Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)koncový bod SQL Analytics ve službě Microsoft FabricWarehouse v Microsoft Fabricdatabáze SQL v Microsoft Fabric
Každý zabezpečitelný objekt SQL Serveru má přidružená oprávnění, která lze udělit hlavnímu subjektu. Oprávnění v databázovém stroji se spravují na úrovni serveru přiřazené k přihlašovacím údajům a rolím serveru a na úrovni databáze přiřazené uživatelům databáze a databázovým rolím. Model pro Azure SQL Database má stejný systém pro oprávnění k databázi, ale oprávnění na úrovni serveru nejsou k dispozici. Tento článek obsahuje úplný seznam oprávnění. Typickou implementaci oprávnění najdete v tématu Začínáme s oprávněními databázového stroje.
Celkový počet oprávnění pro SQL Server 2022 (16.x) je 292. Azure SQL Database zveřejňuje 292 oprávnění. Většina oprávnění platí pro všechny platformy, ale některé ne. Například většina oprávnění na úrovni serveru se nedá udělit ve službě Azure SQL Database a několik oprávnění dává smysl jenom pro Azure SQL Database. Nová oprávnění se zavádí postupně s novými verzemi. SQL Server 2019 (15.x) zveřejňuje 248 oprávnění. SQL Server 2017 (14.x) odhalil 238 oprávnění. SQL Server 2016 (13.x) odhalil 230 oprávnění. SQL Server 2014 (12.x) odhalil 219 oprávnění. SQL Server 2012 (11.x) odhalil 214 oprávnění. SQL Server 2008 R2 (10.50.x) odhalil 195 oprávnění. Článek sys.fn_builtin_permissions určuje, která oprávnění jsou v posledních verzích nová.
V databázi SQL v Microsoft Fabric jsou podporováni pouze uživatelé a role na úrovni databáze. Přihlášení, role a účet sa na úrovni serveru nejsou k dispozici. V databázi SQL v Microsoft Fabric je id Microsoft Entra pro uživatele databáze jedinou podporovanou metodou ověřování. Další informace naleznete v tématu Autorizace v databázi SQL v Microsoft Fabric.
Jakmile pochopíte požadovaná oprávnění, můžete použít oprávnění na úrovni serveru pro přihlášení nebo role serveru a oprávnění na úrovni databáze pro uživatele nebo databázové role pomocí příkazů GRANT, REVOKE a DENY . Například:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Tipy k plánování systému oprávnění najdete v tématu Začínáme s oprávněními databázového stroje.
Konvence pojmenování oprávnění
Následující informace popisují obecné konvence, které jsou dodrženy pro pojmenování oprávnění:
KONTROLA
Uděluje možnosti podobné vlastnictví pro příjemce grantu. Grantee má efektivně všechna definovaná oprávnění k zabezpečitelnému. Principál, kterému byla udělena kontrola, může také udělit oprávnění k zabezpečitelnému objektu. Vzhledem k tomu, že model zabezpečení SQL Serveru je hierarchický, CONTROL v určitém oboru implicitně zahrnuje všechny zabezpečitelné položky v tomto oboru. Například CONTROL v databázi znamená všechna oprávnění k databázi, všechna oprávnění pro všechna sestavení v databázi, všechna oprávnění pro všechna schémata v databázi a všechna oprávnění k objektům ve všech schématech v databázi.
ZMĚNA
Poskytuje možnost změnit vlastnosti s výjimkou vlastnictví konkrétního zabezpečitelného. Při udělení v rámci rozsahu funkce ALTER rovněž přiděluje možnost měnit, vytvářet nebo odstraňovat jakýkoli objekt zabezpečení, který je obsažen v daném rozsahu. Například oprávnění ALTER pro schéma zahrnuje možnost vytvářet, měnit a odstraňovat objekty ze schématu.
ALTER ANY <Server Securable>, kde Server Securable může být jakýkoli server zabezpečitelný.
Poskytuje možnost vytvářet, měnit nebo odstraňovat jednotlivé instance zabezpečitelného serveru. NAPŘÍKLAD ALTER ANY LOGIN poskytuje možnost vytvořit, změnit nebo odstranit jakékoli přihlášení v instanci.
ALTER ANY <Database Securable>, kde zabezpečitelný objekt může být cokoliv na úrovni databáze.
Poskytuje možnost VYTVOŘIT, ALTER nebo DROP jednotlivé instance zabezpečitelné databáze. NAPŘÍKLAD ALTER ANY SCHEMA poskytuje možnost vytvářet, měnit nebo odstraňovat jakékoli schéma v databázi.
PŘEVZÍT VLASTNICTVÍ
Umožňuje příjemci převzít vlastnictví objektu, na který je oprávnění uděleno.
<Zosobnění Přihlášení>
Umožňuje příjemci zosobnit přihlášení.
ZOSOBNIT <uživatele>
Umožňuje oprávněné osobě představovat uživatele.
Vytvoření <zabezpečitelného serveru>
Uděluje grantu možnost vytvořit zabezpečitelný server.
CREATE <Zabezpečitelný objekt databáze>
Uděluje grantu možnost vytvořit zabezpečitelnou databázi.
Vytvoření <zabezpečitelného objektu v rámci schématu>
Poskytuje možnost vytvořit zabezpečitelný objekt obsažený ve schématu. K vytvoření zabezpečitelného objektu v konkrétním schématu je však vyžadováno oprávnění ALTER na schématu.
ZOBRAZIT DEFINICI
Umožňuje příjemci přistupovat k metadatům.
ODKAZY
Oprávnění REFERENCES v tabulce je potřeba k vytvoření omezení CIZÍHO KLÍČE, které odkazuje na tuto tabulku.
