Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Jeder sicherungsfähige SQL Server verfügt über zugeordnete Berechtigungen, die einem Prinzipal erteilt werden können. Dieses Thema enthält die folgenden Informationen:
Benennungskonventionen für Berechtigungen
Im Folgenden werden die allgemeinen Konventionen beschrieben, die für Benennungsberechtigungen befolgt werden:
Kontrolle
Räumt dem Grantee eigentumsähnliche Funktionen ein. Der Berechtigungsempfänger verfügt effektiv über alle definierten Berechtigungen auf dem sicherbaren Objekt. Ein Prinzipal, dem Kontrolle gewährt wurde, kann auch Berechtigungen für das sicherbare Objekt erteilen. Da das SQL Server-Sicherheitsmodell hierarchisch ist, enthält CONTROL in einem bestimmten Bereich implizit CONTROL für alle sicherungsfähigen Elemente unter diesem Bereich. Beispielsweise impliziert CONTROL für eine Datenbank alle Berechtigungen für die Datenbank, alle Berechtigungen für alle Assemblys in der Datenbank, alle Berechtigungen für alle Schemas in der Datenbank und alle Berechtigungen für Objekte innerhalb aller Schemas innerhalb der Datenbank.
ÄNDERN
Ermöglicht die Änderung der Eigenschaften, mit Ausnahme der Besitzrechte, eines bestimmten sicherbaren Objekts. Wenn es auf einen Bereich angewendet wird, ermöglicht ALTER zudem das Ändern, Erstellen oder Löschen eines Sicherheitsobjekts, das in diesem Bereich enthalten ist. Die ALTER-Berechtigung für ein Schema umfasst beispielsweise die Möglichkeit zum Erstellen, Ändern und Ablegen von Objekten aus dem Schema.
ALTER ANY <Server Securable>, wobei Server securable kann jeder Server sicherungsfähig sein.
Ermöglicht das Erstellen, Ändern oder Ablegen einzelner Instanzen des Servers Securable. BEISPIELSWEISE ermöglicht ALTER ANY LOGIN das Erstellen, Ändern oder Ablegen von Anmeldungen in der Instanz.
ALTER ANY <Database Securable>, wobei Database Securable jedes sicherbare Objekt auf Datenbankebene sein kann.
Ermöglicht das ERSTELLEN, ALTER oder DROP einzelne Instanzen der Datenbank securable. Beispielsweise ermöglicht ALTER ANY SCHEMA das Erstellen, Ändern oder Ablegen eines Schemas in der Datenbank.
VERANTWORTUNG ÜBERNEHMEN
Ermöglicht es dem Begünstigten, das Sicherungselement zu übernehmen, auf das das Recht gewährt wird.
< Nachahmen>
Ermöglicht es dem Grantee, die Identität der Anmeldung zu imitieren.
Benutzer imitieren <>
Ermöglicht es dem Grantee, die Identität des Benutzers zu imitieren.
CREATE <Server securable>
Verleiht dem Grantee die Möglichkeit, den Server securable zu erstellen.
CREATE-Datenbank <sicherungsfähig>
Erteilt dem Grantee die Möglichkeit, die Datenbank sicherungsfähig zu erstellen.
CREATE <Schema-contained Securable>
Ermöglicht die Erstellung der schemabasierten Sicherungsfähigkeit. Die ALTER-Berechtigung für das Schema ist jedoch erforderlich, um die sicherungsfähige Datei in einem bestimmten Schema zu erstellen.
Darstellungsdefinition
Ermöglicht dem Grantee den Zugriff auf Metadaten.
REFERENZEN
Die REFERENCES-Berechtigung für eine Tabelle ist erforderlich, um eine FOREIGN KEY-Einschränkung zu erstellen, die auf diese Tabelle verweist.
Die REFERENCES-Berechtigung ist für ein Objekt erforderlich, um eine FUNCTION oder VIEW mit der
WITH SCHEMABINDINGKlausel zu erstellen, die auf dieses Objekt verweist.
Diagramm der SQL Server-Berechtigungen
Ein Poster-Diagramm mit allen Berechtigungen des Datenbankmoduls im PDF-Format finden Sie unter https://github.com/microsoft/sql-server-samples/blob/master/samples/features/security/permissions-posters/Microsoft_SQL_Server_2017_and_Azure_SQL_Database_permissions_infographic.pdf.
