Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chaque objet sécurisable de SQL Server dispose d'autorisations associées qui peuvent être accordées à un principal. Cette rubrique fournit les informations suivantes :
Conventions de nommage des autorisations
Le code suivant décrit les conventions générales qui sont suivies pour les autorisations d’affectation de noms :
CONTRÔLE
Confère des capacités similaires à la propriété au bénéficiaire. Le bénéficiaire dispose effectivement de toutes les autorisations définies sur l'objet sécurisable. Un principal qui a reçu CONTROL peut également accorder des autorisations sur l’élément sécurisable. Étant donné que le modèle de sécurité SQL Server est hiérarchique, CONTROL dans une étendue particulière inclut implicitement CONTROL sur tous les éléments sécurisables de cette étendue. Par exemple, CONTROL sur une base de données implique toutes les autorisations sur la base de données, toutes les autorisations sur tous les assemblys de la base de données, toutes les autorisations sur tous les schémas de la base de données et toutes les autorisations sur les objets au sein de toutes les schémas de la base de données.
ALTÉRER
Confère la possibilité de modifier les propriétés, à l’exception de la possession, d’un élément sécurisable particulier. Lorsqu'une portée est accordée, ALTER confère également la capacité de modifier, créer ou supprimer tout élément sécurisable contenu dans cette portée. Par exemple, l’autorisation ALTER sur un schéma inclut la possibilité de créer, modifier et supprimer des objets à partir du schéma.
ALTER ANY <Server Securable>, où Server Securable peut être n’importe quel serveur sécurisable.
Confère la possibilité de créer, modifier ou supprimer des instances individuelles du serveur sécurisable. Par exemple, ALTER ANY LOGIN confère la possibilité de créer, de modifier ou de supprimer une connexion dans l’instance.
ALTER ANY <Database Securable>, où Database Securable peut être n’importe quel élément sécurisable au niveau de la base de données.
Confère la possibilité de CRÉER, ALTER ou DROP des instances individuelles de la base de données sécurisable. Par exemple, ALTER ANY SCHEMA confère la possibilité de créer, de modifier ou de supprimer un schéma dans la base de données.
PRENDRE POSSESSION
Permet au bénéficiaire de prendre possession de l’élément sécurisable sur lequel il est accordé.
Connexion IMPERSONATE <>
Permet au bénéficiaire d’endosser l’identité du compte.
Usurper <utilisateur>
Permet au bénéficiaire de se faire passer pour l’utilisateur.
CREATE <Server Sécurisable>
Confère au bénéficiaire la possibilité de créer le serveur sécurisable.
CREATE <Base de données Sécurisable>
Confère au bénéficiaire la possibilité de créer la base de données sécurisable.
CREATE <Schema-contained Securable>
Confère la possibilité de créer l’élément sécurisable contenu dans le schéma. Toutefois, l’autorisation ALTER sur le schéma est requise pour créer l’élément sécurisable dans un schéma particulier.
DÉFINITION DE LA VUE
Permet au bénéficiaire d’accéder aux métadonnées.
RÉFÉRENCES
L’autorisation REFERENCES sur une table est nécessaire pour créer une contrainte FOREIGN KEY qui fait référence à cette table.
L’autorisation REFERENCES est nécessaire sur un objet pour créer une FONCTION ou VIEW avec la
WITH SCHEMABINDINGclause qui fait référence à cet objet.
Graphique des autorisations SQL Server
Pour obtenir un graphique de taille d’affiche de toutes les autorisations du moteur de base de données au format pdf, consultez https://github.com/microsoft/sql-server-samples/blob/master/samples/features/security/permissions-posters/Microsoft_SQL_Server_2017_and_Azure_SQL_Database_permissions_infographic.pdf.
