Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
SQL ServerAzure SQL DatabaseSpravovaná instance Azure SQLAzure Synapse AnalyticsAnalytics Platform System (PDW)Koncový bod analýzy SQL v Microsoft FabricSklad v Microsoft FabricDatabáze SQL v Microsoft Fabric
Každý zabezpečitelný objekt SQL Serveru má přidružená oprávnění, která lze udělit hlavnímu subjektu. Oprávnění v databázovém stroji se spravují na úrovni serveru přiřazené k přihlašovacím údajům a rolím serveru a na úrovni databáze přiřazené uživatelům databáze a databázovým rolím. Model pro Azure SQL Database má stejný systém pro oprávnění k databázi, ale oprávnění na úrovni serveru nejsou k dispozici. Tento článek obsahuje úplný seznam oprávnění. Typickou implementaci oprávnění najdete v tématu Začínáme s oprávněními databázového stroje.
Celkový počet oprávnění pro SQL Server 2022 (16.x) je 292. Azure SQL Database zveřejňuje 292 oprávnění. Většina oprávnění platí pro všechny platformy, ale některé ne. Například většina oprávnění na úrovni serveru se nedá udělit ve službě Azure SQL Database a několik oprávnění dává smysl jenom pro Azure SQL Database. Nová oprávnění se zavádí postupně s novými verzemi. SQL Server 2019 (15.x) zveřejňuje 248 oprávnění. SQL Server 2017 (14.x) odhalil 238 oprávnění. SQL Server 2016 (13.x) odhalil 230 oprávnění. SQL Server 2014 (12.x) odhalil 219 oprávnění. SQL Server 2012 (11.x) odhalil 214 oprávnění. SQL Server 2008 R2 (10.50.x) odhalil 195 oprávnění. Článek sys.fn_builtin_permissions určuje, která oprávnění jsou v posledních verzích nová.
V databázi SQL v Microsoft Fabric jsou podporováni pouze uživatelé a role na úrovni databáze. Přihlášení, role a sa účet na úrovni serveru nejsou k dispozici. V databázi SQL v Microsoft Fabric je id Microsoft Entra pro uživatele databáze jedinou podporovanou metodou ověřování. Další informace naleznete v tématu Autorizace v databázi SQL v Microsoft Fabric.
Jakmile pochopíte požadovaná oprávnění, můžete použít oprávnění na úrovni serveru pro přihlášení nebo role serveru a oprávnění na úrovni databáze pro uživatele nebo databázové role pomocí příkazů GRANT, REVOKE a DENY . Například:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Tipy k plánování systému oprávnění najdete v tématu Začínáme s oprávněními databázového stroje.
Konvence pojmenování oprávnění
Následující informace popisují obecné konvence, které jsou dodrženy pro pojmenování oprávnění:
CONTROL
Uděluje možnosti podobné vlastnictví pro příjemce grantu. Grantee má efektivně všechna definovaná oprávnění k zabezpečitelnému. Principál, kterému byla udělena kontrola, může také udělit oprávnění k zabezpečitelnému objektu. Vzhledem k tomu, že model zabezpečení SQL Serveru je hierarchický, CONTROL v určitém oboru implicitně zahrnuje všechny zabezpečitelné položky v tomto oboru. Například CONTROL v databázi znamená všechna oprávnění k databázi, všechna oprávnění pro všechna sestavení v databázi, všechna oprávnění pro všechna schémata v databázi a všechna oprávnění k objektům ve všech schématech v databázi.
ALTER
Poskytuje možnost změnit vlastnosti s výjimkou vlastnictví konkrétního zabezpečitelného. Při udělení v rámci rozsahu funkce ALTER rovněž přiděluje možnost měnit, vytvářet nebo odstraňovat jakýkoli objekt zabezpečení, který je obsažen v daném rozsahu. Například oprávnění ALTER pro schéma zahrnuje možnost vytvářet, měnit a odstraňovat objekty ze schématu.
ALTER ANY <Server Securable>, kde Server Securable může být jakýkoli server zabezpečitelný.
Poskytuje možnost vytvářet, měnit nebo odstraňovat jednotlivé instance zabezpečitelného serveru. NAPŘÍKLAD ALTER ANY LOGIN poskytuje možnost vytvořit, změnit nebo odstranit jakékoli přihlášení v instanci.
ALTER ANY <Database Securable>, kde zabezpečitelný objekt může být cokoliv na úrovni databáze.
Poskytuje možnost VYTVOŘIT, ALTER nebo DROP jednotlivé instance zabezpečitelné databáze. NAPŘÍKLAD ALTER ANY SCHEMA poskytuje možnost vytvářet, měnit nebo odstraňovat jakékoli schéma v databázi.
PŘEVEZMĚTE ODPOVĚDNOST
Umožňuje příjemci převzít vlastnictví objektu zabezpečení, ke kterému je udělen.
<Zosobnění Přihlášení>
Umožňuje příjemci zosobnit přihlášení.
ZOSOBNIT <uživatele>
Umožňuje oprávněné osobě představovat uživatele.
Vytvoření <zabezpečitelného serveru>
Uděluje grantu možnost vytvořit zabezpečitelný server.
CREATE <Zabezpečitelný objekt databáze>
Uděluje grantu možnost vytvořit zabezpečitelnou databázi.
Vytvoření <zabezpečitelného objektu v rámci schématu>
Poskytuje možnost vytvořit zabezpečitelný objekt obsažený ve schématu. K vytvoření zabezpečitelného objektu v konkrétním schématu je však vyžadováno oprávnění ALTER na schématu.
ZOBRAZIT DEFINICI
Umožňuje příjemci přistupovat k metadatům.
REFERENCES
Oprávnění REFERENCES v tabulce je potřeba k vytvoření omezení CIZÍHO KLÍČE, které odkazuje na tuto tabulku.
Oprávnění REFERENCES je potřeba u objektu k vytvoření funkce nebo VIEW s
WITH SCHEMABINDINGklauzulí, která odkazuje na tento objekt.