Berechtigungen, die für bestimmte Sicherungswerte gelten
In der folgenden Tabelle sind die wichtigsten Berechtigungsklassen und die Arten von Sicherungswerten aufgeführt, auf die sie angewendet werden können.
| Erlaubnis | Gilt für: |
|---|---|
| AUSWÄHLEN | Synonyme Tabellen und Spalten Tabellenwertfunktionen, Transact-SQL und Common Language Runtime (CLR), und Spalten Ansichten und Spalten |
| ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN | Tabellen Schemata |
| Aktualisierung | Synonyme Tabellen und Spalten Ansichten und Spalten Sequence-Objekte |
| REFERENZEN | Skalare und Aggregatfunktionen (Transact-SQL und CLR) Service Broker-Warteschlangen Tabellen und Spalten Tabellenwertfunktionen (Transact-SQL und CLR) und Spalten Typen Ansichten und Spalten Sequence-Objekte |
| Einfügen | Synonyme Tabellen und Spalten Ansichten und Spalten |
| Löschen | Synonyme Tabellen und Spalten Ansichten und Spalten |
| AUSFÜHREN | Verfahren (Transact-SQL und CLR) Skalare und Aggregatfunktionen (Transact-SQL und CLR) Synonyme CLR-Typen |
| EMPFANGEN | Service Broker-Warteschlangen |
| ANSICHTSDEFINITION | Verfügbarkeitsgruppen Verfahren (Transact-SQL und CLR) Service Broker-Warteschlangen Skalare und Aggregatfunktionen (Transact-SQL und CLR) Anmeldungen, Benutzer und Rollen Synonyme Tabellen Tabellenwertfunktionen (Transact-SQL und CLR) Ansichten Sequence-Objekte |
| ÄNDERN | Verfügbarkeitsgruppen Verfahren (Transact-SQL und CLR) Skalare und Aggregatfunktionen (Transact-SQL und CLR) Sequence-Objekte Anmeldungen, Benutzer und Rollen Service Broker-Warteschlangen Tabellen Tabellenwertfunktionen (Transact-SQL und CLR) Ansichten |
| BESITZ ÜBERNEHMEN | Verfügbarkeitsgruppen Rollen Verfahren (Transact-SQL und CLR) Skalare und Aggregatfunktionen (Transact-SQL und CLR) Serverrollen Synonyme Tabellen Funktionen mit Tabellenwerten (Transact-SQL und CLR) Ansichten Sequence-Objekte |
| Kontrolle | Verfügbarkeitsgruppen Verfahren (Transact-SQL und CLR) Skalare und Aggregatfunktionen (Transact-SQL und CLR) Anmeldungen, Benutzer und Rollen Service Broker-Warteschlangen Synonyme Tabellen Tabellenwertfunktionen (Transact-SQL und CLR) Ansichten Sequence-Objekte |
| SICH AUSGEBEN ALS | Anmeldungen und Benutzer |
Vorsicht
Die Standardberechtigungen, die Systemobjekten zum Zeitpunkt der Einrichtung gewährt werden, werden sorgfältig anhand möglicher Bedrohungen ausgewertet und müssen nicht im Rahmen der Härtung der SQL Server-Installation geändert werden. Alle Änderungen an den Berechtigungen für die Systemobjekte können die Funktionalität einschränken oder unterbrechen und ihre SQL Server-Installation möglicherweise in einem nicht unterstützten Zustand belassen.
SQL Server- und SQL-Datenbankberechtigungen
Die folgende Tabelle enthält eine vollständige Liste der SQL Server-Berechtigungen. SQL-Datenbankberechtigungen sind nur für Basissicherheiten verfügbar, die unterstützt werden. Berechtigungen auf Serverebene können in der SQL-Datenbank nicht erteilt werden, in einigen Fällen sind jedoch stattdessen Datenbankberechtigungen verfügbar.
| Basis sicherbar | Granulare Berechtigungen für basisversicherte Berechtigungen | Berechtigungstypcode | Sicherungsobjekt, das Basis-Sicherungsobjekte enthält | Berechtigung auf ein Container-Element, die eine granulare Berechtigung auf das Basiselement impliziert |
|---|---|---|---|---|
| ANWENDUNGSROLLE | ÄNDERN | AL | DATENBANK | ÄNDERN EINER BELIEBIGEN ANWENDUNGSROLLE |
| ANWENDUNGSROLLE | Kontrolle | CL | DATENBANK | Kontrolle |
| ANWENDUNGSROLLE | Ansichtskonfiguration | VW | DATENBANK | Definition anzeigen |
| VERSAMMLUNG | ÄNDERN | AL | DATENBANK | BELIEBIGE ASSEMBLY ÄNDERN |
