Sdílet prostřednictvím


Oprávnění (databázový stroj)

platí pro:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)koncový bod SQL Analytics ve službě Microsoft FabricWarehouse v Microsoft Fabricdatabáze SQL v Microsoft Fabric

Každý zabezpečitelný objekt SQL Serveru má přidružená oprávnění, která lze udělit hlavnímu subjektu. Oprávnění v databázovém stroji se spravují na úrovni serveru přiřazené k přihlašovacím údajům a rolím serveru a na úrovni databáze přiřazené uživatelům databáze a databázovým rolím. Model pro Azure SQL Database má stejný systém pro oprávnění k databázi, ale oprávnění na úrovni serveru nejsou k dispozici. Tento článek obsahuje úplný seznam oprávnění. Typickou implementaci oprávnění najdete v tématu Začínáme s oprávněními databázového stroje.

Celkový počet oprávnění pro SQL Server 2022 (16.x) je 292. Azure SQL Database zveřejňuje 292 oprávnění. Většina oprávnění platí pro všechny platformy, ale některé ne. Například většina oprávnění na úrovni serveru se nedá udělit ve službě Azure SQL Database a několik oprávnění dává smysl jenom pro Azure SQL Database. Nová oprávnění se zavádí postupně s novými verzemi. SQL Server 2019 (15.x) zveřejňuje 248 oprávnění. SQL Server 2017 (14.x) odhalil 238 oprávnění. SQL Server 2016 (13.x) odhalil 230 oprávnění. SQL Server 2014 (12.x) odhalil 219 oprávnění. SQL Server 2012 (11.x) odhalil 214 oprávnění. SQL Server 2008 R2 (10.50.x) odhalil 195 oprávnění. Článek sys.fn_builtin_permissions určuje, která oprávnění jsou v posledních verzích nová.

V databázi SQL v Microsoft Fabric jsou podporováni pouze uživatelé a role na úrovni databáze. Přihlášení, role a účet sa na úrovni serveru nejsou k dispozici. V databázi SQL v Microsoft Fabric je id Microsoft Entra pro uživatele databáze jedinou podporovanou metodou ověřování. Další informace naleznete v tématu Autorizace v databázi SQL v Microsoft Fabric.

Jakmile pochopíte požadovaná oprávnění, můžete použít oprávnění na úrovni serveru pro přihlášení nebo role serveru a oprávnění na úrovni databáze pro uživatele nebo databázové role pomocí příkazů GRANT, REVOKE a DENY . Například:

GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;

Tipy k plánování systému oprávnění najdete v tématu Začínáme s oprávněními databázového stroje.

Konvence pojmenování oprávnění

Následující informace popisují obecné konvence, které jsou dodrženy pro pojmenování oprávnění:

  • KONTROLA

    Uděluje možnosti podobné vlastnictví pro příjemce grantu. Grantee má efektivně všechna definovaná oprávnění k zabezpečitelnému. Principál, kterému byla udělena kontrola, může také udělit oprávnění k zabezpečitelnému objektu. Vzhledem k tomu, že model zabezpečení SQL Serveru je hierarchický, CONTROL v určitém oboru implicitně zahrnuje všechny zabezpečitelné položky v tomto oboru. Například CONTROL v databázi znamená všechna oprávnění k databázi, všechna oprávnění pro všechna sestavení v databázi, všechna oprávnění pro všechna schémata v databázi a všechna oprávnění k objektům ve všech schématech v databázi.

  • ZMĚNA

    Poskytuje možnost změnit vlastnosti s výjimkou vlastnictví konkrétního zabezpečitelného. Při udělení v rámci rozsahu funkce ALTER rovněž přiděluje možnost měnit, vytvářet nebo odstraňovat jakýkoli objekt zabezpečení, který je obsažen v daném rozsahu. Například oprávnění ALTER pro schéma zahrnuje možnost vytvářet, měnit a odstraňovat objekty ze schématu.

  • ALTER ANY <Server Securable>, kde Server Securable může být jakýkoli server zabezpečitelný.

    Poskytuje možnost vytvářet, měnit nebo odstraňovat jednotlivé instance zabezpečitelného serveru. NAPŘÍKLAD ALTER ANY LOGIN poskytuje možnost vytvořit, změnit nebo odstranit jakékoli přihlášení v instanci.

  • ALTER ANY <Database Securable>, kde zabezpečitelný objekt může být cokoliv na úrovni databáze.

    Poskytuje možnost VYTVOŘIT, ALTER nebo DROP jednotlivé instance zabezpečitelné databáze. NAPŘÍKLAD ALTER ANY SCHEMA poskytuje možnost vytvářet, měnit nebo odstraňovat jakékoli schéma v databázi.

  • PŘEVZÍT VLASTNICTVÍ

    Umožňuje příjemci převzít vlastnictví objektu, na který je oprávnění uděleno.

  • <Zosobnění Přihlášení>

    Umožňuje příjemci zosobnit přihlášení.

  • ZOSOBNIT <uživatele>

    Umožňuje oprávněné osobě představovat uživatele.

  • Vytvoření <zabezpečitelného serveru>

    Uděluje grantu možnost vytvořit zabezpečitelný server.

  • CREATE <Zabezpečitelný objekt databáze>

    Uděluje grantu možnost vytvořit zabezpečitelnou databázi.

  • Vytvoření <zabezpečitelného objektu v rámci schématu>

    Poskytuje možnost vytvořit zabezpečitelný objekt obsažený ve schématu. K vytvoření zabezpečitelného objektu v konkrétním schématu je však vyžadováno oprávnění ALTER na schématu.

  • ZOBRAZIT DEFINICI

    Umožňuje příjemci přistupovat k metadatům.

  • ODKAZY

    Oprávnění REFERENCES v tabulce je potřeba k vytvoření omezení CIZÍHO KLÍČE, které odkazuje na tuto tabulku.