Autorisations applicables aux éléments sécurisables spécifiques
Le tableau suivant répertorie les classes principales d’autorisations et les types d’éléments sécurisables auxquels ils peuvent être appliqués.
| Autorisation | S’applique à |
|---|---|
| Sélectionner | Synonymes Tables et colonnes Fonctions avec valeurs de table, Transact-SQL et Runtime de Langage Commun (CLR), et colonnes Vues et colonnes |
| AFFICHER LE SUIVI DES MODIFICATIONS | Tableaux Schémas |
| MISE À JOUR | Synonymes Tables et colonnes Vues et colonnes Les objets de séquence |
| RÉFÉRENCES | Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Files d’attente de gestionnaire de services Tables et colonnes Fonctions à valeur de table (Transact-SQL et fonction CLR) et colonnes Les types Vues et colonnes Objets séquence |
| INSERTION | Synonymes Tables et colonnes Vues et colonnes |
| Supprimer | Synonymes Tables et colonnes Vues et colonnes |
| Exécutez | Procédures (Transact-SQL et CLR) Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Synonymes Types CLR |
| RECEVOIR | Files d'attente de Service Broker |
| DÉFINITION DE LA VUE | Groupes de disponibilité Procédures (Transact-SQL et CLR) Files d'attente de Service Broker Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Connexions, utilisateurs et rôles Synonymes Tableaux Fonctions valeurs-table (Transact-SQL et CLR) Points de vue Objets de séquence |
| CHANGER | Groupes de disponibilité Procédures (Transact-SQL et CLR) Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Objets de séquence Connexions, utilisateurs et rôles Les files d'attente de Service Broker Tableaux Fonctions à valeur de table (Transact-SQL et CLR) Points de vue |
| PRENDRE POSSESSION | Groupes de disponibilité Rôles Procédures (Transact-SQL et CLR) Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Rôles de serveur Synonymes Tableaux Fonctions à valeurs de table (Transact-SQL et CLR) Points de vue Objets de séquence |
| CONTRÔLE | Groupes de disponibilité Procédures (Transact-SQL et CLR) Fonctions scalaires et d’agrégation (Transact-SQL et CLR) Connexions, utilisateurs et rôles Files d’attente Service Broker Synonymes Tableaux Fonctions table (Transact-SQL et CLR) Points de vue Objets de séquence |
| SE FAIRE PASSER | Connexions et utilisateurs |
Avertissement
Les autorisations par défaut accordées aux objets système au moment de la configuration sont soigneusement évaluées contre les menaces possibles et ne doivent pas être modifiées dans le cadre du renforcement de l’installation de SQL Server. Toute modification des autorisations sur les objets système peut limiter ou interrompre les fonctionnalités et peut potentiellement laisser votre installation DE SQL Server dans un état non pris en charge.
Autorisations SQL Server et SQL Database
Le tableau suivant fournit une liste complète des autorisations SQL Server. Les autorisations SQL Database sont disponibles uniquement pour les éléments sécurisables de base pris en charge. Les autorisations au niveau du serveur ne peuvent pas être accordées dans SQL Database. Toutefois, dans certains cas, les autorisations de base de données sont disponibles à la place.
| Base à sécuriser | Autorisations granulaires sur l’objet sécurisable de base | Code du type d’autorisation | Élément sécurisable qui contient l'élément sécurisable de base | Autorisation sur un conteneur sécurisable qui implique des permissions granulaires sur une entité sécurisable de base |
|---|---|---|---|---|
| RÔLE D'APPLICATION | CHANGER | AL | BASE DE DONNÉES | MODIFIER N’IMPORTE QUEL RÔLE D’APPLICATION |
| RÔLE D'APPLICATION | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| RÔLE D'APPLICATION | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| ASSEMBLÉE | MODIFIER | AL | BASE DE DONNÉES | MODIFIER TOUT ASSEMBLAGE |
