Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
S’applique à :
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Point de terminaison d’analytique SQL dans Microsoft FabricEntrepôt dans Microsoft FabricBase de données SQL dans Microsoft Fabric
Refuse les autorisations sur une base de données dans SQL Server.
Conventions de la syntaxe Transact-SQL
Syntax
DENY <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ CASCADE ]
[ AS <database_principal> ]
<permission> ::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Arguments
permission spécifie une autorisation qui peut être refusée sur une base de données. Pour obtenir la liste des autorisations, consultez la section Notes plus loin dans cette rubrique.
L’option ALL n’interdit pas toutes les autorisations possibles. Cette option revient à interdire les autorisations suivantes : BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE et CREATE VIEW.
PRIVILEGES Inclus pour la conformité aux normes ISO. Ne change pas le comportement de l'option ALL.
CASCADE indique que l’autorisation sera également refusée aux principaux auxquels le principal spécifié l’a accordée.
AS <database_principal> spécifie un principal dont le principal qui exécute cette requête dérive son droit de refuser l’autorisation.
Database_user Spécifie un utilisateur de base de données.
Database_role Spécifie un rôle de base de données.
Application_roleS’applique à : SQL Server 2008 (10.0.x) et versions ultérieures, Azure SQL Database.
Spécifie un rôle d'application.
Database_user_mapped_to_Windows_User spécifie un utilisateur de base de données mappé à un utilisateur Windows.
Database_user_mapped_to_Windows_Group spécifie un utilisateur de base de données mappé à un groupe Windows.
Database_user_mapped_to_certificate spécifie un utilisateur de base de données mappé à un certificat.
Database_user_mapped_to_asymmetric_key spécifie un utilisateur de base de données mappé à une clé asymétrique.
Database_user_with_no_login Spécifie un utilisateur de base de données sans principal au niveau du serveur correspondant.
Remarks
Une base de données est un élément sécurisable contenu par le serveur qui est son parent dans la hiérarchie des autorisations. Les autorisations les plus spécifiques et limitées qu'il est possible de refuser sur une base de données sont répertoriées dans le tableau ci-dessous, avec les autorisations plus générales qui les incluent de manière implicite.
| Autorisation de base de données | Impliquée par une autorisation de base de données | Déduite d'une autorisation de serveur |
|---|---|---|
| ADMINISTRER DES OPÉRATIONS EN BLOC DE BASE DE DONNÉES S’applique à : SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| ALTER | CONTROL | MODIFIER TOUTE BASE DE DONNÉES |
| MODIFIER N’IMPORTE QUEL RÔLE D’APPLICATION | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ASSEMBLAGE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER N’IMPORTE QUELLE CLÉ ASYMÉTRIQUE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT CERTIFICAT | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER UNE CLÉ DE CHIFFREMENT DE COLONNE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER UNE DÉFINITION DE CLÉ PRINCIPALE DE COLONNE | ALTER | SERVEUR DE CONTRÔLE |
| Modifier tout contrat | ALTER | SERVEUR DE CONTRÔLE |
