Compartir a través de


DENY (permisos de base de datos de Transact-SQL)

Deniega permisos en una base de datos de SQL Server.

Se aplica a: SQL Server (desde SQL Server 2008 hasta la versión actual), Windows Azure SQL Database (desde la versión inicial hasta la versión actual).

Icono de vínculo a temas Convenciones de sintaxis de Transact-SQL

Sintaxis

DENY <permission> [ ,...n ]  
    TO <database_principal> [ ,...n ] [ CASCADE ]
    [ AS <database_principal> ]

<permission> ::=  
    permission | ALL [ PRIVILEGES ]

<database_principal> ::= 
    Database_user 
  | Database_role 
  | Application_role 
  | Database_user_mapped_to_Windows_User 
  | Database_user_mapped_to_Windows_Group 
  | Database_user_mapped_to_certificate 
  | Database_user_mapped_to_asymmetric_key 
  | Database_user_with_no_login  

Argumentos

  • permission
    Especifica un permiso que puede denegarse en una base de datos. Para obtener una lista de permisos, vea la sección Comentarios más adelante en este tema.

  • ALL
    Esta opción no deniega todos los permisos posibles. Denegando ALL está denegando los siguientes permisos: BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE, y CREATE VIEW.

  • PRIVILEGES
    Incluido por compatibilidad con ISO. No cambia el comportamiento de ALL.

  • CASCADE
    Indica que el permiso también se denegará a las entidades de seguridad para las que la entidad de seguridad especificada lo concedió.

  • AS <database_principal>
    Especifica una entidad de seguridad de la que la entidad de seguridad que ejecuta esta consulta deriva su derecho de denegar el permiso.

  • Database_user
    Especifica un usuario de base de datos.

  • Database_role
    Especifica un rol de base de datos.

  • Application_role

    Se aplica a: SQL Server 2008 a SQL Server 2014.

    Especifica un rol de aplicación.

  • Database_user_mapped_to_Windows_User

    Se aplica a: SQL Server 2008 a SQL Server 2014.

    Especifica un usuario de base de datos asignado a un usuario de Windows.

  • Database_user_mapped_to_Windows_Group

    Se aplica a: SQL Server 2008 a SQL Server 2014.

    Especifica un usuario de base de datos asignado a un grupo de Windows.

  • Database_user_mapped_to_certificate

    Se aplica a: SQL Server 2008 a SQL Server 2014.

    Especifica un usuario de base de datos asignado a un certificado.

  • Database_user_mapped_to_asymmetric_key

    Se aplica a: SQL Server 2008 a SQL Server 2014.

    Especifica un usuario de base de datos asignado a una clave asimétrica.

  • Database_user_with_no_login
    Especifica un usuario de base de datos que no tiene una entidad de seguridad de servidor correspondiente.

Comentarios

Una base de datos es un elemento protegible que contiene el servidor que es su entidad primaria en la jerarquía de permisos. La mayoría de permisos limitados y específicos que se pueden denegar en una base de datos se muestran en la siguiente tabla, junto con permisos más generales que los incluyen por implicación.

Permiso de base de datos

Implícito en el permiso de base de datos

Implícito en el permiso de servidor

ALTER

CONTROL

ALTER ANY DATABASE

ALTER ANY APPLICATION ROLE

ALTER

CONTROL SERVER

ALTER ANY ASSEMBLY

ALTER

CONTROL SERVER

ALTER ANY ASYMMETRIC KEY

ALTER

CONTROL SERVER

ALTER ANY CERTIFICATE

ALTER

CONTROL SERVER

ALTER ANY CONTRACT

ALTER

CONTROL SERVER

ALTER ANY DATABASE AUDIT

ALTER

ALTER ANY SERVER AUDIT

ALTER ANY DATABASE DDL TRIGGER

ALTER

CONTROL SERVER

ALTER ANY DATABASE EVENT NOTIFICATION

ALTER

ALTER ANY EVENT NOTIFICATION

ALTER ANY DATABASE EVENT SESSION

Se aplica a: Windows Azure SQL Database.