| VERSAMMLUNG | Kontrolle | CL | DATENBANK | Kontrolle |
| VERSAMMLUNG | REFERENZEN | RF | DATENBANK | REFERENZEN |
| VERSAMMLUNG | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| VERSAMMLUNG | ANSICHTSDEFINITION | VW | DATENBANK | ANSICHTSDEFINITION |
| asymmetrischer Schlüssel | ÄNDERN | AL | DATENBANK | ÄNDERN EINES ASYMMETRISCHEN SCHLÜSSELS |
| asymmetrischer Schlüssel | Kontrolle | CL | DATENBANK | Kontrolle |
| asymmetrischer Schlüssel | REFERENZEN | RF | DATENBANK | REFERENZEN |
| asymmetrischer Schlüssel | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| asymmetrischer Schlüssel | Definition der Ansicht | VW | DATENBANK | ANSICHTSDEFINITION |
| VERFÜGBARKEITSGRUPPE | ÄNDERN | AL | SERVER | ÄNDERN EINER BELIEBIGEN VERFÜGBARKEITSGRUPPE |
| VERFÜGBARKEITSGRUPPE | Kontrolle | CL | SERVER | Steuerungsserver |
| VERFÜGBARKEITSGRUPPE | VERANTWORTUNG ÜBERNEHMEN | AN | SERVER | Kontrollserver |
| VERFÜGBARKEITSGRUPPE | ANSICHTSDEFINITION | VW | SERVER | Jede Definition ansehen |
| ZERTIFIKAT | Alter | AL | DATENBANK | ÄNDERN EINES BELIEBIGEN ZERTIFIKATS |
| ZERTIFIKAT | Kontrolle | Champions-League | DATENBANK | Kontrolle |
| ZERTIFIKAT | REFERENZEN | RF | DATENBANK | REFERENZEN |
| ZERTIFIKAT | BESITZ ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| ZERTIFIKAT | ANSICHTSDEFINITION | VW | DATENBANK | DEFINITION ANZEIGEN |
| VERTRAG | ÄNDERN | AL | DATENBANK | ÄNDERN EINES VERTRAGS |
| VERTRAG | Kontrolle | CL | DATENBANK | Kontrolle |
| VERTRAG | REFERENZEN | RF | DATENBANK | REFERENZEN |
| VERTRAG | EIGENTUM ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| VERTRAG | ANSICHTSDEFINITION | VW | DATENBANK | ANSICHTSDEFINITION |
| DATENBANK | ÄNDERN | AL | SERVER | ÄNDERN EINER BELIEBIGEN DATENBANK |
| DATENBANK | Ändern einer beliebigen Anwendungsrolle | ALAR | SERVER | Steuerungsserver |
| DATENBANK | Änderung einer beliebigen Baugruppe | LEIDER | SERVER | Kontroll-Server |
| DATENBANK | ÄNDERN EINES ASYMMETRISCHEN SCHLÜSSELS | ALAK | SERVER | Kontrollserver |
| DATENBANK | Ändern eines beliebigen Zertifikats | ALCF | SERVER | Steuerserver |
| DATENBANK | ÄNDERN EINES VERTRAGS | ALSC | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER DATENBANKÜBERWACHUNG | ALDA | SERVER | ÄNDERN EINER SERVERÜBERWACHUNG |
| DATENBANK | ÄNDERN EINES DATENBANK-DDL-TRIGGERS | ALTG | SERVER | Kontrollserver |
| DATENBANK | Benachrichtigungen zu Datenbankereignissen ändern | ALED | SERVER | JEDES EREIGNISBENACHRICHTIGUNG ÄNDERN |
| DATENBANK | ÄNDERN EINER DATENBANK-EREIGNISSESSION | AADS Hinweis: Gilt nur für SQL-Datenbank. |
SERVER | ÄNDERN EINER EREIGNISSITZUNG |
| DATENBANK | ÄNDERN EINES BELIEBIGEN DATENBEREICHS | ALDS | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES VOLLSTÄNDIGEN TEXTKATALOGS | ALFT | SERVER | CONTROL SERVER |
| DATENBANK | ÄNDERN EINES BELIEBIGEN NACHRICHTENTYPS | ALMT | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN JEDER REMOTE-DIENST-BINDUNG | ALSB | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER BELIEBIGEN ROLLE | ALRL | SERVER | Kontrollserver |
| DATENBANK | ÄNDERN EINER BELIEBIGEN ROUTE | ALRT | SERVER | Kontrollserver |
| DATENBANK | ÄNDERN EINES BELIEBIGEN SCHEMAS | ALSM | SERVER | CONTROL SERVER |
| DATENBANK | ÄNDERN EINER SICHERHEITSRICHTLINIE | ALSP Hinweis: Gilt nur für SQL-Datenbank. |
SERVER | CONTROL SERVER |
| DATENBANK | ÄNDERE JEDEN DIENST | ALSV | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES SYMMETRISCHEN SCHLÜSSELS | ALSK | SERVER | Kontrollserver |
| DATENBANK | JEDEN BENUTZER ÄNDERN | ALUS | SERVER | Kontrollserver |
| DATENBANK | BEGLAUBIGEN | AUTH | SERVER | AUTHENTIFIZIEREN DES SERVERS |