| Modifier n'importe quel audit de base de données | ALTER | Modifier tout audit de serveur |
| ALTERER N'IMPORTE QUEL DÉCLENCHEUR DDL DE BASE DE DONNÉES | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE NOTIFICATION D'ÉVÉNEMENT DE BASE DE DONNÉES | ALTER | MODIFIER TOUTE NOTIFICATION D'ÉVÉNEMENT |
| ALTERER TOUTE SESSION D'ÉVÉNEMENT DE BASE DE DONNÉES S'applique à: Azure SQL Database. |
ALTER | MODIFIER TOUTE SESSION D'ÉVÉNEMENT |
| MODIFIER UNE CONFIGURATION DE BASE DE DONNÉES DANS TOUT CONTEXTE S’applique à : SQL Server 2016 (13.x) et versions ultérieures, SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT ESPACE DE DONNÉES | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE SOURCE DE DONNÉES EXTERNE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT FORMAT DE FICHIER EXTERNE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE BIBLIOTHÈQUE EXTERNE S'applique à: SQL Server 2017 (14.x). |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER N'IMPORTE QUEL CATALOGUE DE TEXTE INTÉGRAL | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT MASQUE | CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER N’IMPORTE QUEL TYPE DE MESSAGE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT LIEN DE SERVICE À DISTANCE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER N’IMPORTE QUEL RÔLE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE ROUTE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER UNE STRATÉGIE DE SÉCURITÉ S’applique à : SQL Server 2016 (13.x) et versions ultérieures, Azure SQL Database. |
CONTROL | SERVEUR DE CONTRÔLE |
| MODIFIER TOUT SCHÉMA | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER N'IMPORTE QUEL SERVICE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUTE CLÉ SYMÉTRIQUE | ALTER | SERVEUR DE CONTRÔLE |
| MODIFIER TOUS LES UTILISATEURS | ALTER | SERVEUR DE CONTRÔLE |
| AUTHENTICATE | CONTROL | AUTHENTIFIER LE SERVEUR |
| SAUVEGARDER BASE DE DONNÉES | CONTROL | SERVEUR DE CONTRÔLE |
| JOURNAL DE SAUVEGARDE | CONTROL | SERVEUR DE CONTRÔLE |
| CHECKPOINT | CONTROL | SERVEUR DE CONTRÔLE |
| CONNECT | RÉPLICATION DE CONNEXION | SERVEUR DE CONTRÔLE |
| RÉPLICATION DE CONNEXION | CONTROL | SERVEUR DE CONTRÔLE |
| CONTROL | CONTROL | SERVEUR DE CONTRÔLE |
| CRÉER AGRÉGAT (CREATE AGGREGATE) | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER L'ASSEMBLAGE | MODIFIER TOUT ASSEMBLAGE | SERVEUR DE CONTRÔLE |
| CRÉER UNE CLÉ ASYMÉTRIQUE | MODIFIER N’IMPORTE QUELLE CLÉ ASYMÉTRIQUE | SERVEUR DE CONTRÔLE |
| CRÉER CERTIFICAT | MODIFIER TOUT CERTIFICAT | SERVEUR DE CONTRÔLE |
| CRÉER CONTRAT | Modifier tout contrat | SERVEUR DE CONTRÔLE |
| CRÉER UNE BASE DE DONNÉES | CONTROL | CRÉER UNE BASE DE DONNÉES |
| CRÉER UNE NOTIFICATION D'ÉVÉNEMENT DDL DE BASE DE DONNÉES | MODIFIER TOUTE NOTIFICATION D'ÉVÉNEMENT DE BASE DE DONNÉES | CRÉER UNE NOTIFICATION D'ÉVÉNEMENT DDL |
| CRÉER PAR DÉFAUT | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UN CATALOGUE DE TEXTE INTÉGRAL | MODIFIER N'IMPORTE QUEL CATALOGUE DE TEXTE INTÉGRAL | SERVEUR DE CONTRÔLE |
| CRÉER FONCTION | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UN TYPE DE MESSAGE | MODIFIER N’IMPORTE QUEL TYPE DE MESSAGE | SERVEUR DE CONTRÔLE |
| CRÉER PROCÉDURE | ALTER | SERVEUR DE CONTRÔLE |
| CREATE QUEUE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UN LIEN DE SERVICE DISTANT | MODIFIER TOUT LIEN DE SERVICE À DISTANCE | SERVEUR DE CONTRÔLE |
| CRÉER UN RÔLE | MODIFIER N’IMPORTE QUEL RÔLE | SERVEUR DE CONTRÔLE |
| CRÉER UNE ROUTE | MODIFIER TOUTE ROUTE | SERVEUR DE CONTRÔLE |
| CRÉER UNE RÈGLE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER SCHÉMA | MODIFIER TOUT SCHÉMA | SERVEUR DE CONTRÔLE |
| CRÉER UN SERVICE | MODIFIER N'IMPORTE QUEL SERVICE | SERVEUR DE CONTRÔLE |
| CREATE SYMMETRIC KEY (créer une clé symétrique) | MODIFIER TOUTE CLÉ SYMÉTRIQUE | SERVEUR DE CONTRÔLE |
| CRÉER UN SYNONYME | ALTER | SERVEUR DE CONTRÔLE |
| CREATE TABLE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UN TYPE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER VUE | ALTER | SERVEUR DE CONTRÔLE |
| CRÉER UNE COLLECTION DE SCHÉMA XML | ALTER | SERVEUR DE CONTRÔLE |
| DELETE | CONTROL | SERVEUR DE CONTRÔLE |
| EXECUTE | CONTROL | SERVEUR DE CONTRÔLE |
| EXÉCUTER UN SCRIPT EXTERNE S'applique à: SQL Server 2016 (13.x). |
CONTROL | SERVEUR DE CONTRÔLE |
| INSERT | CONTROL | SERVEUR DE CONTRÔLE |
| TERMINER LA CONNEXION À LA BASE DE DONNÉES S'applique à: Azure SQL Database. |
CONTROL | MODIFIER N’IMPORTE QUELLE CONNEXION |
| REFERENCES | CONTROL | SERVEUR DE CONTRÔLE |
| SELECT | CONTROL | SERVEUR DE CONTRÔLE |
| SHOWPLAN | CONTROL | ALTER TRACE |
| NOTIFICATIONS DE REQUÊTE D’ABONNEMENT | CONTROL | SERVEUR DE CONTRÔLE |
| PRENDRE POSSESSION | CONTROL | SERVEUR DE CONTRÔLE |
| UNMASK | CONTROL | SERVEUR DE CONTRÔLE |
| UPDATE | CONTROL | SERVEUR DE CONTRÔLE |
| AFFICHER N’IMPORTE QUELLE CLÉ DE CHIFFREMENT DE COLONNE | CONTROL | Voir n'importe quelle définition |
| AFFICHER TOUTE DÉFINITION DE CLÉ PRINCIPALE | CONTROL | Voir n'importe quelle définition |
| AFFICHER LE STATUT DE LA BASE DE DONNÉES | CONTROL | AFFICHER L’ÉTAT DU SERVEUR |
| DÉFINITION DE LA VUE | CONTROL | Voir n'importe quelle définition |
Permissions
Le principal qui exécute cette instruction (ou le principal spécifié avec l'option AS) doit posséder l'autorisation CONTROL sur la base de données ou une autorisation plus élevée qui implique l'autorisation CONTROL sur la base de données.
Si vous utilisez l'option AS, le principal spécifié doit être propriétaire de la base de données.
Examples
A. Refus d'une autorisation de créer des certificats
Dans l'exemple ci-dessous, l'autorisation CREATE CERTIFICATE sur la base de données AdventureWorks2025 est refusée à l'utilisateur MelanieK.
USE AdventureWorks2022;
DENY CREATE CERTIFICATE TO MelanieK;
GO
B. Refus d'une autorisation REFERENCES à un rôle d'application
Dans l'exemple ci-dessous, l'autorisation REFERENCES sur la base de données AdventureWorks2025 est refusée au rôle d'application AuditMonitor.
S’applique à : SQL Server 2008 (10.0.x) et versions ultérieures, Azure SQL Database.
USE AdventureWorks2022;
DENY REFERENCES TO AuditMonitor;
GO
C. Refus d'une autorisation VIEW DEFINITION avec l'option CASCADE
Dans l’exemple ci-dessous, l’autorisation VIEW DEFINITION sur la base de données AdventureWorks2025 est refusée à l’utilisateur CarmineEs et à tous les principaux auxquels CarmineEs a accordé l’autorisation VIEW DEFINITION.
USE AdventureWorks2022;
DENY VIEW DEFINITION TO CarmineEs CASCADE;
GO