Graf oprávnění SQL Serveru
Následující obrázek znázorňuje oprávnění a jejich vztahy mezi sebou. Některá oprávnění vyšší úrovně (například CONTROL SERVER) jsou uvedená mnohokrát. V tomto článku je plakát příliš malý na přečtení. Plakát oprávnění databázového stroje v plné velikosti si můžete stáhnout ve formátu PDF .
Oprávnění použitelná pro konkrétní zabezpečené objekty
Následující tabulka uvádí hlavní třídy oprávnění a druhy objektů, na něž mohou být použity.
| Permission | Vztahuje se na |
|---|---|
| ALTER | Všechny třídy objektů s výjimkou TYPE. |
| CONTROL | Všechny třídy objektů: AGGREGATE, APLIKAČNÍ ROLE, ASSEMBLY, ASYMETRICKÝ KLÍČ, SKUPINA DOSTUPNOSTI, CERTIFICATE, CONTRACT, CREDENTIALS, DATABASE, IDENTIFIKAČNÍ ÚDAJE V ROZSAHU DATABÁZE DEFAULT, ENDPOINT, Fulltext katalog FULLTEXT STOPLIST, FUNCTION, LOGIN, TYP ZPRÁVY, PROCEDURE, QUEUE, VAZBA VZDÁLENÉ SLUŽBY, ROLE, ROUTE, RULE, SCHEMA, SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ SERVER, ROLE SERVERU, SERVICE, SYMETRICKÝ KLÍČ, SYNONYM, TABLE, TYPE, USER, ZOBRAZIT a KOLEKCE SCHÉMAT XML |
| DELETE | Všechny třídy objektů s výjimkou DATABASE SCOPED CONFIGURATION, SERVER a TYPE. |
| EXECUTE | Typy CLR, externí skripty, procedury (Transact-SQL a CLR), skalární a agregační funkce (Transact-SQL a CLR) a synonyma |
| IMPERSONATE | Přihlášení a uživatelé |
| INSERT | Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu. |
| RECEIVE | Fronty služby Service Broker |
| REFERENCES | AGGREGATE, ASSEMBLY, ASYMETRICKÝ KLÍČ, CERTIFICATE, CONTRACT, CREDENTIAL (platí pro SQL Server 2022 (16.x) a novější), DATABASE, IDENTIFIKAČNÍ ÚDAJE V ROZSAHU DATABÁZE Katalog fulltextového vyhledávání Seznam stop slov ve fulltextovém vyhledávání FUNCTION, TYP ZPRÁVY, PROCEDURE, QUEUE, RULE, SCHEMA, SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ sekvenční objekt SYMETRICKÝ KLÍČ, TABLE, TYPE, ZOBRAZIT a KOLEKCE SCHÉMAT XML |
| SELECT | Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu. |
| PŘEVEZMĚTE ODPOVĚDNOST | Všechny třídy objektů kromě konfigurace omezené na databázi, přihlášení, server a uživatele. |
| UPDATE | Synonyma, tabulky a sloupce, pohledy a sloupce. Oprávnění lze udělit na úrovni databáze, schématu nebo objektu. |
| ZOBRAZIT SLEDOVÁNÍ ZMĚN | Schémata a tabulky |
| ZOBRAZIT DEFINICI | Všechny třídy objektů kromě DATABASE SCOPED CONFIGURATION a SERVER. |
Caution
Výchozí oprávnění udělená systémovým objektům v době instalace se pečlivě vyhodnocují proti možným hrozbám a není nutné je měnit při posílení zabezpečení instalace SQL Serveru. Jakékoli změny oprávnění v systémových objektech můžou omezit nebo přerušit funkčnost a potenciálně by mohly opustit instalaci SQL Serveru v nepodporovaném stavu.
Oprávnění SQL Serveru
Následující tabulka obsahuje úplný seznam oprávnění SQL Serveru. Oprávnění Azure SQL Database jsou k dispozici pouze pro podporované základní zabezpečitelné objekty. Oprávnění na úrovni serveru není možné udělit ve službě Azure SQL Database, ale v některých případech jsou oprávnění databáze k dispozici.
| Zabezpečitelné základy | Podrobná oprávnění pro základní zabezpečitelný objekt | Kód typu oprávnění | Zabezpečený objekt, který obsahuje základní zabezpečený objekt | Oprávnění k zabezpečitelnému kontejneru, které implikuje podrobná oprávnění k základnímu zabezpečitelnému |
|---|---|---|---|---|
| APLIKAČNÍ ROLE | ALTER | AL | DATABASE | ZMĚNIT JAKOUKOLI APLIKAČNÍ ROLI |
| APLIKAČNÍ ROLE | CONTROL | CL | DATABASE | CONTROL |
| APLIKAČNÍ ROLE | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| ASSEMBLY | ALTER | AL | DATABASE | ZMĚNIT JAKOUKOLI SLOŽKU |
| ASSEMBLY | CONTROL | CL | DATABASE | CONTROL |
| ASSEMBLY | REFERENCES | RF | DATABASE | REFERENCES |
| ASSEMBLY | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| ASSEMBLY | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| Asymetrický klíč | ALTER | AL | DATABASE | ZMĚNIT JAKÝKOLI ASYMETRICKÝ KLÍČ |
| Asymetrický klíč | CONTROL | CL | DATABASE | CONTROL |
| Asymetrický klíč | REFERENCES | RF | DATABASE | REFERENCES |
| Asymetrický klíč | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| Asymetrický klíč | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| SKUPINA DOSTUPNOSTI | ALTER | AL | SERVER | ZMĚNIT JAKOUKOLI SKUPINU DOSTUPNOSTI |
| SKUPINA DOSTUPNOSTI | CONTROL | CL | SERVER | řídicí server |
| SKUPINA DOSTUPNOSTI | PŘEVEZMĚTE ODPOVĚDNOST | TO | SERVER | řídicí server |
| SKUPINA DOSTUPNOSTI | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| CERTIFICATE | ALTER | AL | DATABASE | Upravit jakýkoli certifikát |
| CERTIFICATE | CONTROL | CL | DATABASE | CONTROL |
| CERTIFICATE | REFERENCES | RF | DATABASE | REFERENCES |
| CERTIFICATE | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| CERTIFICATE | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| CONTRACT | ALTER | AL | DATABASE | ZMĚNIT JAKOUKOLI SMLOUVU |