| DATENBANK | SICHERUNGSDATENBANK | BADB | SERVER | CONTROL SERVER |
| DATENBANK | SICHERUNGSPROTOKOLL | BALO | SERVER | CONTROL SERVER |
| DATENBANK | Kontrollpunkt | CP | SERVER | Steuerungsserver |
| DATENBANK | VERBINDEN | CO | SERVER | Kontrollserver |
| DATENBANK | CONNECT-Replikation | CORP | SERVER | Steuerungsserver |
| DATENBANK | Kontrolle | CL | SERVER | Kontrollserver |
| DATENBANK | AGGREGAT ERSTELLEN | KLIPPE | SERVER | Steuerungsserver |
| DATENBANK | CREATE ASSEMBLY | CRAS | SERVER | Steuerserver |
| DATENBANK | ERSTELLEN EINES ASYMMETRISCHEN SCHLÜSSELS | CRAK | SERVER | Kontrollserver |
| DATENBANK | ZERTIFIKAT ERSTELLEN | CRCF | SERVER | Steuerserver |
| DATENBANK | VERTRAG ERSTELLEN | CRSC | SERVER | Steuerungsserver |
| DATENBANK | DATENBANK ERSTELLEN | CRDB | SERVER | BELIEBIGE DATENBANK ERSTELLEN |
| DATENBANK | CREATE-DATABASE-DDL-Ereignisbenachrichtigung | CRED | SERVER | Ddl-Ereignisbenachrichtigung erstellen |
| DATENBANK | STANDARD ERSTELLEN | CRDF | SERVER | Kontrollserver |
| DATENBANK | FULLTEXT-KATALOG ERSTELLEN | CRFT | SERVER | Steuerungsserver |
| DATENBANK | CREATE FUNCTION | CRFN | SERVER | Steuerungsserver |
| DATENBANK | NACHRICHTENTYP ERSTELLEN | CRMT | SERVER | CONTROL SERVER |
| DATENBANK | ABLAUF ERSTELLEN | CRPR | SERVER | Steuerungsserver |
| DATENBANK | WARTESCHLANGE ERSTELLEN | CRQU | SERVER | CONTROL SERVER |
| DATENBANK | ERSTELLEN EINER REMOTE-DIENSTBINDUNG | CRSB | SERVER | CONTROL SERVER |
| DATENBANK | ROLLE ERSTELLEN | CRRL | SERVER | Kontrollserver |
| DATENBANK | ROUTE ERSTELLEN | CRRT (kontinuierliche Nierenersatztherapie) | SERVER | Kontrollserver |
| DATENBANK | REGEL ERSTELLEN | CRRU | SERVER | Kontrollserver |
| DATENBANK | SCHEMA ERSTELLEN | CRSM | SERVER | CONTROL SERVER |
| DATENBANK | DIENST ERSTELLEN | CRSV | SERVER | CONTROL SERVER |
| DATENBANK | SYMMETRISCHER SCHLÜSSEL ERSTELLEN | CRSK | SERVER | CONTROL SERVER |
| DATENBANK | SYNONYM ERSTELLEN | CRSN | SERVER | CONTROL SERVER |
| DATENBANK | TABELLE ERSTELLEN | CRTB | SERVER | CONTROL SERVER |
| DATENBANK | TYPE ERSTELLEN | CRTY | SERVER | Steuerungsserver |
| DATENBANK | ANSICHT ERSTELLEN | CRVW | SERVER | Steuerserver |
| DATENBANK | ERSTELLEN EINER XML-SCHEMAAUFLISTUNG | CRXS | SERVER | Steuerungsserver |
| DATENBANK | Löschen | DL | SERVER | Steuerungsserver |
| DATENBANK | AUSFÜHREN | EX | SERVER | Steuerungsserver |
| DATENBANK | Einfügen | IN | SERVER | Steuerungsserver |
| DATENBANK | Verbindung zur Datenbank beenden | KIDC Hinweis: Gilt nur für SQL-Datenbank. Verwenden Sie ALTER ANY CONNECTION in SQL Server. |
SERVER | ÄNDERN EINER BELIEBIGEN VERBINDUNG |
| DATENBANK | REFERENZEN | RF | SERVER | Kontrollserver |
| DATENBANK | AUSWÄHLEN | SL | SERVER | Kontrollserver |
| DATENBANK | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATENBANK | ABONNIEREN VON ABFRAGEBENACHRICHTIGUNGEN | SUQN | SERVER | Kontrollserver |
| DATENBANK | VERANTWORTUNG ÜBERNEHMEN | AN | SERVER | KONTROLLSERVER |
| DATENBANK | Aktualisierung | NACH OBEN | SERVER | CONTROL SERVER |
| DATENBANK | DATENBANK-STATUS ANZEIGEN | VWDS | SERVER | SERVERSTATUS ANZEIGEN |
| DATENBANK | ANSICHTSDEFINITION | VW | SERVER | Jede Definition ansehen |
| ENDPUNKT | ÄNDERN | AL | SERVER | ÄNDERN EINES BELIEBIGEN ENDPUNKTS |
| ENDPUNKT | VERBINDEN | KO | SERVER | Steuerungsserver |
| ENDPUNKT | Kontrolle | CL | SERVER | Kontrollserver |
| ENDPUNKT | EIGENTUM ÜBERNEHMEN | AN | SERVER | Steuerungsserver |
| ENDPUNKT | ANSICHTSDEFINITION | VW | SERVER | Jede Definition ansehen |
| Volltextkatalog | ÄNDERN | AL | DATENBANK | ÄNDERN EINES VOLLSTÄNDIGEN TEXTKATALOGS |
