Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL ServerAzure SQL-DatenbankAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)SQL-Analyseendpunkt in Microsoft FabricWarehouse in Microsoft FabricSQL-Datenbank in Microsoft Fabric
Jedem sicherungsfähigen SQL Server-Element werden Berechtigungen zugeordnet, die einem Prinzipal erteilt werden können. Datenbank-Engine-Berechtigungen im Datenbankmodul werden sowohl auf dem Serverlevel, das den Anmeldeinformationen und Serverrollen zugewiesen ist, als auch auf dem Datenbanklevel verwaltet, das den Datenbankbenutzer und Datenbankrollen zugewiesen ist. Das Model für Azure SQL-Datenbank wendet dieses System auch auf die Datenbankberechtigungen an. Die Berechtigungen auf Serverebene sind jedoch nicht verfügbar. Dieser Artikel bietet eine vollständige Liste der Berechtigungen. Eine typische Implementierung der Berechtigungen finden Sie unter Erste Schritte mit Berechtigungen für die Datenbank-Engine.
Die Gesamtzahl der Berechtigungen für SQL Server 2022 (16.x) beträgt 292. Azure SQL-Datenbank macht 292 Berechtigungen verfügbar. Die meisten Berechtigungen – jedoch nicht alle – gelten für alle Plattformen. Zum Beispiel können in Azure SQL-Datenbank die meisten Berechtigungen auf Serverebene nicht erteilt werden, und einige Berechtigungen sind nur für Azure SQL-Datenbank sinnvoll. Neue Berechtigungen werden nach und nach in neuen Releases eingeführt. SQL Server 2019 (15.x) macht 248 Berechtigungen verfügbar. SQL Server 2017 (14.x) hat 238 Berechtigungen verfügbar gemacht. SQL Server 2016 (13.x) hat 230 Berechtigungen verfügbar gemacht. SQL Server 2014 (12.x) hat 219 Berechtigungen verfügbar gemacht. SQL Server 2012 (11.x) hat 214 Berechtigungen verfügbar gemacht. SQL Server 2008 R2 (10.50.x) hat 195 Berechtigungen verfügbar gemacht. In dem Artikel sys.fn_builtin_permissions wird erläutert, welche Berechtigungen in aktuellen Versionen jeweils neu sind.
In der SQL-Datenbank in Microsoft Fabric werden nur Benutzer und Rollen auf Datenbankebene unterstützt. Anmeldeinformationen, Rollen und das sa-Konto auf Serverebene sind nicht verfügbar. In der SQL-Datenbank in Microsoft Fabric ist die Microsoft Entra-ID für Datenbankbenutzer die einzige unterstützte Authentifizierungsmethode. Weitere Informationen finden Sie unter Autorisierung in der SQL-Datenbank in Microsoft Fabric.
Sobald Sie sich mit den erforderlichen Berechtigungen vertraut gemacht haben, können Sie die Anweisungen GRANT, REVOKE und DENY verwenden, um Berechtigungen auf Serverebene auf Anmeldungen oder Serverrollen und Berechtigungen auf Datenbankebene auf Benutzer oder Datenbankrollen anzuwenden. Zum Beispiel:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Tipps zum Planen eines Berechtigungssystems finden Sie unter Erste Schritte mit Berechtigungen für die Datenbank-Engine.
Benennungskonventionen für Berechtigungen
Im Folgenden werden die allgemeinen Konventionen beschrieben, die beim Benennen von Berechtigungen befolgt werden:
Kontrolle
Überträgt besitzähnliche Funktionen an den Empfänger. Der Empfänger verfügt über alle definierten Berechtigungen für das sicherungsfähige Element. Ein Prinzipal, dem die Berechtigung CONTROL erteilt wurde, kann auch Berechtigungen für das sicherungsfähige Element erteilen. Da es sich bei dem SQL Server-Sicherheitsmodell um ein hierarchisches Modell handelt, beinhaltet CONTROL für einen bestimmten Gültigkeitsbereich implizit auch CONTROL für alle sicherungsfähigen Elemente in diesem Gültigkeitsbereich. CONTROL für eine Datenbank impliziert alle Berechtigungen für die Datenbank, alle Berechtigungen für alle Assemblys in der Datenbank, alle Berechtigungen für alle Schemas in der Datenbank sowie alle Berechtigungen für Objekte innerhalb aller Schemas in der Datenbank.
ÄNDERN
Überträgt die Berechtigung, die Eigenschaften, mit Ausnahme des Besitzes, eines bestimmten sicherungsfähigen Elements zu ändern. Wenn ALTER für einen Gültigkeitsbereich erteilt wird, wird damit auch die Berechtigung zum Ändern, Erstellen oder Löschen eines sicherungsfähigen Elements erteilt, das in diesen Bereich fällt. So beinhaltet die Berechtigung ALTER für ein Schema auch die Berechtigung zum Erstellen, Ändern und Löschen von Objekten aus dem Schema.
ALTER ANY <Server Securable>, wobei es sich bei Server Securable um jeden beliebigen sicherungsfähigen Server handeln kann.
Überträgt die Berechtigung zum Erstellen, Ändern oder Löschen einzelner Instanzen des Server Securable. So überträgt z. B. ALTER ANY LOGIN die Berechtigung zum Erstellen, Ändern oder Löschen einer beliebigen Anmeldung in der Instanz.
ALTER ANY <Database Securable>, wobei Database Securable jedes beliebige sicherungsfähige Element auf Datenbankebene sein kann.
Überträgt die Berechtigung zum Erstellen, Ändern oder Löschen (CREATE, ALTER oder DROP) einzelner Instanzen des Database Securable. So überträgt z. B. ALTER ANY SCHEMA die Berechtigung zum Erstellen, Ändern oder Löschen eines beliebigen Schemas in der Datenbank.
VERANTWORTUNG ÜBERNEHMEN
Ermöglicht dem Empfänger, Besitzer des sicherungsfähigen Elements zu werden, für das die Berechtigung erteilt wird.
IMPERSONATE <Anmeldung>
Ermöglicht dem Empfänger, die Identität des Anmeldenamens anzunehmen.
IMPERSONATE <Benutzer>
Ermöglicht dem Empfänger, die Identität des Benutzers anzunehmen.
CREATE <Server securable>
Überträgt dem Empfänger die Berechtigung zum Erstellen des Server Securable.
CREATE-Datenbank <sicherungsfähig>
Überträgt dem Berechtigten die Berechtigung zum Erstellen des Database Securable.
CREATE <Schema-contained Securable>
Überträgt die Berechtigung zum Erstellen des im Schema enthaltenen sicherungsfähigen Elements. Es wird jedoch die Berechtigung ALTER für das Schema benötigt, um das sicherungsfähige Element in einem bestimmten Schema zu erstellen.
Darstellungsdefinition
Gewährt dem Empfänger Zugriff auf Metadaten.
REFERENZEN
Die REFERENCES-Berechtigung für eine Tabelle ist erforderlich, um eine FOREIGN KEY-Einschränkung zu erstellen, die auf die betreffende Tabelle verweist.
Die REFERENCES-Berechtigung ist für ein Objekt erforderlich, um eine FUNCTION oder VIEW mit der
WITH SCHEMABINDING-Klausel zu erstellen, die auf das betreffende Objekt verweist.
Diagramm der SQL Server-Berechtigungen
Das folgende Bild zeigt die Berechtigungen und ihre Beziehungen zueinander. Einige der Berechtigungen auf höherer Ebene (z.B. CONTROL SERVER) sind mehrmals aufgeführt. In diesem Artikel ist nicht ausreichend Platz, um das Poster entsprechend darzustellen. Sie können das Poster zu den Datenbank-Engine-Berechtigungen im PDF-Format in voller Größe herunterladen.
Berechtigungen für bestimmte sicherungsfähige Elemente
Die folgende Tabelle enthält eine Liste der wichtigsten Berechtigungsklassen und der sicherungsfähigen Elemente, für die sie erteilt werden können.
| Berechtigung | Gilt für: |
|---|---|
| ÄNDERN | Alle Objektklassen außer TYPE. |
| Kontrolle | Alle Objektklassen: AGGREGAT ANWENDUNGSROLLE, VERSAMMLUNG ASYMMETRISCHER SCHLÜSSEL, VERFÜGBARKEITSGRUPPE, ZERTIFIKAT VERTRAG ANMELDEDATEN, DATENBANK DATENBANKBEREICHSBEZOGENE ANMELDEBERECHTIGUNG VORGABE ENDPUNKT FULLTEXT-KATALOG, VOLLTEXT-STOPPLISTE Funktion EINLOGGEN NACHRICHTENTYP, VERFAHREN Warteschlange Remote-Dienstbindung ROLLE ROUTE REGEL SCHEMA SUCHEIGENSCHAFTSLISTE, SERVER SERVERROLLE, DIENST Symmetrischer Schlüssel Synonym TISCH TYP BENUTZER VIEW und XML-SCHEMA-SAMMLUNG |
| Löschen | Alle Objektklassen außer DATABASE SCOPED CONFIGURATION, SERVER und TYPE. |
| Führen Sie | CLR-Typen, externe Skripts, Prozeduren (Transact-SQL und CLR), Skalar- und Aggregatfunktionen (Transact-SQL und CLR) und Synonyme |
| SICH AUSGEBEN ALS | Anmeldungen und Benutzer |
| Einfügen | Synonyme, Tabellen und Spalten, Ansichten und Spalten. Eine Berechtigung kann auf Datenbank-, Schema- oder Objektebene erteilt werden. |
| EMPFANGEN | Service Broker-Warteschlange |
| REFERENZEN | AGGREGAT VERSAMMLUNG ASYMMETRISCHER SCHLÜSSEL, ZERTIFIKAT VERTRAG ANMELDEDATEN (Gilt für SQL Server 2022 (16.x) und höher). DATENBANK DATENBANKSPEZIFISCHE ANMELDEINFORMATIONEN FULLTEXT-KATALOG, Volltext-Stoppwortliste FUNKTION NACHRICHTENTYP, VERFAHREN Warteschlange REGEL SCHEMA SUCHEIGENSCHAFTSLISTE, SEQUENCE-OBJEKT, Symmetrischer Schlüssel TISCH TYP VIEW und XML-SCHEMA-SAMMLUNG |
| AUSWÄHLEN | Synonyme, Tabellen und Spalten, Ansichten und Spalten. Eine Berechtigung kann auf Datenbank-, Schema- oder Objektebene erteilt werden. |
| VERANTWORTUNG ÜBERNEHMEN | Alle Objektklassen außer DATABASE SCOPED CONFIGURATION, LOGIN, SERVER und USER. |
| Aktualisierung | Synonyme, Tabellen und Spalten, Ansichten und Spalten. Eine Berechtigung kann auf Datenbank-, Schema- oder Objektebene erteilt werden. |
| ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN | Schemata und Tabellen |
| Darstellungsdefinition | Alle Objektklassen außer DATABASE SCOPED CONFIGURATION und SERVER. |
Achtung
Die Standardberechtigungen, die Systemobjekten zum Zeitpunkt der Installation erteilt wurden, werden sorgfältig bezüglich möglicher Bedrohungen ausgewertet und müssen nicht im Rahmen der Härtung der SQL Server-Installation geändert werden. Alle Änderungen an den Berechtigungen für Systemobjekte können die Funktionalität einschränken oder unterbrechen und potenziell dazu führen, dass Ihre SQL Server-Installation einen nicht unterstützten Zustand aufweist.
SQL Server-Berechtigungen
Die folgende Tabelle enthält eine vollständige Liste der SQL Server-Berechtigungen. Azure SQL-Datenbank-Berechtigungen sind nur für unterstützte sicherungsfähige Basiselemente verfügbar. Berechtigungen auf Serverebene können in Azure SQL-Datenbank nicht gewährt werden, in einigen Fällen sind jedoch stattdessen Datenbankberechtigungen verfügbar.
| Sicherungsfähiges Basiselement | Spezifische Berechtigungen für sicherungsfähiges Basiselement | Berechtigungstypcode | Sicherungsfähiges Element, das sicherungsfähiges Basiselement enthält | Berechtigung für sicherungsfähiges Containerelement mit spezifischer Berechtigung für sicherungsfähiges Basiselement |
|---|---|---|---|---|
| ANWENDUNGSROLLE | ÄNDERN | AL | DATENBANK | ÄNDERN EINER BELIEBIGEN ANWENDUNGSROLLE |
| ANWENDUNGSROLLE | Kontrolle | CL | DATENBANK | Kontrolle |
| ANWENDUNGSROLLE | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| Montage | ÄNDERN | AL | DATENBANK | BELIEBIGE ASSEMBLY ÄNDERN |
| Montage | Kontrolle | CL | DATENBANK | Kontrolle |
| Montage | REFERENZEN | RF | DATENBANK | REFERENZEN |
| Montage | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Montage | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| asymmetrischer Schlüssel | ÄNDERN | AL | DATENBANK | ÄNDERN EINES ASYMMETRISCHEN SCHLÜSSELS |
| asymmetrischer Schlüssel | Kontrolle | CL | DATENBANK | Kontrolle |
| asymmetrischer Schlüssel | REFERENZEN | RF | DATENBANK | REFERENZEN |
| asymmetrischer Schlüssel | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| asymmetrischer Schlüssel | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| VERFÜGBARKEITSGRUPPE | ÄNDERN | AL | SERVER | ÄNDERN EINER BELIEBIGEN VERFÜGBARKEITSGRUPPE |
| VERFÜGBARKEITSGRUPPE | Kontrolle | CL | SERVER | Steuerungsserver |
| VERFÜGBARKEITSGRUPPE | VERANTWORTUNG ÜBERNEHMEN | AN | SERVER | Steuerungsserver |
| VERFÜGBARKEITSGRUPPE | Darstellungsdefinition | VW | SERVER | Jede Definition ansehen |
| ZERTIFIKAT | ÄNDERN | AL | DATENBANK | ÄNDERN EINES BELIEBIGEN ZERTIFIKATS |
| ZERTIFIKAT | Kontrolle | CL | DATENBANK | Kontrolle |
| ZERTIFIKAT | REFERENZEN | RF | DATENBANK | REFERENZEN |
| ZERTIFIKAT | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| ZERTIFIKAT | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| VERTRAG | ÄNDERN | AL | DATENBANK | ÄNDERN EINES VERTRAGS |
| VERTRAG | Kontrolle | CL | DATENBANK | Kontrolle |
| VERTRAG | REFERENZEN | RF | DATENBANK | REFERENZEN |
| VERTRAG | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| VERTRAG | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| BERECHTIGUNGSNACHWEIS | Kontrolle | CL | SERVER | Steuerungsserver |
| BERECHTIGUNGSNACHWEIS | REFERENZEN | RF | SERVER | ÄNDERN EINER BELIEBIGEN ANMELDEINFORMATION |
| DATENBANK | VERWALTEN VON BULK-OPERATIONEN IN DER DATENBANK | DABO | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN | AL | SERVER | ÄNDERN EINER BELIEBIGEN DATENBANK |
| DATENBANK | ÄNDERN EINER BELIEBIGEN ANWENDUNGSROLLE | ALAR | SERVER | Steuerungsserver |
| DATENBANK | BELIEBIGE ASSEMBLY ÄNDERN | LEIDER | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES ASYMMETRISCHEN SCHLÜSSELS | ALAK | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES BELIEBIGEN ZERTIFIKATS | ALCF | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES BELIEBIGEN SPALTENVERSCHLÜSSELUNGSSCHLÜSSELS | ALCK Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES BELIEBIGEN SPALTENMASTERSCHLÜSSELS | ALCM Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES VERTRAGS | ALSC | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER DATENBANKÜBERWACHUNG | ALDA | SERVER | ÄNDERN EINER SERVERÜBERWACHUNG |
| DATENBANK | ÄNDERN EINES DATENBANK-DDL-TRIGGERS | ALTG | SERVER | Steuerungsserver |
| DATENBANK | Benachrichtigungen zu Datenbankereignissen ändern | ALED | SERVER | JEDES EREIGNISBENACHRICHTIGUNG ÄNDERN |
| DATENBANK | ÄNDERN EINER DATENBANK-EREIGNISSESSION | AADS | SERVER | ÄNDERN EINER EREIGNISSITZUNG |
| DATENBANK | ÄNDERN EINER DATENBANKEREIGNIS SITZUNG NEUES EREIGNIS HINZUFÜGEN | LDAE | SERVER | ÄNDERE JEDES EREIGNISSITZUNG HINZUFÜGEN EREIGNIS |
| DATENBANK | ALTER ANY DATABASE EVENT SESSION ADD TARGET | LDAT | SERVER | ALTER ANY EVENT SESSION ADD TARGET |
| DATENBANK | ÄNDERN EINER DATENBANKEREIGNISSITZUNG DEAKTIVIEREN | DDES | SERVER | ÄNDERN EINER EREIGNISSITZUNG DEAKTIVIEREN |
| DATENBANK | ALTER ANY DATABASE-EVENTSITZUNG EREIGNIS LÖSCHEN | LDDE | SERVER | ÄNDERN SIE JEDES EREIGNISSESSION LÖSCHEN EREIGNIS |
| DATENBANK | ÄNDERN EINES DROPZIELS FÜR DATENBANKEREIGNISSITZUNGEN | LDDT | SERVER | ÄNDERN EINES EREIGNISSITZUNGSABLAGEZIELS |
| DATENBANK | ALTERIERE JEGLICHE DATENBANKEREIGNISSITZUNG AKTIVIEREN | EDES | SERVER | ALTER ANY EVENT SESSION AKTIVIEREN |
| DATENBANK | ÄNDERN EINER DATENBANKEREIGNISSITZUNGSOPTION | LDSO | SERVER | ÄNDERE ALLE EREIGNISSESSION-OPTIONEN |
| DATENBANK | ÄNDERN EINER DATENBANKBEREICHSKONFIGURATION | ALDC Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES BELIEBIGEN DATENBEREICHS | ALDS | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERE JEDE EXTERNE DATENQUELLE | AEDs (Automatisierte Externe Defibrillatoren) | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES BELIEBIGEN EXTERNEN DATEIFORMATS | AEFF | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES EXTERNEN AUFTRAGS | AESJ | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER BELIEBIGEN EXTERNEN SPRACHE | ALLA | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER BELIEBIGEN EXTERNEN BIBLIOTHEK | ALEL | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES EXTERNEN DATENSTROMS | AEST | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES VOLLSTÄNDIGEN TEXTKATALOGS | ALFT | SERVER | Steuerungsserver |
| DATENBANK | BELIEBIGE MASKE ÄNDERN | AAMK Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES BELIEBIGEN NACHRICHTENTYPS | ALMT | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN JEDER REMOTE-DIENST-BINDUNG | ALSB | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER BELIEBIGEN ROLLE | ALRL | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER BELIEBIGEN ROUTE | ALRT | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES BELIEBIGEN SCHEMAS | ALSM | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER SICHERHEITSRICHTLINIE | ALSP Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINER VERTRAULICHKEITSKLASSIFIZIERUNG | AASC Gilt für SQL Server (SQL Server 2019 (15.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | Steuerungsserver |
| DATENBANK | ÄNDERE JEDEN DIENST | ALSV | SERVER | Steuerungsserver |
| DATENBANK | ÄNDERN EINES SYMMETRISCHEN SCHLÜSSELS | ALSK | SERVER | Steuerungsserver |
| DATENBANK | JEDEN BENUTZER ÄNDERN | ALUS | SERVER | Steuerungsserver |
| DATENBANK | ALTER LEDGER | ALR | SERVER | Kontrolle |
| DATENBANK | ALTER LEDGER-KONFIGURATION | ALC | SERVER | Steuerungsserver |
| DATENBANK | BEGLAUBIGEN | AUTH | SERVER | AUTHENTIFIZIEREN DES SERVERS |
| DATENBANK | SICHERUNGSDATENBANK | BADB | SERVER | Steuerungsserver |
| DATENBANK | SICHERUNGSPROTOKOLL | BALO | SERVER | Steuerungsserver |
| DATENBANK | Kontrollpunkt | CP | SERVER | Steuerungsserver |
| DATENBANK | VERBINDEN | Kohlenmonoxid | SERVER | Steuerungsserver |
| DATENBANK | CONNECT-Replikation | CORP | SERVER | Steuerungsserver |
| DATENBANK | Kontrolle | CL | SERVER | Steuerungsserver |
| DATENBANK | AGGREGAT ERSTELLEN | KLIPPE | SERVER | Steuerungsserver |
| DATENBANK | Erstellen Sie eine Datenbankereignissitzung | CRDS | SERVER | EINE EREIGNISSITZUNG ERSTELLEN |
| DATENBANK | CREATE ASSEMBLY | CRAS | SERVER | Steuerungsserver |
| DATENBANK | ERSTELLEN EINES ASYMMETRISCHEN SCHLÜSSELS | CRAK | SERVER | Steuerungsserver |
| DATENBANK | ZERTIFIKAT ERSTELLEN | CRCF | SERVER | Steuerungsserver |
| DATENBANK | VERTRAG ERSTELLEN | CRSC | SERVER | Steuerungsserver |
| DATENBANK | DATENBANK ERSTELLEN | CRDB | SERVER | BELIEBIGE DATENBANK ERSTELLEN |
| DATENBANK | CREATE-DATABASE-DDL-Ereignisbenachrichtigung | CRED | SERVER | Ddl-Ereignisbenachrichtigung erstellen |
| DATENBANK | STANDARD ERSTELLEN | CRDF | SERVER | Steuerungsserver |
| DATENBANK | EXTERNE SPRACHE ERSTELLEN | CRLA | SERVER | Steuerungsserver |
| DATENBANK | EXTERNE BIBLIOTHEK ERSTELLEN | CREL | SERVER | Steuerungsserver |
| DATENBANK | FULLTEXT-KATALOG ERSTELLEN | CRFT | SERVER | Steuerungsserver |
| DATENBANK | CREATE FUNCTION | CRFN | SERVER | Steuerungsserver |
| DATENBANK | NACHRICHTENTYP ERSTELLEN | CRMT | SERVER | Steuerungsserver |
| DATENBANK | ABLAUF ERSTELLEN | CRPR | SERVER | Steuerungsserver |
| DATENBANK | WARTESCHLANGE ERSTELLEN | CRQU | SERVER | Steuerungsserver |
| DATENBANK | ERSTELLEN EINER REMOTE-DIENSTBINDUNG | CRSB | SERVER | Steuerungsserver |
| DATENBANK | ROLLE ERSTELLEN | CRRL | SERVER | Steuerungsserver |
| DATENBANK | ROUTE ERSTELLEN | CRRT (kontinuierliche Nierenersatztherapie) | SERVER | Steuerungsserver |
| DATENBANK | REGEL ERSTELLEN | CRRU | SERVER | Steuerungsserver |
| DATENBANK | SCHEMA ERSTELLEN | CRSM | SERVER | Steuerungsserver |
| DATENBANK | DIENST ERSTELLEN | CRSV | SERVER | Steuerungsserver |
| DATENBANK | SYMMETRISCHER SCHLÜSSEL ERSTELLEN | CRSK | SERVER | Steuerungsserver |
| DATENBANK | SYNONYM ERSTELLEN | CRSN | SERVER | Steuerungsserver |
| DATENBANK | TABELLE ERSTELLEN | CRTB | SERVER | Steuerungsserver |
| DATENBANK | TYPE ERSTELLEN | CRTY | SERVER | Steuerungsserver |
| DATENBANK | BENUTZER ERSTELLEN | CUSR | SERVER | Steuerungsserver |
| DATENBANK | ANSICHT ERSTELLEN | CRVW | SERVER | Steuerungsserver |
| DATENBANK | ERSTELLEN EINER XML-SCHEMAAUFLISTUNG | CRXS | SERVER | Steuerungsserver |
| DATENBANK | Löschen | DL | SERVER | Steuerungsserver |
| DATENBANK | LÖSCHE JEDE DATENBANKEIGNIS-SITZUNG | DRDS | SERVER | JEDE EREIGNISSITZUNG LÖSCHEN |
| DATENBANK | LEDGER AKTIVIEREN | EL | SERVER | Kontrolle |
| DATENBANK | Führen Sie | EX | SERVER | Steuerungsserver |
| DATENBANK | EINEN BELIEBIGEN EXTERNEN ENDPUNKT AUSFÜHREN | EAEE | SERVER | Steuerungsserver |
| DATENBANK | AUSFÜHREN EINES BELIEBIGEN EXTERNEN SKRIPTS | EAES Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version). |
SERVER | Steuerungsserver |
| DATENBANK | Einfügen | IN | SERVER | Steuerungsserver |
| DATENBANK | Verbindung zur Datenbank beenden | KIDC Gilt nur für Azure SQL-Datenbank. Verwenden Sie ALTER ANY CONNECTION in SQL Server. |
SERVER | ÄNDERN EINER BELIEBIGEN VERBINDUNG |
| DATENBANK | REFERENZEN | RF | SERVER | Steuerungsserver |
| DATENBANK | AUSWÄHLEN | SL | SERVER | Steuerungsserver |
| DATENBANK | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATENBANK | ABONNIEREN VON ABFRAGEBENACHRICHTIGUNGEN | SUQN | SERVER | Steuerungsserver |
| DATENBANK | VERANTWORTUNG ÜBERNEHMEN | AN | SERVER | Steuerungsserver |
| DATENBANK | ENTLARVEN | UMSK Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | Steuerungsserver |
| DATENBANK | Aktualisierung | NACH OBEN | SERVER | Steuerungsserver |
| DATENBANK | ANZEIGEN EINER BELIEBIGEN SPALTENVERSCHLÜSSELUNGSSCHLÜSSELDEFINITION | VWCK Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | SERVERSTATUS ANZEIGEN |
| DATENBANK | ANZEIGE JEDER SPALTEN-MASTERSCHLÜSSELDEFINITION | VWCM Gilt für SQL Server (SQL Server 2016 (13.x) bis zur aktuellen Version), Azure SQL-Datenbank. |
SERVER | SERVERSTATUS ANZEIGEN |
| DATENBANK | ANZEIGE JEDER SENSITIVITÄTSKLASSIFIZIERUNG | VASC | SERVER | Steuerungsserver |
| DATENBANK | KRYPTOGRAFISCH GESICHERTE DEFINITION ANZEIGEN | VCD | SERVER | ANZEIGEN EINER KRYPTOGRAFISCH GESICHERTEN DEFINITION |
| DATENBANK | DATENBANKLEISTUNGSSTATUS ANZEIGEN | VDP | SERVER | SERVERLEISTUNGSSTATUS ANZEIGEN |
| DATENBANK | DATENBANKSICHERHEITSÜBERWACHUNG ANZEIGEN | VDSA | SERVER | Steuerungsserver |
| DATENBANK | DATENBANKSICHERHEITSSTATUS ANZEIGEN | VDS | SERVER | SICHERHEITSSTATUS DES SERVERS ANZEIGEN |
| DATENBANK | DATENBANK-STATUS ANZEIGEN | VWDS | SERVER | SERVERSTATUS ANZEIGEN |
| DATENBANK | Darstellungsdefinition | VW | SERVER | Jede Definition ansehen |
| DATENBANK | LEDGER-INHALT ANZEIGEN | VLC | SERVER | Kontrolle |
| DATENBANK | SICHERHEITSDEFINITION ANZEIGEN | VWS | SERVER | ANZEIGEN EINER SICHERHEITSDEFINITION |
| DATENBANK | LEISTUNGSDEFINITION ANZEIGEN | VWP | SERVER | ANZEIGEN EINER BELIEBIGEN LEISTUNGSDEFINITION |
| DATENBANKBEREICHSBEZOGENE ANMELDEINFORMATIONEN | ÄNDERN | AL | DATENBANK | Kontrolle |
| DATENBANKBEREICHSBEZOGENE ANMELDEINFORMATIONEN | Kontrolle | CL | DATENBANK | Kontrolle |
| DATENBANKBEREICHSBEZOGENE ANMELDEINFORMATIONEN | REFERENZEN | RF | DATENBANK | REFERENZEN |
| DATENBANKBEREICHSBEZOGENE ANMELDEINFORMATIONEN | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| DATENBANKBEREICHSBEZOGENE ANMELDEINFORMATIONEN | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| ENDPUNKT | ÄNDERN | AL | SERVER | ÄNDERN EINES BELIEBIGEN ENDPUNKTS |
| ENDPUNKT | VERBINDEN | Kohlenmonoxid | SERVER | Steuerungsserver |
| ENDPUNKT | Kontrolle | CL | SERVER | Steuerungsserver |
| ENDPUNKT | VERANTWORTUNG ÜBERNEHMEN | AN | SERVER | Steuerungsserver |
| ENDPUNKT | Darstellungsdefinition | VW | SERVER | Jede Definition ansehen |
| Volltextkatalog | ÄNDERN | AL | DATENBANK | ÄNDERN EINES VOLLSTÄNDIGEN TEXTKATALOGS |
| Volltextkatalog | Kontrolle | CL | DATENBANK | Kontrolle |
| Volltextkatalog | REFERENZEN | RF | DATENBANK | REFERENZEN |
| Volltextkatalog | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Volltextkatalog | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| Volltext-Stoppliste | ÄNDERN | AL | DATENBANK | ÄNDERN EINES VOLLSTÄNDIGEN TEXTKATALOGS |
| Volltext-Stoppliste | Kontrolle | CL | DATENBANK | Kontrolle |
| VOLLTEXT STOPPLISTE | REFERENZEN | RF | DATENBANK | REFERENZEN |
| Fulltext-Stoppliste | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Volltext-Stopp-Liste | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| EINLOGGEN | ÄNDERN | AL | SERVER | ÄNDERN ALLER ANMELDUNGEN |
| EINLOGGEN | Kontrolle | CL | SERVER | Steuerungsserver |
| EINLOGGEN | SICH AUSGEBEN ALS | Chat | SERVER | Steuerungsserver |
| EINLOGGEN | Darstellungsdefinition | VW | SERVER | Jede Definition ansehen |
| NACHRICHTENTYP | ÄNDERN | AL | DATENBANK | ÄNDERN EINES BELIEBIGEN NACHRICHTENTYPS |
| NACHRICHTENTYP | Kontrolle | CL | DATENBANK | Kontrolle |
| NACHRICHTENTYP | REFERENZEN | RF | DATENBANK | REFERENZEN |
| NACHRICHTENTYP | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| NACHRICHTENTYP | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| OBJEKT | ÄNDERN | AL | Schema | ÄNDERN |
| OBJEKT | Kontrolle | CL | SCHEMA | Kontrolle |
| OBJEKT | Löschen | DL | Schema | Löschen |
| OBJEKT | Führen Sie | EX | Schema | Führen Sie |
| OBJEKT | Einfügen | IN | SCHEMA | Einfügen |
| OBJEKT | EMPFANGEN | RC | SCHEMA | Kontrolle |
| OBJEKT | REFERENZEN | RF | SCHEMA | REFERENZEN |
| OBJEKT | AUSWÄHLEN | SL | SCHEMA | AUSWÄHLEN |
| OBJEKT | VERANTWORTUNG ÜBERNEHMEN | AN | SCHEMA | Kontrolle |
| OBJEKT | ENTLARVEN | UMSK | SCHEMA | ENTLARVEN |
| OBJEKT | Aktualisierung | NACH OBEN | SCHEMA | Aktualisierung |
| OBJEKT | ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN | VWCT | SCHEMA | ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN |
| OBJEKT | Darstellungsdefinition | VW | Schema | Darstellungsdefinition |
| REMOTE-DIENST-BINDUNG | ÄNDERN | AL | DATENBANK | ÄNDERN JEDER REMOTE-DIENST-BINDUNG |
| REMOTEDIENSTBINDUNG | Kontrolle | CL | DATENBANK | Kontrolle |
| Remote-Service-Bindung | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Remote-Dienstbindung | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| ROLLE | ÄNDERN | AL | DATENBANK | ÄNDERN EINER BELIEBIGEN ROLLE |
| ROLLE | Kontrolle | CL | DATENBANK | Kontrolle |
| ROLLE | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| ROLLE | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| ROUTE | ÄNDERN | AL | DATENBANK | ÄNDERN EINER BELIEBIGEN ROUTE |
| ROUTE | Kontrolle | CL | DATENBANK | Kontrolle |
| ROUTE | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| ROUTE | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| SCHEMA | ÄNDERN | AL | DATENBANK | ÄNDERN EINES BELIEBIGEN SCHEMAS |
| SCHEMA | Kontrolle | CL | DATENBANK | Kontrolle |
| SCHEMA | SEQUENZ ERSTELLEN | CRSO | DATENBANK | Kontrolle |
| SCHEMA | Löschen | DL | DATENBANK | Löschen |
| SCHEMA | Führen Sie | EX | DATENBANK | Führen Sie |
| SCHEMA | Einfügen | IN | DATENBANK | Einfügen |
| SCHEMA | REFERENZEN | RF | DATENBANK | REFERENZEN |
| SCHEMA | AUSWÄHLEN | SL | DATENBANK | AUSWÄHLEN |
| SCHEMA | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| SCHEMA | ENTLARVEN | UMSK | DATENBANK | ENTLARVEN |
| Schema | Aktualisierung | NACH OBEN | DATENBANK | Aktualisierung |
| Schema | ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN | VWCT | DATENBANK | ÄNDERUNGSNACHVERFOLGUNG ANZEIGEN |
| Schema | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| Immobilienliste durchsuchen | ÄNDERN | AL | SERVER | ÄNDERN EINES VOLLSTÄNDIGEN TEXTKATALOGS |
| Immobilienliste durchsuchen | Kontrolle | CL | SERVER | Kontrolle |
| Immobilienliste durchsuchen | REFERENZEN | RF | SERVER | REFERENZEN |
| Immobilienliste durchsuchen | VERANTWORTUNG ÜBERNEHMEN | AN | SERVER | Kontrolle |
| Immobilienliste durchsuchen | Darstellungsdefinition | VW | SERVER | Darstellungsdefinition |
| SERVER | VERWALTEN VON MASSENVORGÄNGEN | ADBO | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINER BELIEBIGEN VERFÜGBARKEITSGRUPPE | ALAG | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINER BELIEBIGEN VERBINDUNG | ALCO | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINER BELIEBIGEN ANMELDEINFORMATION | ALCD | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINER BELIEBIGEN DATENBANK | ALDB | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINES BELIEBIGEN ENDPUNKTS | ALHE | Nicht zutreffend | Nicht zutreffend |
| SERVER | JEDES EREIGNISBENACHRICHTIGUNG ÄNDERN | ALES | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINER EREIGNISSITZUNG | AAES | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERE JEDES EREIGNISSITZUNG HINZUFÜGEN EREIGNIS | LSAE | Nicht zutreffend | Nicht zutreffend |
| SERVER | ALTER ANY EVENT SESSION ADD TARGET | LSAT | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINER EREIGNISSITZUNG DEAKTIVIEREN | DES | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN SIE JEDES EREIGNISSESSION LÖSCHEN EREIGNIS | LSDE | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINES EREIGNISSITZUNGSABLAGEZIELS | LSDT | Nicht zutreffend | Nicht zutreffend |
| SERVER | ALTER ANY EVENT SESSION AKTIVIEREN | EES | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERE ALLE EREIGNISSESSION-OPTIONEN | LESO | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINES BELIEBIGEN VERKNÜPFTEN SERVERS | ALLS | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN ALLER ANMELDUNGEN | ALLG | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINER SERVERÜBERWACHUNG | ALAA | Nicht zutreffend | Nicht zutreffend |
| SERVER | ÄNDERN EINER BELIEBIGEN SERVERROLLE | ALSR | Nicht zutreffend | Nicht zutreffend |
| SERVER | RESSOURCEN ÄNDERN | ALRS | Nicht zutreffend | Nicht zutreffend |
| SERVER | SERVERSTATUS ÄNDERN | ALSS | Nicht zutreffend | Nicht zutreffend |
| SERVER | Einstellungen ändern | ALST | Nicht zutreffend | Nicht zutreffend |
| SERVER | ALTER TRACE | ALTR | Nicht zutreffend | Nicht zutreffend |
| SERVER | AUTHENTIFIZIEREN DES SERVERS | AUTH | Nicht zutreffend | Nicht zutreffend |
| SERVER | VERBINDEN EINER BELIEBIGEN DATENBANK | CADB | Nicht zutreffend | Nicht zutreffend |
| SERVER | CONNECT SQL | COSQ | Nicht zutreffend | Nicht zutreffend |
| SERVER | Steuerungsserver | CL | Nicht zutreffend | Nicht zutreffend |
| SERVER | BELIEBIGE DATENBANK ERSTELLEN | CRDB | Nicht zutreffend | Nicht zutreffend |
| SERVER | ERSTELLEN SIE EINE VERFÜGBARKEITSGRUPPE | CRAC | Nicht zutreffend | Nicht zutreffend |
| SERVER | Ddl-Ereignisbenachrichtigung erstellen | CRDE | Nicht zutreffend | Nicht zutreffend |
| SERVER | ENDPUNKT ERSTELLEN | CRHE | Nicht zutreffend | Nicht zutreffend |
| SERVER | SERVERROLLE ERSTELLEN | CRSR | Nicht zutreffend | Nicht zutreffend |
| SERVER | ERSTELLEN SIE EINE BENACHRICHTIGUNG FÜR VERFOLGUNGSVORGÄNGE | CRTE | Nicht zutreffend | Nicht zutreffend |
| SERVER | ASSEMBLY FÜR EXTERNEN ZUGRIFF | XA | Nicht zutreffend | Nicht zutreffend |
| SERVER | IDENTITÄTSWECHSEL JEDER ANMELDUNG | IAL | Nicht zutreffend | Nicht zutreffend |
| SERVER | ALLE SICHERUNGSFÄHIGEN BENUTZER AUSWÄHLEN | SUS | Nicht zutreffend | Nicht zutreffend |
| SERVER | ABSCHALTEN | SHDN | Nicht zutreffend | Nicht zutreffend |
| SERVER | UNSICHERE ZUSAMMENBAU | XU | Nicht zutreffend | Nicht zutreffend |
| SERVER | Jede Datenbank anzeigen | VWDB | Nicht zutreffend | Nicht zutreffend |
| SERVER | Jede Definition ansehen | VWAD | Nicht zutreffend | Nicht zutreffend |
| SERVER | SERVERSTATUS ANZEIGEN | VWSS | Nicht zutreffend | Nicht zutreffend |
| Serverrolle | ÄNDERN | AL | SERVER | ÄNDERN EINER BELIEBIGEN SERVERROLLE |
| Serverrolle | Kontrolle | CL | SERVER | Steuerungsserver |
| Serverrolle | VERANTWORTUNG ÜBERNEHMEN | AN | SERVER | Steuerungsserver |
| Serverrolle | Darstellungsdefinition | VW | SERVER | Jede Definition ansehen |
| Dienstleistung | ÄNDERN | AL | DATENBANK | ÄNDERE JEDEN DIENST |
| Dienstleistung | Kontrolle | CL | DATENBANK | Kontrolle |
| Dienstleistung | SENDEN | SN | DATENBANK | Kontrolle |
| Dienstleistung | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| Dienstleistung | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| symmetrischer Schlüssel | ÄNDERN | AL | DATENBANK | ÄNDERN EINES SYMMETRISCHEN SCHLÜSSELS |
| symmetrischer Schlüssel | Kontrolle | CL | DATENBANK | Kontrolle |
| symmetrischer Schlüssel | REFERENZEN | RF | DATENBANK | REFERENZEN |
| symmetrischer Schlüssel | VERANTWORTUNG ÜBERNEHMEN | AN | DATENBANK | Kontrolle |
| symmetrischer Schlüssel | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| TYP | Kontrolle | CL | SCHEMA | Kontrolle |
| ART | Führen Sie | EX | SCHEMA | Führen Sie |
| TYP | REFERENZEN | RF | SCHEMA | REFERENZEN |
| ART | VERANTWORTUNG ÜBERNEHMEN | AN | SCHEMA | Kontrolle |
| Typ | Darstellungsdefinition | VW | SCHEMA | Darstellungsdefinition |
| BENUTZER | ÄNDERN | AL | DATENBANK | JEDEN BENUTZER ÄNDERN |
| BENUTZER | Kontrolle | CL | DATENBANK | Kontrolle |
| BENUTZER | SICH AUSGEBEN ALS | Chat | DATENBANK | Kontrolle |
| BENUTZER | Darstellungsdefinition | VW | DATENBANK | Darstellungsdefinition |
| XML-SCHEMA-SAMMLUNG | ÄNDERN | AL | SCHEMA | ÄNDERN |
| XML-SCHEMA-SAMMLUNG | Kontrolle | CL | SCHEMA | Kontrolle |
| XML-SCHEMA-SAMMLUNG | Führen Sie | EX | SCHEMA | Führen Sie |
| XML-SCHEMA-SAMMLUNG | REFERENZEN | RF | SCHEMA | REFERENZEN |
| XML-SCHEMA-SAMMLUNG | VERANTWORTUNG ÜBERNEHMEN | AN | SCHEMA | Kontrolle |
| XML-SCHEMA-SAMMLUNG | Darstellungsdefinition | VW | SCHEMA | Darstellungsdefinition |
Neue granulare Berechtigungen, die SQL Server 2022 hinzugefügt wurden
Die folgenden Berechtigungen werden SQL Server 2022 hinzugefügt:
10 neue Berechtigungen wurden hinzugefügt, um den Zugriff auf Systemmetadaten zu ermöglichen.
Für erweiterte Ereignisse wurden 18 neue Berechtigungen hinzugefügt.
9 neue Berechtigungen wurden in Bezug auf sicherheitsbezogene Objekte hinzugefügt.
4 Berechtigungen wurden für Ledger hinzugefügt.
3 zusätzliche Datenbankberechtigungen.
Weitere Informationen finden Sie unter Neue granulare Berechtigungen für SQL Server 2022 und Azure SQL, um die Einhaltung von PoLP zu verbessern.
Zugriff auf Berechtigungen für Systemmetadaten
Serverebene:
- ANZEIGEN EINER SICHERHEITSDEFINITION
- ANZEIGEN EINER BELIEBIGEN LEISTUNGSDEFINITION
- SICHERHEITSSTATUS DES SERVERS ANZEIGEN
- SERVERLEISTUNGSSTATUS ANZEIGEN
- ANZEIGEN EINER KRYPTOGRAFISCH GESICHERTEN DEFINITION
Datenbankebene:
- DATENBANKSICHERHEITSSTATUS ANZEIGEN
- DATENBANKLEISTUNGSSTATUS ANZEIGEN
- SICHERHEITSDEFINITION ANZEIGEN
- LEISTUNGSDEFINITION ANZEIGEN
- KRYPTOGRAFISCH GESICHERTE DEFINITION ANZEIGEN
Berechtigungen für erweiterte Ereignisse
Serverebene:
- EINE EREIGNISSITZUNG ERSTELLEN
- JEDE EREIGNISSITZUNG LÖSCHEN
- ÄNDERE ALLE EREIGNISSESSION-OPTIONEN
- ÄNDERE JEDES EREIGNISSITZUNG HINZUFÜGEN EREIGNIS
- ÄNDERN SIE JEDES EREIGNISSESSION LÖSCHEN EREIGNIS
- ALTER ANY EVENT SESSION AKTIVIEREN
- ÄNDERN EINER EREIGNISSITZUNG DEAKTIVIEREN
- ALTER ANY EVENT SESSION ADD TARGET
- ÄNDERN EINES EREIGNISSITZUNGSABLAGEZIELS
Alle diese Berechtigungen unterliegen der gleichen übergeordneten Berechtigung: ALTER ANY EVENT SESSION
Datenbankebene:
- Erstellen Sie eine Datenbankereignissitzung
- LÖSCHE JEDE DATENBANKEIGNIS-SITZUNG
- ÄNDERN EINER DATENBANKEREIGNISSITZUNGSOPTION
- ÄNDERN EINER DATENBANKEREIGNIS SITZUNG NEUES EREIGNIS HINZUFÜGEN
- ALTER ANY DATABASE-EVENTSITZUNG EREIGNIS LÖSCHEN
- ALTERIERE JEGLICHE DATENBANKEREIGNISSITZUNG AKTIVIEREN
- ÄNDERN EINER DATENBANKEREIGNISSITZUNG DEAKTIVIEREN
- ALTER ANY DATABASE EVENT SESSION ADD TARGET
- ÄNDERN EINES DROPZIELS FÜR DATENBANKEREIGNISSITZUNGEN
Alle diese Berechtigungen unterliegen der gleichen übergeordneten Berechtigung: ALTER ANY DATABASE EVENT SESSION
Sicherheitsbezogene Objektberechtigungen
- KONTROLLE (ANMELDEDATEN)
- LOGIN ERSTELLEN
- BENUTZER ERSTELLEN
- VERWEISE (ANMELDEINFORMATIONEN)
- ENTMASKIEREN (OBJEKT)
- UNMASK (Schema)
- ANZEIGEN EINES FEHLERPROTOKOLLS
- SERVER-SICHERHEITSAUDIT ANZEIGEN
- DATENBANKSICHERHEITSÜBERWACHUNG ANZEIGEN
Ledger-Berechtigungen
- ALTER LEDGER
- ALTER LEDGER-KONFIGURATION
- LEDGER AKTIVIEREN
- LEDGER-INHALT ANZEIGEN
Andere Berechtigungen für Datenbank
- ÄNDERN EINES EXTERNEN AUFTRAGS
- ÄNDERN EINES EXTERNEN DATENSTROMS
- EINEN BELIEBIGEN EXTERNEN ENDPUNKT AUSFÜHREN
Zusammenfassung des Algorithmus zur Berechtigungsprüfung
Die Prüfung von Berechtigungen kann sehr komplex sein. Der Algorithmus für die Berechtigungsprüfung umfasst überlappende Gruppenmitgliedschaften und Besitzverkettung, explizite und implizite Berechtigungen und kann von den Berechtigungen für sicherungsfähige Klassen, in denen die sicherungsfähige Entität enthalten ist, beeinflusst werden. Die allgemeine Vorgehensweise des Algorithmus besteht darin, alle relevanten Berechtigungen zu sammeln. Wenn keine blockierende DENY-Anweisung gefunden wird, sucht der Algorithmus nach einer GRANT-Anweisung mit ausreichenden Zugriffsberechtigungen. Der Algorithmus enthält drei wesentliche Elemente, den Sicherheitskontext, den Berechtigungsbereichund die erforderlichen Berechtigung.
Hinweis
Berechtigungen können nicht für sa, dbo, den Entitätsbesitzer, information_schema, sys oder für den Benutzer selbst erteilt, verweigert oder aufgehoben werden.