| CONTRACT | CONTROL | CL | DATABASE | CONTROL |
| CONTRACT | REFERENCES | RF | DATABASE | REFERENCES |
| CONTRACT | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| CONTRACT | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| CREDENTIAL | CONTROL | CL | SERVER | řídicí server |
| CREDENTIAL | REFERENCES | RF | SERVER | ZMĚNIT JAKÉKOLI POVĚŘENÍ |
| DATABASE | SPRÁVA HROMADNÝCH OPERACÍ DATABÁZE | DABO | SERVER | řídicí server |
| DATABASE | ALTER | AL | SERVER | ZMĚNIT JAKOUKOLI DATABÁZI |
| DATABASE | ZMĚNIT JAKOUKOLI APLIKAČNÍ ROLI | ALAR | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKOUKOLI SLOŽKU | ALAS | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÝKOLI ASYMETRICKÝ KLÍČ | ALAK | SERVER | řídicí server |
| DATABASE | Upravit jakýkoli certifikát | ALCF | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÝKOLI KLÍČ ZAŠIFROVÁNÍ SLOUPCE | ALCK Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | řídicí server |
| DATABASE | UPRAVIT JAKÝKOLI HESLO SLUPCE HLAVNÍHO KLÍČE | ALCM Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKOUKOLI SMLOUVU | ALSC | SERVER | řídicí server |
| DATABASE | ZMĚNIT LIBOVOLNÝ AUDIT DATABÁZE | ALDA | SERVER | UPRAVIT JAKÝKOLI AUDIT SERVERU |
| DATABASE | ALTER ANY DATABÁZOVÝ DDL TRIGGER | ALTG | SERVER | řídicí server |
| DATABASE | UPRAVIT JAKÁKOLI OZNÁMENÍ O UDÁLOSTI DATABÁZE | ALED | SERVER | ZMĚNIT JAKÉKOLI OZNÁMENÍ O UDÁLOSTI |
| DATABASE | ZMĚNA JAKÉHOKOLI SEZENÍ UDÁLOSTÍ DATABÁZE | AADS | SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTÍ |
| DATABASE | ZMĚNIT LIBOVOLNOU UDÁLOST RELAČNÍ UDÁLOSTI V DATABÁZI PŘIDAT UDÁLOST | LDAE | SERVER | ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT |
| DATABASE | ALTER JAKÁKOLI DATABÁZE UDÁLOSTNÍ RELACE PŘIDAT CÍL | LDAT | SERVER | ALTER ANY EVENT SESSION ADD TARGET |
| DATABASE | ALTEROVAT JAKÝKOLI DATABASE EVENT SESSION ZAKÁZAT | DDES | SERVER | ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO |
| DATABASE | ZMĚŇTE JAKOUKOLI UDÁLOSTNÍ RELACI V DATABÁZI A ODSTRAŇTE UDÁLOST | LDDE | SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST |
| DATABASE | ZMĚNIT JAKÝKOLIV CÍLOVÝ CÍL RELACE UDÁLOSTÍ DATABÁZE | LDDT | SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ |
| DATABASE | UPRAVIT JAKOUKOLI RELACI UDÁLOSTI DATABÁZE POVOLIT | EDES | SERVER | UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT |
| DATABASE | ALTER JAKOUKOLIV MOŽNOST RELACE UDÁLOSTÍ DATABÁZE | LDSO | SERVER | ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI |
| DATABASE | Změnit jakékoliv nastavení ve vyšší úrovni databáze | ALDC Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÝKOLIV DATOVÝ PROSTOR | ALDS | SERVER | řídicí server |
| DATABASE | UPRAVIT JAKÝKOLIV EXTERNÍ ZDROJ DAT | AEDS | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÝKOLI EXTERNÍ FORMÁT SOUBORU | AEFF | SERVER | řídicí server |
| DATABASE | Upravit jakoukoli externí práci | AESJ | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÝKOLI EXTERNÍ JAZYK | ALLA | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKOUKOLI EXTERNÍ KNIHOVNU | ALEL | SERVER | řídicí server |
| DATABASE | UPRAVIT JAKÝKOLIV EXTERNÍ PROUD | AEST | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG | ALFT | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKOUKOLIV MASKU | AAMK Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÝKOLI TYP ZPRÁVY | ALMT | SERVER | řídicí server |
| DATABASE | "Povolit úpravy jakéhokoliv vzdáleného služebního propojení" | ALSB | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKOUKOLI ROLI | ALRL | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKOUKOLI TRASU | ALRT | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÉKOLIV SCHÉMA | ALSM | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKOUKOLI BEZPEČNOSTNÍ POLITIKU | ALSP Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKOUKOLIV KLASIFIKACI CITLIVOSTI | AASC Platí pro SQL Server (SQL Server 2019 (15.x) až aktuální), Azure SQL Database. |
SERVER | řídicí server |
| DATABASE | ZMĚNIT LIBOVOLNOU SLUŽBU | ALSV | SERVER | řídicí server |
| DATABASE | ZMĚNIT JAKÝKOLIV SYMMETRICKÝ KLÍČ | ALSK | SERVER | řídicí server |
| DATABASE | ZMĚNA LIBOVOLNÉHO UŽIVATELE | ALUS | SERVER | řídicí server |
| DATABASE | ZMĚNIT LEDGER | ALR | SERVER | CONTROL |
| DATABASE | ZMĚNIT KONFIGURACI ÚČETNÍ KNIHY | ALC | SERVER | řídicí server |
| DATABASE | AUTHENTICATE | AUTH | SERVER | OVĚŘENÍ SERVERU |
| DATABASE | ZÁLOHOVAT DATABÁZI | BADB | SERVER | řídicí server |
| DATABASE | ZÁLOHOVACÍ ZÁZNAM | BALO | SERVER | řídicí server |
| DATABASE | CHECKPOINT | CP | SERVER | řídicí server |
| DATABASE | CONNECT | CO | SERVER | řídicí server |
| DATABASE | REPLIKACE CONNECT | CORP | SERVER | řídicí server |
| DATABASE | CONTROL | CL | SERVER | řídicí server |