| ASSEMBLÉE | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| ASSEMBLÉE | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| ASSEMBLÉE | ASSUMER LA RESPONSABILITÉ | À | BASE DE DONNÉES | CONTRÔLE |
| ASSEMBLÉE | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| CLÉ ASYMÉTRIQUE | MODIFIER | AL | BASE DE DONNÉES | MODIFIER N’IMPORTE QUELLE CLÉ ASYMÉTRIQUE |
| CLÉ ASYMÉTRIQUE | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| CLÉ ASYMÉTRIQUE | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| CLÉ ASYMÉTRIQUE | PRENDRE POSSESSION | À | BASE DE DONNÉES | CONTRÔLE |
| CLÉ ASYMÉTRIQUE | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| GROUPE DE DISPONIBILITÉ | CHANGER | AL | SERVEUR | ALTER ANY AVAILABILITY GROUP |
| GROUPE DE DISPONIBILITÉ | CONTRÔLE | CL | SERVEUR | SERVEUR DE CONTRÔLE |
| GROUPE DE DISPONIBILITÉ | PRENDRE POSSESSION | À | SERVEUR | SERVEUR DE CONTRÔLE |
| GROUPE DE DISPONIBILITÉ | DÉFINITION DE LA VUE | VW | SERVEUR | Voir n'importe quelle définition |
| CERTIFICAT | MODIFIER | AL | BASE DE DONNÉES | MODIFIER TOUT CERTIFICAT |
| CERTIFICAT | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| CERTIFICAT | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| CERTIFICAT | ASSUMER LA RESPONSABILITÉ | À | BASE DE DONNÉES | CONTRÔLE |
| CERTIFICAT | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | Afficher la définition |
| CONTRAT | MODIFIER | AL | BASE DE DONNÉES | ALTER ANY CONTRACT |
| CONTRAT | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| CONTRAT | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| CONTRAT | PRENDRE POSSESSION | À | BASE DE DONNÉES | CONTRÔLE |
| CONTRAT | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| BASE DE DONNÉES | MODIFIER | AL | SERVEUR | MODIFIER TOUTE BASE DE DONNÉES |
| BASE DE DONNÉES | MODIFIER N’IMPORTE QUEL RÔLE D’APPLICATION | ALAR | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | ALTER ANY ASSEMBLY | HÉLAS | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER N’IMPORTE QUELLE CLÉ ASYMÉTRIQUE | ALAK | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | ALTER ANY CERTIFICATE | ALCF | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | ALTER ANY CONTRACT | ALSC | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | Modifier n'importe quel audit de base de données | ALDA | SERVEUR | ALTER ANY SERVER AUDIT |
| BASE DE DONNÉES | ALTERER N'IMPORTE QUEL DÉCLENCHEUR DDL DE BASE DE DONNÉES | ALTG | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER TOUTE NOTIFICATION D'ÉVÉNEMENT DE BASE DE DONNÉES | ALED | SERVEUR | MODIFIER TOUTE NOTIFICATION D'ÉVÉNEMENT |
| BASE DE DONNÉES | ALTER ANY DATABASE EVENT SESSION | AADS Remarque : s’applique uniquement à SQL Database. |
SERVEUR | MODIFIER TOUTE SESSION D'ÉVÉNEMENT |
| BASE DE DONNÉES | MODIFIER TOUT ESPACE DE DONNÉES | ALDS | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER N'IMPORTE QUEL CATALOGUE DE TEXTE INTÉGRAL | ALFT | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER N’IMPORTE QUEL TYPE DE MESSAGE | ALMT | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER TOUT LIEN DE SERVICE À DISTANCE | ALSB | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER N’IMPORTE QUEL RÔLE | ALRL | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER TOUTE ROUTE | ALRT | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER TOUT SCHÉMA | ALSM | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER N'IMPORTE QUELLE POLITIQUE DE SÉCURITÉ | ALSP Remarque : s’applique uniquement à SQL Database. |
SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER N'IMPORTE QUEL SERVICE | ALSV | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER TOUTE CLÉ SYMÉTRIQUE | ALSK | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MODIFIER TOUS LES UTILISATEURS | ALUS | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | AUTHENTIFIER | AUTH | SERVEUR | AUTHENTIFIER LE SERVEUR |
| BASE DE DONNÉES | SAUVEGARDER BASE DE DONNÉES | BADB | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | JOURNAL DE SAUVEGARDE | BALO | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | POINT DE CONTRÔLE | FP | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CONNECTER | Monoxyde de carbone | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CONFIGURER LA RÉPLICATION | CORP | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CONTRÔLE | CL | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CREATE AGGREGATE | CRAG | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CREATE ASSEMBLY | CRAS | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UNE CLÉ ASYMÉTRIQUE | CRAK | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER CERTIFICAT | CRCF | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER CONTRAT | CRSC | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UNE BASE DE DONNÉES | CRDB | SERVEUR | CRÉER UNE BASE DE DONNÉES |
| BASE DE DONNÉES | CRÉER UNE NOTIFICATION D'ÉVÉNEMENT DDL DE BASE DE DONNÉES | CRED | SERVEUR | CRÉER UNE NOTIFICATION D'ÉVÉNEMENT DDL |
| BASE DE DONNÉES | CRÉER PAR DÉFAUT | CRDF | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UN CATALOGUE DE TEXTE INTÉGRAL | CRFT | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER FONCTION | CRFN | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UN TYPE DE MESSAGE | CRMT | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER PROCÉDURE | CRPR | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CREATE QUEUE | CRQU | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UN LIEN DE SERVICE DISTANT | CRSB | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UN RÔLE | CRRL | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UNE ROUTE | CRRT | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UNE RÈGLE | CRRU | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER SCHÉMA | CRSM | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UN SERVICE | CRSV | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CREATE SYMMETRIC KEY (créer une clé symétrique) | CRSK | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UN SYNONYME | CRSN | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER TABLE | CRTB | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UN TYPE | CRTY | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER VUE | CRVW | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | CRÉER UNE COLLECTION DE SCHÉMA XML | CRXS | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | Supprimer | DL | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | Exécutez | EX | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | INSERTION | DANS | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | TERMINER LA CONNEXION À LA BASE DE DONNÉES | KIDC Remarque : s’applique uniquement à SQL Database. Utilisez ALTER ANY CONNECTION dans SQL Server. |
SERVEUR | MODIFIER N’IMPORTE QUELLE CONNEXION |
| BASE DE DONNÉES | RÉFÉRENCES | RF | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | Sélectionner | SL | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | SHOWPLAN | SPLN | SERVEUR | ALTER TRACE |
| BASE DE DONNÉES | NOTIFICATIONS DE REQUÊTE D’ABONNEMENT | SUQN | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | PRENDRE POSSESSION | À | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | MISE À JOUR | Vers le haut | SERVEUR | SERVEUR DE CONTRÔLE |
| BASE DE DONNÉES | AFFICHER LE STATUT DE LA BASE DE DONNÉES | VWDS | SERVEUR | AFFICHER L’ÉTAT DU SERVEUR |
| BASE DE DONNÉES | DÉFINITION DE LA VUE | VW | SERVEUR | Voir n'importe quelle définition |
| Point de terminaison | CHANGER | AL | SERVEUR | MODIFIER N'IMPORTE QUEL POINT D'ACCÈS |
| Point de terminaison | CONNECTER | Monoxyde de carbone | SERVEUR | SERVEUR DE CONTRÔLE |
| Point de terminaison | CONTRÔLE | CL | SERVEUR | SERVEUR DE CONTRÔLE |
| Point de terminaison | PRENDRE POSSESSION | À | SERVEUR | SERVEUR DE CONTRÔLE |
| Point de terminaison | DÉFINITION DE LA VUE | VW | SERVEUR | Voir n'importe quelle définition |
| Catalogue de texte intégral | MODIFIER | AL | BASE DE DONNÉES | MODIFIER TOUT CATALOGUE FULLTEXT |
| Catalogue de texte intégral | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| Catalogue de texte intégral | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| Catalogue de texte intégral | ASSUMER LA RESPONSABILITÉ | À | BASE DE DONNÉES | CONTRÔLE |
| Catalogue de texte intégral | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| Liste d'arrêt du texte intégral | MODIFIER | AL | BASE DE DONNÉES | MODIFIER N’IMPORTE QUEL CATALOGUE FULLTEXT |
| Liste d'arrêts de texte intégral | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| LISTE D'ARRÊT DU TEXTE INTÉGRAL | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| liste d'exclusion de texte intégral | PRENDRE POSSESSION | À | BASE DE DONNÉES | CONTRÔLE |
| FULLTEXT STOPLIST | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| Connexion | MODIFIER | AL | SERVEUR | MODIFIER N'IMPORTE QUELLE CONNEXION |
| Connexion | CONTRÔLE | CL | SERVEUR | SERVEUR DE CONTRÔLE |
| Connexion | se faire passer pour | IM | SERVEUR | SERVEUR DE CONTRÔLE |
| Connexion | DÉFINITION DE LA VUE | VW | SERVEUR | Voir n'importe quelle définition |
| Type de message | CHANGER | AL | BASE DE DONNÉES | MODIFIER N’IMPORTE QUEL TYPE DE MESSAGE |
| Type de message | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| Type de message | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| Type de message | ASSUMER LA RESPONSABILITÉ | À | BASE DE DONNÉES | CONTRÔLE |
| Type de message | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| OBJET | MODIFIER | AL | SCHÉMA | MODIFIER |
| OBJET | CONTRÔLE | CL | SCHÉMA | CONTRÔLE |
| OBJET | Supprimer | DL | SCHÉMA | Supprimer |
| OBJET | Exécutez | EX | SCHÉMA | Exécutez |
| OBJET | INSERTION | DANS | SCHÉMA | INSERTION |
| OBJET | RECEVOIR | Responsable Vente et Relations | SCHÉMA | CONTRÔLE |
| OBJET | RÉFÉRENCES | RF | SCHÉMA | RÉFÉRENCES |
| OBJET | Sélectionner | SL | SCHÉMA | Sélectionner |
| OBJET | ASSUMER LA RESPONSABILITÉ | À | SCHÉMA | CONTRÔLE |
| OBJET | MISE À JOUR | En haut | SCHÉMA | MISE À JOUR |
| OBJET | AFFICHER LE SUIVI DES MODIFICATIONS | VWCT | SCHÉMA | AFFICHER LE SUIVI DES MODIFICATIONS |
| OBJET | DÉFINITION DE LA VUE | VW | SCHÉMA | DÉFINITION DE LA VUE |
| LIAISON DE SERVICE À DISTANCE | MODIFIER | AL | BASE DE DONNÉES | MODIFIER TOUTE LIAISON DE SERVICE DISTANT |
| LIAISON DE SERVICE À DISTANCE | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| LIAISON DE SERVICE À DISTANCE | PRENDRE POSSESSION | À | BASE DE DONNÉES | CONTRÔLE |
| LIAISON DE SERVICE À DISTANCE | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| RÔLE | CHANGER | AL | BASE DE DONNÉES | Modifier n’importe quel rôle |
| RÔLE | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| RÔLE | ASSUMER LA RESPONSABILITÉ | À | BASE DE DONNÉES | CONTRÔLE |
| RÔLE | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| ITINÉRAIRE | MODIFIER | AL | BASE DE DONNÉES | MODIFIER TOUTE ROUTE |
| ITINÉRAIRE | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| ITINÉRAIRE | ASSUMER LA RESPONSABILITÉ | À | BASE DE DONNÉES | CONTRÔLE |