Sicherheitskontext
Dies ist die Gruppe von Prinzipalen, die Berechtigungen für die Zugriffsüberprüfung einbringen. Diese Berechtigungen beziehen sich auf den aktuellen Anmeldenamen oder Benutzer, es sei denn, der Sicherheitskontext wurde mithilfe der EXECUTE AS-Anweisung in einen anderen Anmeldenamen oder Benutzer geändert. Der Sicherheitskontext schließt die folgenden Prinzipale ein:
Anmeldenamen
Der Benutzer
Rollenmitgliedschaften
Windows-Gruppenmitgliedschaften
Bei Verwendung der Modulsignierung sind dies ein beliebiger Anmeldename oder ein beliebiges Benutzerkonto für das Zertifikat, das zum Signieren des vom Benutzer derzeit ausgeführten Moduls verwendet wird, und die zugehörigen Rollenmitgliedschaften dieses Prinzipals.
Berechtigungsbereich
Dies sind die sicherungsfähige Entität und alle sicherungsfähigen Klassen, in denen das sicherungsfähige Element enthalten ist. Eine Tabelle (eine sicherungsfähige Entität) ist z. B. in der sicherungsfähigen Klasse des Schemas und in der sicherungsfähigen Klasse der Datenbank enthalten. Berechtigungen auf Tabellen-, Schema-, Datenbank- und Serverebene können sich auf den Zugriff auswirken. Weitere Informationen finden Sie unter Berechtigungshierarchie (Datenbank-Engine).
erforderlichen Berechtigung
Die Art der erforderlichen Berechtigung. Beispielsweise INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL usw.
Für den Zugriff können wie in den folgenden Beispielen mehrere Berechtigungen erforderlich sein:
Eine gespeicherte Prozedur kann sowohl die EXECUTE-Berechtigung für die gespeicherte Prozedur als auch die INSERT-Berechtigung für mehrere Tabellen erfordern, auf die von der gespeicherten Prozedur verwiesen wird.
Eine dynamische Verwaltungssicht kann sowohl die VIEW SERVER STATE-Berechtigung als auch SELECT-Berechtigung für die Sicht erfordern.
Allgemeine Schritte des Algorithmus
Wenn der Algorithmus ermittelt, ob Zugriff auf das sicherungsfähige Element erteilt werden soll, können die in diesem Zusammenhang ausgeführten Schritte sehr unterschiedlich sein. Dies hängt von den jeweiligen Prinzipalen und sicherungsfähigen Elementen ab. Der Algorithmus führt jedoch die folgenden allgemeinen Schritte aus:
Umgehen der Berechtigungsprüfung, wenn der Anmeldename ein Mitglied der festen Serverrolle sysadmin oder der Benutzer der dbo-Benutzer der aktuellen Datenbank ist.
Erteilen des Zugriffs, wenn die Besitzverkettung anwendbar ist und die Zugriffsprüfung für das Objekt an früherer Stelle in der Kette die Sicherheitsprüfung erfolgreich war.
Aggregieren der Identitäten, die dem Aufrufer zum Erstellen des Sicherheitskontexts zugeordnet sind, auf Server- und Datenbankebene sowie auf Ebene des signierten Moduls.
Sammeln aller Berechtigungen, die für diesen Berechtigungsbereicherteilt oder verweigert wurden, in diesem Sicherheitskontext. Die Berechtigung kann explizit als GRANT, GRANT WITH GRANT oder DENY angegeben werden; oder die Berechtigungen können als implizite oder abdeckende GRANT-Berechtigung oder DENY-Berechtigung angegeben werden. Die CONTROL-Berechtigung für ein Schema impliziert z. B. CONTROL für eine Tabelle. CONTROL für eine Tabelle impliziert SELECT. Wenn CONTROL für das Schema erteilt wurde, wird folglich SELECT für die Tabelle erteilt. Wenn CONTROL für die Tabelle verweigert wurde, wird SELECT für die Tabelle verweigert.
Hinweis
Durch eine GRANT-Berechtigung auf Spaltenebene wird eine DENY-Berechtigung auf Objektebene überschrieben. Weitere Informationen finden Sie unter DENY-Objektberechtigungen.
Identifizieren Sie die erforderlichen Berechtigung.
Die Berechtigungsprüfung ist nicht bestanden, wenn die erforderlichen Berechtigung für eine der Identitäten im Sicherheitskontext der Objekte im Berechtigungsbereich direkt oder implizit verweigert werden.
Die Berechtigungsprüfung ist bestanden, wenn die erforderlichen Berechtigung nicht verweigert wurde, und die erforderlichen Berechtigung für eine der Identitäten im Sicherheitskontext eines beliebigen Objekts im Berechtigungsbereichdirekt oder implizit eine GRANT-Berechtigung oder GRANT WITH GRANT-Berechtigung enthält.
Spezielle Aspekte für Berechtigungen auf Spaltenebene
Berechtigungen auf Spaltenebene werden mit der Syntax <table_name>(<column _name>) gewährt. Zum Beispiel:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
Ein DENY auf der Tabelle wird mit einem GRANT auf einer Spalte überschrieben. Ein nachfolgendes DENY auf der Tabelle entfernt jedoch das GRANT auf der Spalte.
Beispiele
In den Beispielen dieses Abschnitts wird veranschaulicht, wie Berechtigungsinformationen abgerufen werden.
A. Zurückgeben der vollständigen Liste erteilbarer Berechtigungen
Die folgende Anweisung gibt mithilfe der fn_builtin_permissions-Funktion alle Datenbank-Engine-Berechtigungen zurück. Weitere Informationen finden Sie unter sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Zurückgeben der Berechtigungen für eine bestimmte Objektklasse
Im folgenden Beispiel wird fn_builtin_permissions verwendet, um alle Berechtigungen anzuzeigen, die für eine Kategorie des sicherungsfähigen Elements verfügbar sind. Im Beispiel werden Berechtigungen für Assemblys zurückgegeben.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Zurückgeben der Berechtigungen, die dem ausführenden Prinzipal für ein Objekt erteilt wurden
Im folgenden Beispiel wird mithilfe von fn_my_permissions eine Liste der effektiven Berechtigungen zurückgegeben, die vom aufrufenden Prinzipal für ein bestimmtes sicherungsfähiges Element gespeichert werden. Im Beispiel werden Berechtigungen für ein Objekt mit dem Namen Orders55 zurückgegeben. Weitere Informationen finden Sie unter sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D: Zurückgeben von Berechtigungen, die auf ein angegebenes Objekt angewendet werden können
Im folgenden Beispiel werden Berechtigungen für ein Objekt namens Yttriumzurückgegeben. Die integrierte OBJECT_ID-Funktion zum Abrufen der ID des Yttrium-Objekts verwendet wird.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO