Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
SQL ServerAzure SQL DatabaseFelügyelt Azure SQL-példány
Letiltja a kiszolgáló engedélyeit.
Transact-SQL szintaxis konvenciói
Szintaxis
DENY permission [ ,...n ]
TO <grantee_principal> [ ,...n ]
[ CASCADE ]
[ AS <grantor_principal> ]
<grantee_principal> ::= SQL_Server_login
| SQL_Server_login_mapped_to_Windows_login
| SQL_Server_login_mapped_to_Windows_group
| SQL_Server_login_mapped_to_certificate
| SQL_Server_login_mapped_to_asymmetric_key
| server_role
<grantor_principal> ::= SQL_Server_login
| SQL_Server_login_mapped_to_Windows_login
| SQL_Server_login_mapped_to_Windows_group
| SQL_Server_login_mapped_to_certificate
| SQL_Server_login_mapped_to_asymmetric_key
| server_role
Érvek
engedély
Olyan engedélyt ad meg, amely megtagadható egy kiszolgálón. Az engedélyek listáját a témakör későbbi, Megjegyzések szakaszában találja.
VÍZESÉS
Azt jelzi, hogy a rendszer megtagadja az engedélyt a megadott tagnak és az összes olyan tagnak, amelyhez a rendszerbiztonsági tag engedélyt adott. Akkor szükséges, ha az egyszerű felhasználó rendelkezik a GRANT OPTION engedéllyel.
HOGY <server_principal>
Azt a tagot adja meg, amelyhez az engedély megtagadva van.
MINT <grantor_principal>
Meghatározza, hogy a lekérdezést végrehajtó egyszerű felhasználó milyen jogosultsággal rendelkezik az engedély megtagadásához.
Az AS egyszerű záradékával jelezheti, hogy az engedély tagadójaként nyilvántartott tagnak nem az utasítást végrehajtó személynek kell lennie. Tegyük fel például, hogy Mary felhasználó principal_id 12, a Raul felhasználó pedig a 15. Mary végrehajtja DENY SELECT ON OBJECT::X TO Steven WITH GRANT OPTION AS Raul; Most a sys.database_permissions tábla azt jelzi, hogy a megtagadási utasítás grantor_principal_id 15 volt (Raul), annak ellenére, hogy az utasítást ténylegesen a 13. felhasználó (Mary) hajtotta végre.
Az AS használata ebben az utasításban nem jelenti azt, hogy megszemélyesíthet egy másik felhasználót.
SQL_Server_login
SQL Server-bejelentkezést ad meg.
SQL_Server_login_mapped_to_Windows_login
A Windows-bejelentkezéshez hozzárendelt SQL Server-bejelentkezést adja meg.
SQL_Server_login_mapped_to_Windows_group
Egy Windows-csoporthoz hozzárendelt SQL Server-bejelentkezést ad meg.
SQL_Server_login_mapped_to_certificate
A tanúsítványhoz hozzárendelt SQL Server-bejelentkezést adja meg.
SQL_Server_login_mapped_to_asymmetric_key
Aszimmetrikus kulcsra leképezett SQL Server-bejelentkezést ad meg.
server_role
Kiszolgálói szerepkört ad meg.
Megjegyzések
A kiszolgáló hatókörében csak akkor lehet engedélyeket megtagadni, ha az aktuális adatbázis a főkiszolgáló.
A kiszolgálói engedélyekkel kapcsolatos információk a sys.server_permissions katalógusnézetben tekinthetők meg, a kiszolgálónevekre vonatkozó információk pedig sys.server_principals katalógusnézetben tekinthetők meg. A kiszolgálói szerepkörök tagságával kapcsolatos információk sys.server_role_members katalógusnézetben tekinthetők meg.