| ITINÉRAIRE | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| LISTE DES BIENS À RECHERCHER | MODIFIER | Alabama | SERVEUR | ALTER ANY FULLTEXT CATALOG |
| LISTE DES BIENS À RECHERCHER | CONTRÔLE | CL | SERVEUR | CONTRÔLE |
| LISTE DES BIENS À RECHERCHER | RÉFÉRENCES | RF | SERVEUR | RÉFÉRENCES |
| LISTE DES BIENS À RECHERCHER | ASSUMER LA RESPONSABILITÉ | À | SERVEUR | CONTRÔLE |
| LISTE DES BIENS À RECHERCHER | DÉFINITION DE LA VUE | VW | SERVEUR | DÉFINITION DE LA VUE |
| SCHÉMA | CHANGER | AL | BASE DE DONNÉES | MODIFIER TOUT SCHÉMA |
| SCHÉMA | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| SCHÉMA | CRÉER UNE SÉQUENCE | CRSO | BASE DE DONNÉES | CONTRÔLE |
| SCHÉMA | Supprimer | DL | BASE DE DONNÉES | Supprimer |
| SCHÉMA | Exécutez | EX | BASE DE DONNÉES | Exécutez |
| SCHÉMA | INSERTION | DANS | BASE DE DONNÉES | INSERTION |
| SCHÉMA | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| SCHÉMA | Sélectionner | SL | BASE DE DONNÉES | Sélectionner |
| SCHÉMA | PRENDRE POSSESSION | À | BASE DE DONNÉES | CONTRÔLE |
| SCHÉMA | MISE À JOUR | En haut | BASE DE DONNÉES | MISE À JOUR |
| SCHÉMA | AFFICHER LE SUIVI DES MODIFICATIONS | VWCT | BASE DE DONNÉES | AFFICHER LE SUIVI DES MODIFICATIONS |
| SCHÉMA | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| SERVEUR | ADMINISTRER DES OPÉRATIONS GROUPÉES | ADBO | Sans objet | Sans objet |
| SERVEUR | MODIFIER N’IMPORTE QUELLE CONNEXION | ALCO | Sans objet | Sans objet |
| SERVEUR | MODIFIER LES INFORMATIONS D’IDENTIFICATION | ALCD | Sans objet | Sans objet |
| SERVEUR | MODIFIER TOUTE BASE DE DONNÉES | ALDB | Sans objet | Sans objet |
| SERVEUR | MODIFIER N'IMPORTE QUEL POINT D'EXTRÉMITÉ | ALHE | Sans objet | Sans objet |
| SERVEUR | MODIFIER N'IMPORTE QUELLE NOTIFICATION D'ÉVÉNEMENT | ALES | Sans objet | Sans objet |
| SERVEUR | MODIFIER N'IMPORTE QUELLE SESSION D'ÉVÉNEMENTS | AAES | Sans objet | Sans objet |
| SERVEUR | MODIFIER N’IMPORTE QUEL SERVEUR LIÉ | ALLS | Sans objet | Sans objet |
| SERVEUR | MODIFIER TOUTE CONNEXION | ALLG | Sans objet | Sans objet |
| SERVEUR | MODIFIER UN AUDIT DE SERVEUR | ALAA | Sans objet | Sans objet |
| SERVEUR | MODIFIER N’IMPORTE QUEL RÔLE SERVEUR | ALSR | Sans objet | Sans objet |
| SERVEUR | MODIFIER LE GROUPE DE DISPONIBILITÉ | ALAG | Sans objet | Sans objet |
| SERVEUR | MODIFIER LES RESSOURCES | ALRS | Sans objet | Sans objet |
| SERVEUR | MODIFIER L'ÉTAT DU SERVEUR | ALSS | Sans objet | Sans objet |
| SERVEUR | Modifier les paramètres | ALST | Sans objet | Sans objet |
| SERVEUR | MODIFIER TRACE | ALTR | Sans objet | Sans objet |
| SERVEUR | AUTHENTIFIER LE SERVEUR | AUTH | Sans objet | Sans objet |
| SERVEUR | CONNECTER N’IMPORTE QUELLE BASE DE DONNÉES | CADB | Sans objet | Sans objet |
| SERVEUR | CONNECT SQL | COSQ | Sans objet | Sans objet |
| SERVEUR | SERVEUR DE CONTRÔLE | CL | Sans objet | Sans objet |
| SERVEUR | CRÉER UNE BASE DE DONNÉES | CRDB | Sans objet | Sans objet |
| SERVEUR | CRÉER UN GROUPE DE DISPONIBILITÉ | CRAC | Sans objet | Sans objet |
| SERVEUR | CRÉER UNE NOTIFICATION D'ÉVÉNEMENT DDL | CRDE | Sans objet | Sans objet |
| SERVEUR | CRÉER ENDPOINT | CRHE | Sans objet | Sans objet |
| SERVEUR | CRÉER UN RÔLE SERVEUR | CRSR | Sans objet | Sans objet |
| SERVEUR | CRÉER UNE NOTIFICATION D'ÉVÉNEMENT DE TRACE | CRTE | Sans objet | Sans objet |
| SERVEUR | ASSEMBLY D’ACCÈS EXTERNE | XA | Sans objet | Sans objet |
| SERVEUR | EMPRUNTER L’IDENTITÉ DE N’IMPORTE QUELLE CONNEXION | IAL | Sans objet | Sans objet |
| SERVEUR | SÉLECTIONNER TOUS LES ÉLÉMENTS SÉCURISABLES DE L’UTILISATEUR | SUS | Sans objet | Sans objet |
| SERVEUR | ARRÊT | SHDN | Sans objet | Sans objet |
| SERVEUR | UNSAFE ASSEMBLY | XU | Sans objet | Sans objet |
| SERVEUR | VOIR TOUTE BASE DE DONNÉES | VWDB | Sans objet | Sans objet |
