Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Punto de conexión de análisis SQL en Microsoft FabricWarehouse en Microsoft FabricBase de datos SQL de Microsoft Fabric
Cada protegible de SQL Server tiene permisos asociados que se pueden conceder a las entidades de seguridad. Los permisos de se administran en el nivel de servidor asignados a los inicios de sesión y roles de servidor, y en el nivel de base de datos asignados a usuarios de base de datos y roles base de datos. El modelo para Azure SQL Database tiene el mismo sistema para los permisos de base de datos, pero los permisos de nivel de servidor no están disponibles. Este artículo contiene una lista completa de los permisos. Para una implementación típica de los permisos, consulte Getting Started with Database Engine Permissions.
El número total de permisos para SQL Server 2022 (16.x) es 292. Azure SQL Database expone 292 permisos. La mayoría de los permisos se aplica a todas las plataformas, pero otros no. Por ejemplo, no se puede conceder permisos de nivel de servidor en Azure SQL Database, y algunos permisos solo tienen sentido en Azure SQL Database. Con la nueva versión se van a implementar nuevos permisos gradualmente. SQL Server 2019 (15.x) expone 248 permisos. SQL Server 2017 (14.x) expone 238 permisos. SQL Server 2016 (13.x) expone 230 permisos. SQL Server 2014 (12.x) expone 219 permisos. SQL Server 2012 (11.x) expone 214 permisos. SQL Server 2008 R2 (10.50.x) expone 195 permisos. El artículo sys.fn_builtin_permissions especifica los permisos de las últimas versiones que son nuevos.
En SQL Database en Microsoft Fabric, solo se admiten roles y usuarios de nivel de base de datos. Los inicios de sesión, los roles y la cuenta sa de nivel de servidor no están disponibles. En la base de datos SQL de Microsoft Fabric, el identificador de Entra de Microsoft para los usuarios de la base de datos es el único método de autenticación admitido. Para obtener más información, consulte Autorización en SQL Database en Microsoft Fabric.
Una vez que comprenda los permisos necesarios, puede aplicar permisos de nivel de servidor a los inicios de sesión o roles de servidor, y permisos de nivel de base de datos a los usuarios o roles de base de datos con las instrucciones GRANT, REVOKE y DENY. Por ejemplo:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Para obtener consejos acerca de cómo planificar un sistema de permisos, consulte Introducción a los permisos de los motores de bases de datos.
Convenciones de nomenclatura de permisos
A continuación se describen las convenciones generales que se siguen en la nomenclatura de permisos:
CONTROL
Confiere al receptor del permiso capacidades relacionadas con la propiedad. El receptor del permiso dispone de hecho de todos los permisos definidos para el elemento protegible. Una entidad de seguridad a la que se le haya concedido el permiso CONTROL también puede conceder permisos para el elemento protegible. Como el modelo de seguridad de SQL Server es jerárquico, el permiso CONTROL de un determinado ámbito incluye implícitamente el mismo permiso CONTROL para todos los elementos protegibles que abarca dicho ámbito. Por ejemplo, el permiso CONTROL en una base de datos implica todos los permisos de la base de datos, todos los permisos en todos los ensamblados y todos los esquemas de la misma, así como todos los permisos en los objetos de todos los esquemas que incluye la base de datos.
ALTERAR
Confiere la posibilidad de cambiar las propiedades, excepto la propiedad, de un elemento protegible determinado. Cuando se concede para un ámbito, ALTER también confiere la posibilidad de modificar, crear o quitar cualquier elemento protegible que esté contenido en ese ámbito. Por ejemplo, el permiso ALTER en un esquema incluye la posibilidad de crear, modificar y quitar objetos del esquema.
ALTER ANY <Server Securable>, donde Server Securable puede ser cualquier elemento protegible del servidor.
Confiere la posibilidad de crear, modificar o quitar instancias individuales del Protegible del servidor. Por ejemplo, ALTER ANY LOGIN confiere la posibilidad de crear, modificar o quitar cualquier inicio de sesión en la instancia.
ALTER ANY <Database Securable>, donde Database Securable puede ser cualquier elemento protegible en el nivel de base de datos.
Confiere la posibilidad de crear (CREATE), modificar (ALTER) o quitar (DROP) instancias individuales del Protegible de la base de datos. Por ejemplo, ALTER ANY SCHEMA confiere la posibilidad de crear, modificar o quitar cualquier esquema en la base de datos.
ASUMIR RESPONSABILIDAD
Permite al receptor del permiso tomar propiedad del elemento protegible para el que se concede este permiso.
IMPERSONATE <Login>
Permite al receptor suplantar el inicio de sesión.
IMPERSONAR <Usuario>
Permite al receptor suplantar al usuario.
CREATE <Server Securable>
Confiere al receptor la posibilidad de crear el Protegible del servidor.
CREATE <Database Securable>
Confiere al receptor la posibilidad de crear el Protegible de la base de datos.
CREATE <Elemento protegible contenido en el esquema>
Confiere la posibilidad de crear el elemento protegible contenido en el esquema. No obstante, para crear el elemento protegible en un esquema concreto se requiere el permiso ALTER en el esquema.
VER DEFINICIÓN
Permite al receptor obtener acceso a los metadatos.
REFERENCIAS
El permiso REFERENCES es necesario en una tabla para crear una restricción FOREIGN KEY que hace referencia a esa tabla.
El permiso de REFERENCES es necesario en un objeto para crear FUNCTION o VIEW con la cláusula
WITH SCHEMABINDINGque hace referencia a ese objeto.
Gráfico de los permisos de SQL Server
La siguiente imagen muestra los permisos y sus relaciones entre sí. Algunos de los permisos de nivel superior (como CONTROL SERVER) se muestran varias veces. En este artículo, el póster es demasiado pequeño para leerlo. Puede descargar el Póster de permisos del motor de base de datos a tamaño completo en formato PDF.
Permisos aplicables a elementos protegibles específicos
En la siguiente tabla se enumeran los principales tipos de permisos y los tipos de elementos protegibles a los que se pueden aplicar.
| Permiso | Se aplica a |
|---|---|
| ALTERAR | Todas las clases de objetos excepto TYPE. |
| CONTROL | Todas las clases de objetos: AGREGADO ROL DE APLICACIÓN, ENSAMBLAJE CLAVE ASIMÉTRICA, GRUPO DE DISPONIBILIDAD, CERTIFICADO CONTRATO CREDENCIALES BASE DE DATOS CREDENCIAL DE ÁMBITO DE BASE DE DATOS PREDETERMINADO PUNTO FINAL CATÁLOGO DE TEXTO COMPLETO, lista de palabras vacías de texto completo FUNCIÓN INICIAR SESIÓN TIPO DE MENSAJE, PROCEDIMIENTO COLA ENLACE DE SERVICIO REMOTO ROL RUTA REGLA ESQUEMA BUSCAR LISTA DE PROPIEDADES SERVIDOR ROL DE SERVIDOR, SERVICIO CLAVE SIMÉTRICA, SINÓNIMO MESA TIPO USUARIO VIEW y COLECCIÓN DE ESQUEMAS XML |
| Delete | Todas las clases de objetos excepto DATABASE SCOPED CONFIGURATION, SERVER y TYPE. |
| Ejecute | Tipos de CLR, scripts externos, procedimientos (Transact-SQL y CLR), funciones escalares y de agregado (Transact-SQL y CLR) y sinónimos |
| SUPLANTAR | Inicios de sesión y usuarios |
| INSERTAR | Sinónimos, tablas y columnas, vistas y columnas. El permiso se puede conceder en el nivel de base de datos, en el de esquema o en el de objeto. |
| RECIBIR | Colas de Service Broker |
| REFERENCIAS | AGREGADO ENSAMBLAJE CLAVE ASIMÉTRICA, CERTIFICADO CONTRATO CREDENTIAL (se aplica a: SQL Server 2022 (16.x) y versiones posteriores), BASE DE DATOS CREDENCIAL DE ÁMBITO DE BASE DE DATOS CATÁLOGO DE TEXTO COMPLETO, lista de palabras vacías de texto completo FUNCIÓN TIPO DE MENSAJE, PROCEDIMIENTO COLA REGLA ESQUEMA BUSCAR LISTA DE PROPIEDADES OBJETO DE SECUENCIA CLAVE SIMÉTRICA, MESA TIPO VIEW y COLECCIÓN DE ESQUEMAS XML |
| Seleccionar | Sinónimos, tablas y columnas, vistas y columnas. El permiso se puede conceder en el nivel de base de datos, en el de esquema o en el de objeto. |
| ASUMIR RESPONSABILIDAD | Todas las clases de objetos excepto DATABASE SCOPED CONFIGURATION, LOGIN, SERVER y USER. |
| ACTUALIZACIÓN | Sinónimos, tablas y columnas, vistas y columnas. El permiso se puede conceder en el nivel de base de datos, en el de esquema o en el de objeto. |
| VISUALIZACIÓN DEL SEGUIMIENTO DE CAMBIOS | Esquemas y tablas |
| VER DEFINICIÓN | Todas las clases de objetos excepto DATABASE SCOPED CONFIGURATION y SERVER. |
Precaución
Los permisos predeterminados que se conceden a objetos del sistema en el momento de la instalación se evalúan detenidamente frente a posibles amenazas y no necesitan modificarse como parte de la protección de la instalación de SQL Server. Los cambios a los permisos de los objetos del sistema podrían limitar o interrumpir la funcionalidad y dejar potencialmente a su instalación de SQL Server en un estado no admitido.
Permisos de SQL Server
La tabla siguiente contiene una lista completa de los permisos de SQL Server. Los permisos de Azure SQL Database solo están disponibles para elementos protegibles de base que se admiten. No se pueden conceder permisos de nivel de servidor en Azure SQL Database; sin embargo, en algunos casos los permisos de base de datos están disponibles en su lugar.
| Elemento protegible base | Permisos granulares del elemento protegible base | Código del tipo de permiso | Elemento protegible que contiene un elemento protegible base | Permiso para el elemento protegible contenedor que implica permiso granular para el elemento protegible base |
|---|---|---|---|---|
| ROL DE APLICACIÓN | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER ROL DE APLICACIÓN |
| ROL DE APLICACIÓN | CONTROL | CL | BASE DE DATOS | CONTROL |
| ROL DE APLICACIÓN | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| ENSAMBLAJE | ALTERAR | Alabama | BASE DE DATOS | MODIFICAR CUALQUIER ENSAMBLAJE |
| ENSAMBLAJE | CONTROL | CL | BASE DE DATOS | CONTROL |
| ENSAMBLAJE | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| ENSAMBLAJE | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| ENSAMBLAJE | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| CLAVE ASIMÉTRICA | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER CLAVE ASIMÉTRICA |
| CLAVE ASIMÉTRICA | CONTROL | CL | BASE DE DATOS | CONTROL |
| CLAVE ASIMÉTRICA | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| CLAVE ASIMÉTRICA | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| CLAVE ASIMÉTRICA | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| GRUPO DE DISPONIBILIDAD | ALTERAR | Alabama | SERVIDOR | ALTERAR CUALQUIER GRUPO DE DISPONIBILIDAD |
| GRUPO DE DISPONIBILIDAD | CONTROL | CL | SERVIDOR | SERVIDOR DE CONTROL |
| GRUPO DE DISPONIBILIDAD | ASUMIR RESPONSABILIDAD | PARA | SERVIDOR | SERVIDOR DE CONTROL |
| GRUPO DE DISPONIBILIDAD | VER DEFINICIÓN | VW | SERVIDOR | VER CUALQUIER DEFINICIÓN |
| CERTIFICADO | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER CERTIFICADO |
| CERTIFICADO | CONTROL | CL | BASE DE DATOS | CONTROL |
| CERTIFICADO | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| CERTIFICADO | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| CERTIFICADO | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| CONTRATO | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER CONTRATO |
| CONTRATO | CONTROL | CL | BASE DE DATOS | CONTROL |