A kiszolgáló az engedélyek hierarchiájának legmagasabb szintje. A kiszolgálón letiltható legspecifikusabb és korlátozott engedélyek az alábbi táblázatban találhatók.
| Kiszolgálói engedély | Kiszolgálói engedély alapján vélelmezett |
|---|---|
| TÖMEGES MŰVELETEK FELÜGYELETE | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY RENDELKEZÉSRE ÁLLÁSI CSOPORT MÓDOSÍTÁSA : SQL Server (SQL Server 2012 (11.x) és jelenlegi). |
VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY KAPCSOLAT MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| HITELESÍTŐ ADATOK MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| ADATBÁZIS MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY VÉGPONT MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| ESEMÉNYÉRTESÍTÉS MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY ESEMÉNY MUNKAMENETÉNEK MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY CSATOLT KISZOLGÁLÓ MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY BEJELENTKEZÉS MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY KISZOLGÁLÓ AUDITJÁNAK MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY KISZOLGÁLÓI SZEREPKÖR MÓDOSÍTÁSA : SQL Server (SQL Server 2012 (11.x) és jelenlegi). |
VEZÉRLŐKISZOLGÁLÓ |
| ERŐFORRÁSOK MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| A KISZOLGÁLÓ ÁLLAPOTÁNAK MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| BEÁLLÍTÁSOK MÓDOSÍTÁSA | VEZÉRLŐKISZOLGÁLÓ |
| VÁLTOZÁSKÖVETÉS | VEZÉRLŐKISZOLGÁLÓ |
| HITELESÍTÉSKISZOLGÁLÓ | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY ADATBÁZIS CSATLAKOZTATÁSA A következő: SQL Server (SQL Server 2014 (12.x) és jelenlegi). |
VEZÉRLŐKISZOLGÁLÓ |
| SQL CSATLAKOZTATÁSA | VEZÉRLŐKISZOLGÁLÓ |
| VEZÉRLŐKISZOLGÁLÓ | VEZÉRLŐKISZOLGÁLÓ |
| ADATBÁZIS LÉTREHOZÁSA | ADATBÁZIS MÓDOSÍTÁSA |
| RENDELKEZÉSRE ÁLLÁSI CSOPORT LÉTREHOZÁSA : SQL Server (SQL Server 2012 (11.x) és jelenlegi). |
BÁRMELY RENDELKEZÉSRE ÁLLÁSI CSOPORT MÓDOSÍTÁSA |
| DDL-ESEMÉNYÉRTESÍTÉS LÉTREHOZÁSA | ESEMÉNYÉRTESÍTÉS MÓDOSÍTÁSA |
| VÉGPONT LÉTREHOZÁSA | BÁRMELY VÉGPONT MÓDOSÍTÁSA |
| KISZOLGÁLÓI SZEREPKÖR LÉTREHOZÁSA : SQL Server (SQL Server 2012 (11.x) és jelenlegi). |
BÁRMELY KISZOLGÁLÓI SZEREPKÖR MÓDOSÍTÁSA |
| NYOMKÖVETÉSI ESEMÉNYÉRTESÍTÉS LÉTREHOZÁSA | ESEMÉNYÉRTESÍTÉS MÓDOSÍTÁSA |
| KÜLSŐ HOZZÁFÉRÉSI SZERELVÉNY | VEZÉRLŐKISZOLGÁLÓ |
| MEGSZEMÉLYESÍT MINDEN BEJELENTKEZÉST A következő: SQL Server (SQL Server 2014 (12.x) és jelenlegi). |
VEZÉRLŐKISZOLGÁLÓ |
| AZ ÖSSZES BIZTONSÁGOS FELHASZNÁLÓ KIVÁLASZTÁSA A következő: SQL Server (SQL Server 2014 (12.x) és jelenlegi). |
VEZÉRLŐKISZOLGÁLÓ |
| LEÁLLÍTÁS | VEZÉRLŐKISZOLGÁLÓ |
| NEM BIZTONSÁGOS SZERELVÉNY | VEZÉRLŐKISZOLGÁLÓ |
| BÁRMELY ADATBÁZIS MEGTEKINTÉSE | BÁRMELY DEFINÍCIÓ MEGTEKINTÉSE |
| BÁRMELY DEFINÍCIÓ MEGTEKINTÉSE | VEZÉRLŐKISZOLGÁLÓ |
| KISZOLGÁLÓ ÁLLAPOTÁNAK MEGTEKINTÉSE | A KISZOLGÁLÓ ÁLLAPOTÁNAK MÓDOSÍTÁSA |
A következő három kiszolgálói engedély lett hozzáadva az SQL Server 2014-ben (12.x).