| SERVEUR | Voir n'importe quelle définition | VWAD | Sans objet | Sans objet |
| SERVEUR | AFFICHER L’ÉTAT DU SERVEUR | VWSS | Sans objet | Sans objet |
| RÔLE DE SERVEUR | MODIFIER | AL | SERVEUR | MODIFIER N’IMPORTE QUEL RÔLE SERVEUR |
| RÔLE DE SERVEUR | CONTRÔLE | CL | SERVEUR | SERVEUR DE CONTRÔLE |
| RÔLE DE SERVEUR | Assumer la responsabilité | À | SERVEUR | SERVEUR DE CONTRÔLE |
| RÔLE DE SERVEUR | DÉFINITION DE LA VUE | VW | SERVEUR | Voir n'importe quelle définition |
| SERVICE | ALTÉRER | AL | BASE DE DONNÉES | MODIFIER TOUT SERVICE |
| SERVICE | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| SERVICE | ENVOYER | SN | BASE DE DONNÉES | CONTRÔLE |
| SERVICE | PRENDRE POSSESSION | À | BASE DE DONNÉES | CONTRÔLE |
| SERVICE | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| CLÉ SYMÉTRIQUE | MODIFIER | AL | BASE DE DONNÉES | MODIFIER N'IMPORTE QUELLE CLÉ SYMÉTRIQUE |
| CLÉ SYMÉTRIQUE | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| CLÉ SYMÉTRIQUE | RÉFÉRENCES | RF | BASE DE DONNÉES | RÉFÉRENCES |
| CLÉ SYMÉTRIQUE | ASSUMER LA RESPONSABILITÉ | À | BASE DE DONNÉES | CONTRÔLE |
| CLÉ SYMÉTRIQUE | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| TYPE | CONTRÔLE | CL | SCHÉMA | CONTRÔLE |
| TYPE | Exécutez | EX | SCHÉMA | Exécutez |
| TYPE | RÉFÉRENCES | RF | SCHÉMA | RÉFÉRENCES |
| TYPE | PRENDRE POSSESSION | À | SCHÉMA | CONTRÔLE |
| TYPE | DÉFINITION DE LA VUE | VW | SCHÉMA | DÉFINITION DE LA VUE |
| Utilisateur | MODIFIER | AL | BASE DE DONNÉES | MODIFIER TOUT UTILISATEUR |
| Utilisateur | CONTRÔLE | CL | BASE DE DONNÉES | CONTRÔLE |
| Utilisateur | SE FAIRE PASSER POUR | IM | BASE DE DONNÉES | CONTRÔLE |
| Utilisateur | DÉFINITION DE LA VUE | VW | BASE DE DONNÉES | DÉFINITION DE LA VUE |
| COLLECTION DE SCHÉMAS XML | MODIFIER | AL | SCHÉMA | CHANGER |
| COLLECTION DE SCHÉMAS XML | CONTRÔLE | CL | SCHÉMA | CONTRÔLE |
| COLLECTION DE SCHÉMAS XML | Exécutez | EX | SCHÉMA | Exécutez |
| COLLECTION DE SCHÉMAS XML | RÉFÉRENCES | RF | SCHÉMA | RÉFÉRENCES |
| COLLECTION DE SCHÉMAS XML | PRENDRE POSSESSION | À | SCHÉMA | CONTRÔLE |
| COLLECTION DE SCHÉMAS XML | DÉFINITION DE LA VUE | VW | SCHÉMA | DÉFINITION DE LA VUE |
Résumé de l’algorithme de vérification des autorisations
La vérification des autorisations peut être complexe. L’algorithme de vérification des autorisations inclut des appartenances de groupe qui se chevauchent et un chaînage de propriétés, à la fois une autorisation explicite et implicite, et peut être affecté par les autorisations sur les classes sécurisables qui contiennent l’entité sécurisable. Le processus général de l’algorithme consiste à collecter toutes les autorisations appropriées. Si aucun refus bloquant n’est trouvé, l’algorithme recherche un GRANT qui fournit un accès suffisant. L’algorithme contient trois éléments essentiels, le contexte de sécurité, l’espace d’autorisation et l’autorisation requise.
Remarque
Vous ne pouvez pas accorder, refuser ou révoquer des autorisations pour sa, dbo, le propriétaire de l’entité, information_schema, sys ou vous-même.
Contexte de sécurité
Il s'agit du groupe de principaux acteurs qui apportent des autorisations pour la vérification d'accès. Il s’agit d’autorisations liées à la connexion ou à l’utilisateur actuel, sauf si le contexte de sécurité a été modifié en une autre connexion ou utilisateur à l’aide de l’instruction EXECUTE AS. Le contexte de sécurité inclut les principaux suivants :
Connexion
L’utilisateur
Appartenances aux rôles
Appartenances aux groupes Windows
Si la signature de module est utilisée, tout compte de connexion ou d’utilisateur pour le certificat utilisé pour signer le module que l’utilisateur exécute actuellement et les appartenances de rôle associées à ce principal.