| CONTRATO | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| CONTRATO | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| CONTRATO | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| CREDENCIAL | CONTROL | CL | SERVIDOR | SERVIDOR DE CONTROL |
| CREDENCIAL | REFERENCIAS | RF | SERVIDOR | ALTERAR CUALQUIER CREDENCIAL |
| BASE DE DATOS | ADMINISTRAR OPERACIONES MASIVAS DE BASE DE DATOS | DABO | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR | Alabama | SERVIDOR | ALTERAR CUALQUIER BASE DE DATOS |
| BASE DE DATOS | ALTERAR CUALQUIER ROL DE APLICACIÓN | ALAR | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | MODIFICAR CUALQUIER ENSAMBLAJE | AY | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER CLAVE ASIMÉTRICA | ALAK | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER CERTIFICADO | ALCF | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER CLAVE DE CIFRADO DE COLUMNA | ALCK Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR ANY COLUMN MASTER KEY | ALCM Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER CONTRATO | ALSC | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER AUDITORÍA DE BASE DE DATOS | ALDA | SERVIDOR | ALTERAR CUALQUIER AUDITORÍA DEL SERVIDOR |
| BASE DE DATOS | ALTERAR CUALQUIER DISPARADOR DDL DE BASE DE DATOS | ALTG | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER NOTIFICACIÓN DE EVENTO DE BASE DE DATOS | ALED | SERVIDOR | ALTERAR CUALQUIER NOTIFICACIÓN DE EVENTO |
| BASE DE DATOS | ALTERAR CUALQUIER SESIÓN DE EVENTO DE BASE DE DATOS | AADS | SERVIDOR | Modificar cualquier sesión de eventos |
| BASE DE DATOS | ALTER ANY DATABASE EVENT SESSION ADD EVENT | LDAE | SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTOS AGREGAR EVENTO |
| BASE DE DATOS | ALTER ANY DATABASE EVENT SESSION ADD TARGET | LDAT | SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTO AÑADIR OBJETIVO |
| BASE DE DATOS | ALTER ANY DATABASE EVENT SESSION DISABLE | DDES | SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTOS DESACTIVAR |
| BASE DE DATOS | ALTER ANY DATABASE EVENT SESSION DROP EVENT | LDDE | SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTOS ELIMINAR EVENTO |
| BASE DE DATOS | ALTERAR CUALQUIER SESIÓN DE EVENTOS DE BASE DE DATOS ELIMINAR OBJETIVO | LDDT | SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTO ELIMINAR DESTINO |
| BASE DE DATOS | ALTERAR CUALQUIER SESIÓN DE EVENTO DE BASE DE DATOS HABILITAR | EDES | SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTOS HABILITAR |
| BASE DE DATOS | ALTERAR CUALQUIER OPCIÓN DE SESIÓN DE EVENTOS DE BASE DE DATOS | LDSO | SERVIDOR | ALTERAR CUALQUIER OPCIÓN DE SESIÓN DE EVENTO |
| BASE DE DATOS | ALTERAR CUALQUIER CONFIGURACIÓN DEL ÁMBITO DE LA BASE DE DATOS | ALDC Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER ESPACIO DE DATOS | ALDS | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | MODIFICAR CUALQUIER FUENTE DE DATOS EXTERNA | AEDS | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER FORMATO DE ARCHIVO EXTERNO | AEFF | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER TRABAJO EXTERNO | AESJ | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | MODIFICAR CUALQUIER LENGUAJE EXTERNO | ALLÁ | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER BIBLIOTECA EXTERNA | ALEL | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER FLUJO EXTERNO | AEST | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | MODIFICAR CUALQUIER CATÁLOGO DE TEXTO COMPLETO | ALFT | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER MÁSCARA | AAMK Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER TIPO DE MENSAJE | ALMT | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER VINCULACIÓN DE SERVICIO REMOTO | ALSB | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER ROL | ALRL | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER RUTA | ALRT | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTER CUALQUIER ESQUEMA | ALSM | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER POLÍTICA DE SEGURIDAD | ALSP Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER CLASIFICACIÓN DE SENSIBILIDAD | AASC Se aplica a: SQL Server (desde SQL Server 2019 (15.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | Modificar cualquier servicio | ALSV | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTERAR CUALQUIER CLAVE SIMÉTRICA | ALSK | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | MODIFICAR CUALQUIER USUARIO | ALUS | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ALTER LEDGER | ALR | SERVIDOR | CONTROL |
| BASE DE DATOS | ALTERAR CONFIGURACIÓN DEL LIBRO MAYOR | ALC | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | AUTENTIFICAR | AUTORIZACIÓN | SERVIDOR | AUTENTICAR SERVIDOR |
| BASE DE DATOS | RESPALDAR BASE DE DATOS | BADB | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | REGISTRO DE COPIA DE SEGURIDAD | BALO | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | PUNTO DE CONTROL | CP | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CONECTAR | monóxido de carbono | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CONECTAR REPLICACIÓN | CORP | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CONTROL | CL | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREATE AGGREGATE | RISCO | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR CUALQUIER SESIÓN DE EVENTOS DE BASE DE DATOS | CRDS | SERVIDOR | CREA CUALQUIER SESIÓN DE EVENTO |