CONNECT ANY DATABASE engedély
Adjon meg BÁRMELY ADATBÁZIS- olyan bejelentkezéshez, amelyhez csatlakoznia kell a jelenleg létező összes adatbázishoz és a jövőben esetleg létrejövő új adatbázisokhoz. A csatlakozáson túl egyetlen adatbázisban sem ad engedélyt. A SELECT ALL USER SECURABLES vagy VIEW SERVER STATE beállítással kombinálva lehetővé teszi, hogy a naplózási folyamat az SQL Server-példány összes adatát vagy adatbázisállapotát megtekintse.
MEGSZEMÉLYESÍT MINDEN BEJELENTKEZÉSI engedélyt
Ha meg van adva, lehetővé teszi, hogy egy középső szintű folyamat megszemélyesítse a hozzá csatlakozó ügyfelek fiókját, miközben az adatbázisokhoz csatlakozik. Ha megtagadják, a magas jogosultságú bejelentkezések letilthatók más bejelentkezések megszemélyesítésében. Például a CONTROL SERVER engedéllyel rendelkező bejelentkezések letilthatók más bejelentkezések megszemélyesítésében.
VÁLASZD KI AZ ÖSSZES FELHASZNÁLÓ BIZTONSÁGI ESZKÖZT Engedély
Ha meg van adva, egy bejelentkezés, például egy auditor megtekintheti az adatokat az összes adatbázisban, amelyhez a felhasználó csatlakozhat. Ha a rendszer megtagadja, megakadályozza az objektumokhoz való hozzáférést, kivéve, ha azok a sys sémában találhatók.
Engedélyek
A CONTROL SERVER engedélyre vagy a biztonságos eszköz tulajdonjogára van szükség. Ha az AS záradékot használja, a megadott tagnak rendelkeznie kell azzal a biztonságos eszközzel, amelyen az engedélyeket megtagadják.
Példák
Egy. A CONNECT SQL-engedély megtagadása olyan SQL Server-bejelentkezéshez és -tagokhoz, amelyekre a bejelentkezés regisztrálva lett
Az alábbi példa tagadja CONNECT SQL engedélyt az SQL Server bejelentkezési Annika és azoknak a tagoknak, amelyeknek engedélyt adott.
USE master;
DENY CONNECT SQL TO Annika CASCADE;
GO
B. A CREATE ENDPOINT engedély megtagadása SQL Server-bejelentkezéshez az AS beállítással
Az alábbi példa nem engedélyezi CREATE ENDPOINT engedélyt a felhasználónak ArifS. A példa a AS beállítással adja meg, hogy MandarP az a főnév, amelyből a végrehajtó tag erre a szolgáltatótól származik.
USE master;
DENY CREATE ENDPOINT TO ArifS AS MandarP;
GO
Lásd még:
TÁMOGATÁS (Transact-SQL)
MEGTAGADÁS (Transact-SQL)
DENY-kiszolgáló engedélyeinek (Transact-SQL)
VISSZAVONÁS kiszolgálóengedélyek (Transact-SQL)
engedélyhierarchia (adatbázismotor)
sys.fn_builtin_permissions (Transact-SQL)
sys.fn_my_permissions (Transact-SQL)
HAS_PERMS_BY_NAME (Transact-SQL)