| Volltextkatalog | Kontrolle | CL | DATENBANK | Kontrolle |
| Volltextkatalog | REFERENZEN | RF | DATENBANK | REFERENZEN |
| Volltextkatalog | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Volltextkatalog | ANSICHTSDEFINITION | VW | DATENBANK | ANSICHTSDEFINITION |
| FULLTEXT STOPLIST | Änderung | AL | DATENBANK | ÄNDERN EINES VOLLSTÄNDIGEN TEXTKATALOGS |
| Volltext-Stoppwortliste | Kontrolle | CL | DATENBANK | Kontrolle |
| Volltext-Stoppwortliste | REFERENZEN | RF | DATENBANK | REFERENZEN |
| Volltext-Stoppwortliste | BESITZ ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Volltext-Sperrliste | ANSICHTSDEFINITION | VW | DATENBANK | DEFINITION ANZEIGEN |
| EINLOGGEN | ÄNDERN | AL | SERVER | ÄNDERN ALLER ANMELDUNGEN |
| EINLOGGEN | Kontrolle | CL | SERVER | Steuerungsserver |
| EINLOGGEN | SICH AUSGEBEN ALS | Chat | SERVER | Steuerungsserver |
| EINLOGGEN | Definition der Ansicht | VW | SERVER | Jede Definition ansehen |
| NACHRICHTENTYP | ÄNDERN | AL | DATENBANK | ÄNDERUNG EINES BELIEBIGEN NACHRICHTENTYPS |
| NACHRICHTENTYP | Kontrolle | CL | DATENBANK | Kontrolle |
| NACHRICHTENTYP | REFERENZEN | RF | DATENBANK | REFERENZEN |
| NACHRICHTENTYP | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| NACHRICHTENTYP | Definition einer Ansicht | VW | DATENBANK | ANSICHTSDEFINITION |
| OBJEKT | ÄNDERN | AL | SCHEMA | ÄNDERN |
| OBJEKT | Kontrolle | CL | SCHEMA | Kontrolle |
| OBJEKT | Löschen | DL | SCHEMA | Löschen |
| OBJEKT | AUSFÜHREN | EX | SCHEMA | AUSFÜHREN |
| OBJEKT | Einfügen | IN | SCHEMA | Einfügen |
| OBJEKT | EMPFANGEN | RC | SCHEMA | Kontrolle |
| OBJEKT | REFERENZEN | RF | Schema | REFERENZEN |
| OBJEKT | AUSWÄHLEN | SL | Schema | Auswählen |
| OBJEKT | EIGENTUM ÜBERNEHMEN | AN | SCHEMA | Kontrolle |
| OBJEKT | Aktualisierung | NACH OBEN | SCHEMA | Aktualisierung |
| OBJEKT | ÄNDERUNGSVERFOLGUNG ANZEIGEN | VWCT | Schema | ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN |
| OBJEKT | Definition anzeigen | VW | SCHEMA | ANSICHTSDEFINITION |
| REMOTE-DIENST-BINDUNG | ÄNDERN | AL | DATENBANK | Ändern jeglicher Remotedienstbindung |
| REMOTEDIENSTBINDUNG | Kontrolle | CL | DATENBANK | Kontrolle |
| REMOTEDIENSTBINDUNG | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| REMOTEDIENSTBINDUNG | ANSICHTSDEFINITION | VW | DATENBANK | ANSICHTSDEFINITION |
| Rolle | ÄNDERN | AL | DATENBANK | Jede Rolle ändern |
| Rolle | Kontrolle | CL | DATENBANK | Kontrolle |
| Rolle | BESITZ ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Rolle | ANSICHTSDEFINITION | VW | DATENBANK | ANSICHTSDEFINITION |
| ROUTE | ÄNDERN | AL | DATENBANK | ÄNDERN EINER BELIEBIGEN ROUTE |
| ROUTE | Kontrolle | CL | DATENBANK | Kontrolle |
| ROUTE | BESITZ ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| ROUTE | Definition der Ansicht | VW | DATENBANK | DEFINITION ANZEIGEN |
| Immobilienliste durchsuchen | ÄNDERN | AL | SERVER | ÄNDERN EINES VOLLSTÄNDIGEN TEXTKATALOGS |
| Immobilienliste durchsuchen | Kontrolle | Champions League | SERVER | Kontrolle |
| Immobilienliste durchsuchen | REFERENZEN | RF | SERVER | REFERENZEN |
| Immobilienliste durchsuchen | BESITZ ÜBERNEHMEN | AN | SERVER | Kontrolle |
| Immobilienliste durchsuchen | ANSICHTSDEFINITION | VW | SERVER | ANSICHTSDEFINITION |
| SCHEMA | ÄNDERN | AL | DATENBANK | ÄNDERE JEDES SCHEMA |
| SCHEMA | Kontrolle | CL | DATENBANK | Kontrolle |
| Schema | CREATE SEQUENCE | CRSO | DATENBANK | Kontrolle |
| SCHEMA | Löschen | DL | DATENBANK | Löschen |
| SCHEMA | AUSFÜHREN | EX | DATENBANK | AUSFÜHREN |
| SCHEMA | Einfügen | IN | DATENBANK | Einfügen |
| SCHEMA | REFERENZEN | RF | DATENBANK | REFERENZEN |
| SCHEMA | Auswählen | SL | DATENBANK | Auswählen |