    Oprávnění REFERENCES je potřeba u objektu k vytvoření funkce nebo VIEW s WITH SCHEMABINDING klauzulí, která odkazuje na tento objekt.

Graf oprávnění SQL Serveru

Následující obrázek znázorňuje oprávnění a jejich vztahy mezi sebou. Některá oprávnění vyšší úrovně (například CONTROL SERVER) jsou uvedená mnohokrát. V tomto článku je plakát příliš malý na přečtení. Plakát oprávnění databázového stroje v plné velikosti si můžete stáhnout ve formátu PDF .

snímek obrazovky s oprávněními databázového stroje PDF.

Oprávnění použitelná pro konkrétní zabezpečené objekty

Následující tabulka uvádí hlavní třídy oprávnění a druhy objektů, na něž mohou být použity.

Povolení Vztahuje se na
ZMĚNA Všechny třídy objektů s výjimkou TYPE.
KONTROLA Všechny třídy objektů:

AGREGÁT
APLIKAČNÍ ROLE,
SHROMÁŽDĚNÍ
ASYMETRICKÝ KLÍČ,
SKUPINA DOSTUPNOSTI,
CERTIFIKÁT
SMLOUVA
POVĚŘENÍ
DATABÁZE
IDENTIFIKAČNÍ ÚDAJE V ROZSAHU DATABÁZE
VÝCHOZÍ
KONCOVÝ BOD
FULLTEXT KATALOG,
Fulltextový seznam zakázaných slov
FUNKCE
PŘIHLÁŠENÍ
TYP ZPRÁVY,
PROCEDURA
FRONTA
VAZBA VZDÁLENÉ SLUŽBY,
role
TRASA
PRAVIDLO
SCHÉMA
SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ
SERVER
ROLE SERVERU,
SLUŽBA
SYMETRICKÝ KLÍČ,
SYNONYMUM
STŮL
TYP
UŽIVATEL
ZOBRAZIT a
KOLEKCE SCHÉMAT XML
VYMAZAT Všechny třídy objektů s výjimkou DATABASE SCOPED CONFIGURATION, SERVER a TYPE.
VYKONAT Typy CLR, externí skripty, procedury (Transact-SQL a CLR), skalární a agregační funkce (Transact-SQL a CLR) a synonyma
ZOSOBŇOVAT Přihlášení a uživatelé
VLOŽIT Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu.
obdržet Fronty služby Service Broker
ODKAZY AGREGÁT
SHROMÁŽDĚNÍ
ASYMETRICKÝ KLÍČ,
CERTIFIKÁT
SMLOUVA
CREDENTIAL (platí pro SQL Server 2022 (16.x) a novější),
DATABÁZE
IDENTIFIKAČNÍ ÚDAJE V ROZSAHU DATABÁZE
FULLTEXT KATALOG,
Fulltextový seznam zakázaných slov
FUNKCE
TYP ZPRÁVY,
PROCEDURA
FRONTA
PRAVIDLO
SCHÉMA
SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ
SEKVENCE OBJEKT
SYMETRICKÝ KLÍČ,
STŮL
TYP
ZOBRAZIT a
KOLEKCE SCHÉMAT XML
VYBRAT Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu.
PŘEVZÍT VLASTNICTVÍ Všechny třídy objektů kromě konfigurace omezené na databázi, přihlášení, server a uživatele.
Aktualizace Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu.
ZOBRAZIT SLEDOVÁNÍ ZMĚN Schémata a tabulky
ZOBRAZIT DEFINICI Všechny třídy objektů kromě DATABASE SCOPED CONFIGURATION a SERVER.

Upozornění

Výchozí oprávnění udělená systémovým objektům v době instalace se pečlivě vyhodnocují proti možným hrozbám a není nutné je měnit při posílení zabezpečení instalace SQL Serveru. Jakékoli změny oprávnění v systémových objektech můžou omezit nebo přerušit funkčnost a potenciálně by mohly opustit instalaci SQL Serveru v nepodporovaném stavu.

Oprávnění SQL Serveru

Následující tabulka obsahuje úplný seznam oprávnění SQL Serveru. Oprávnění Azure SQL Database jsou k dispozici pouze pro podporované základní zabezpečitelné objekty. Oprávnění na úrovni serveru není možné udělit ve službě Azure SQL Database, ale v některých případech jsou oprávnění databáze k dispozici.

Základní zabezpečitelné Podrobná oprávnění pro základní zabezpečitelný objekt Kód typu oprávnění Zabezpečený objekt, který obsahuje základní zabezpečený objekt Oprávnění k zabezpečitelnému kontejneru, které implikuje podrobná oprávnění k základnímu zabezpečitelnému
APLIKAČNÍ ROLE ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKOUKOLI APLIKAČNÍ ROLI
APLIKAČNÍ ROLE KONTROLA CL DATABÁZE KONTROLA
APLIKAČNÍ ROLE ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
SHROMÁŽDĚNÍ ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKOUKOLI SLOŽKU
SHROMÁŽDĚNÍ KONTROLA CL DATABÁZE KONTROLA
SHROMÁŽDĚNÍ ODKAZY RF DATABÁZE ODKAZY
SHROMÁŽDĚNÍ PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
SHROMÁŽDĚNÍ ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
Asymetrický klíč ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKÝKOLI ASYMETRICKÝ KLÍČ
Asymetrický klíč KONTROLA CL DATABÁZE KONTROLA
Asymetrický klíč ODKAZY RF DATABÁZE ODKAZY
Asymetrický klíč PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
Asymetrický klíč ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
SKUPINA DOSTUPNOSTI ZMĚNA HLINÍK SERVER ZMĚNIT JAKOUKOLI SKUPINU DOSTUPNOSTI
SKUPINA DOSTUPNOSTI KONTROLA CL SERVER ŘÍDICÍ SERVER
SKUPINA DOSTUPNOSTI PŘEVZÍT VLASTNICTVÍ K SERVER ŘÍDICÍ SERVER
SKUPINA DOSTUPNOSTI ZOBRAZIT DEFINICI VW SERVER Zobrazte jakoukoli definici
CERTIFIKÁT ZMĚNA HLINÍK DATABÁZE Upravit jakýkoli certifikát
CERTIFIKÁT KONTROLA CL DATABÁZE KONTROLA
CERTIFIKÁT ODKAZY RF DATABÁZE ODKAZY
CERTIFIKÁT PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
CERTIFIKÁT ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
SMLOUVA ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKOUKOLI SMLOUVU
SMLOUVA KONTROLA CL DATABÁZE KONTROLA
SMLOUVA ODKAZY RF DATABÁZE ODKAZY
SMLOUVA PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
SMLOUVA ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
OSVĚDČENÍ KONTROLA CL SERVER ŘÍDICÍ SERVER
OSVĚDČENÍ ODKAZY RF SERVER ZMĚNIT JAKÉKOLI POVĚŘENÍ
DATABÁZE SPRÁVA HROMADNÝCH OPERACÍ DATABÁZE DABO SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNA HLINÍK SERVER ZMĚNIT JAKOUKOLI DATABÁZI
DATABÁZE ZMĚNIT JAKOUKOLI APLIKAČNÍ ROLI ALAR SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNA JAKÉKOLIV SESTAVY BĚDA SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÝKOLI ASYMETRICKÝ KLÍČ ALAK SERVER ŘÍDICÍ SERVER
DATABÁZE Upravit jakýkoli certifikát ALCF SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÝKOLI KLÍČ ZAŠIFROVÁNÍ SLOUPCE ALCK