| DATABASE | VYTVOŘIT AGREGÁT | CRAG | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ JAKÉKOLI RELACE UDÁLOSTÍ DATABÁZE | CRDS | SERVER | VYTVOŘENÍ JAKÉHOKOLI SEZENÍ UDÁLOSTI |
| DATABASE | CREATE ASSEMBLY (vytvořit sestavení) | CRAS | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ ASYMETRICKÉHO KLÍČE | CRAK | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ CERTIFIKÁTU | CRCF | SERVER | řídicí server |
| DATABASE | VYTVOŘIT SMLOUVU | CRSC | SERVER | řídicí server |
| DATABASE | VYTVOŘIT DATABÁZI | CRDB | SERVER | VYTVOŘENÍ JAKÉKOLI DATABÁZE |
| DATABASE | VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL DATABÁZE | CRED | SERVER | VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL |
| DATABASE | VYTVOŘIT VÝCHOZÍ | CRDF | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ EXTERNÍHO JAZYKA | CRLA | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ EXTERNÍ KNIHOVNY | CREL | SERVER | řídicí server |
| DATABASE | VYTVOŘIT FULLTEXT KATALOG | CRFT | SERVER | řídicí server |
| DATABASE | VYTVOŘIT FUNKCI | CRFN | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ TYPU ZPRÁVY | CRMT | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ POSTUPU | CRPR | SERVER | řídicí server |
| DATABASE | VYTVOŘIT FRONTU | CRQU | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ VAZBY VZDÁLENÉ SLUŽBY | CRSB | SERVER | řídicí server |
| DATABASE | VYTVOŘIT ROLI | CRRL | SERVER | řídicí server |
| DATABASE | VYTVOŘIT TRASU | CRRT | SERVER | řídicí server |
| DATABASE | VYTVOŘIT PRAVIDLO | CRRU | SERVER | řídicí server |
| DATABASE | VYTVOŘIT SCHÉMA | CRSM | SERVER | řídicí server |
| DATABASE | VYTVOŘIT SLUŽBU | CRSV | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ SYMETRICKÉHO KLÍČE | CRSK | SERVER | řídicí server |
| DATABASE | VYTVOŘIT SYNONYMUM | CRSN | SERVER | řídicí server |
| DATABASE | CREATE TABLE | CRTB | SERVER | řídicí server |
| DATABASE | VYTVOŘIT TYP | CRTY | SERVER | řídicí server |
| DATABASE | VYTVOŘIT UŽIVATELE | CUSR | SERVER | řídicí server |
| DATABASE | VYTVOŘIT ZOBRAZENÍ | CRVW | SERVER | řídicí server |
| DATABASE | VYTVOŘENÍ KOLEKCE SCHÉMAT XML | CRXS | SERVER | řídicí server |
| DATABASE | DELETE | DL | SERVER | řídicí server |
| DATABASE | UKONČENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ DATABÁZE | DRDS | SERVER | ZRUŠENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ |
| DATABASE | POVOLIT LEDGER | EL | SERVER | CONTROL |
| DATABASE | EXECUTE | EX | SERVER | řídicí server |
| DATABASE | SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO KONCOVÉHO BODU | EAEE | SERVER | řídicí server |
| DATABASE | SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO SKRIPTU | EAES Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální). |
SERVER | řídicí server |
| DATABASE | INSERT | IN | SERVER | řídicí server |
| DATABASE | ZRUŠIT PŘIPOJENÍ K DATABÁZI | KIDC Platí jenom pro Azure SQL Database. Použití příkazu ALTER ANY CONNECTION na SQL Serveru |
SERVER | ZÁMĚNA JAKÉKOLIV PŘIPOJENÍ |
| DATABASE | REFERENCES | RF | SERVER | řídicí server |
| DATABASE | SELECT | SL | SERVER | řídicí server |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABASE | PŘIHLÁŠENÍ K ODBĚRU OZNÁMENÍ DOTAZŮ | SUQN | SERVER | řídicí server |
| DATABASE | PŘEVEZMĚTE ODPOVĚDNOST | TO | SERVER | řídicí server |
| DATABASE | UNMASK | UMSK Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | řídicí server |
| DATABASE | UPDATE | UP | SERVER | řídicí server |
| DATABASE | ZOBRAZENÍ DEFINICE ŠIFROVACÍHO KLÍČE SLOUPCE | VWCK Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ZOBRAZIT STAV SERVERU |
| DATABASE | ZOBRAZENÍ DEFINICE HLAVNÍHO KLÍČE SLOUPCE | VWCM Platí pro SQL Server (SQL Server 2016 (13.x) až aktuální), Azure SQL Database. |
SERVER | ZOBRAZIT STAV SERVERU |
| DATABASE | ZOBRAZIT JAKOUKOLI KLASIFIKACI CITLIVOSTI | VASC | SERVER | řídicí server |
| DATABASE | ZOBRAZIT KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI | VCD | SERVER | ZOBRAZIT JAKOUKOLI KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI |
| DATABASE | ZOBRAZIT STAV VÝKONNOSTI DATABÁZE | VDP | SERVER | ZOBRAZENÍ VÝKONNOSTNÍHO STAVU SERVERU |
| DATABASE | ZOBRAZENÍ AUDITU ZABEZPEČENÍ DATABÁZE | VDSA | SERVER | řídicí server |
| DATABASE | ZOBRAZENÍ STAVU ZABEZPEČENÍ DATABÁZE | VDS | SERVER | ZOBRAZENÍ STAVU ZABEZPEČENÍ SERVERU |
| DATABASE | ZOBRAZENÍ STAVU DATABÁZE | VWDS | SERVER | ZOBRAZIT STAV SERVERU |
| DATABASE | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| DATABASE | ZOBRAZIT OBSAH ÚČETNÍ KNIHY | VLC | SERVER | CONTROL |
| DATABASE | ZOBRAZIT DEFINICI ZABEZPEČENÍ | VWS | SERVER | ZOBRAZIT JAKOUKOLI DEFINICI ZABEZPEČENÍ |
| DATABASE | ZOBRAZIT DEFINICI VÝKONU | VWP | SERVER | ZOBRAZIT JAKOUKOLI DEFINICI VÝKONU |
| POVĚŘENÍ V RÁMCI DATABÁZE | ALTER | AL | DATABASE | CONTROL |
| POVĚŘENÍ V RÁMCI DATABÁZE | CONTROL | CL | DATABASE | CONTROL |