| SCHEMA | BESITZ ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| SCHEMA | Aktualisierung | NACH OBEN | DATENBANK | Aktualisierung |
| SCHEMA | ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN | VWCT | DATENBANK | ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN |
| SCHEMA | ANSICHTSDEFINITION | VW | DATENBANK | ANSICHTSDEFINITION |
| SERVER | VERWALTEN VON MASSENVORGÄNGEN | ADBO | Nicht anwendbar | Nicht anwendbar |
| SERVER | ÄNDERE JEDE VERBINDUNG | ALCO | Nicht anwendbar | Nicht anwendbar |
| SERVER | ÄNDERN EINER BELIEBIGEN ANMELDEINFORMATION | ALCD | Nicht anwendbar | Nicht anwendbar |
| SERVER | ÄNDERN EINER BELIEBIGEN DATENBANK | ALDB | Nicht anwendbar | Nicht anwendbar |
| SERVER | ÄNDERE JEDEN ENDPUNKT | ALHE | Nicht anwendbar | Nicht anwendbar |
| SERVER | Jede Ereignisbenachrichtigung ändern | ALES | Nicht anwendbar | Nicht anwendbar |
| SERVER | ÄNDERN EINER EREIGNISSITZUNG | AAES | Nicht anwendbar | Nicht anwendbar |
| SERVER | ÄNDERN EINES BELIEBIGEN VERKNÜPFTEN SERVERS | ALLS | Nicht anwendbar | Nicht anwendbar |
| SERVER | ALLE ANMELDUNGEN ÄNDERN | ALLG | Nicht anwendbar | Nicht anwendbar |
| SERVER | ÄNDERN EINER SERVERÜBERWACHUNG | ALAA | Nicht anwendbar | Nicht anwendbar |
| SERVER | ÄNDERN EINER BELIEBIGEN SERVERROLLE | ALSR | Nicht anwendbar | Nicht anwendbar |
| SERVER | ALTER AVAILABILITY GROUP | ALAG | Nicht anwendbar | Nicht anwendbar |
| SERVER | RESSOURCEN ÄNDERN | ALRS | Nicht anwendbar | Nicht anwendbar |
| SERVER | SERVERSTATUS ÄNDERN | ALSS | Nicht anwendbar | Nicht anwendbar |
| SERVER | Einstellungen ändern | ALST | Nicht anwendbar | Nicht anwendbar |
| SERVER | ALTER TRACE | ALTR | Nicht anwendbar | Nicht anwendbar |
| SERVER | AUTHENTIFIZIEREN DES SERVERS | AUTH | Nicht anwendbar | Nicht anwendbar |
| SERVER | VERBINDEN EINER BELIEBIGEN DATENBANK | CADB | Nicht anwendbar | Nicht anwendbar |
| SERVER | CONNECT SQL | COSQ | Nicht anwendbar | Nicht anwendbar |
| SERVER | Kontrollserver | CL | Nicht anwendbar | Nicht anwendbar |
| SERVER | ERSTELLEN EINER BELIEBIGEN DATENBANK | CRDB | Nicht anwendbar | Nicht anwendbar |
| SERVER | VERFÜGBARKEITSGRUPPE ERSTELLEN | CRAC | Nicht anwendbar | Nicht anwendbar |
| SERVER | DDL-Ereignisbenachrichtigung erstellen | CRDE | Nicht anwendbar | Nicht anwendbar |
| SERVER | ENDPUNKT ERSTELLEN | CRHE | Nicht anwendbar | Nicht anwendbar |
| SERVER | SERVERROLLE ERSTELLEN | CRSR | Nicht anwendbar | Nicht anwendbar |
| SERVER | ERSTELLEN SIE EINE BENACHRICHTIGUNG FÜR VERFOLGUNGSVORGÄNGE | CRTE | Nicht anwendbar | Nicht anwendbar |
| SERVER | ASSEMBLY FÜR EXTERNEN ZUGRIFF | XA | Nicht anwendbar | Nicht anwendbar |
| SERVER | IDENTITÄTSWECHSEL JEDER ANMELDUNG | IAL | Nicht anwendbar | Nicht anwendbar |
| SERVER | ALLE SICHERUNGSFÄHIGEN BENUTZER AUSWÄHLEN | SUS | Nicht anwendbar | Nicht anwendbar |
| SERVER | HERUNTERFAHREN | SHDN | Nicht anwendbar | Nicht anwendbar |
| SERVER | UNSICHERE ZUSAMMENBAU | XU | Nicht anwendbar | Nicht anwendbar |
| SERVER | Jede Datenbank anzeigen | VWDB | Nicht anwendbar | Nicht anwendbar |
| SERVER | Jede Definition ansehen | VWAD | Nicht anwendbar | Nicht anwendbar |
| SERVER | SERVERSTATUS ANZEIGEN | VWSS | Nicht anwendbar | Nicht anwendbar |
| Serverrolle | ÄNDERN | AL | SERVER | ÄNDERN EINER BELIEBIGEN SERVERROLLE |
| Serverrolle | Kontrolle | CL | SERVER | CONTROL SERVER |
| Serverrolle | BESITZ ÜBERNEHMEN | AN | SERVER | CONTROL SERVER |
| Serverrolle | ANZEIGEDEFINITION | VW | SERVER | Jede Definition ansehen |
| Dienstleistung | ÄNDERN | AL | DATENBANK | JEDEN DIENST ÄNDERN |
| Dienstleistung | Kontrolle | CL | DATENBANK | Kontrolle |