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database.
SERVER ŘÍDICÍ SERVER
DATABÁZE UPRAVIT JAKÝKOLI HESLO SLUPCE HLAVNÍHO KLÍČE ALCM

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database.
SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKOUKOLI SMLOUVU ALSC SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT LIBOVOLNÝ AUDIT DATABÁZE ALDA SERVER UPRAVIT JAKÝKOLI AUDIT SERVERU
DATABÁZE ALTER ANY DATABÁZOVÝ DDL TRIGGER ALTG SERVER ŘÍDICÍ SERVER
DATABÁZE UPRAVIT JAKÁKOLI OZNÁMENÍ O UDÁLOSTI DATABÁZE ALED SERVER ZMĚNIT JAKÉKOLI OZNÁMENÍ O UDÁLOSTI
DATABÁZE ZMĚNA JAKÉHOKOLI SEZENÍ UDÁLOSTÍ DATABÁZE AADS SERVER ZMĚNIT JAKOUKOLI RELACI UDÁLOSTÍ
DATABÁZE ZMĚNIT LIBOVOLNOU UDÁLOST RELAČNÍ UDÁLOSTI V DATABÁZI PŘIDAT UDÁLOST LDAE SERVER ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT
DATABÁZE ALTER JAKÁKOLI DATABÁZE UDÁLOSTNÍ RELACE PŘIDAT CÍL LDAT SERVER ALTER ANY EVENT SESSION ADD TARGET
DATABÁZE ALTEROVAT JAKÝKOLI DATABASE EVENT SESSION ZAKÁZAT DDES SERVER ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO
DATABÁZE ZMĚŇTE JAKOUKOLI UDÁLOSTNÍ RELACI V DATABÁZI A ODSTRAŇTE UDÁLOST LDDE SERVER ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST
DATABÁZE ZMĚNIT JAKÝKOLIV CÍLOVÝ CÍL RELACE UDÁLOSTÍ DATABÁZE LDDT SERVER ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ
DATABÁZE UPRAVIT JAKOUKOLI RELACI UDÁLOSTI DATABÁZE POVOLIT EDES SERVER UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT
DATABÁZE ALTER JAKOUKOLIV MOŽNOST RELACE UDÁLOSTÍ DATABÁZE LDSO SERVER ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI
DATABÁZE Změnit jakékoliv nastavení ve vyšší úrovni databáze ALDC

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database.
SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÝKOLIV DATOVÝ PROSTOR ALDS SERVER ŘÍDICÍ SERVER
DATABÁZE UPRAVIT JAKÝKOLIV EXTERNÍ ZDROJ DAT AEDS SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÝKOLI EXTERNÍ FORMÁT SOUBORU AEFF SERVER ŘÍDICÍ SERVER
DATABÁZE ALTER ANY EXTERNAL JOB AESJ SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÝKOLI EXTERNÍ JAZYK ALLA SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKOUKOLI EXTERNÍ KNIHOVNU ALEL SERVER ŘÍDICÍ SERVER
DATABÁZE UPRAVIT JAKÝKOLIV EXTERNÍ PROUD AEST SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG ALFT SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKOUKOLIV MASKU AAMK

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database.
SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÝKOLI TYP ZPRÁVY ALMT SERVER ŘÍDICÍ SERVER
DATABÁZE "Povolit úpravy jakéhokoliv vzdáleného služebního propojení" ALSB SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKOUKOLI ROLI ALRL SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKOUKOLI TRASU ALRT SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÉKOLIV SCHÉMA ALSM SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKOUKOLI BEZPEČNOSTNÍ POLITIKU ALSP