| POVĚŘENÍ V RÁMCI DATABÁZE | REFERENCES | RF | DATABASE | REFERENCES |
| POVĚŘENÍ V RÁMCI DATABÁZE | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| POVĚŘENÍ V RÁMCI DATABÁZE | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| ENDPOINT | ALTER | AL | SERVER | ZMĚNIT JAKÝKOLI KONCOVÝ BOD |
| ENDPOINT | CONNECT | CO | SERVER | řídicí server |
| ENDPOINT | CONTROL | CL | SERVER | řídicí server |
| ENDPOINT | PŘEVEZMĚTE ODPOVĚDNOST | TO | SERVER | ŘÍDICÍ SERVER |
| ENDPOINT | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| FULLTEXTOVÝ KATALOG | ALTER | AL | DATABASE | ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG |
| FULLTEXTOVÝ KATALOG | CONTROL | CL | DATABASE | CONTROL |
| FULLTEXTOVÝ KATALOG | REFERENCES | RF | DATABASE | REFERENCES |
| FULLTEXTOVÝ KATALOG | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| FULLTEXTOVÝ KATALOG | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | ALTER | AL | DATABASE | ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | CONTROL | CL | DATABASE | CONTROL |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | REFERENCES | RF | DATABASE | REFERENCES |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| SEZNAM ZASTAVENÝCH SLOV PRO ÚPLNÝ TEXT | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| LOGIN | ALTER | AL | SERVER | Změnit libovolné přihlášení |
| LOGIN | CONTROL | CL | SERVER | ŘÍDICÍ SERVER |
| LOGIN | IMPERSONATE | IM | SERVER | ŘÍDICÍ SERVER |
| LOGIN | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| TYP ZPRÁVY | ALTER | AL | DATABASE | ZMĚNIT JAKÝKOLI TYP ZPRÁVY |
| TYP ZPRÁVY | CONTROL | CL | DATABASE | CONTROL |
| TYP ZPRÁVY | REFERENCES | RF | DATABASE | REFERENCES |
| TYP ZPRÁVY | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| TYP ZPRÁVY | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| OBJECT | ALTER | AL | SCHEMA | ALTER |
| OBJECT | CONTROL | CL | SCHEMA | CONTROL |
| OBJECT | DELETE | DL | SCHEMA | DELETE |
| OBJECT | EXECUTE | EX | SCHEMA | EXECUTE |
| OBJECT | INSERT | IN | SCHEMA | INSERT |
| OBJECT | RECEIVE | RC | SCHEMA | CONTROL |
| OBJECT | REFERENCES | RF | SCHEMA | REFERENCES |
| OBJECT | SELECT | SL | SCHEMA | SELECT |
| OBJECT | PŘEVEZMĚTE ODPOVĚDNOST | TO | SCHEMA | CONTROL |
| OBJECT | UNMASK | UMSK | SCHEMA | UNMASK |
| OBJECT | UPDATE | UP | SCHEMA | UPDATE |
| OBJECT | ZOBRAZIT SLEDOVÁNÍ ZMĚN | VWCT | SCHEMA | ZOBRAZIT SLEDOVÁNÍ ZMĚN |
| OBJECT | ZOBRAZIT DEFINICI | VW | SCHEMA | ZOBRAZIT DEFINICI |
| PROPOJENÍ VZDÁLENÉ SLUŽBY | ALTER | AL | DATABASE | "Povolit úpravy jakéhokoliv vzdáleného služebního propojení" |
| PROPOJENÍ VZDÁLENÉ SLUŽBY | CONTROL | CL | DATABASE | CONTROL |
| PROPOJENÍ VZDÁLENÉ SLUŽBY | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| PROPOJENÍ VZDÁLENÉ SLUŽBY | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| ROLE | ALTER | AL | DATABASE | ZMĚNIT JAKOUKOLI ROLI |
| ROLE | CONTROL | CL | DATABASE | CONTROL |
| ROLE | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| ROLE | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| ROUTE | ALTER | AL | DATABASE | ZMĚNIT JAKOUKOLI TRASU |
| ROUTE | CONTROL | CL | DATABASE | CONTROL |
| ROUTE | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| ROUTE | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| SCHEMA | ALTER | AL | DATABASE | ZMĚNIT JAKÉKOLIV SCHÉMA |
| SCHEMA | CONTROL | CL | DATABASE | CONTROL |
| SCHEMA | VYTVOŘIT SEKVENCI | CRSO | DATABASE | CONTROL |
| SCHEMA | DELETE | DL | DATABASE | DELETE |
| SCHEMA | EXECUTE | EX | DATABASE | EXECUTE |
| SCHEMA | INSERT | IN | DATABASE | INSERT |
| SCHEMA | REFERENCES | RF | DATABASE | REFERENCES |
| SCHEMA | SELECT | SL | DATABASE | SELECT |
| SCHEMA | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| SCHEMA | UNMASK | UMSK | DATABASE | UNMASK |
| SCHEMA | UPDATE | UP | DATABASE | UPDATE |
| SCHEMA | ZOBRAZIT SLEDOVÁNÍ ZMĚN | VWCT | DATABASE | ZOBRAZIT SLEDOVÁNÍ ZMĚN |
| SCHEMA | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | ALTER | AL | SERVER | ZMĚNIT JAKÝKOLI FULLTEXTOVÝ KATALOG |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | CONTROL | CL | SERVER | CONTROL |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | REFERENCES | RF | SERVER | REFERENCES |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | PŘEVEZMĚTE ODPOVĚDNOST | TO | SERVER | CONTROL |
| SEZNAM NEMOVITOSTÍ K VYHLEDÁVÁNÍ | ZOBRAZIT DEFINICI | VW | SERVER | ZOBRAZIT DEFINICI |
| SERVER | SPRÁVA HROMADNÝCH OPERACÍ | ADBO | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI SKUPINU DOSTUPNOSTI | ALAG | Není relevantní | Není relevantní |
| SERVER | ZÁMĚNA JAKÉKOLIV PŘIPOJENÍ | ALCO | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKÉKOLI POVĚŘENÍ | ALCD | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI DATABÁZI | ALDB | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKÝKOLI KONCOVÝ BOD | ALHE | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKÉKOLI OZNÁMENÍ O UDÁLOSTI | ALES | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTÍ | AAES | Není relevantní | Není relevantní |