| BASE DE DATOS | CREAR ENSAMBLADO | CRAS | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR CLAVE ASIMÉTRICA | CRAK | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR CERTIFICADO | CRCF | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR CONTRATO | CRSC | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR BASE DE DATOS | CRDB | SERVIDOR | CREAR CUALQUIER BASE DE DATOS |
| BASE DE DATOS | CREAR BASE DE DATOS NOTIFICACIÓN DE EVENTO DDL | CRED | SERVIDOR | CREACIÓN DE UNA NOTIFICACIÓN DE EVENTOS DDL |
| BASE DE DATOS | CREAR PREDETERMINADO | CRDF | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR LENGUAJE EXTERNO | CRLA | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR BIBLIOTECA EXTERNA | CREL | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR CATÁLOGO DE TEXTO COMPLETO | CRFT | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR FUNCIÓN | CRFN | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR TIPO DE MENSAJE | CRMT | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR PROCEDIMIENTO | CRPR | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREATE QUEUE | CRQU | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREACIÓN DE UN ENLACE DE SERVICIO REMOTO | CRSB | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR ROL | CRRL | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | Crear ruta | CRRT (Terapia de Reemplazo Renal Continuo) | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR REGLA | CRRU | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREATE SCHEMA | CRSM | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR SERVICIO | CRSV | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREACIÓN DE UNA CLAVE SIMÉTRICA | CRSK | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR SINÓNIMO | CRSN | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR TABLA | CRTB | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR TIPO | CRTY | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR USUARIO | CUSR | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR VISTA | CRVW | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | CREAR COLECCIÓN DE ESQUEMA XML | CRXS | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | Delete | DL | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ELIMINAR CUALQUIER SESIÓN DE EVENTOS DE BASE DE DATOS | DRDS | SERVIDOR | ELIMINAR CUALQUIER SESIÓN DE EVENTOS |
| BASE DE DATOS | Habilitar Ledger | EL | SERVIDOR | CONTROL |
| BASE DE DATOS | Ejecute | EX | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | EJECUTAR CUALQUIER PUNTO FINAL EXTERNO | EAEE | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | EJECUTAR CUALQUIER SCRIPT EXTERNO | EAES Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual). |
SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | INSERTAR | EN | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | Finalizar Conexión de Base de Datos | KIDC Solo se aplica a Azure SQL Database. Use ALTER ANY CONNECTION en SQL Server. |
SERVIDOR | ALTERAR CUALQUIER CONEXIÓN |
| BASE DE DATOS | REFERENCIAS | RF | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | Seleccionar | SL | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | PLAN DE EJECUCIÓN | SPLN | SERVIDOR | ALTER TRACE |
| BASE DE DATOS | SUSCRÍBETE A LAS NOTIFICACIONES DE CONSULTA | SUQN | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ASUMIR RESPONSABILIDAD | PARA | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | DESENMASCARAR | UMSK Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | ACTUALIZACIÓN | Hacia arriba | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | VER LA DEFINICIÓN DE CUALQUIER CLAVE DE CIFRADO PARA COLUMNAS | VWCK Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | Ver estado del servidor |
| BASE DE DATOS | VER LA DEFINICIÓN DE CUALQUIER CLAVE MAESTRA DE COLUMNA | VWCM Se aplica a: SQL Server (desde SQL Server 2016 (13.x) hasta la versión actual), Azure SQL Database. |
SERVIDOR | Ver estado del servidor |
| BASE DE DATOS | VER CUALQUIER CLASIFICACIÓN DE CONFIDENCIALIDAD | VASC | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | VISUALIZACIÓN DE LA DEFINICIÓN PROTEGIDA CRIPTOGRÁFICAMENTE | VCD | SERVIDOR | VER CUALQUIER DEFINICIÓN PROTEGIDA CRIPTOGRÁFICAMENTE |
| BASE DE DATOS | VER EL ESTADO DE RENDIMIENTO DE LA BASE DE DATOS | VDP | SERVIDOR | VER EL ESTADO DE RENDIMIENTO DEL SERVIDOR |
| BASE DE DATOS | VER AUDITORÍA DE SEGURIDAD DE BASE DE DATOS | VDSA | SERVIDOR | SERVIDOR DE CONTROL |
| BASE DE DATOS | VER EL ESTADO DE SEGURIDAD DE LA BASE DE DATOS | VDS | SERVIDOR | VER ESTADO DE SEGURIDAD DEL SERVIDOR |
| BASE DE DATOS | VER ESTADO DE BASE DE DATOS | VWDS | SERVIDOR | Ver estado del servidor |
| BASE DE DATOS | VER DEFINICIÓN | VW | SERVIDOR | VER CUALQUIER DEFINICIÓN |
| BASE DE DATOS | VER EL CONTENIDO DEL LIBRO DE CONTABILIDAD | VLC | SERVIDOR | CONTROL |
| BASE DE DATOS | VER DEFINICIÓN DE SEGURIDAD | VWS | SERVIDOR | VER CUALQUIER DEFINICIÓN DE SEGURIDAD |
| BASE DE DATOS | VER DEFINICIÓN DE RENDIMIENTO | Programa de Exención de Visa (PEV) | SERVIDOR | VISUALIZACIÓN DE CUALQUIER DEFINICIÓN DE RENDIMIENTO |
| CREDENCIAL CON ÁMBITO DE BASE DE DATOS | ALTERAR | Alabama | BASE DE DATOS | CONTROL |
| CREDENCIAL CON ÁMBITO DE BASE DE DATOS | CONTROL | CL | BASE DE DATOS | CONTROL |