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database.
SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKOUKOLIV KLASIFIKACI CITLIVOSTI AASC
Platí pro SQL Server (SQL Server 2019 (15.x) až aktuální), Azure SQL Database.
SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT LIBOVOLNOU SLUŽBU ALSV SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNIT JAKÝKOLIV SYMMETRICKÝ KLÍČ ALSK SERVER ŘÍDICÍ SERVER
DATABÁZE ZMĚNA LIBOVOLNÉHO UŽIVATELE ALUS SERVER ŘÍDICÍ SERVER
DATABÁZE ALTER LEDGER ALR SERVER KONTROLA
DATABÁZE ZMĚNIT KONFIGURACI ÚČETNÍ KNIHY ALC SERVER ŘÍDICÍ SERVER
DATABÁZE OVĚŘIT OVĚŘOVÁNÍ SERVER OVĚŘENÍ SERVERU
DATABÁZE ZÁLOHOVAT DATABÁZI BADB SERVER ŘÍDICÍ SERVER
DATABÁZE PROTOKOL ZÁLOHOVÁNÍ BALO SERVER ŘÍDICÍ SERVER
DATABÁZE KONTROLNÍ BOD CP SERVER ŘÍDICÍ SERVER
DATABÁZE SPOJIT Oxid uhelnatý SERVER ŘÍDICÍ SERVER
DATABÁZE PŘIPOJENÍ REPLIKACE korporace SERVER ŘÍDICÍ SERVER
DATABÁZE KONTROLA CL SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT AGREGÁT ÚTES SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ JAKÉKOLI RELACE UDÁLOSTÍ DATABÁZE CRDS SERVER VYTVOŘENÍ JAKÉHOKOLI SEZENÍ UDÁLOSTI
DATABÁZE CREATE ASSEMBLY (vytvořit sestavení) CRAS SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ ASYMETRICKÉHO KLÍČE CRAK SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ CERTIFIKÁTU CRCF SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT SMLOUVU CRSC SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT DATABÁZI CRDB SERVER VYTVOŘENÍ JAKÉKOLI DATABÁZE
DATABÁZE VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL DATABÁZE CRED SERVER VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL
DATABÁZE VYTVOŘIT VÝCHOZÍ RDF SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ EXTERNÍHO JAZYKA CRLA SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ EXTERNÍ KNIHOVNY CREL SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT FULLTEXT KATALOG CRFT SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT FUNKCI CRFN SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ TYPU ZPRÁVY CRMT SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ POSTUPU CRPR SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ FRONTY CRQU SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ VAZBY VZDÁLENÉ SLUŽBY CRSB SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘTE ROLI CRRL SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT TRASU CRRT SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT PRAVIDLO CRRU SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT SCHÉMA CRSM SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT SLUŽBU CRSV SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ SYMETRICKÉHO KLÍČE CRSK SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT SYNONYMUM CRSN SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT TABULKU CRTB SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ TYPU CRTY SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT UŽIVATELE CUSR SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘIT ZOBRAZENÍ CRVW SERVER ŘÍDICÍ SERVER
DATABÁZE VYTVOŘENÍ KOLEKCE SCHÉMAT XML CRXS SERVER ŘÍDICÍ SERVER
DATABÁZE VYMAZAT DL SERVER ŘÍDICÍ SERVER
DATABÁZE UKONČENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ DATABÁZE DRDS SERVER ZRUŠENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ
DATABÁZE POVOLIT LEDGER EL SERVER KONTROLA
DATABÁZE VYKONAT EX SERVER ŘÍDICÍ SERVER
DATABÁZE SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO KONCOVÉHO BODU EAEE SERVER ŘÍDICÍ SERVER
DATABÁZE SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO SKRIPTU EAES

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální).
SERVER ŘÍDICÍ SERVER
DATABÁZE VLOŽIT V SERVER ŘÍDICÍ SERVER
DATABÁZE ZRUŠIT PŘIPOJENÍ K DATABÁZI KIDC

Platí jenom pro Azure SQL Database. Použití příkazu ALTER ANY CONNECTION na SQL Serveru
SERVER ZÁMĚNA JAKÉKOLIV PŘIPOJENÍ
DATABÁZE ODKAZY RF SERVER ŘÍDICÍ SERVER
DATABÁZE VYBRAT SL SERVER ŘÍDICÍ SERVER
DATABÁZE SHOWPLAN SPLN SERVER ALTER TRACE
DATABÁZE PŘIHLÁŠENÍ K ODBĚRU OZNÁMENÍ DOTAZŮ SUQN SERVER ŘÍDICÍ SERVER
DATABÁZE PŘEVZÍT VLASTNICTVÍ K SERVER ŘÍDICÍ SERVER
DATABÁZE ODHALIT UMSK

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database.
SERVER ŘÍDICÍ SERVER
DATABÁZE Aktualizace NAHORU SERVER ŘÍDICÍ SERVER
DATABÁZE ZOBRAZENÍ DEFINICE ŠIFROVACÍHO KLÍČE SLOUPCE VWCK

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database.
SERVER ZOBRAZIT STAV SERVERU
DATABÁZE ZOBRAZENÍ DEFINICE HLAVNÍHO KLÍČE SLOUPCE VWCM

Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database.
SERVER ZOBRAZIT STAV SERVERU
DATABÁZE ZOBRAZIT JAKOUKOLI KLASIFIKACI CITLIVOSTI VASC SERVER ŘÍDICÍ SERVER
DATABÁZE ZOBRAZIT KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI VCD SERVER ZOBRAZIT JAKOUKOLI KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI
DATABÁZE ZOBRAZIT STAV VÝKONNOSTI DATABÁZE VDP SERVER ZOBRAZENÍ VÝKONNOSTNÍHO STAVU SERVERU
DATABÁZE ZOBRAZENÍ AUDITU ZABEZPEČENÍ DATABÁZE VDSA SERVER ŘÍDICÍ SERVER
DATABÁZE ZOBRAZENÍ STAVU ZABEZPEČENÍ DATABÁZE VDS SERVER ZOBRAZENÍ STAVU ZABEZPEČENÍ SERVERU
DATABÁZE ZOBRAZENÍ STAVU DATABÁZE VWDS SERVER ZOBRAZIT STAV SERVERU
DATABÁZE ZOBRAZIT DEFINICI VW SERVER Zobrazte jakoukoli definici
DATABÁZE ZOBRAZIT OBSAH ÚČETNÍ KNIHY VLC SERVER KONTROLA
DATABÁZE ZOBRAZIT DEFINICI ZABEZPEČENÍ VWS SERVER ZOBRAZIT JAKOUKOLI DEFINICI ZABEZPEČENÍ
DATABÁZE ZOBRAZIT DEFINICI VÝKONU VWP SERVER ZOBRAZIT JAKOUKOLI DEFINICI VÝKONU
POVĚŘENÍ V RÁMCI DATABÁZE ZMĚNA HLINÍK DATABÁZE KONTROLA
POVĚŘENÍ V RÁMCI DATABÁZE KONTROLA CL DATABÁZE KONTROLA
POVĚŘENÍ V RÁMCI DATABÁZE ODKAZY RF DATABÁZE ODKAZY
POVĚŘENÍ V RÁMCI DATABÁZE PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
POVĚŘENÍ V RÁMCI DATABÁZE ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
koncový bod ZMĚNA HLINÍK SERVER ZMĚNIT JAKÝKOLI KONCOVÝ BOD
koncový bod SPOJIT Oxid uhelnatý SERVER ŘÍDICÍ SERVER
koncový bod KONTROLA CL SERVER ŘÍDICÍ SERVER
koncový bod PŘEVZÍT VLASTNICTVÍ K SERVER ŘÍDICÍ SERVER
koncový bod ZOBRAZIT DEFINICI VW SERVER Zobrazte jakoukoli definici
FULLTEXTOVÝ KATALOG ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG
FULLTEXTOVÝ KATALOG KONTROLA CL DATABÁZE KONTROLA
FULLTEXTOVÝ KATALOG ODKAZY RF DATABÁZE ODKAZY
FULLTEXTOVÝ KATALOG PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
FULLTEXTOVÝ KATALOG ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG
SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT KONTROLA CL DATABÁZE KONTROLA
SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT ODKAZY RF DATABÁZE ODKAZY
SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
PŘIHLÁŠENÍ DO SYSTÉMU ZMĚNA HLINÍK SERVER Změnit libovolné přihlášení
PŘIHLÁŠENÍ DO SYSTÉMU KONTROLA CL SERVER ŘÍDICÍ SERVER
PŘIHLÁŠENÍ DO SYSTÉMU ZOSOBŇOVAT IM SERVER ŘÍDICÍ SERVER
PŘIHLÁŠENÍ DO SYSTÉMU ZOBRAZIT DEFINICI VW SERVER Zobrazte jakoukoli definici
TYP ZPRÁVY ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKÝKOLI TYP ZPRÁVY
TYP ZPRÁVY KONTROLA CL DATABÁZE KONTROLA
TYP ZPRÁVY ODKAZY RF DATABÁZE ODKAZY
TYP ZPRÁVY PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
TYP ZPRÁVY ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
OBJEKT ZMĚNA HLINÍK SCHÉMA ZMĚNA
OBJEKT KONTROLA CL SCHÉMA KONTROLA
OBJEKT VYMAZAT DL SCHÉMA VYMAZAT
OBJEKT VYKONAT EX SCHÉMA VYKONAT
OBJEKT VLOŽIT V SCHÉMA VLOŽIT
OBJEKT obdržet RC SCHÉMA KONTROLA
OBJEKT ODKAZY RF SCHÉMA ODKAZY
OBJEKT VYBRAT SL SCHÉMA VYBRAT
OBJEKT PŘEVZÍT VLASTNICTVÍ K SCHÉMA KONTROLA
OBJEKT ODHALIT UMSK SCHÉMA ODHALIT
OBJEKT Aktualizace NAHORU SCHÉMA Aktualizace
OBJEKT ZOBRAZIT SLEDOVÁNÍ ZMĚN VWCT SCHÉMA ZOBRAZIT SLEDOVÁNÍ ZMĚN
OBJEKT ZOBRAZIT DEFINICI VW SCHÉMA ZOBRAZIT DEFINICI
PROPOJENÍ VZDÁLENÉ SLUŽBY ZMĚNA HLINÍK DATABÁZE "Povolit úpravy jakéhokoliv vzdáleného služebního propojení"
PROPOJENÍ VZDÁLENÉ SLUŽBY KONTROLA CL DATABÁZE KONTROLA
PROPOJENÍ VZDÁLENÉ SLUŽBY PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
PROPOJENÍ VZDÁLENÉ SLUŽBY ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
Role ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKOUKOLI ROLI
Role KONTROLA CL DATABÁZE KONTROLA
Role PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
Role ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
TRASA ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKOUKOLI TRASU
TRASA KONTROLA CL DATABÁZE KONTROLA
TRASA PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
TRASA ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
SCHÉMA ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKÉKOLIV SCHÉMA
SCHÉMA KONTROLA CL DATABÁZE KONTROLA
SCHÉMA VYTVOŘIT SEKVENCI CRSO DATABÁZE KONTROLA
SCHÉMA VYMAZAT DL DATABÁZE VYMAZAT
SCHÉMA VYKONAT EX DATABÁZE VYKONAT
SCHÉMA VLOŽIT V DATABÁZE VLOŽIT
SCHÉMA ODKAZY RF DATABÁZE ODKAZY
SCHÉMA VYBRAT SL DATABÁZE VYBRAT
SCHÉMA PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
SCHÉMA ODHALIT UMSK DATABÁZE ODHALIT
SCHÉMA Aktualizace NAHORU DATABÁZE Aktualizace
SCHÉMA ZOBRAZIT SLEDOVÁNÍ ZMĚN VWCT DATABÁZE ZOBRAZIT SLEDOVÁNÍ ZMĚN
SCHÉMA ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ ZMĚNA HLINÍK SERVER ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG
SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ KONTROLA CL SERVER KONTROLA
SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ ODKAZY RF SERVER ODKAZY
SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ PŘEVZÍT VLASTNICTVÍ K SERVER KONTROLA
SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ ZOBRAZIT DEFINICI VW SERVER ZOBRAZIT DEFINICI
SERVER SPRÁVA HROMADNÝCH OPERACÍ ADBO Není relevantní Není relevantní
SERVER ZMĚNIT JAKOUKOLI SKUPINU DOSTUPNOSTI ALAG Není relevantní Není relevantní
SERVER ZÁMĚNA JAKÉKOLIV PŘIPOJENÍ ALCO Není relevantní Není relevantní
SERVER ZMĚNIT JAKÉKOLI POVĚŘENÍ ALCD Není relevantní Není relevantní
SERVER ZMĚNIT JAKOUKOLI DATABÁZI ALDB Není relevantní Není relevantní
SERVER ZMĚNIT JAKÝKOLI KONCOVÝ BOD ALHE Není relevantní Není relevantní
SERVER ZMĚNIT JAKÉKOLI OZNÁMENÍ O UDÁLOSTI Ejl Není relevantní Není relevantní
SERVER ZMĚNIT JAKOUKOLI RELACI UDÁLOSTÍ AAES Není relevantní Není relevantní
SERVER ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT LSAE Není relevantní Není relevantní
SERVER ALTER ANY EVENT SESSION ADD TARGET LSAT (zkratka pro Law School Admission Test) Není relevantní Není relevantní
SERVER ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO standard šifrování dat (DES) Není relevantní Není relevantní
SERVER ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST LSDE Není relevantní Není relevantní
SERVER ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ LSDT Není relevantní Není relevantní
SERVER UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT EES Není relevantní Není relevantní
SERVER ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI LESO Není relevantní Není relevantní
SERVER ZMĚNIT JAKÝKOLI PROPOJENÝ SERVER ALLS Není relevantní Není relevantní
SERVER Změnit libovolné přihlášení ALLG Není relevantní Není relevantní
SERVER UPRAVIT JAKÝKOLI AUDIT SERVERU ALAA Není relevantní Není relevantní
SERVER ZMĚNIT JAKOUKOLIV ROLI SERVERU ALSR Není relevantní Není relevantní
SERVER ZMĚNIT ZDROJE ALRS Není relevantní Není relevantní
SERVER Změnit stav serveru ALSS Není relevantní Není relevantní
SERVER ZMĚNIT NASTAVENÍ ALST Není relevantní Není relevantní
SERVER ALTER TRACE ALTR Není relevantní Není relevantní
SERVER OVĚŘENÍ SERVERU OVĚŘOVÁNÍ Není relevantní Není relevantní
SERVER PŘIPOJENÍ JAKÉKOLI DATABÁZE CADB Není relevantní Není relevantní
SERVER CONNECT SQL COSQ Není relevantní Není relevantní
SERVER ŘÍDICÍ SERVER CL Není relevantní Není relevantní
SERVER VYTVOŘENÍ JAKÉKOLI DATABÁZE CRDB Není relevantní Není relevantní
SERVER VYTVOŘENÍ SKUPINY DOSTUPNOSTI CRAC (systém chlazení počítačových místností) Není relevantní Není relevantní
SERVER VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL CRDE Není relevantní Není relevantní
SERVER VYTVOŘIT KONCOVÝ BOD CRHE Není relevantní Není relevantní
SERVER VYTVOŘENÍ ROLE SERVERU CRSR Není relevantní Není relevantní
SERVER VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI TRASOVÁNÍ CRTE Není relevantní Není relevantní
SERVER SESTAVENÍ EXTERNÍHO PŘÍSTUPU XA Není relevantní Není relevantní
SERVER ZOSOBNIT JAKÉKOLI PŘIHLÁŠENÍ IAL Není relevantní Není relevantní
SERVER VYBRAT VŠECHNY ZABEZPEČITELNÉ UŽIVATELE SUS Není relevantní Není relevantní
SERVER VYPNUTÍ SHDN Není relevantní Není relevantní
SERVER NEBEZPEČNÉ SESTAVENÍ XU Není relevantní Není relevantní
SERVER ZOBRAZIT LIBOVOLNOU DATABÁZI VWDB Není relevantní Není relevantní
SERVER Zobrazte jakoukoli definici VWAD Není relevantní Není relevantní
SERVER ZOBRAZIT STAV SERVERU VWSS Není relevantní Není relevantní
SERVEROVÁ ROLE ZMĚNA HLINÍK SERVER ZMĚNIT JAKOUKOLIV ROLI SERVERU
SERVEROVÁ ROLE KONTROLA CL SERVER ŘÍDICÍ SERVER
SERVEROVÁ ROLE PŘEVZÍT VLASTNICTVÍ K SERVER ŘÍDICÍ SERVER
SERVEROVÁ ROLE ZOBRAZIT DEFINICI VW SERVER Zobrazte jakoukoli definici
SLUŽBA ZMĚNA HLINÍK DATABÁZE ZMĚNIT LIBOVOLNOU SLUŽBU
SLUŽBA KONTROLA CL DATABÁZE KONTROLA
SLUŽBA POSLAT SN DATABÁZE KONTROLA
SLUŽBA PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
SLUŽBA ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
SYMETRICKÝ KLÍČ ZMĚNA HLINÍK DATABÁZE ZMĚNIT JAKÝKOLIV SYMMETRICKÝ KLÍČ
SYMETRICKÝ KLÍČ KONTROLA CL DATABÁZE KONTROLA
SYMETRICKÝ KLÍČ ODKAZY RF DATABÁZE ODKAZY
SYMETRICKÝ KLÍČ PŘEVZÍT VLASTNICTVÍ K DATABÁZE KONTROLA
SYMETRICKÝ KLÍČ ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
TYP KONTROLA CL SCHÉMA KONTROLA
TYP VYKONAT EX SCHÉMA VYKONAT
TYP ODKAZY RF SCHÉMA ODKAZY
TYP PŘEVZÍT VLASTNICTVÍ K SCHÉMA KONTROLA
TYP ZOBRAZIT DEFINICI VW SCHÉMA ZOBRAZIT DEFINICI
UŽIVATEL ZMĚNA HLINÍK DATABÁZE ZMĚNA LIBOVOLNÉHO UŽIVATELE
UŽIVATEL KONTROLA CL DATABÁZE KONTROLA
UŽIVATEL ZOSOBŇOVAT IM DATABÁZE KONTROLA
UŽIVATEL ZOBRAZIT DEFINICI VW DATABÁZE ZOBRAZIT DEFINICI
KOLEKCE SCHÉMAT XML ZMĚNA HLINÍK SCHÉMA ZMĚNA
KOLEKCE SCHÉMAT XML KONTROLA CL SCHÉMA KONTROLA
KOLEKCE SCHÉMAT XML VYKONAT EX SCHÉMA VYKONAT
KOLEKCE SCHÉMAT XML ODKAZY RF SCHÉMA ODKAZY
KOLEKCE SCHÉMAT XML PŘEVZÍT VLASTNICTVÍ K SCHÉMA KONTROLA
KOLEKCE SCHÉMAT XML ZOBRAZIT DEFINICI VW SCHÉMA ZOBRAZIT DEFINICI