| SERVER | ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT | LSAE | Není relevantní | Není relevantní |
| SERVER | ALTER ANY EVENT SESSION ADD TARGET | LSAT | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO | DES | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST | LSDE | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ | LSDT | Není relevantní | Není relevantní |
| SERVER | UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT | EES | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI | LESO | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKÝKOLI PROPOJENÝ SERVER | ALLS | Není relevantní | Není relevantní |
| SERVER | Změnit libovolné přihlášení | ALLG | Není relevantní | Není relevantní |
| SERVER | UPRAVIT JAKÝKOLI AUDIT SERVERU | ALAA | Není relevantní | Není relevantní |
| SERVER | ZMĚNIT JAKOUKOLIV ROLI SERVERU | ALSR | Není relevantní | Není relevantní |
| SERVER | Změnit zdroje | ALRS | Není relevantní | Není relevantní |
| SERVER | Změnit stav serveru | ALSS | Není relevantní | Není relevantní |
| SERVER | Změnit nastavení | ALST | Není relevantní | Není relevantní |
| SERVER | ALTER TRACE | ALTR | Není relevantní | Není relevantní |
| SERVER | OVĚŘENÍ SERVERU | AUTH | Není relevantní | Není relevantní |
| SERVER | PŘIPOJENÍ JAKÉKOLI DATABÁZE | CADB | Není relevantní | Není relevantní |
| SERVER | CONNECT SQL | COSQ | Není relevantní | Není relevantní |
| SERVER | ŘÍDICÍ SERVER | CL | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ JAKÉKOLI DATABÁZE | CRDB | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ SKUPINY DOSTUPNOSTI | CRAC | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL | CRDE | Není relevantní | Není relevantní |
| SERVER | VYTVOŘIT KONCOVÝ BOD | CRHE | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ ROLE SERVERU | CRSR | Není relevantní | Není relevantní |
| SERVER | VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI TRASOVÁNÍ | CRTE | Není relevantní | Není relevantní |
| SERVER | SESTAVENÍ EXTERNÍHO PŘÍSTUPU | XA | Není relevantní | Není relevantní |
| SERVER | ZOSOBNIT JAKÉKOLI PŘIHLÁŠENÍ | IAL | Není relevantní | Není relevantní |
| SERVER | VYBRAT VŠECHNY ZABEZPEČITELNÉ UŽIVATELE | SUS | Není relevantní | Není relevantní |
| SERVER | SHUTDOWN | SHDN | Není relevantní | Není relevantní |
| SERVER | NEBEZPEČNÉ SESTAVENÍ | XU | Není relevantní | Není relevantní |
| SERVER | ZOBRAZIT LIBOVOLNOU DATABÁZI | VWDB | Není relevantní | Není relevantní |
| SERVER | Zobrazte jakoukoli definici | VWAD | Není relevantní | Není relevantní |
| SERVER | ZOBRAZIT STAV SERVERU | VWSS | Není relevantní | Není relevantní |
| SERVEROVÁ ROLE | ALTER | AL | SERVER | ZMĚNIT JAKOUKOLIV ROLI SERVERU |
| SERVEROVÁ ROLE | CONTROL | CL | SERVER | řídicí server |
| SERVEROVÁ ROLE | PŘEVEZMĚTE ODPOVĚDNOST | TO | SERVER | řídicí server |
| SERVEROVÁ ROLE | ZOBRAZIT DEFINICI | VW | SERVER | Zobrazte jakoukoli definici |
| SERVICE | ALTER | AL | DATABASE | ZMĚNIT LIBOVOLNOU SLUŽBU |
| SERVICE | CONTROL | CL | DATABASE | CONTROL |
| SERVICE | SEND | SN | DATABASE | CONTROL |
| SERVICE | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| SERVICE | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| SYMETRICKÝ KLÍČ | ALTER | AL | DATABASE | ZMĚNIT JAKÝKOLIV SYMMETRICKÝ KLÍČ |
| SYMETRICKÝ KLÍČ | CONTROL | CL | DATABASE | CONTROL |
| SYMETRICKÝ KLÍČ | REFERENCES | RF | DATABASE | REFERENCES |
| SYMETRICKÝ KLÍČ | PŘEVEZMĚTE ODPOVĚDNOST | TO | DATABASE | CONTROL |
| SYMETRICKÝ KLÍČ | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| TYPE | CONTROL | CL | SCHEMA | CONTROL |
| TYPE | EXECUTE | EX | SCHEMA | EXECUTE |
| TYPE | REFERENCES | RF | SCHEMA | REFERENCES |
| TYPE | PŘEVEZMĚTE ODPOVĚDNOST | TO | SCHEMA | CONTROL |
| TYPE | ZOBRAZIT DEFINICI | VW | SCHEMA | ZOBRAZIT DEFINICI |
| USER | ALTER | AL | DATABASE | ZMĚNA LIBOVOLNÉHO UŽIVATELE |
| USER | CONTROL | CL | DATABASE | CONTROL |
| USER | IMPERSONATE | IM | DATABASE | CONTROL |
| USER | ZOBRAZIT DEFINICI | VW | DATABASE | ZOBRAZIT DEFINICI |
| KOLEKCE SCHÉMAT XML | ALTER | AL | SCHEMA | ALTER |
| KOLEKCE SCHÉMAT XML | CONTROL | CL | SCHEMA | CONTROL |
| KOLEKCE SCHÉMAT XML | EXECUTE | EX | SCHEMA | EXECUTE |
| KOLEKCE SCHÉMAT XML | REFERENCES | RF | SCHEMA | REFERENCES |
| KOLEKCE SCHÉMAT XML | PŘEVEZMĚTE ODPOVĚDNOST | TO | SCHEMA | CONTROL |
| KOLEKCE SCHÉMAT XML | ZOBRAZIT DEFINICI | VW | SCHEMA | ZOBRAZIT DEFINICI |
Nová podrobná oprávnění přidaná do SQL Serveru 2022
Do SQL Serveru 2022 se přidají následující oprávnění:
Bylo přidáno 10 nových oprávnění pro povolení přístupu k systémovým metadatům.