Espace d’autorisation
Il s’agit de l’entité sécurisable et de toutes les classes sécurisables qui contiennent l’élément sécurisable. Par exemple, une table (entité sécurisable) est contenue par la classe sécurisable du schéma et par la classe sécurisable de la base de données. L’accès peut être affecté par des autorisations de table, de schéma, de base de données et de niveau serveur. Pour plus d’informations, consultez Hiérarchie des autorisations (moteur de base de données).
Autorisation requise
Type d’autorisation nécessaire. Par exemple, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, et ainsi de suite.
L’accès peut nécessiter plusieurs autorisations, comme dans les exemples suivants :
Une procédure stockée peut nécessiter l’autorisation EXECUTE sur la procédure stockée et l’autorisation INSERT sur plusieurs tables référencées par la procédure stockée.
Une vue de gestion dynamique peut nécessiter à la fois l’autorisation VIEW SERVER STATE et SELECT sur la vue.
Étapes générales de l’algorithme
Lorsque l’algorithme détermine s’il faut autoriser l’accès à un élément sécurisable, les étapes précises qu’elle utilise peuvent varier, en fonction des principaux et des éléments sécurisables impliqués. Toutefois, l’algorithme effectue les étapes générales suivantes :
Ignorez la vérification des autorisations si la connexion est membre du rôle serveur fixe 'sysadmin' ou si l'utilisateur est l'utilisateur dbo dans la base de données actuelle.
Autorisez l'accès si le chaînage de propriétés est pertinent et que la vérification d'accès sur l'objet plus tôt dans la chaîne a réussi le contrôle de sécurité.
Agrègez les identités au niveau du serveur, au niveau de la base de données et des modules signés associées à l’appelant pour créer le contexte de sécurité.
Pour ce contexte de sécurité, collectez toutes les autorisations accordées ou refusées pour l’espace d’autorisation. L’autorisation peut être explicitement indiquée en tant que GRANT, GRANT WITH GRANT ou DENY ; ou les autorisations peuvent être implicites ou couvrant l’autorisation GRANT ou DENY. Par exemple, l’autorisation de contrôle sur un schéma implique un contrôle sur une table. Et CONTROL sur une table implique SELECT. Par conséquent, si le droit CONTROL sur le schéma a été accordé, le droit SELECT sur la table est également accordé. Si le contrôle est refusé sur la table, la sélection sur la table est également refusée.
Remarque
Un GRANT d'autorisation au niveau de la colonne remplace un DENY au niveau de l'objet.
Identifiez l’autorisation requise.
Échec de la vérification de l’autorisation si l’autorisation requise est directement ou implicitement refusée à l’une des identités dans le contexte de sécurité des objets dans l’espace d’autorisation.
Validez la vérification des autorisations si l’autorisation requise n’a pas été refusée et que l’autorisation requise contient directement ou implicitement une autorisation GRANT ou GRANT WITH GRANT à l’une des identités dans le contexte de sécurité pour tout objet dans l’espace de permissions.
Exemples
Les exemples de cette section montrent comment récupérer des informations sur les autorisations.
A. Renvoi de la liste complète des autorisations accordées
L’instruction suivante retourne toutes les autorisations du moteur de base de données à l’aide de la fn_builtin_permissions fonction. Pour plus d’informations, consultez sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Renvoi des autorisations sur une classe particulière d’objets
L'exemple suivant utilise fn_builtin_permissions pour afficher toutes les autorisations disponibles pour une catégorie d'éléments sécurisables. L’exemple renvoie des autorisations sur les assemblages.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Retour des autorisations accordées au principal exécutant sur un objet
L’exemple suivant utilise fn_my_permissions pour renvoyer une liste des autorisations effectives détenues par le principal appelant sur un élément sécurisable spécifié. L’exemple retourne des autorisations sur un objet nommé Orders55. Pour plus d’informations, consultez sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Renvoi des autorisations applicables à un objet spécifié
L’exemple suivant retourne des autorisations applicables à un objet appelé Yttrium. Notez que la fonction OBJECT_ID intégrée est utilisée pour récupérer l’ID de l’objet Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO
Voir aussi
Hiérarchie des autorisations (moteur de base de données)
sys.database_permissions (Transact-SQL)