| CREDENCIAL CON ÁMBITO DE BASE DE DATOS | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| CREDENCIAL CON ÁMBITO DE BASE DE DATOS | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| CREDENCIAL CON ÁMBITO DE BASE DE DATOS | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| PUNTO FINAL | ALTERAR | Alabama | SERVIDOR | ALTERAR CUALQUIER PUNTO FINAL |
| PUNTO FINAL | CONECTAR | monóxido de carbono | SERVIDOR | SERVIDOR DE CONTROL |
| PUNTO FINAL | CONTROL | CL | SERVIDOR | SERVIDOR DE CONTROL |
| PUNTO FINAL | ASUMIR RESPONSABILIDAD | PARA | SERVIDOR | SERVIDOR DE CONTROL |
| PUNTO FINAL | VER DEFINICIÓN | VW | SERVIDOR | VER CUALQUIER DEFINICIÓN |
| CATÁLOGO DE TEXTO COMPLETO | ALTERAR | Alabama | BASE DE DATOS | MODIFICAR CUALQUIER CATÁLOGO DE TEXTO COMPLETO |
| CATÁLOGO DE TEXTO COMPLETO | CONTROL | CL | BASE DE DATOS | CONTROL |
| CATÁLOGO DE TEXTO COMPLETO | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| CATÁLOGO DE TEXTO COMPLETO | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| CATÁLOGO DE TEXTO COMPLETO | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| LISTA DE EXCLUSIÓN DE TEXTO COMPLETO | ALTERAR | Alabama | BASE DE DATOS | MODIFICAR CUALQUIER CATÁLOGO DE TEXTO COMPLETO |
| LISTA DE EXCLUSIÓN DE TEXTO COMPLETO | CONTROL | CL | BASE DE DATOS | CONTROL |
| LISTA DE EXCLUSIÓN DE TEXTO COMPLETO | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| LISTA DE EXCLUSIÓN DE TEXTO COMPLETO | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| LISTA DE EXCLUSIÓN DE TEXTO COMPLETO | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| INICIAR SESIÓN | ALTERAR | Alabama | SERVIDOR | ALTERAR CUALQUIER INICIO DE SESIÓN |
| INICIAR SESIÓN | CONTROL | CL | SERVIDOR | SERVIDOR DE CONTROL |
| INICIAR SESIÓN | SUPLANTAR | IM | SERVIDOR | SERVIDOR DE CONTROL |
| INICIAR SESIÓN | VER DEFINICIÓN | VW | SERVIDOR | VER CUALQUIER DEFINICIÓN |
| TIPO DE MENSAJE | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER TIPO DE MENSAJE |
| TIPO DE MENSAJE | CONTROL | CL | BASE DE DATOS | CONTROL |
| TIPO DE MENSAJE | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| TIPO DE MENSAJE | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| TIPO DE MENSAJE | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| OBJETO | ALTERAR | Alabama | ESQUEMA | ALTERAR |
| OBJETO | CONTROL | CL | ESQUEMA | CONTROL |
| OBJETO | Delete | DL | ESQUEMA | Delete |
| OBJETO | Ejecute | EX | ESQUEMA | Ejecute |
| OBJETO | INSERTAR | EN | ESQUEMA | INSERTAR |
| OBJETO | RECIBIR | RC | ESQUEMA | CONTROL |
| OBJETO | REFERENCIAS | RF | ESQUEMA | REFERENCIAS |
| OBJETO | Seleccionar | SL | ESQUEMA | Seleccionar |
| OBJETO | ASUMIR RESPONSABILIDAD | PARA | ESQUEMA | CONTROL |
| OBJETO | DESENMASCARAR | UMSK | ESQUEMA | DESENMASCARAR |
| OBJETO | ACTUALIZACIÓN | Hacia arriba | ESQUEMA | ACTUALIZACIÓN |
| OBJETO | VISUALIZACIÓN DEL SEGUIMIENTO DE CAMBIOS | VWCT | ESQUEMA | VISUALIZACIÓN DEL SEGUIMIENTO DE CAMBIOS |
| OBJETO | VER DEFINICIÓN | VW | ESQUEMA | VER DEFINICIÓN |
| ENLACE DE SERVICIO REMOTO | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER VINCULACIÓN DE SERVICIO REMOTO |
| ENLACE DE SERVICIO REMOTO | CONTROL | CL | BASE DE DATOS | CONTROL |
| ENLACE DE SERVICIO REMOTO | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| ENLACE DE SERVICIO REMOTO | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| ROL | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER ROL |
| ROL | CONTROL | CL | BASE DE DATOS | CONTROL |
| ROL | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| ROL | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| RUTA | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER RUTA |
| RUTA | CONTROL | CL | BASE DE DATOS | CONTROL |
| RUTA | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| RUTA | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| ESQUEMA | ALTERAR | Alabama | BASE DE DATOS | ALTER CUALQUIER ESQUEMA |
| ESQUEMA | CONTROL | CL | BASE DE DATOS | CONTROL |
| ESQUEMA | CREAR SECUENCIA | CRSO | BASE DE DATOS | CONTROL |
| ESQUEMA | Delete | DL | BASE DE DATOS | Delete |
| ESQUEMA | Ejecute | EX | BASE DE DATOS | Ejecute |
| ESQUEMA | INSERTAR | EN | BASE DE DATOS | INSERTAR |
| ESQUEMA | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| ESQUEMA | Seleccionar | SL | BASE DE DATOS | Seleccionar |
| ESQUEMA | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| ESQUEMA | DESENMASCARAR | UMSK | BASE DE DATOS | DESENMASCARAR |
| ESQUEMA | ACTUALIZACIÓN | Hacia arriba | BASE DE DATOS | ACTUALIZACIÓN |
| ESQUEMA | VISUALIZACIÓN DEL SEGUIMIENTO DE CAMBIOS | VWCT | BASE DE DATOS | VISUALIZACIÓN DEL SEGUIMIENTO DE CAMBIOS |
| ESQUEMA | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| BUSCAR LISTA DE PROPIEDADES | ALTERAR | Alabama | SERVIDOR | MODIFICAR CUALQUIER CATÁLOGO DE TEXTO COMPLETO |
| BUSCAR LISTA DE PROPIEDADES | CONTROL | CL | SERVIDOR | CONTROL |
| BUSCAR LISTA DE PROPIEDADES | REFERENCIAS | RF | SERVIDOR | REFERENCIAS |
| BUSCAR LISTA DE PROPIEDADES | ASUMIR RESPONSABILIDAD | PARA | SERVIDOR | CONTROL |
| BUSCAR LISTA DE PROPIEDADES | VER DEFINICIÓN | VW | SERVIDOR | VER DEFINICIÓN |