Pro rozšířené události bylo přidáno 18 nových oprávnění.
9 nových oprávnění byla přidána s ohledem na objekty související se zabezpečením.
Pro Ledger byla přidána 4 oprávnění.
3 další oprávnění k databázi.
Další informace najdete v tématu Nová podrobná oprávnění pro SQL Server 2022 a Azure SQL ke zlepšení dodržování poLP.
Přístup k oprávněním systémových metadat
Úroveň serveru:
- ZOBRAZIT JAKOUKOLI DEFINICI ZABEZPEČENÍ
- ZOBRAZIT JAKOUKOLI DEFINICI VÝKONU
- ZOBRAZENÍ STAVU ZABEZPEČENÍ SERVERU
- ZOBRAZENÍ VÝKONNOSTNÍHO STAVU SERVERU
- ZOBRAZIT JAKOUKOLI KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI
Úroveň databáze:
- ZOBRAZENÍ STAVU ZABEZPEČENÍ DATABÁZE
- ZOBRAZIT STAV VÝKONNOSTI DATABÁZE
- ZOBRAZIT DEFINICI ZABEZPEČENÍ
- ZOBRAZIT DEFINICI VÝKONU
- ZOBRAZIT KRYPTOGRAFICKY ZABEZPEČENOU DEFINICI
Rozšířená oprávnění k událostem
Úroveň serveru:
- VYTVOŘENÍ JAKÉHOKOLI SEZENÍ UDÁLOSTI
- ZRUŠENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ
- ZMĚNIT JAKOUKOLI MOŽNOST RELACE UDÁLOSTI
- ALTER JAKÁKOLI EVENT SESSION PŘIDAT EVENT
- ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI ODSTRANIT UDÁLOST
- UPRAVIT JAKOUKOLI RELACI UDÁLOSTI A POVOLIT
- ZMĚNIT JAKOUKOLI UDÁLOST SEZENÍ ZAKÁZÁNO
- ALTER JAKÉKOLIV UDÁLOSTNÍ RELACE PŘIDAT CÍL
- ZMĚNIT JAKOUKOLI RELACI UDÁLOSTI CÍL ZRUŠENÍ
Všechna tato oprávnění jsou pod stejným nadřazeným oprávněním: ALTER ANY EVENT SESSION
Úroveň databáze:
- VYTVOŘENÍ JAKÉKOLI RELACE UDÁLOSTÍ DATABÁZE
- UKONČENÍ JAKÉKOLI SEZENÍ UDÁLOSTÍ DATABÁZE
- ALTER JAKOUKOLIV MOŽNOST RELACE UDÁLOSTÍ DATABÁZE
- ZMĚNIT LIBOVOLNOU UDÁLOST RELAČNÍ UDÁLOSTI V DATABÁZI PŘIDAT UDÁLOST
- ZMĚŇTE JAKOUKOLI UDÁLOSTNÍ RELACI V DATABÁZI A ODSTRAŇTE UDÁLOST
- UPRAVIT JAKOUKOLI RELACI UDÁLOSTI DATABÁZE POVOLIT
- ALTEROVAT JAKÝKOLI DATABASE EVENT SESSION ZAKÁZAT
- ALTER JAKÁKOLI DATABÁZE UDÁLOSTNÍ RELACE PŘIDAT CÍL
- ZMĚNIT JAKÝKOLIV CÍLOVÝ CÍL RELACE UDÁLOSTÍ DATABÁZE
Tato oprávnění jsou zahrnuta pod stejným nadřazeným oprávněním: ALTER ANY DATABASE EVENT SESSION
Oprávnění k objektům souvisejícím se zabezpečením
- ŘÍZENÍ (PŘIHLAŠOVACÍ ÚDAJE)
- Vytvořit přihlášení
- VYTVOŘIT UŽIVATELE
- ODKAZY (PŘIHLAŠOVACÍ ÚDAJE)
- ODMASKOVAT (OBJECT)
- UNMASK (SCHEMA)
- ZOBRAZENÍ LIBOVOLNÉHO PROTOKOLU CHYB
- ZOBRAZENÍ AUDITU ZABEZPEČENÍ SERVERU
- ZOBRAZENÍ AUDITU ZABEZPEČENÍ DATABÁZE
Oprávnění účetní knihy
- ZMĚNIT LEDGER
- ZMĚNIT KONFIGURACI ÚČETNÍ KNIHY
- POVOLIT LEDGER
- ZOBRAZIT OBSAH ÚČETNÍ KNIHY
Další oprávnění k databázi
- Upravit jakoukoli externí práci
- UPRAVIT JAKÝKOLIV EXTERNÍ PROUD
- SPUŠTĚNÍ LIBOVOLNÉHO EXTERNÍHO KONCOVÉHO BODU
Shrnutí algoritmu kontroly oprávnění
Kontrola oprávnění může být složitá. Algoritmus kontroly oprávnění zahrnuje překrývající se členství ve skupinách a řetězení vlastnictví, explicitní i implicitní oprávnění a může být ovlivněn oprávněními k zabezpečitelným třídám, které obsahují zabezpečitelnou entitu. Obecným procesem algoritmu je shromáždit všechna příslušná oprávnění. Pokud se nenajde žádný blokující DENY, algoritmus vyhledá GRANT, který poskytuje dostatečný přístup. Algoritmus obsahuje tři základní prvky, kontext zabezpečení, prostor oprávnění a požadované oprávnění.