Oprávnění REFERENCES je potřeba u objektu k vytvoření funkce nebo VIEW s
WITH SCHEMABINDINGklauzulí, která odkazuje na tento objekt.
Graf oprávnění SQL Serveru
Následující obrázek znázorňuje oprávnění a jejich vztahy mezi sebou. Některá oprávnění vyšší úrovně (například CONTROL SERVER) jsou uvedená mnohokrát. V tomto článku je plakát příliš malý na přečtení. Plakát oprávnění databázového stroje v plné velikosti si můžete stáhnout ve formátu PDF .
Oprávnění použitelná pro konkrétní zabezpečené objekty
Následující tabulka uvádí hlavní třídy oprávnění a druhy objektů, na něž mohou být použity.
| Povolení | Vztahuje se na |
|---|---|
| ZMĚNA | Všechny třídy objektů s výjimkou TYPE. |
| KONTROLA | Všechny třídy objektů: AGREGÁT APLIKAČNÍ ROLE, SHROMÁŽDĚNÍ ASYMETRICKÝ KLÍČ, SKUPINA DOSTUPNOSTI, CERTIFIKÁT SMLOUVA POVĚŘENÍ DATABÁZE IDENTIFIKAČNÍ ÚDAJE V ROZSAHU DATABÁZE VÝCHOZÍ KONCOVÝ BOD FULLTEXT KATALOG, Fulltextový seznam zakázaných slov FUNKCE PŘIHLÁŠENÍ TYP ZPRÁVY, PROCEDURA FRONTA VAZBA VZDÁLENÉ SLUŽBY, role TRASA PRAVIDLO SCHÉMA SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ SERVER ROLE SERVERU, SLUŽBA SYMETRICKÝ KLÍČ, SYNONYMUM STŮL TYP UŽIVATEL ZOBRAZIT a KOLEKCE SCHÉMAT XML |
| VYMAZAT | Všechny třídy objektů s výjimkou DATABASE SCOPED CONFIGURATION, SERVER a TYPE. |
| VYKONAT | Typy CLR, externí skripty, procedury (Transact-SQL a CLR), skalární a agregační funkce (Transact-SQL a CLR) a synonyma |
| ZOSOBŇOVAT | Přihlášení a uživatelé |
| VLOŽIT | Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu. |
| obdržet | Fronty služby Service Broker |
| ODKAZY | AGREGÁT SHROMÁŽDĚNÍ ASYMETRICKÝ KLÍČ, CERTIFIKÁT SMLOUVA CREDENTIAL (platí pro SQL Server 2022 (16.x) a novější), DATABÁZE IDENTIFIKAČNÍ ÚDAJE V ROZSAHU DATABÁZE FULLTEXT KATALOG, Fulltextový seznam zakázaných slov FUNKCE TYP ZPRÁVY, PROCEDURA FRONTA PRAVIDLO SCHÉMA SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ SEKVENCE OBJEKT SYMETRICKÝ KLÍČ, STŮL TYP ZOBRAZIT a KOLEKCE SCHÉMAT XML |
| VYBRAT | Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu. |
| PŘEVZÍT VLASTNICTVÍ | Všechny třídy objektů kromě konfigurace omezené na databázi, přihlášení, server a uživatele. |
| Aktualizace | Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu. |
| ZOBRAZIT SLEDOVÁNÍ ZMĚN | Schémata a tabulky |
| ZOBRAZIT DEFINICI | Všechny třídy objektů kromě DATABASE SCOPED CONFIGURATION a SERVER. |
Upozornění
Výchozí oprávnění udělená systémovým objektům v době instalace se pečlivě vyhodnocují proti možným hrozbám a není nutné je měnit při posílení zabezpečení instalace SQL Serveru. Jakékoli změny oprávnění v systémových objektech můžou omezit nebo přerušit funkčnost a potenciálně by mohly opustit instalaci SQL Serveru v nepodporovaném stavu.
Oprávnění SQL Serveru
Následující tabulka obsahuje úplný seznam oprávnění SQL Serveru. Oprávnění Azure SQL Database jsou k dispozici pouze pro podporované základní zabezpečitelné objekty. Oprávnění na úrovni serveru není možné udělit ve službě Azure SQL Database, ale v některých případech jsou oprávnění databáze k dispozici.