| SERVIDOR | ADMINISTRACIÓN DE OPERACIONES MASIVAS | ADBO | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER GRUPO DE DISPONIBILIDAD | ALAG | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER CONEXIÓN | ALCO | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER CREDENCIAL | ALCD | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER BASE DE DATOS | ALDB | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER PUNTO FINAL | ALHE | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER NOTIFICACIÓN DE EVENTO | ALES | No aplicable | No aplicable |
| SERVIDOR | Modificar cualquier sesión de eventos | AAES | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTOS AGREGAR EVENTO | LSAE | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTO AÑADIR OBJETIVO | LSAT (Prueba de Admisión para Facultades de Derecho) | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTOS DESACTIVAR | DES (Data Encryption Standard - Estándar de Cifrado de Datos) | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTOS ELIMINAR EVENTO | LSDE | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTO ELIMINAR DESTINO | LSDT | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER SESIÓN DE EVENTOS HABILITAR | EES | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER OPCIÓN DE SESIÓN DE EVENTO | LESO | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER SERVIDOR VINCULADO | ALLS | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER INICIO DE SESIÓN | ALLG | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER AUDITORÍA DEL SERVIDOR | ALAA | No aplicable | No aplicable |
| SERVIDOR | ALTERAR CUALQUIER ROL DE SERVIDOR | ALSR | No aplicable | No aplicable |
| SERVIDOR | ALTERAR RECURSOS | ALRS | No aplicable | No aplicable |
| SERVIDOR | ALTERAR ESTADO DEL SERVIDOR | ALSS | No aplicable | No aplicable |
| SERVIDOR | Ajustar configuraciones | ALST | No aplicable | No aplicable |
| SERVIDOR | ALTER TRACE | ALTR | No aplicable | No aplicable |
| SERVIDOR | AUTENTICAR SERVIDOR | AUTORIZACIÓN | No aplicable | No aplicable |
| SERVIDOR | CONECTAR CUALQUIER BASE DE DATOS | CADB | No aplicable | No aplicable |
| SERVIDOR | CONNECT SQL | COSQ | No aplicable | No aplicable |
| SERVIDOR | SERVIDOR DE CONTROL | CL | No aplicable | No aplicable |
| SERVIDOR | CREAR CUALQUIER BASE DE DATOS | CRDB | No aplicable | No aplicable |
| SERVIDOR | Crear grupo de disponibilidad | CRAC | No aplicable | No aplicable |
| SERVIDOR | CREACIÓN DE UNA NOTIFICACIÓN DE EVENTOS DDL | CRDE | No aplicable | No aplicable |
| SERVIDOR | CREAR PUNTO FINAL | CRHE | No aplicable | No aplicable |
| SERVIDOR | CREAR ROL DE SERVIDOR (CREATE SERVER ROLE) | CRSR | No aplicable | No aplicable |
| SERVIDOR | NOTIFICACIÓN DE EVENTO DE SEGUIMIENTO | CRTE | No aplicable | No aplicable |
| SERVIDOR | ENSAMBLADO DE ACCESO EXTERNO | XA | No aplicable | No aplicable |
| SERVIDOR | SUPLANTAR CUALQUIER CREDENCIAL DE ACCESO | IAL | No aplicable | No aplicable |
| SERVIDOR | SELECCIONAR TODOS LOS ELEMENTOS PROTEGIBLES DE USUARIO | SUS | No aplicable | No aplicable |
| SERVIDOR | CIERRAR | SHDN | No aplicable | No aplicable |
| SERVIDOR | ENSAMBLADO NO SEGURO | XU | No aplicable | No aplicable |
| SERVIDOR | VER CUALQUIER BASE DE DATOS | VWDB | No aplicable | No aplicable |
| SERVIDOR | VER CUALQUIER DEFINICIÓN | VWAD | No aplicable | No aplicable |
| SERVIDOR | Ver estado del servidor | VWSS | No aplicable | No aplicable |
| ROL DE SERVIDOR | ALTERAR | Alabama | SERVIDOR | ALTERAR CUALQUIER ROL DE SERVIDOR |
| ROL DE SERVIDOR | CONTROL | CL | SERVIDOR | SERVIDOR DE CONTROL |
| ROL DE SERVIDOR | ASUMIR RESPONSABILIDAD | PARA | SERVIDOR | SERVIDOR DE CONTROL |
| ROL DE SERVIDOR | VER DEFINICIÓN | VW | SERVIDOR | VER CUALQUIER DEFINICIÓN |
| SERVICIO | ALTERAR | Alabama | BASE DE DATOS | Modificar cualquier servicio |
| SERVICIO | CONTROL | CL | BASE DE DATOS | CONTROL |
| SERVICIO | ENVIAR | SN | BASE DE DATOS | CONTROL |
| SERVICIO | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| SERVICIO | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| CLAVE SIMÉTRICA | ALTERAR | Alabama | BASE DE DATOS | ALTERAR CUALQUIER CLAVE SIMÉTRICA |
| CLAVE SIMÉTRICA | CONTROL | CL | BASE DE DATOS | CONTROL |
| CLAVE SIMÉTRICA | REFERENCIAS | RF | BASE DE DATOS | REFERENCIAS |
| CLAVE SIMÉTRICA | ASUMIR RESPONSABILIDAD | PARA | BASE DE DATOS | CONTROL |
| CLAVE SIMÉTRICA | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| TIPO | CONTROL | CL | ESQUEMA | CONTROL |
| TIPO | Ejecute | EX | ESQUEMA | Ejecute |
| TIPO | REFERENCIAS | RF | ESQUEMA | REFERENCIAS |
| TIPO | ASUMIR RESPONSABILIDAD | PARA | ESQUEMA | CONTROL |
| TIPO | VER DEFINICIÓN | VW | ESQUEMA | VER DEFINICIÓN |
| USUARIO | ALTERAR | Alabama | BASE DE DATOS | MODIFICAR CUALQUIER USUARIO |
| USUARIO | CONTROL | CL | BASE DE DATOS | CONTROL |
| USUARIO | SUPLANTAR | IM | BASE DE DATOS | CONTROL |
| USUARIO | VER DEFINICIÓN | VW | BASE DE DATOS | VER DEFINICIÓN |
| COLECCIÓN DE ESQUEMAS XML | ALTERAR | Alabama | ESQUEMA | ALTERAR |
| COLECCIÓN DE ESQUEMAS XML | CONTROL | CL | ESQUEMA | CONTROL |
| COLECCIÓN DE ESQUEMAS XML | Ejecute | EX | ESQUEMA | Ejecute |
| COLECCIÓN DE ESQUEMAS XML | REFERENCIAS | RF | ESQUEMA | REFERENCIAS |
| COLECCIÓN DE ESQUEMAS XML | ASUMIR RESPONSABILIDAD | PARA | ESQUEMA | CONTROL |
| COLECCIÓN DE ESQUEMAS XML | VER DEFINICIÓN | VW | ESQUEMA | VER DEFINICIÓN |
Nuevos permisos granulares agregados a SQL Server 2022
Los permisos siguientes se agregan a SQL Server 2022:
Se han agregado 10 nuevos permisos para permitir el acceso a los metadatos del sistema.
