份
  REVERT;
  

  这里的错误提示会更精准，方便定位问题。

4. 检查是否存在拒绝权限（DENY） #

拒绝权限会覆盖所有允许权限，务必排查：

• 服务器级拒绝权限检查：

  SELECT permission_name, state_desc 
  FROM sys.server_permissions
  WHERE grantee_principal_id = SUSER_ID('你的独立登录账户名')
    AND state_desc = 'DENY';
  

• 数据库级拒绝权限检查：

  USE [你的数据库名];
  SELECT permission_name, state_desc, OBJECT_NAME(major_id) AS object_name
  FROM sys.database_permissions
  WHERE grantee_principal_id = USER_ID('你的数据库用户名')
    AND state_desc = 'DENY';
  

• 如果存在拒绝权限，执行REVOKE撤销：

  -- 示例：撤销服务器级的CONNECT SQL拒绝
  REVOKE DENY CONNECT SQL FROM [你的独立登录账户名];
  

5. SSRS与Power BI的额外注意事项 #

因为你后续要对接这两个工具，还要关注：

• SSRS数据源配置：选择“使用特定凭据”，并填入你的独立账户信息，确保凭据能直接访问数据库。
• Power BI连接：使用该独立账户登录数据库，且在Power BI Desktop中启用“行级别安全”时，确保RLS策略与Power BI的用户上下文一致（比如不要混用SQL登录和Azure AD账户）。

内容的提问来源于stack exchange，提问作者D Sommer