| Základní zabezpečitelné | Podrobná oprávnění pro základní zabezpečitelný objekt | Kód typu oprávnění | Zabezpečený objekt, který obsahuje základní zabezpečený objekt | Oprávnění k zabezpečitelnému kontejneru, které implikuje podrobná oprávnění k základnímu zabezpečitelnému |
|---|---|---|---|---|
| APLIKAČNÍ ROLE | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKOUKOLI APLIKAČNÍ ROLI |
| APLIKAČNÍ ROLE | KONTROLA | CL | DATABÁZE | KONTROLA |
| APLIKAČNÍ ROLE | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| SHROMÁŽDĚNÍ | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKOUKOLI SLOŽKU |
| SHROMÁŽDĚNÍ | KONTROLA | CL | DATABÁZE | KONTROLA |
| SHROMÁŽDĚNÍ | ODKAZY | RF | DATABÁZE | ODKAZY |
| SHROMÁŽDĚNÍ | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| SHROMÁŽDĚNÍ | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| Asymetrický klíč | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKÝKOLI ASYMETRICKÝ KLÍČ |
| Asymetrický klíč | KONTROLA | CL | DATABÁZE | KONTROLA |
| Asymetrický klíč | ODKAZY | RF | DATABÁZE | ODKAZY |
| Asymetrický klíč | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| Asymetrický klíč | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| SKUPINA DOSTUPNOSTI | ZMĚNA | HLINÍK | SERVER | ZMĚNIT JAKOUKOLI SKUPINU DOSTUPNOSTI |
| SKUPINA DOSTUPNOSTI | KONTROLA | CL | SERVER | ŘÍDICÍ SERVER |
| SKUPINA DOSTUPNOSTI | PŘEVZÍT VLASTNICTVÍ | K | SERVER | ŘÍDICÍ SERVER |
| SKUPINA DOSTUPNOSTI | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| CERTIFIKÁT | ZMĚNA | HLINÍK | DATABÁZE | Upravit jakýkoli certifikát |
| CERTIFIKÁT | KONTROLA | CL | DATABÁZE | KONTROLA |
| CERTIFIKÁT | ODKAZY | RF | DATABÁZE | ODKAZY |
| CERTIFIKÁT | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| CERTIFIKÁT | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| SMLOUVA | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKOUKOLI SMLOUVU |
| SMLOUVA | KONTROLA | CL | DATABÁZE | KONTROLA |
| SMLOUVA | ODKAZY | RF | DATABÁZE | ODKAZY |
| SMLOUVA | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| SMLOUVA | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| OSVĚDČENÍ | KONTROLA | CL | SERVER | ŘÍDICÍ SERVER |
| OSVĚDČENÍ | ODKAZY | RF | SERVER | ZMĚNIT JAKÉKOLI POVĚŘENÍ |
| DATABÁZE | SPRÁVA HROMADNÝCH OPERACÍ DATABÁZE | DABO | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNA | HLINÍK | SERVER | ZMĚNIT JAKOUKOLI DATABÁZI |
| DATABÁZE | ZMĚNIT JAKOUKOLI APLIKAČNÍ ROLI | ALAR | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNA JAKÉKOLIV SESTAVY | BĚDA | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÝKOLI ASYMETRICKÝ KLÍČ | ALAK | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | Upravit jakýkoli certifikát | ALCF | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÝKOLI KLÍČ ZAŠIFROVÁNÍ SLOUPCE | ALCK Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | UPRAVIT JAKÝKOLI HESLO SLUPCE HLAVNÍHO KLÍČE | ALCM Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKOUKOLI SMLOUVU | ALSC | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT LIBOVOLNÝ AUDIT DATABÁZE | ALDA | SERVER | UPRAVIT JAKÝKOLI AUDIT SERVERU |
| DATABÁZE | ALTER ANY DATABÁZOVÝ DDL TRIGGER | ALTG | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | UPRAVIT JAKÁKOLI OZNÁMENÍ O UDÁLOSTI DATABÁZE | ALED | SERVER | ZMĚNIT JAKÉKOLI OZNÁMENÍ O UDÁLOSTI |
| DATABÁZE | ZMĚNA JAKÉHOKOLI SEZENÍ UDÁLOSTÍ DATABÁZE | AADS | SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTÍ |
| DATABÁZE | ZMĚNIT LIBOVOLNOU UDÁLOST RELAČNÍ UDÁLOSTI V DATABÁZI PŘIDAT UDÁLOST | LDAE | SERVER | ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT |
| DATABÁZE | ALTER JAKÁKOLI DATABÁZE UDÁLOSTNÍ RELACE PŘIDAT CÍL | LDAT | SERVER | ALTER ANY EVENT SESSION ADD TARGET |
| DATABÁZE | ALTEROVAT JAKÝKOLI DATABASE EVENT SESSION ZAKÁZAT | DDES | SERVER | ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO |
| DATABÁZE | ZMĚŇTE JAKOUKOLI UDÁLOSTNÍ RELACI V DATABÁZI A ODSTRAŇTE UDÁLOST | LDDE | SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST |
| DATABÁZE | ZMĚNIT JAKÝKOLIV CÍLOVÝ CÍL RELACE UDÁLOSTÍ DATABÁZE | LDDT | SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ |
| DATABÁZE | UPRAVIT JAKOUKOLI RELACI UDÁLOSTI DATABÁZE POVOLIT | EDES | SERVER | UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT |
| DATABÁZE | ALTER JAKOUKOLIV MOŽNOST RELACE UDÁLOSTÍ DATABÁZE | LDSO | SERVER | ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI |
| DATABÁZE | Změnit jakékoliv nastavení ve vyšší úrovni databáze | ALDC Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÝKOLIV DATOVÝ PROSTOR | ALDS | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | UPRAVIT JAKÝKOLIV EXTERNÍ ZDROJ DAT | AEDS | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÝKOLI EXTERNÍ FORMÁT SOUBORU | AEFF | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ALTER ANY EXTERNAL JOB | AESJ | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÝKOLI EXTERNÍ JAZYK | ALLA | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKOUKOLI EXTERNÍ KNIHOVNU | ALEL | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | UPRAVIT JAKÝKOLIV EXTERNÍ PROUD | AEST | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG | ALFT | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKOUKOLIV MASKU | AAMK Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÝKOLI TYP ZPRÁVY | ALMT | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | "Povolit úpravy jakéhokoliv vzdáleného služebního propojení" | ALSB | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKOUKOLI ROLI | ALRL | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKOUKOLI TRASU | ALRT | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÉKOLIV SCHÉMA | ALSM | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKOUKOLI BEZPEČNOSTNÍ POLITIKU | ALSP Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKOUKOLIV KLASIFIKACI CITLIVOSTI | AASC Platí pro SQL Server (SQL Server 2019 (15.x) až aktuální), Azure SQL Database. |
SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT LIBOVOLNOU SLUŽBU | ALSV | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNIT JAKÝKOLIV SYMMETRICKÝ KLÍČ | ALSK | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZMĚNA LIBOVOLNÉHO UŽIVATELE | ALUS | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ALTER LEDGER | ALR | SERVER | KONTROLA |
| DATABÁZE | ZMĚNIT KONFIGURACI ÚČETNÍ KNIHY | ALC | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | OVĚŘIT | OVĚŘOVÁNÍ | SERVER | OVĚŘENÍ SERVERU |
| DATABÁZE | ZÁLOHOVAT DATABÁZI | BADB | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | PROTOKOL ZÁLOHOVÁNÍ | BALO | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | KONTROLNÍ BOD | CP | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | SPOJIT | Oxid uhelnatý | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | PŘIPOJENÍ REPLIKACE | korporace | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | KONTROLA | CL | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT AGREGÁT | ÚTES | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ JAKÉKOLI RELACE UDÁLOSTÍ DATABÁZE | CRDS | SERVER | VYTVOŘENÍ JAKÉHOKOLI SEZENÍ UDÁLOSTI |
| DATABÁZE | CREATE ASSEMBLY (vytvořit sestavení) | CRAS | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ ASYMETRICKÉHO KLÍČE | CRAK | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ CERTIFIKÁTU | CRCF | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT SMLOUVU | CRSC | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT DATABÁZI | CRDB | SERVER | VYTVOŘENÍ JAKÉKOLI DATABÁZE |
| DATABÁZE | VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL DATABÁZE | CRED | SERVER | VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL |
| DATABÁZE | VYTVOŘIT VÝCHOZÍ | RDF | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ EXTERNÍHO JAZYKA | CRLA | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ EXTERNÍ KNIHOVNY | CREL | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT FULLTEXT KATALOG | CRFT | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT FUNKCI | CRFN | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ TYPU ZPRÁVY | CRMT | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ POSTUPU | CRPR | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ FRONTY | CRQU | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ VAZBY VZDÁLENÉ SLUŽBY | CRSB | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘTE ROLI | CRRL | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT TRASU | CRRT | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT PRAVIDLO | CRRU | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT SCHÉMA | CRSM | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT SLUŽBU | CRSV | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ SYMETRICKÉHO KLÍČE | CRSK | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT SYNONYMUM | CRSN | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT TABULKU | CRTB | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ TYPU | CRTY | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT UŽIVATELE | CUSR | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘIT ZOBRAZENÍ | CRVW | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYTVOŘENÍ KOLEKCE SCHÉMAT XML | CRXS | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYMAZAT | DL | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | UKONČENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ DATABÁZE | DRDS | SERVER | ZRUŠENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ |
| DATABÁZE | POVOLIT LEDGER | EL | SERVER | KONTROLA |
| DATABÁZE | VYKONAT | EX | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO KONCOVÉHO BODU | EAEE | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO SKRIPTU | EAES Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální). |
SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VLOŽIT | V | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZRUŠIT PŘIPOJENÍ K DATABÁZI | KIDC Platí jenom pro Azure SQL Database. Použití příkazu ALTER ANY CONNECTION na SQL Serveru |
SERVER | ZÁMĚNA JAKÉKOLIV PŘIPOJENÍ |
| DATABÁZE | ODKAZY | RF | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | VYBRAT | SL | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABÁZE | PŘIHLÁŠENÍ K ODBĚRU OZNÁMENÍ DOTAZŮ | SUQN | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | PŘEVZÍT VLASTNICTVÍ | K | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ODHALIT | UMSK Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | Aktualizace | NAHORU | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZOBRAZENÍ DEFINICE ŠIFROVACÍHO KLÍČE SLOUPCE | VWCK Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ZOBRAZIT STAV SERVERU |
| DATABÁZE | ZOBRAZENÍ DEFINICE HLAVNÍHO KLÍČE SLOUPCE | VWCM Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ZOBRAZIT STAV SERVERU |