Se han agregado 18 nuevos permisos para eventos extendidos.
Se han agregado 9 nuevos permisos con respecto a los objetos relacionados con la seguridad.
Se han agregado 4 permisos para el libro de contabilidad.
3 permisos adicionales de base de datos.
Para obtener más información, consulte Nuevos permisos granulares para SQL Server 2022 y Azure SQL para mejorar la adhesión a PoLP.
Acceso a los permisos de metadatos del sistema
Nivel de servidor:
- VER CUALQUIER DEFINICIÓN DE SEGURIDAD
- VISUALIZACIÓN DE CUALQUIER DEFINICIÓN DE RENDIMIENTO
- VER ESTADO DE SEGURIDAD DEL SERVIDOR
- VER EL ESTADO DE RENDIMIENTO DEL SERVIDOR
- VER CUALQUIER DEFINICIÓN PROTEGIDA CRIPTOGRÁFICAMENTE
Nivel de base de datos:
- VER EL ESTADO DE SEGURIDAD DE LA BASE DE DATOS
- VER EL ESTADO DE RENDIMIENTO DE LA BASE DE DATOS
- VER DEFINICIÓN DE SEGURIDAD
- VER DEFINICIÓN DE RENDIMIENTO
- VISUALIZACIÓN DE LA DEFINICIÓN PROTEGIDA CRIPTOGRÁFICAMENTE
Sesiones de eventos extendidos
Nivel de servidor:
- CREA CUALQUIER SESIÓN DE EVENTO
- ELIMINAR CUALQUIER SESIÓN DE EVENTOS
- ALTERAR CUALQUIER OPCIÓN DE SESIÓN DE EVENTO
- ALTERAR CUALQUIER SESIÓN DE EVENTOS AGREGAR EVENTO
- ALTERAR CUALQUIER SESIÓN DE EVENTOS ELIMINAR EVENTO
- ALTERAR CUALQUIER SESIÓN DE EVENTOS HABILITAR
- ALTERAR CUALQUIER SESIÓN DE EVENTOS DESACTIVAR
- ALTERAR CUALQUIER SESIÓN DE EVENTO AÑADIR OBJETIVO
- ALTERAR CUALQUIER SESIÓN DE EVENTO ELIMINAR DESTINO
Todos estos permisos están bajo el mismo permiso primario: ALTER ANY EVENT SESSION
Nivel de base de datos:
- CREAR CUALQUIER SESIÓN DE EVENTOS DE BASE DE DATOS
- ELIMINAR CUALQUIER SESIÓN DE EVENTOS DE BASE DE DATOS
- ALTERAR CUALQUIER OPCIÓN DE SESIÓN DE EVENTOS DE BASE DE DATOS
- ALTER ANY DATABASE EVENT SESSION ADD EVENT
- ALTER ANY DATABASE EVENT SESSION DROP EVENT
- ALTERAR CUALQUIER SESIÓN DE EVENTO DE BASE DE DATOS HABILITAR
- ALTER ANY DATABASE EVENT SESSION DISABLE
- ALTER ANY DATABASE EVENT SESSION ADD TARGET
- ALTERAR CUALQUIER SESIÓN DE EVENTOS DE BASE DE DATOS ELIMINAR OBJETIVO
Todos estos permisos están bajo el mismo permiso primario: ALTER ANY DATABASE EVENT SESSION
Permisos de objetos relacionados con la seguridad
- CONTROL (CREDENCIAL)
- CREATE LOGIN
- CREAR USUARIO
- REFERENCIAS (CREDENCIAL)
- DESENMASCARAR (OBJETO)
- UNMASK (SCHEMA)
- VER CUALQUIER REGISTRO DE ERRORES
- VER AUDITORÍA DE SEGURIDAD DEL SERVIDOR
- VER AUDITORÍA DE SEGURIDAD DE BASE DE DATOS
Permisos del libro de contabilidad
- ALTER LEDGER
- ALTERAR CONFIGURACIÓN DEL LIBRO MAYOR
- Habilitar Ledger
- VER EL CONTENIDO DEL LIBRO DE CONTABILIDAD
Otros permisos de base de datos
- ALTERAR CUALQUIER TRABAJO EXTERNO
- ALTERAR CUALQUIER FLUJO EXTERNO
- EJECUTAR CUALQUIER PUNTO FINAL EXTERNO
Resumen del algoritmo de comprobación de permiso
Comprobar los permisos puede ser complejo. El algoritmo de comprobación de permiso incluye la superposición de la pertenencia a grupos y el encadenamiento de propiedad, tanto el permiso explícito como el implícito, y puede ser afectado por los permisos en las clases protegibles y que contienen la entidad protegible. El proceso general del algoritmo es reunir todos los permisos pertinentes. Si no se encuentra ningún bloqueo DENY, el algoritmo busca un permiso GRANT que proporcione el acceso suficiente. El algoritmo contiene tres elementos esenciales, el contexto de seguridad, el espacio del permisoy el permiso necesario.