Nová podrobná oprávnění přidaná do SQL Serveru 2022

Do SQL Serveru 2022 se přidají následující oprávnění:

  • Bylo přidáno 10 nových oprávnění pro povolení přístupu k systémovým metadatům.

  • Pro rozšířené události bylo přidáno 18 nových oprávnění.

  • 9 nových oprávnění byla přidána s ohledem na objekty související se zabezpečením.

  • Pro Ledger byla přidána 4 oprávnění.

  • 3 další oprávnění k databázi.

Další informace najdete v tématu Nová podrobná oprávnění pro SQL Server 2022 a Azure SQL ke zlepšení dodržování poLP.

Přístup k oprávněním systémových metadat

Úroveň serveru:

  • ZOBRAZIT JAKOUKOLI DEFINICI ZABEZPEČENÍ
  • ZOBRAZIT JAKOUKOLI DEFINICI VÝKONU
  • ZOBRAZENÍ STAVU ZABEZPEČENÍ SERVERU
  • ZOBRAZENÍ VÝKONNOSTNÍHO STAVU SERVERU
  • ZOBRAZIT JAKOUKOLI KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI

Úroveň databáze:

  • ZOBRAZENÍ STAVU ZABEZPEČENÍ DATABÁZE
  • ZOBRAZIT STAV VÝKONNOSTI DATABÁZE
  • ZOBRAZIT DEFINICI ZABEZPEČENÍ
  • ZOBRAZIT DEFINICI VÝKONU
  • ZOBRAZIT KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI

Rozšířená oprávnění k událostem

Úroveň serveru:

  • VYTVOŘENÍ JAKÉHOKOLI SEZENÍ UDÁLOSTI
  • ZRUŠENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ
  • ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI
  • ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT
  • ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST
  • UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT
  • ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO
  • ALTER ANY EVENT SESSION ADD TARGET
  • ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ

Všechna tato oprávnění jsou pod stejným nadřazeným oprávněním: ALTER ANY EVENT SESSION

Úroveň databáze:

  • VYTVOŘENÍ JAKÉKOLI RELACE UDÁLOSTÍ DATABÁZE
  • UKONČENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ DATABÁZE
  • ALTER JAKOUKOLIV MOŽNOST RELACE UDÁLOSTÍ DATABÁZE
  • ZMĚNIT LIBOVOLNOU UDÁLOST RELAČNÍ UDÁLOSTI V DATABÁZI PŘIDAT UDÁLOST
  • ZMĚŇTE JAKOUKOLI UDÁLOSTNÍ RELACI V DATABÁZI A ODSTRAŇTE UDÁLOST
  • UPRAVIT JAKOUKOLI RELACI UDÁLOSTI DATABÁZE POVOLIT
  • ALTEROVAT JAKÝKOLI DATABASE EVENT SESSION ZAKÁZAT
  • ALTER JAKÁKOLI DATABÁZE UDÁLOSTNÍ RELACE PŘIDAT CÍL
  • ZMĚNIT JAKÝKOLIV CÍLOVÝ CÍL RELACE UDÁLOSTÍ DATABÁZE

Tato oprávnění jsou zahrnuta pod stejným nadřazeným oprávněním: ALTER ANY DATABASE EVENT SESSION

  • KONTROLA (CREDENTIAL)
  • Vytvořit přihlášení
  • VYTVOŘIT UŽIVATELE
  • ODKAZY (PŘIHLAŠOVACÍ ÚDAJE)
  • ODMASKOVAT (OBJECT)
  • ODEMASKOVAT (SCHEMA)
  • ZOBRAZENÍ LIBOVOLNÉHO PROTOKOLU CHYB
  • ZOBRAZENÍ AUDITU ZABEZPEČENÍ SERVERU
  • ZOBRAZENÍ AUDITU ZABEZPEČENÍ DATABÁZE

Oprávnění k účetní knize

  • ALTER LEDGER
  • ZMĚNIT KONFIGURACI ÚČETNÍ KNIHY
  • POVOLIT LEDGER
  • ZOBRAZIT OBSAH ÚČETNÍ KNIHY

Další oprávnění k databázi

  • ALTER ANY EXTERNAL JOB
  • UPRAVIT JAKÝKOLIV EXTERNÍ PROUD
  • SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO KONCOVÉHO BODU

Shrnutí algoritmu kontroly oprávnění

Kontrola oprávnění může být složitá. Algoritmus kontroly oprávnění zahrnuje překrývající se členství ve skupinách a řetězení vlastnictví, explicitní i implicitní oprávnění a může být ovlivněn oprávněními k zabezpečitelným třídám, které obsahují zabezpečitelnou entitu. Obecným procesem algoritmu je shromáždit všechna příslušná oprávnění. Pokud se nenajde žádný blokující DENY, algoritmus vyhledá GRANT, který poskytuje dostatečný přístup. Algoritmus obsahuje tři základní prvky, kontext zabezpečení, prostor oprávnění a požadované oprávnění.

Poznámka:

Nemůžete udělit, odepřít ani odvolat oprávnění pro sa, dbo, vlastníka entity, information_schema, sys nebo sobě.

  • Kontext zabezpečení

    Toto je skupina hlavních subjektů, které přidávají oprávnění ke kontrole přístupu. Jedná se o oprávnění, která souvisejí s aktuálním přihlášením nebo uživatelem, pokud se kontext zabezpečení nezměnil na jiné přihlášení nebo uživatele pomocí příkazu EXECUTE AS. Kontext zabezpečení zahrnuje následující principály:

    • Přihlášení

    • Uživatel

    • Členství v rolích

    • Členství ve skupinách Windows

    • Pokud se používá podepisování modulů, jakýkoli přihlašovací nebo uživatelský účet spojený s certifikátem použitým k podepsání modulu, který právě provádí uživatel, a s ním související členství v rolích dané entity.

  • Prostor oprávnění

    Jedná se o zabezpečitelnou entitu a všechny zabezpečitelné třídy, které obsahují zabezpečitelné. Například tabulka (zabezpečitelná entita) je obsažena zabezpečitelnou třídou schématu a zabezpečitelnou třídou databáze. Přístup může mít vliv na oprávnění na úrovni tabulky, schématu, databáze a serveru. Další informace naleznete v tématu Hierarchie oprávnění (databázový stroj).

  • Požadovaná oprávnění

    Typ požadovaného oprávnění. Například INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL atd.

    Access může vyžadovat více oprávnění, jako v následujících příkladech:

    • Uložená procedura může vyžadovat oprávnění EXECUTE pro uloženou proceduru i oprávnění INSERT u několika tabulek, na které odkazuje uložená procedura.

    • Dynamické zobrazení správy může v zobrazení vyžadovat oprávnění VIEW SERVER STATE i SELECT.

Obecné kroky algoritmu

Když algoritmus určuje, jestli má povolit přístup k zabezpečitelnému objektu, může se přesné kroky, které používá, lišit v závislosti na principalech a zabezpečitelných objektech. Algoritmus však provádí následující obecné kroky:

  1. Pokud je přihlášení členem pevné role serveru sysadmin, nebo jestli je uživatel uživatelem dbo v aktuální databázi, obejděte kontrolu oprávnění.

  2. Povolit přístup, pokud lze použít řetězení vlastnictví a kontrola přístupu u dřívějšího objektu v řetězu prošla kontrolou zabezpečení.

  3. Agregujte identity na úrovni serveru, databáze a podepsaného modulu, které jsou přidružené volajícímu, a vytvořte kontext zabezpečení.

  4. Pro tento kontext zabezpečení shromážděte všechna oprávnění udělená nebo odepřená pro prostor oprávnění. Oprávnění lze explicitně uvést jako GRANT, GRANT WITH GRANT nebo ODEPŘÍT; nebo oprávnění mohou být implicitním nebo pokrývajícím typem oprávnění GRANT nebo ODEPŘÍT. Například oprávnění CONTROL pro schéma znamená CONTROL v tabulce. A CONTROL v tabulce znamená SELECT. Pokud tedy bylo uděleno oprávnění ovládat schéma, je uděleno oprávnění SELECT na tabulku. Pokud byl ovládací prvek v tabulce odepřen, příkaz SELECT v tabulce je odepřen.

    Poznámka:

    UDĚLENÍ oprávnění na úrovni sloupce přepíše ODMÍTNUTÍ na úrovni objektu. Další informace naleznete v tématu Odepřít oprávnění objektu.

  5. Identifikujte požadovaná oprávnění.

  6. Kontrola oprávnění se nezdaří, pokud je požadované oprávnění přímo nebo implicitně odepřeno jakékoli identitě v kontextu zabezpečení pro objekty v prostoru oprávnění.

  7. Projděte kontrolou oprávnění, pokud požadované oprávnění nebylo odepřeno a požadované oprávnění obsahuje oprávnění GRANT nebo GRANT WITH GRANT buď přímo, nebo implicitně pro jakoukoli identitu v kontextu zabezpečení pro jakýkoli objekt v prostoru oprávnění.

Zvláštní aspekty oprávnění na úrovni sloupců

Oprávnění na úrovni sloupce jsou udělena pomocí syntaxe <table_name>(<sloupec _name>). Například:

GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;

DENY na tabulce je přepsán GRANTEM na sloupci. Následující DENY v tabulce ale odebere sloupec GRANT.

Příklady

Příklady v této části ukazují, jak načíst informace o oprávněních.

A. Vrácení kompletního seznamu udělených oprávnění

Následující příkaz pomocí funkce vrátí všechna oprávnění databázového engine. Další informace naleznete v sys.fn_builtin_permissions (Transact-SQL).

SELECT * FROM fn_builtin_permissions(default);
GO

B. Vrácení oprávnění pro konkrétní třídu objektů

Následující příklad používá fn_builtin_permissions k zobrazení všech oprávnění, která jsou k dispozici pro kategorii zabezpečitelné. Příklad vrátí oprávnění na sestavách.

SELECT * FROM fn_builtin_permissions('assembly');
GO

C. Vrácení oprávnění udělených vykonávajícímu subjektu na objektu

Následující příklad používá fn_my_permissions k vrácení seznamu efektivních oprávnění, která jsou držena volajícím subjektem na zadaném zabezpečitelném objektu. Příklad vrátí oprávnění k objektu s názvem Orders55. Další informace najdete v tématu sys.fn_my_permissions (Transact-SQL).

SELECT * FROM fn_my_permissions('Orders55', 'object');
GO

D. Vrácení oprávnění platných pro zadaný objekt

Následující příklad vrátí oprávnění použitelná pro objekt s názvem Yttrium. Integrovaná funkce OBJECT_ID se používá k načtení ID objektu Yttrium.

SELECT * FROM sys.database_permissions
    WHERE major_id = OBJECT_ID('Yttrium');
GO