ALTER

ALTER ANY EVENT SESSION

ALTER ANY DATASPACE

ALTER

CONTROL SERVER

ALTER ANY FULLTEXT CATALOG

ALTER

CONTROL SERVER

ALTER ANY MESSAGE TYPE

ALTER

CONTROL SERVER

ALTER ANY REMOTE SERVICE BINDING

ALTER

CONTROL SERVER

ALTER ANY ROLE

ALTER

CONTROL SERVER

ALTER ANY ROUTE

ALTER

CONTROL SERVER

ALTER ANY SCHEMA

ALTER

CONTROL SERVER

ALTER ANY SERVICE

ALTER

CONTROL SERVER

ALTER ANY SYMMETRIC KEY

ALTER

CONTROL SERVER

ALTER ANY USER

ALTER

CONTROL SERVER

AUTHENTICATE

CONTROL

AUTHENTICATE SERVER

BACKUP DATABASE

CONTROL

CONTROL SERVER

BACKUP LOG

CONTROL

CONTROL SERVER

CHECKPOINT

CONTROL

CONTROL SERVER

CONNECT

CONNECT REPLICATION

CONTROL SERVER

CONNECT REPLICATION

CONTROL

CONTROL SERVER

CONTROL

CONTROL

CONTROL SERVER

CREATE AGGREGATE

ALTER

CONTROL SERVER

CREATE ASSEMBLY

ALTER ANY ASSEMBLY

CONTROL SERVER

CREATE ASYMMETRIC KEY

ALTER ANY ASYMMETRIC KEY

CONTROL SERVER

CREATE CERTIFICATE

ALTER ANY CERTIFICATE

CONTROL SERVER

CREATE CONTRACT

ALTER ANY CONTRACT

CONTROL SERVER

CREATE DATABASE

CONTROL

CREATE ANY DATABASE

CREATE DATABASE DDL EVENT NOTIFICATION

ALTER ANY DATABASE EVENT NOTIFICATION

CREATE DDL EVENT NOTIFICATION

CREATE DEFAULT

ALTER

CONTROL SERVER

CREATE FULLTEXT CATALOG

ALTER ANY FULLTEXT CATALOG

CONTROL SERVER

CREATE FUNCTION

ALTER

CONTROL SERVER

CREATE MESSAGE TYPE

ALTER ANY MESSAGE TYPE

CONTROL SERVER

CREATE PROCEDURE

ALTER

CONTROL SERVER

CREATE QUEUE

ALTER

CONTROL SERVER

CREATE REMOTE SERVICE BINDING

ALTER ANY REMOTE SERVICE BINDING

CONTROL SERVER

CREATE ROLE

ALTER ANY ROLE

CONTROL SERVER

CREATE ROUTE

ALTER ANY ROUTE

CONTROL SERVER

CREATE RULE

ALTER

CONTROL SERVER

CREATE SCHEMA

ALTER ANY SCHEMA

CONTROL SERVER

CREATE SERVICE

ALTER ANY SERVICE

CONTROL SERVER

CREATE SYMMETRIC KEY

ALTER ANY SYMMETRIC KEY

CONTROL SERVER

CREATE SYNONYM

ALTER

CONTROL SERVER

CREATE TABLE

ALTER

CONTROL SERVER

CREATE TYPE

ALTER

CONTROL SERVER

CREATE VIEW

ALTER

CONTROL SERVER

CREATE XML SCHEMA COLLECTION

ALTER

CONTROL SERVER

DELETE

CONTROL

CONTROL SERVER

EXECUTE

CONTROL

CONTROL SERVER

INSERT

CONTROL

CONTROL SERVER

KILL DATABASE CONNECTION

Se aplica a: Windows Azure SQL Database.

CONTROL

ALTER ANY CONNECTION

REFERENCES

CONTROL

CONTROL SERVER

SELECT

CONTROL

CONTROL SERVER

SHOWPLAN

CONTROL

ALTER TRACE

SUBSCRIBE QUERY NOTIFICATIONS

CONTROL

CONTROL SERVER

TAKE OWNERSHIP

CONTROL

CONTROL SERVER

UPDATE

CONTROL

CONTROL SERVER

VIEW DATABASE STATE

CONTROL

VIEW SERVER STATE

VIEW DEFINITION

CONTROL

VIEW ANY DEFINITION

Permisos

La entidad de seguridad que ejecuta esta instrucción (o la entidad de seguridad especificada con la opción AS) debe disponer del permiso CONTROL en la base de datos o un permiso superior que implique el permiso CONTROL en la base de datos.

Si utiliza la opción AS, la entidad de seguridad especificada debe ser propietaria de la base de datos.

Ejemplos

A.Denegar el permiso para crear certificados

En el siguiente ejemplo se deniega el permiso CREATE CERTIFICATE para la base de datos AdventureWorks2012 al usuario MelanieK.

Se aplica a: SQL Server 2008 a SQL Server 2014.

USE AdventureWorks2012;
DENY CREATE CERTIFICATE TO MelanieK;
GO

B.Denegar el permiso REFERENCES para un rol de aplicación

En el siguiente ejemplo se deniega el permiso REFERENCES para la base de datos AdventureWorks2012 al rol de aplicación AuditMonitor.

Se aplica a: SQL Server 2008 a SQL Server 2014.

USE AdventureWorks2012;
DENY REFERENCES TO AuditMonitor;
GO

C.Denegar VIEW DEFINITION con CASCADE

En el siguiente ejemplo se deniega el permiso VIEW DEFINITION para la base de datos AdventureWorks2012  al usuario CarmineEs y a todas las entidades de seguridad a las que CarmineEs concedió el permiso VIEW DEFINITION.

USE AdventureWorks2012;
DENY VIEW DEFINITION TO CarmineEs CASCADE;
GO

Vea también

Referencia

sys.database_permissions (Transact-SQL)

sys.database_principals (Transact-SQL)

CREATE DATABASE (Transact-SQL de SQL Server)

GRANT (Transact-SQL)

Conceptos

Permisos (motor de base de datos)

Entidades de seguridad (motor de base de datos)