| Dienstleistung | SENDEN | SN | DATENBANK | Kontrolle |
| Dienstleistung | BESITZ ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Dienstleistung | ANSICHTSDEFINITION | VW | DATENBANK | ANSICHTSDEFINITION |
| symmetrischer Schlüssel | ÄNDERN | AL | DATENBANK | ÄNDERN EINES SYMMETRISCHEN SCHLÜSSELS |
| symmetrischer Schlüssel | Kontrolle | CL | DATENBANK | Kontrolle |
| symmetrischer Schlüssel | REFERENZEN | RF | DATENBANK | REFERENZEN |
| symmetrischer Schlüssel | Eigentum übernehmen | AN | DATENBANK | Kontrolle |
| symmetrischer Schlüssel | ANSICHTSDEFINITION | VW | DATENBANK | ANSICHTSDEFINITION |
| TYPE | Kontrolle | CL | SCHEMA | Kontrolle |
| TYP | AUSFÜHREN | EX | SCHEMA | AUSFÜHREN |
| ART | REFERENZEN | RF | SCHEMA | REFERENZEN |
| TYP | BESITZ ÜBERNEHMEN | AN | SCHEMA | Kontrolle |
| TYP | Definition der Ansicht | VW | SCHEMA | ANSICHTSDEFINITION |
| Benutzer | Bearbeiten | Alabama | DATENBANK | JEDEN BENUTZER ÄNDERN |
| Benutzer | Kontrolle | CL | DATENBANK | Kontrolle |
| Benutzer | SICH AUSGEBEN ALS | Chat | DATENBANK | Kontrolle |
| Benutzer | ANSICHTSDEFINITION | VW | DATENBANK | Definition der Ansicht |
| XML-Schema-Sammlung | ÄNDERN | AL | Schema | ÄNDERN |
| XML-Schema-Sammlung | Kontrolle | CL | SCHEMA | Kontrolle |
| XML-SCHEMAAUFLISTUNG | AUSFÜHREN | EX | Schema | AUSFÜHREN |
| XML-SCHEMA-SAMMLUNG | REFERENZEN | RF | SCHEMA | REFERENZEN |
| XML-SCHEMAAUFLISTUNG | VERANTWORTUNG ÜBERNEHMEN | AN | SCHEMA | Kontrolle |
| XML-SCHEMASAMMLUNG | DEFINIERUNG DER ANSICHT | VW | Schema | ANSICHTSDEFINITION |
Zusammenfassung des Berechtigungsprüfungsalgorithmus
Das Überprüfen von Berechtigungen kann komplex sein. Der Berechtigungsüberprüfungsalgorithmus umfasst überlappende Gruppenmitgliedschaften und Besitzverkettung, sowohl explizite als auch implizite Berechtigungen und kann von den Berechtigungen für sicherungsfähige Klassen betroffen sein, die die sicherungsfähige Entität enthalten. Der allgemeine Prozess des Algorithmus besteht darin, alle relevanten Berechtigungen zu sammeln. Wenn kein Blockieren von DENY gefunden wird, sucht der Algorithmus nach einem GRANT, der ausreichendEn Zugriff bietet. Der Algorithmus enthält drei wesentliche Elemente, den Sicherheitskontext, den Berechtigungsbereich und die erforderliche Berechtigung.
Hinweis
Sie können keine Berechtigungen für sa, dbo, den Entitätsbesitzer, information_schema, sys oder sich selbst erteilen, verweigern oder widerrufen.
Sicherheitskontext
Dies ist die Gruppe der Hauptakteure, die Berechtigungen für die Zugriffskontrolle gewähren. Dies sind Berechtigungen, die sich auf die aktuelle Anmeldung oder den aktuellen Benutzer beziehen, es sei denn, der Sicherheitskontext wurde mithilfe der EXECUTE AS-Anweisung in einen anderen Anmelde- oder Benutzer geändert. Der Sicherheitskontext enthält die folgenden Prinzipale:
Die Anmeldung
Der Benutzer
Rollenmitgliedschaften
Windows-Gruppenmitgliedschaften
Wenn die Modulsignierung verwendet wird, wird jedes Anmelde- oder Benutzerkonto für das Zertifikat verwendet, mit dem das Modul signiert wird, das der Benutzer gerade ausführt, und die zugehörigen Rollenmitgliedschaften dieses Prinzipals.
Berechtigungsraum
Dies ist die sicherungsfähige Entität und alle sicherungsfähigen Klassen, die die sicherungsfähige Entität enthalten. Eine Tabelle (eine sicherungsfähige Entität) ist z. B. in der sicherungsfähigen Schemaklasse und in der sicherungsfähigen Datenbankklasse enthalten. Der Zugriff kann durch Berechtigungen auf Tabellen-, Schema-, Datenbank- und Serverebene beeinflusst werden. Weitere Informationen finden Sie unter Berechtigungshierarchie (Datenbankmodul).