| DATABÁZE | ZOBRAZIT JAKOUKOLI KLASIFIKACI CITLIVOSTI | VASC | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZOBRAZIT KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI | VCD | SERVER | ZOBRAZIT JAKOUKOLI KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI |
| DATABÁZE | ZOBRAZIT STAV VÝKONNOSTI DATABÁZE | VDP | SERVER | ZOBRAZENÍ VÝKONNOSTNÍHO STAVU SERVERU |
| DATABÁZE | ZOBRAZENÍ AUDITU ZABEZPEČENÍ DATABÁZE | VDSA | SERVER | ŘÍDICÍ SERVER |
| DATABÁZE | ZOBRAZENÍ STAVU ZABEZPEČENÍ DATABÁZE | VDS | SERVER | ZOBRAZENÍ STAVU ZABEZPEČENÍ SERVERU |
| DATABÁZE | ZOBRAZENÍ STAVU DATABÁZE | VWDS | SERVER | ZOBRAZIT STAV SERVERU |
| DATABÁZE | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| DATABÁZE | ZOBRAZIT OBSAH ÚČETNÍ KNIHY | VLC | SERVER | KONTROLA |
| DATABÁZE | ZOBRAZIT DEFINICI ZABEZPEČENÍ | VWS | SERVER | ZOBRAZIT JAKOUKOLI DEFINICI ZABEZPEČENÍ |
| DATABÁZE | ZOBRAZIT DEFINICI VÝKONU | VWP | SERVER | ZOBRAZIT JAKOUKOLI DEFINICI VÝKONU |
| POVĚŘENÍ V RÁMCI DATABÁZE | ZMĚNA | HLINÍK | DATABÁZE | KONTROLA |
| POVĚŘENÍ V RÁMCI DATABÁZE | KONTROLA | CL | DATABÁZE | KONTROLA |
| POVĚŘENÍ V RÁMCI DATABÁZE | ODKAZY | RF | DATABÁZE | ODKAZY |
| POVĚŘENÍ V RÁMCI DATABÁZE | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| POVĚŘENÍ V RÁMCI DATABÁZE | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| koncový bod | ZMĚNA | HLINÍK | SERVER | ZMĚNIT JAKÝKOLI KONCOVÝ BOD |
| koncový bod | SPOJIT | Oxid uhelnatý | SERVER | ŘÍDICÍ SERVER |
| koncový bod | KONTROLA | CL | SERVER | ŘÍDICÍ SERVER |
| koncový bod | PŘEVZÍT VLASTNICTVÍ | K | SERVER | ŘÍDICÍ SERVER |
| koncový bod | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| FULLTEXTOVÝ KATALOG | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG |
| FULLTEXTOVÝ KATALOG | KONTROLA | CL | DATABÁZE | KONTROLA |
| FULLTEXTOVÝ KATALOG | ODKAZY | RF | DATABÁZE | ODKAZY |
| FULLTEXTOVÝ KATALOG | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| FULLTEXTOVÝ KATALOG | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | KONTROLA | CL | DATABÁZE | KONTROLA |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | ODKAZY | RF | DATABÁZE | ODKAZY |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| PŘIHLÁŠENÍ DO SYSTÉMU | ZMĚNA | HLINÍK | SERVER | Změnit libovolné přihlášení |
| PŘIHLÁŠENÍ DO SYSTÉMU | KONTROLA | CL | SERVER | ŘÍDICÍ SERVER |
| PŘIHLÁŠENÍ DO SYSTÉMU | ZOSOBŇOVAT | IM | SERVER | ŘÍDICÍ SERVER |
| PŘIHLÁŠENÍ DO SYSTÉMU | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| TYP ZPRÁVY | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKÝKOLI TYP ZPRÁVY |
| TYP ZPRÁVY | KONTROLA | CL | DATABÁZE | KONTROLA |
| TYP ZPRÁVY | ODKAZY | RF | DATABÁZE | ODKAZY |
| TYP ZPRÁVY | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| TYP ZPRÁVY | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| OBJEKT | ZMĚNA | HLINÍK | SCHÉMA | ZMĚNA |
| OBJEKT | KONTROLA | CL | SCHÉMA | KONTROLA |
| OBJEKT | VYMAZAT | DL | SCHÉMA | VYMAZAT |
| OBJEKT | VYKONAT | EX | SCHÉMA | VYKONAT |
| OBJEKT | VLOŽIT | V | SCHÉMA | VLOŽIT |
| OBJEKT | obdržet | RC | SCHÉMA | KONTROLA |
| OBJEKT | ODKAZY | RF | SCHÉMA | ODKAZY |
| OBJEKT | VYBRAT | SL | SCHÉMA | VYBRAT |
| OBJEKT | PŘEVZÍT VLASTNICTVÍ | K | SCHÉMA | KONTROLA |
| OBJEKT | ODHALIT | UMSK | SCHÉMA | ODHALIT |
| OBJEKT | Aktualizace | NAHORU | SCHÉMA | Aktualizace |
| OBJEKT | ZOBRAZIT SLEDOVÁNÍ ZMĚN | VWCT | SCHÉMA | ZOBRAZIT SLEDOVÁNÍ ZMĚN |
| OBJEKT | ZOBRAZIT DEFINICI | VW | SCHÉMA | ZOBRAZIT DEFINICI |
| PROPOJENÍ VZDÁLENÉ SLUŽBY | ZMĚNA | HLINÍK | DATABÁZE | "Povolit úpravy jakéhokoliv vzdáleného služebního propojení" |
| PROPOJENÍ VZDÁLENÉ SLUŽBY | KONTROLA | CL | DATABÁZE | KONTROLA |
| PROPOJENÍ VZDÁLENÉ SLUŽBY | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| PROPOJENÍ VZDÁLENÉ SLUŽBY | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| Role | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKOUKOLI ROLI |
| Role | KONTROLA | CL | DATABÁZE | KONTROLA |
| Role | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| Role | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| TRASA | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKOUKOLI TRASU |
| TRASA | KONTROLA | CL | DATABÁZE | KONTROLA |
| TRASA | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| TRASA | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| SCHÉMA | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKÉKOLIV SCHÉMA |
| SCHÉMA | KONTROLA | CL | DATABÁZE | KONTROLA |
| SCHÉMA | VYTVOŘIT SEKVENCI | CRSO | DATABÁZE | KONTROLA |
| SCHÉMA | VYMAZAT | DL | DATABÁZE | VYMAZAT |
| SCHÉMA | VYKONAT | EX | DATABÁZE | VYKONAT |
| SCHÉMA | VLOŽIT | V | DATABÁZE | VLOŽIT |
| SCHÉMA | ODKAZY | RF | DATABÁZE | ODKAZY |
| SCHÉMA | VYBRAT | SL | DATABÁZE | VYBRAT |
| SCHÉMA | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| SCHÉMA | ODHALIT | UMSK | DATABÁZE | ODHALIT |
| SCHÉMA | Aktualizace | NAHORU | DATABÁZE | Aktualizace |
| SCHÉMA | ZOBRAZIT SLEDOVÁNÍ ZMĚN | VWCT | DATABÁZE | ZOBRAZIT SLEDOVÁNÍ ZMĚN |
| SCHÉMA | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | ZMĚNA | HLINÍK | SERVER | ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | KONTROLA | CL | SERVER | KONTROLA |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | ODKAZY | RF | SERVER | ODKAZY |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | PŘEVZÍT VLASTNICTVÍ | K | SERVER | KONTROLA |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | ZOBRAZIT DEFINICI | VW | SERVER | ZOBRAZIT DEFINICI |