Note
Nemůžete udělit, odepřít ani odvolat oprávnění k sa, dbovlastníkovi entity, information_schemasysnebo sami sobě.
Kontext zabezpečení
Toto je skupina hlavních subjektů, které přidávají oprávnění ke kontrole přístupu. Jedná se o oprávnění, která souvisejí s aktuálním přihlášením nebo uživatelem, pokud se kontext zabezpečení nezměnil na jiné přihlášení nebo uživatele pomocí příkazu EXECUTE AS. Kontext zabezpečení zahrnuje následující principály:
Přihlášení
Uživatel
Členství v rolích
Členství ve skupinách Windows
Pokud se používá podepisování modulů, jakýkoli přihlašovací nebo uživatelský účet spojený s certifikátem použitým k podepsání modulu, který právě provádí uživatel, a s ním související členství v rolích dané entity.
Prostor pro oprávnění
Jedná se o zabezpečitelnou entitu a všechny zabezpečitelné třídy, které obsahují zabezpečitelné. Například tabulka (zabezpečitelná entita) je obsažena zabezpečitelnou třídou schématu a zabezpečitelnou třídou databáze. Přístup může mít vliv na oprávnění na úrovni tabulky, schématu, databáze a serveru. Další informace naleznete v tématu Hierarchie oprávnění (databázový stroj).
Požadovaná oprávnění
Typ požadovaného oprávnění. Například INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL atd.
Access může vyžadovat více oprávnění, jako v následujících příkladech:
Uložená procedura může vyžadovat oprávnění EXECUTE pro uloženou proceduru i oprávnění INSERT u několika tabulek, na které odkazuje uložená procedura.
Dynamické zobrazení správy může v zobrazení vyžadovat oprávnění VIEW SERVER STATE i SELECT.
Obecné kroky algoritmu
Když algoritmus určuje, jestli má povolit přístup k zabezpečitelnému objektu, může se přesné kroky, které používá, lišit v závislosti na principalech a zabezpečitelných objektech. Algoritmus však provádí následující obecné kroky:
Pokud je přihlášení členem pevné role serveru sysadmin, nebo jestli je uživatel uživatelem dbo v aktuální databázi, obejděte kontrolu oprávnění.
Povolit přístup, pokud lze použít řetězení vlastnictví a kontrola přístupu u dřívějšího objektu v řetězu prošla kontrolou zabezpečení.
Agregujte identity na úrovni serveru, databáze a podepsaného modulu, které jsou přidružené volajícímu, a vytvořte kontext zabezpečení.
Pro tento kontext zabezpečení shromážděte všechna oprávnění udělená nebo odepřená pro prostor oprávnění. Oprávnění lze explicitně uvést jako GRANT, GRANT WITH GRANT nebo ODEPŘÍT; nebo oprávnění mohou být implicitním nebo pokrývajícím typem oprávnění GRANT nebo ODEPŘÍT. Například oprávnění CONTROL pro schéma znamená CONTROL v tabulce. A CONTROL v tabulce znamená SELECT. Pokud tedy bylo uděleno oprávnění ovládat schéma, je uděleno oprávnění SELECT na tabulku. Pokud byl ovládací prvek v tabulce odepřen, příkaz SELECT v tabulce je odepřen.
Note
UDĚLENÍ oprávnění na úrovni sloupce přepíše ODMÍTNUTÍ na úrovni objektu. Další informace naleznete v tématu Odepřít oprávnění objektu.
Identifikujte požadovaná oprávnění.
Kontrola oprávnění se nezdaří, pokud je požadované oprávnění přímo nebo implicitně odepřeno jakékoli identitě v kontextu zabezpečení pro objekty v prostoru oprávnění.
Projděte kontrolou oprávnění, pokud požadované oprávnění nebylo odepřeno a požadované oprávnění obsahuje oprávnění GRANT nebo GRANT WITH GRANT buď přímo, nebo implicitně pro jakoukoli identitu v kontextu zabezpečení pro jakýkoli objekt v prostoru oprávnění.
Zvláštní aspekty oprávnění na úrovni sloupců
Oprávnění na úrovni sloupce jsou udělena pomocí syntaxe <table_name>(<sloupec _name>). Například:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
DENY na tabulce je přepsán GRANTEM na sloupci. Následující DENY v tabulce ale odebere sloupec GRANT.
Examples
Příklady v této části ukazují, jak načíst informace o oprávněních.
A. Vrácení kompletního seznamu udělených oprávnění
Následující příkaz pomocí funkce vrátí všechna oprávnění databázového engine. Další informace najdete v tématu sys.fn_builtin_permissions.
SELECT * FROM fn_builtin_permissions(default);
GO
B. Vrácení oprávnění pro konkrétní třídu objektů
Následující příklad používá fn_builtin_permissions k zobrazení všech oprávnění, která jsou k dispozici pro kategorii zabezpečitelné. Příklad vrátí oprávnění na sestavách.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Vrácení oprávnění udělených vykonávajícímu subjektu na objektu
Následující příklad používá fn_my_permissions k vrácení seznamu efektivních oprávnění, která jsou držena volajícím subjektem na zadaném zabezpečitelném objektu. Příklad vrátí oprávnění k objektu s názvem Orders55. Další informace najdete v tématu sys.fn_my_permissions.
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Vrácení oprávnění platných pro zadaný objekt
Následující příklad vrátí oprávnění použitelná pro objekt s názvem Yttrium. Integrovaná funkce OBJECT_ID se používá k načtení ID objektu Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO
Související obsah
- hierarchie oprávnění
(databázový stroj) - sys.database_permissions (Transact-SQL)