Erforderliche Berechtigung
Die Art der erforderlichen Berechtigung. Zum Beispiel: INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL usw.
Access kann mehrere Berechtigungen erfordern, wie in den folgenden Beispielen gezeigt:
Eine gespeicherte Prozedur kann sowohl die EXECUTE-Berechtigung für die gespeicherte Prozedur als auch die INSERT-Berechtigung für mehrere Tabellen erfordern, auf die von der gespeicherten Prozedur verwiesen wird.
Eine dynamische Verwaltungsansicht kann sowohl VIEW SERVER STATE als auch SELECT-Berechtigung für die Ansicht erfordern.
Allgemeine Schritte des Algorithmus
Wenn der Algorithmus bestimmt, ob der Zugriff auf eine sicherungsfähige Person zugelassen werden soll, können die genauen Schritte variieren, die sie verwendet, je nach den Prinzipalen und den sicherungsfähigen Daten, die beteiligt sind. Der Algorithmus führt jedoch die folgenden allgemeinen Schritte aus:
Umgehen Sie die Berechtigungsprüfung, ob die Anmeldung Mitglied der festen Serverrolle "sysadmin" ist oder ob der Benutzer der dbo-Benutzer in der aktuellen Datenbank ist.
Zugriff zulassen, wenn die Besitzkette anwendbar ist und die Zugriffsüberprüfung des Objekts weiter oben in der Kette die Sicherheitsüberprüfung bestanden hat.
Aggregieren Sie die Identitäten auf Serverebene, Datenbankebene und signiertes Modul, die dem Aufrufer zugeordnet sind, um den Sicherheitskontext zu erstellen.
Sammeln Sie für diesen Sicherheitskontext alle Berechtigungen, die für den Berechtigungsbereich erteilt oder verweigert werden. Die Berechtigung kann explizit als GRANT, GRANT WITH GRANT oder DENY angegeben werden, oder es kann sich um eine implizite Berechtigung handeln, die eine GRANT- oder DENY-Berechtigung abdeckt. Beispielsweise impliziert die CONTROL-Berechtigung für ein Schema CONTROL über eine Tabelle. Und CONTROL in einer Tabelle impliziert SELECT. Wenn also CONTROL für das Schema gewährt wurde, wird SELECT in der Tabelle gewährt. Wenn CONTROL auf der Tabelle verweigert wird, wird SELECT auf der Tabelle ebenfalls verweigert.
Hinweis
Eine GRANT einer Berechtigung auf Spaltenebene setzt einen DENY auf Objektebene außer Kraft.
Identifizieren Sie die erforderliche Berechtigung.
Schlägt die Berechtigungsprüfung fehl, wenn die erforderliche Berechtigung direkt oder implizit einer der Identitäten im Sicherheitskontext für die Objekte im Berechtigungsbereich verweigert wird.
Bestehen Sie die Berechtigungsprüfung, wenn die erforderliche Berechtigung nicht verweigert wurde und die erforderliche Berechtigung eine GRANT- oder eine GRANT WITH GRANT-Berechtigung entweder direkt oder implizit an eine der Identitäten im Sicherheitskontext für jedes Objekt im Berechtigungsbereich enthält.
Beispiele
Die Beispiele in diesem Abschnitt zeigen, wie Sie Berechtigungsinformationen abrufen.
Ein. Zurückgeben der vollständigen Liste der zulässigen Berechtigungen
Die folgende Anweisung gibt alle Berechtigungen des Datenbankmoduls mithilfe der fn_builtin_permissions Funktion zurück. Weitere Informationen finden Sie unter sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Zurückgeben der Berechtigungen für eine bestimmte Klasse von Objekten
Im folgenden Beispiel werden fn_builtin_permissions alle Berechtigungen angezeigt, die für eine Kategorie von sicherbaren Objekten verfügbar sind. Das Beispiel gibt Berechtigungen für Assemblys zurück.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Zurückgeben der Berechtigungen, die dem ausführenden Prinzipal für ein Objekt erteilt wurden
Im folgenden Beispiel wird fn_my_permissions eine Liste der effektiven Berechtigungen zurückgegeben, die vom aufrufenden Prinzipal für ein angegebenes sicherungsfähiges Objekt gehalten werden. Das Beispiel gibt Berechtigungen für ein Objekt mit dem Namen Orders55zurück. Weitere Informationen finden Sie unter sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Zurückgeben der berechtigungen, die für ein angegebenes Objekt gelten
Im folgenden Beispiel werden Berechtigungen zurückgegeben, die für ein Objekt gelten, das aufgerufen wird Yttrium. Beachten Sie, dass die integrierte Funktion OBJECT_ID verwendet wird, um die ID des Objekts Yttriumabzurufen.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO
Siehe auch
Berechtigungshierarchie (Datenbank-Engine)
sys.database_permissions (Transact-SQL)