| SERVER | SPRÁVA HROMADNÝCH OPERACÍ | ADBO | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI SKUPINU DOSTUPNOSTI | ALAG | Není relevantní | Není relevantní |
| SERVER | ZÁMĚNA JAKÉKOLIV PŘIPOJENÍ | ALCO | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKÉKOLI POVĚŘENÍ | ALCD | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI DATABÁZI | ALDB | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKÝKOLI KONCOVÝ BOD | ALHE | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKÉKOLI OZNÁMENÍ O UDÁLOSTI | Ejl | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTÍ | AAES | Není relevantní | Není relevantní |
| SERVER | ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT | LSAE | Není relevantní | Není relevantní |
| SERVER | ALTER ANY EVENT SESSION ADD TARGET | LSAT (zkratka pro Law School Admission Test) | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO | standard šifrování dat (DES) | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST | LSDE | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ | LSDT | Není relevantní | Není relevantní |
| SERVER | UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT | EES | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI | LESO | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKÝKOLI PROPOJENÝ SERVER | ALLS | Není relevantní | Není relevantní |
| SERVER | Změnit libovolné přihlášení | ALLG | Není relevantní | Není relevantní |
| SERVER | UPRAVIT JAKÝKOLI AUDIT SERVERU | ALAA | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLIV ROLI SERVERU | ALSR | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT ZDROJE | ALRS | Není relevantní | Není relevantní |
| SERVER | Změnit stav serveru | ALSS | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT NASTAVENÍ | ALST | Není relevantní | Není relevantní |
| SERVER | ALTER TRACE | ALTR | Není relevantní | Není relevantní |
| SERVER | OVĚŘENÍ SERVERU | OVĚŘOVÁNÍ | Není relevantní | Není relevantní |
| SERVER | PŘIPOJENÍ JAKÉKOLI DATABÁZE | CADB | Není relevantní | Není relevantní |
| SERVER | CONNECT SQL | COSQ | Není relevantní | Není relevantní |
| SERVER | ŘÍDICÍ SERVER | CL | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ JAKÉKOLI DATABÁZE | CRDB | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ SKUPINY DOSTUPNOSTI | CRAC (systém chlazení počítačových místností) | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL | CRDE | Není relevantní | Není relevantní |
| SERVER | VYTVOŘIT KONCOVÝ BOD | CRHE | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ ROLE SERVERU | CRSR | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI TRASOVÁNÍ | CRTE | Není relevantní | Není relevantní |
| SERVER | SESTAVENÍ EXTERNÍHO PŘÍSTUPU | XA | Není relevantní | Není relevantní |
| SERVER | ZOSOBNIT JAKÉKOLI PŘIHLÁŠENÍ | IAL | Není relevantní | Není relevantní |
| SERVER | VYBRAT VŠECHNY ZABEZPEČITELNÉ UŽIVATELE | SUS | Není relevantní | Není relevantní |
| SERVER | VYPNUTÍ | SHDN | Není relevantní | Není relevantní |
| SERVER | NEBEZPEČNÉ SESTAVENÍ | XU | Není relevantní | Není relevantní |
| SERVER | ZOBRAZIT LIBOVOLNOU DATABÁZI | VWDB | Není relevantní | Není relevantní |
| SERVER | Zobrazte jakoukoli definici | VWAD | Není relevantní | Není relevantní |
| SERVER | ZOBRAZIT STAV SERVERU | VWSS | Není relevantní | Není relevantní |
| SERVEROVÁ ROLE | ZMĚNA | HLINÍK | SERVER | ZMĚNIT JAKOUKOLIV ROLI SERVERU |
| SERVEROVÁ ROLE | KONTROLA | CL | SERVER | ŘÍDICÍ SERVER |
| SERVEROVÁ ROLE | PŘEVZÍT VLASTNICTVÍ | K | SERVER | ŘÍDICÍ SERVER |
| SERVEROVÁ ROLE | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| SLUŽBA | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT LIBOVOLNOU SLUŽBU |
| SLUŽBA | KONTROLA | CL | DATABÁZE | KONTROLA |
| SLUŽBA | POSLAT | SN | DATABÁZE | KONTROLA |
| SLUŽBA | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| SLUŽBA | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| SYMETRICKÝ KLÍČ | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNIT JAKÝKOLIV SYMMETRICKÝ KLÍČ |
| SYMETRICKÝ KLÍČ | KONTROLA | CL | DATABÁZE | KONTROLA |
| SYMETRICKÝ KLÍČ | ODKAZY | RF | DATABÁZE | ODKAZY |
| SYMETRICKÝ KLÍČ | PŘEVZÍT VLASTNICTVÍ | K | DATABÁZE | KONTROLA |
| SYMETRICKÝ KLÍČ | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| TYP | KONTROLA | CL | SCHÉMA | KONTROLA |
| TYP | VYKONAT | EX | SCHÉMA | VYKONAT |
| TYP | ODKAZY | RF | SCHÉMA | ODKAZY |
| TYP | PŘEVZÍT VLASTNICTVÍ | K | SCHÉMA | KONTROLA |
| TYP | ZOBRAZIT DEFINICI | VW | SCHÉMA | ZOBRAZIT DEFINICI |
| UŽIVATEL | ZMĚNA | HLINÍK | DATABÁZE | ZMĚNA LIBOVOLNÉHO UŽIVATELE |
| UŽIVATEL | KONTROLA | CL | DATABÁZE | KONTROLA |
| UŽIVATEL | ZOSOBŇOVAT | IM | DATABÁZE | KONTROLA |
| UŽIVATEL | ZOBRAZIT DEFINICI | VW | DATABÁZE | ZOBRAZIT DEFINICI |
| KOLEKCE SCHÉMAT XML | ZMĚNA | HLINÍK | SCHÉMA | ZMĚNA |
| KOLEKCE SCHÉMAT XML | KONTROLA | CL | SCHÉMA | KONTROLA |
| KOLEKCE SCHÉMAT XML | VYKONAT | EX | SCHÉMA | VYKONAT |
| KOLEKCE SCHÉMAT XML | ODKAZY | RF | SCHÉMA | ODKAZY |
| KOLEKCE SCHÉMAT XML | PŘEVZÍT VLASTNICTVÍ | K | SCHÉMA | KONTROLA |
| KOLEKCE SCHÉMAT XML | ZOBRAZIT DEFINICI | VW | SCHÉMA | ZOBRAZIT DEFINICI |
Nová podrobná oprávnění přidaná do SQL Serveru 2022
Do SQL Serveru 2022 se přidají následující oprávnění:
Bylo přidáno 10 nových oprávnění pro povolení přístupu k systémovým metadatům.
Pro rozšířené události bylo přidáno 18 nových oprávnění.
9 nových oprávnění byla přidána s ohledem na objekty související se zabezpečením.
Pro Ledger byla přidána 4 oprávnění.
3 další oprávnění k databázi.
Další informace najdete v tématu Nová podrobná oprávnění pro SQL Server 2022 a Azure SQL ke zlepšení dodržování poLP.
Přístup k oprávněním systémových metadat
Úroveň serveru:
- ZOBRAZIT JAKOUKOLI DEFINICI ZABEZPEČENÍ
- ZOBRAZIT JAKOUKOLI DEFINICI VÝKONU
- ZOBRAZENÍ STAVU ZABEZPEČENÍ SERVERU
- ZOBRAZENÍ VÝKONNOSTNÍHO STAVU SERVERU
- ZOBRAZIT JAKOUKOLI KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI
Úroveň databáze:
- ZOBRAZENÍ STAVU ZABEZPEČENÍ DATABÁZE
- ZOBRAZIT STAV VÝKONNOSTI DATABÁZE
- ZOBRAZIT DEFINICI ZABEZPEČENÍ
- ZOBRAZIT DEFINICI VÝKONU
- ZOBRAZIT KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI
Rozšířená oprávnění k událostem
Úroveň serveru:
- VYTVOŘENÍ JAKÉHOKOLI SEZENÍ UDÁLOSTI
- ZRUŠENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ
- ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI
- ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT
- ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST
- UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT
- ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO
- ALTER ANY EVENT SESSION ADD TARGET
- ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ
Všechna tato oprávnění jsou pod stejným nadřazeným oprávněním: ALTER ANY EVENT SESSION
Úroveň databáze:
- VYTVOŘENÍ JAKÉKOLI RELACE UDÁLOSTÍ DATABÁZE
- UKONČENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ DATABÁZE
- ALTER JAKOUKOLIV MOŽNOST RELACE UDÁLOSTÍ DATABÁZE
- ZMĚNIT LIBOVOLNOU UDÁLOST RELAČNÍ UDÁLOSTI V DATABÁZI PŘIDAT UDÁLOST
- ZMĚŇTE JAKOUKOLI UDÁLOSTNÍ RELACI V DATABÁZI A ODSTRAŇTE UDÁLOST
- UPRAVIT JAKOUKOLI RELACI UDÁLOSTI DATABÁZE POVOLIT
- ALTEROVAT JAKÝKOLI DATABASE EVENT SESSION ZAKÁZAT
- ALTER JAKÁKOLI DATABÁZE UDÁLOSTNÍ RELACE PŘIDAT CÍL
- ZMĚNIT JAKÝKOLIV CÍLOVÝ CÍL RELACE UDÁLOSTÍ DATABÁZE
Tato oprávnění jsou zahrnuta pod stejným nadřazeným oprávněním: ALTER ANY DATABASE EVENT SESSION
Oprávnění k objektům souvisejícím se zabezpečením
- KONTROLA (CREDENTIAL)
- Vytvořit přihlášení
- VYTVOŘIT UŽIVATELE
- ODKAZY (PŘIHLAŠOVACÍ ÚDAJE)
- ODMASKOVAT (OBJECT)
- ODEMASKOVAT (SCHEMA)
- ZOBRAZENÍ LIBOVOLNÉHO PROTOKOLU CHYB
- ZOBRAZENÍ AUDITU ZABEZPEČENÍ SERVERU
- ZOBRAZENÍ AUDITU ZABEZPEČENÍ DATABÁZE
Oprávnění k účetní knize
- ALTER LEDGER
- ZMĚNIT KONFIGURACI ÚČETNÍ KNIHY
- POVOLIT LEDGER
- ZOBRAZIT OBSAH ÚČETNÍ KNIHY
Další oprávnění k databázi
- ALTER ANY EXTERNAL JOB
- UPRAVIT JAKÝKOLIV EXTERNÍ PROUD
- SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO KONCOVÉHO BODU
Shrnutí algoritmu kontroly oprávnění
Kontrola oprávnění může být složitá. Algoritmus kontroly oprávnění zahrnuje překrývající se členství ve skupinách a řetězení vlastnictví, explicitní i implicitní oprávnění a může být ovlivněn oprávněními k zabezpečitelným třídám, které obsahují zabezpečitelnou entitu. Obecným procesem algoritmu je shromáždit všechna příslušná oprávnění. Pokud se nenajde žádný blokující DENY, algoritmus vyhledá GRANT, který poskytuje dostatečný přístup. Algoritmus obsahuje tři základní prvky, kontext zabezpečení, prostor oprávnění a požadované oprávnění.
Poznámka:
Nemůžete udělit, odepřít ani odvolat oprávnění pro sa, dbo, vlastníka entity, information_schema, sys nebo sobě.
Kontext zabezpečení
Toto je skupina hlavních subjektů, které přidávají oprávnění ke kontrole přístupu. Jedná se o oprávnění, která souvisejí s aktuálním přihlášením nebo uživatelem, pokud se kontext zabezpečení nezměnil na jiné přihlášení nebo uživatele pomocí příkazu EXECUTE AS. Kontext zabezpečení zahrnuje následující principály:
Přihlášení
Uživatel
Členství v rolích
Členství ve skupinách Windows
Pokud se používá podepisování modulů, jakýkoli přihlašovací nebo uživatelský účet spojený s certifikátem použitým k podepsání modulu, který právě provádí uživatel, a s ním související členství v rolích dané entity.
Prostor oprávnění
Jedná se o zabezpečitelnou entitu a všechny zabezpečitelné třídy, které obsahují zabezpečitelné. Například tabulka (zabezpečitelná entita) je obsažena zabezpečitelnou třídou schématu a zabezpečitelnou třídou databáze. Přístup může mít vliv na oprávnění na úrovni tabulky, schématu, databáze a serveru. Další informace naleznete v tématu Hierarchie oprávnění (databázový stroj).
Požadovaná oprávnění
Typ požadovaného oprávnění. Například INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL atd.
Access může vyžadovat více oprávnění, jako v následujících příkladech:
Uložená procedura může vyžadovat oprávnění EXECUTE pro uloženou proceduru i oprávnění INSERT u několika tabulek, na které odkazuje uložená procedura.
Dynamické zobrazení správy může v zobrazení vyžadovat oprávnění VIEW SERVER STATE i SELECT.
Obecné kroky algoritmu
Když algoritmus určuje, jestli má povolit přístup k zabezpečitelnému objektu, může se přesné kroky, které používá, lišit v závislosti na principalech a zabezpečitelných objektech. Algoritmus však provádí následující obecné kroky:
Pokud je přihlášení členem pevné role serveru sysadmin, nebo jestli je uživatel uživatelem dbo v aktuální databázi, obejděte kontrolu oprávnění.
Povolit přístup, pokud lze použít řetězení vlastnictví a kontrola přístupu u dřívějšího objektu v řetězu prošla kontrolou zabezpečení.
Agregujte identity na úrovni serveru, databáze a podepsaného modulu, které jsou přidružené volajícímu, a vytvořte kontext zabezpečení.
Pro tento kontext zabezpečení shromážděte všechna oprávnění udělená nebo odepřená pro prostor oprávnění. Oprávnění lze explicitně uvést jako GRANT, GRANT WITH GRANT nebo ODEPŘÍT; nebo oprávnění mohou být implicitním nebo pokrývajícím typem oprávnění GRANT nebo ODEPŘÍT. Například oprávnění CONTROL pro schéma znamená CONTROL v tabulce. A CONTROL v tabulce znamená SELECT. Pokud tedy bylo uděleno oprávnění ovládat schéma, je uděleno oprávnění SELECT na tabulku. Pokud byl ovládací prvek v tabulce odepřen, příkaz SELECT v tabulce je odepřen.
Poznámka:
UDĚLENÍ oprávnění na úrovni sloupce přepíše ODMÍTNUTÍ na úrovni objektu. Další informace naleznete v tématu Odepřít oprávnění objektu.
Identifikujte požadovaná oprávnění.
Kontrola oprávnění se nezdaří, pokud je požadované oprávnění přímo nebo implicitně odepřeno jakékoli identitě v kontextu zabezpečení pro objekty v prostoru oprávnění.
Projděte kontrolou oprávnění, pokud požadované oprávnění nebylo odepřeno a požadované oprávnění obsahuje oprávnění GRANT nebo GRANT WITH GRANT buď přímo, nebo implicitně pro jakoukoli identitu v kontextu zabezpečení pro jakýkoli objekt v prostoru oprávnění.
Zvláštní aspekty oprávnění na úrovni sloupců
Oprávnění na úrovni sloupce jsou udělena pomocí syntaxe <table_name>(<sloupec _name>). Například:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
DENY na tabulce je přepsán GRANTEM na sloupci. Následující DENY v tabulce ale odebere sloupec GRANT.
Příklady
Příklady v této části ukazují, jak načíst informace o oprávněních.
A. Vrácení kompletního seznamu udělených oprávnění
Následující příkaz pomocí funkce vrátí všechna oprávnění databázového engine. Další informace naleznete v sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Vrácení oprávnění pro konkrétní třídu objektů
Následující příklad používá fn_builtin_permissions k zobrazení všech oprávnění, která jsou k dispozici pro kategorii zabezpečitelné. Příklad vrátí oprávnění na sestavách.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Vrácení oprávnění udělených vykonávajícímu subjektu na objektu
Následující příklad používá fn_my_permissions k vrácení seznamu efektivních oprávnění, která jsou držena volajícím subjektem na zadaném zabezpečitelném objektu. Příklad vrátí oprávnění k objektu s názvem Orders55. Další informace najdete v tématu sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Vrácení oprávnění platných pro zadaný objekt
Následující příklad vrátí oprávnění použitelná pro objekt s názvem Yttrium. Integrovaná funkce OBJECT_ID se používá k načtení ID objektu Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO
Související obsah
- hierarchie oprávnění
(databázový stroj) - sys.database_permissions (Transact-SQL)