Nota:
No puede conceder, denegar ni revocar permisos a sa, dbo, al propietario de la entidad, information_schema, sys ni a usted mismo.
Contexto de seguridad
Es el grupo de entidades de seguridad que aportan los permisos para la comprobación de acceso. Son los permisos que están relacionados con el inicio de sesión actual o el usuario, a menos que el contexto de seguridad se cambiara a otro inicio de sesión o usuario utilizando la instrucción EXECUTE AS. El contexto de seguridad incluye las entidades de seguridad siguientes:
El inicio de sesión
El usuario
Pertenecientes al rol
Pertenecientes al grupo Windows
Si se utiliza la firma de módulo, cualquier cuenta de inicio de sesión o de usuario da cuenta del certificado utilizado para firmar el módulo que el usuario está ejecutando actualmente, así como de los pertenecientes al rol asociados de ese entidad de seguridad.
Espacio del permiso
Es la entidad protegible y todas las clases protegibles que contiene la entidad protegible. Por ejemplo, una tabla (una entidad protegible) está contenida en la clase de esquema protegible y en la clase de base de datos protegible. El acceso puede verse afectado por permisos de nivel de tabla, esquema, base de datos y servidor. Para obtener más información, vea Jerarquía de permisos (motor de base de datos).
Permiso necesario
El tipo de permiso que se necesita. Por ejemplo, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, etc.
El acceso puede requerir varios permisos, como en los ejemplos siguientes:
Un procedimiento almacenado puede requerir el permiso EXECUTE sobre el procedimiento almacenado y el permiso INSERT sobre varias tablas a las que hace referencia el procedimiento almacenado.
Una vista de administración dinámica puede requerir los permisos VIEW SERVER STATE y SELECT sobre la vista.
Pasos generales del algoritmo
Cuando el algoritmo está determinando si permite el acceso a un elemento protegible, los pasos precisos que utiliza pueden variar, dependiendo de las entidades de seguridad y de los elementos protegibles implicados. Sin embargo, el algoritmo da los siguientes pasos generales:
Omite la comprobación del permiso si el inicio de sesión es un miembro del rol fijo de servidor sysadmin o si el usuario es el usuario de dbo en la base de datos actual.
Permite el acceso si es aplicable el encadenamiento de propiedad y la comprobación de acceso en el objeto anterior de la cadena pasó la comprobación de seguridad.
Agrega las identidades de nivel del servidor, de base de datos y de módulo firmado que se asocian al autor de las llamadas para crear el contexto de seguridad.
Para ese contexto de seguridad, reúne todos los permisos que se conceden o deniegan para el espacio del permiso. El permiso se puede nombrar explícitamente como GRANT, GRANT WITH GRANT o DENY; o los permisos pueden ser un permiso GRANT o DENY implícito o inclusivo. Por ejemplo, el permiso CONTROL sobre un esquema implica CONTROL sobre una tabla. Asimismo, CONTROL sobre una tabla implica SELECT. Por consiguiente, si se otorgó CONTROL sobre el esquema, se otorgó SELECT sobre la tabla. Si se denegó CONTROL sobre la tabla, también se denegó SELECT sobre ella.
Nota:
Un permiso GRANT de nivel de columna invalida un permiso DENY en el nivel de objeto. Para obtener más información, vea DENY Object Permissions( Permisos de objeto DENY).
Identifique el permiso requerido.
La comprobación del permiso no se realiza correctamente si el permiso requerido es denegado directa o implícitamente a cualquiera de las identidades del contexto de seguridad para los objetos del espacio del permiso.
La comprobación del permiso es correcta si no se denegó el permiso requerido y el permiso requerido contiene un permiso GRANT o un permiso GRANT WITH GRANT directo o implícito para cualquiera de las identidades del contexto de seguridad de cualquier objeto del espacio del permiso.
Consideraciones especiales sobre los permisos de nivel de columna
Los permisos de nivel de columna se conceden con la sintaxis <table_name>(<column _name>). Por ejemplo:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
Un permiso DENY en la tabla se reemplaza por un permiso GRANT en una columna. Pero un permiso DENY subsiguiente en la tabla quitará la columna GRANT.
Ejemplos
En los ejemplos de esta sección se muestra cómo se recupera la información sobre permisos.
A Devolver la lista completa de los permisos que pueden concederse.
La siguiente instrucción devuelve todos los permisos del motor de base de datos mediante la función fn_builtin_permissions. Para obtener más información, consulte sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Devolver los permisos de una clase de objetos concreta
En el ejemplo siguiente se usa fn_builtin_permissions para ver todos los permisos que están disponibles para una categoría de elemento protegible. El ejemplo devuelve permisos de ensamblados.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Devolver los permisos de un objeto concedidos a la entidad de seguridad que se ejecuta
En el ejemplo siguiente se usa fn_my_permissions para devolver una lista de los permisos efectivos que son retenidos por la entidad de seguridad de la llamada sobre un elemento protegible específico. El ejemplo devuelve los permisos de un objeto denominado Orders55. Para obtener más información, consulte sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Devolver los permisos aplicables a un objeto especificado
El ejemplo siguiente devuelve los permisos aplicables a un objeto denominado Yttrium. Observa que la función integrada OBJECT_ID se utiliza para recuperar el identificador del objeto Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO