Compartir a través de


GRANT (permisos de base de datos de Transact-SQL)

Concede permisos en una base de datos.

Icono de vínculo a temasConvenciones de sintaxis de Transact-SQL

Sintaxis

GRANT <permission> [ ,...n ]  
    TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
    [ AS <database_principal> ]

<permission>::=  
permission | ALL [ PRIVILEGES ]

<database_principal> ::= 
        Database_user 
    | Database_role 
    | Application_role 
    | Database_user_mapped_to_Windows_User 
    | Database_user_mapped_to_Windows_Group 
    | Database_user_mapped_to_certificate 
    | Database_user_mapped_to_asymmetric_key 
    | Database_user_with_no_login  

Argumentos

  • permission
    Especifica un permiso que se puede conceder en una base de datos. Para obtener una lista de permisos, vea la sección Notas más adelante en este tema.
  • ALL
    Esta opción no concede todos los permisos posibles. Conceder ALL es equivalente a conceder los siguientes permisos: BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE y CREATE VIEW.
  • PRIVILEGES
    Incluido para la compatibilidad con SQL-92. No cambia el comportamiento de ALL.
  • WITH GRANT OPTION
    Indica que la entidad de seguridad también podrá conceder el permiso especificado a otras entidades de seguridad.
  • AS <database_principal>
    Especifica una entidad de seguridad de la que la entidad de seguridad que ejecuta esta consulta deriva su derecho de conceder el permiso.
  • Database_user
    Especifica un usuario de base de datos.
  • Database_role
    Especifica una función de base de datos.
  • Application_role
    Especifica una función de aplicación.
  • Database_user_mapped_to_Windows_User
    Especifica un usuario de base de datos asignado a un usuario de Windows.
  • Database_user_mapped_to_Windows_Group
    Especifica un usuario de base de datos asignado a un grupo de Windows.
  • Database_user_mapped_to_certificate
    Especifica un usuario de base de datos asignado a un certificado.
  • Database_user_mapped_to_asymmetric_key
    Especifica un usuario de base de datos asignado a una clave asimétrica.
  • Database_user_with_no_login
    Especifica un usuario de base de datos sin entidad de seguridad de servidor correspondiente.

Notas

ms178569.note(es-es,SQL.90).gifImportante:
En algunos casos, una combinación de permisos ALTER y REFERENCE podría permitir al receptor ver datos o ejecutar funciones no autorizadas. Por ejemplo: Un usuario con permiso ALTER en una tabla y permiso REFERENCE en una función puede crear una columna calculada sobre una función y hacer que se ejecute. En este caso el usuario también necesitaría permiso SELECT en la columna calculada.

Una base de datos es un elemento que puede protegerse que contiene el servidor que es su entidad primaria en la jerarquía de permisos. La mayoría de permisos limitados y específicos que se pueden conceder en una base de datos se muestran en la siguiente tabla, junto con permisos más generales que los incluyen por implicación.

Permiso de base de datos Implicado por el permiso de base de datos Implicado por el permiso de servidor

ALTER

CONTROL

ALTER ANY DATABASE

ALTER ANY APPLICATION ROLE

ALTER

CONTROL SERVER

ALTER ANY ASSEMBLY

ALTER

CONTROL SERVER

ALTER ANY ASYMMETRIC KEY

ALTER

CONTROL SERVER

ALTER ANY CERTIFICATE

ALTER

CONTROL SERVER

ALTER ANY CONTRACT

ALTER

CONTROL SERVER

ALTER ANY DATABASE DDL TRIGGER

ALTER

CONTROL SERVER

ALTER ANY DATABASE EVENT NOTIFICATION

ALTER

ALTER ANY EVENT NOTIFICATION

ALTER ANY DATASPACE

ALTER

CONTROL SERVER

ALTER ANY FULLTEXT CATALOG

ALTER

CONTROL SERVER

ALTER ANY MESSAGE TYPE

ALTER

CONTROL SERVER

ALTER ANY REMOTE SERVICE BINDING

ALTER

CONTROL SERVER

ALTER ANY ROLE

ALTER

CONTROL SERVER

ALTER ANY ROUTE

ALTER

CONTROL SERVER

ALTER ANY SCHEMA

ALTER

CONTROL SERVER

ALTER ANY SERVICE

ALTER

CONTROL SERVER

ALTER ANY SYMMETRIC KEY

ALTER

CONTROL SERVER

ALTER ANY USER

ALTER

CONTROL SERVER

AUTHENTICATE

CONTROL

AUTHENTICATE SERVER

BACKUP DATABASE

CONTROL

CONTROL SERVER

BACKUP LOG

CONTROL

CONTROL SERVER

CHECKPOINT

CONTROL

CONTROL SERVER

CONNECT

CONNECT REPLICATION

CONTROL SERVER

CONNECT REPLICATION

CONTROL

CONTROL SERVER

CONTROL

CONTROL

CONTROL SERVER

CREATE AGGREGATE

ALTER

CONTROL SERVER

CREATE ASSEMBLY

ALTER ANY ASSEMBLY

CONTROL SERVER

CREATE ASYMMETRIC KEY

ALTER ANY ASYMMETRIC KEY

CONTROL SERVER

CREATE CERTIFICATE

ALTER ANY CERTIFICATE

CONTROL SERVER

CREATE CONTRACT

ALTER ANY CONTRACT

CONTROL SERVER

CREATE DATABASE

CONTROL

CREATE ANY DATABASE

CREATE DATABASE DDL EVENT NOTIFICATION

ALTER ANY DATABASE EVENT NOTIFICATION

CREATE DDL EVENT NOTIFICATION

CREATE DEFAULT

ALTER

CONTROL SERVER

CREATE FULLTEXT CATALOG

ALTER ANY FULLTEXT CATALOG

CONTROL SERVER

CREATE FUNCTION

ALTER

CONTROL SERVER

CREATE MESSAGE TYPE

ALTER ANY MESSAGE TYPE

CONTROL SERVER

CREATE PROCEDURE

ALTER

CONTROL SERVER

CREATE QUEUE

ALTER

CONTROL SERVER

CREATE REMOTE SERVICE BINDING

ALTER ANY REMOTE SERVICE BINDING

CONTROL SERVER

CREATE ROLE

ALTER ANY ROLE

CONTROL SERVER

CREATE ROUTE

ALTER ANY ROUTE

CONTROL SERVER

CREATE RULE

ALTER

CONTROL SERVER

CREATE SCHEMA

ALTER ANY SCHEMA

CONTROL SERVER

CREATE SERVICE

ALTER ANY SERVICE

CONTROL SERVER

CREATE SYMMETRIC KEY

ALTER ANY SYMMETRIC KEY

CONTROL SERVER

CREATE SYNONYM

ALTER

CONTROL SERVER

CREATE TABLE

ALTER

CONTROL SERVER

CREATE TYPE

ALTER

CONTROL SERVER

CREATE VIEW

ALTER

CONTROL SERVER

CREATE XML SCHEMA COLLECTION

ALTER

CONTROL SERVER

DELETE

CONTROL

CONTROL SERVER

EXECUTE

CONTROL

CONTROL SERVER

INSERT

CONTROL

CONTROL SERVER

REFERENCES

CONTROL

CONTROL SERVER

SELECT

CONTROL

CONTROL SERVER

SHOWPLAN

CONTROL

ALTER TRACE

SUBSCRIBE QUERY NOTIFICATIONS

CONTROL

CONTROL SERVER

TAKE OWNERSHIP

CONTROL

CONTROL SERVER

UPDATE

CONTROL

CONTROL SERVER

VIEW DATABASE STATE

CONTROL

VIEW SERVER STATE

VIEW DEFINITION

CONTROL

VIEW ANY DEFINITION

Permisos

El que concede (o la entidad de seguridad especificada con la opción AS) debe tener el permiso con GRANT OPTION, o un permiso superior que implique el permiso que se va a conceder.

Si utiliza la opción AS, se aplican los siguientes requisitos adicionales.

AS granting_principal Permiso adicional necesario

Usuario de la base de datos

Permiso IMPERSONATE en el usuario debe pertenecer a la función fija de base de datos db_securityadmin , debe pertenecer a la función fija de base de datos db_owner debe pertenecer a la función fija de servidor sysadmin.

Usuario de la base de datos asignado a un inicio de sesión de Windows

Permiso IMPERSONATE en el usuario debe pertenecer a la función fija de base de datos db_securityadmin , debe pertenecer a la función fija de base de datos db_owner debe pertenecer a la función fija de servidor sysadmin.

Usuario de la base de datos asignado a un grupo de Windows

Debe pertenecer al grupo de Windows, debe pertenecer a la función fija de base de datos db_securityadmin , debe pertenecer a la función fija de base de datos db_owner debe pertenecer a la función fija de servidor sysadmin.

Usuario de la base de datos asignado a un certificado

Debe pertenecer a la función fija de base de datos db_securityadmin , debe pertenecer a la función fija de base de datos db_owner o debe pertenecer a la función fija de servidor sysadmin.

Usuario de la base de datos asignado a una clave asimétrica

Debe pertenecer a la función fija de base de datos db_securityadmin , debe pertenecer a la función fija de base de datos db_owner o debe pertenecer a la función fija de servidor sysadmin.

Usuario de la base de datos asignado a cualquier entidad de seguridad de servidor

Permiso IMPERSONATE en el usuario debe pertenecer a la función fija de base de datos db_securityadmin , debe pertenecer a la función fija de base de datos db_owner debe pertenecer a la función fija de servidor sysadmin.

Función de base de datos

Permiso ALTER en la función, debe pertenecer a la función fija de base de datos db_securityadmin , debe pertenecer a la función fija de base de datos db_owner debe pertenecer a la función fija de servidor sysadmin.

Función de aplicación

Permiso ALTER en la función, debe pertenecer a la función fija de base de datos db_securityadmin , debe pertenecer a la función fija de base de datos db_owner debe pertenecer a la función fija de servidor sysadmin.

Los propietarios de objetos pueden conceder permisos en los objetos que poseen. Las entidades de seguridad que tienen el permiso CONTROL en un elemento que puede protegerse pueden conceder permisos en ese elemento.

Los receptores del permiso CONTROL SERVER, como los miembros de la función fija de servidor sysadmin, pueden conceder los permisos en cualquier elemento que puede protegerse en el servidor.

Ejemplos

A. Conceder el permiso para crear tablas

En el siguiente ejemplo se concede el permiso CREATE TABLE en la base de datos AdventureWorks para el usuario MelanieK.

USE AdventureWorks;
GRANT CREATE TABLE TO MelanieK;
GO

B. Conceder el permiso SHOWPLAN para una función de aplicación

En el siguiente ejemplo se concede el permiso SHOWPLAN en la base de datos AdventureWorks para la función de aplicación AuditMonitor.

USE AdventureWorks;
GRANT SHOWPLAN TO AuditMonitor;
GO

C. Conceder CREATE VIEW con GRANT OPTION

En el siguiente ejemplo se concede el permiso CREATE VIEW en la base de datos AdventureWorks al usuario CarmineEs con el derecho para conceder CREATE VIEW a otras entidades de seguridad.

USE AdventureWorks;
GRANT CREATE VIEW TO CarmineEs WITH GRANT OPTION;
GO

Vea también

Referencia

sys.database_permissions (Transact-SQL)
sys.database_principals (Transact-SQL)
CREATE DATABASE (Transact-SQL)
GRANT (Transact-SQL)

Otros recursos

Permisos
Entidades de seguridad

Ayuda e información

Obtener ayuda sobre SQL Server 2005