Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Setiap SQL Server yang dapat diamankan memiliki izin terkait yang dapat diberikan kepada prinsipal. Topik ini menyediakan informasi berikut:
Konvensi Penamaan Izin
Contoh-contoh
Konvensi Penamaan Izin
Berikut ini menjelaskan konvensi umum yang diikuti untuk izin penamaan:
KONTROL
Menganugerah kemampuan seperti kepemilikan pada penerima hibah. Penerima izin secara efektif memiliki semua izin yang ditentukan pada objek yang bisa diamankan. Prinsipal yang telah diberikan izin CONTROL juga dapat memberikan izin pada objek yang dapat diamankan. Karena model keamanan SQL Server bersifat hierarkis, CONTROL dalam cakupan tertentu secara implisit menyertakan CONTROL pada semua objek keamanan di bawah cakupan tersebut. Misalnya, CONTROL pada database menyiratkan semua izin pada database, semua izin pada semua rakitan dalam database, semua izin pada semua skema dalam database, dan semua izin pada objek dalam semua skema dalam database.
UBAH
Memungkinkan kemampuan untuk mengubah properti, kecuali kepemilikan, dari objek yang dapat diamankan tertentu. Ketika diberikan pada cakupan, ALTER juga memberikan kemampuan untuk mengubah, membuat, atau menghapus objek yang dapat diamankan yang terkandung dalam cakupan tersebut. Misalnya, izin UBAH pada skema mencakup kemampuan untuk membuat, mengubah, dan menghilangkan objek dari skema.
ALTER ANY <Server Securable>, di mana Server Securable dapat menjadi server apa pun yang dapat diamankan.
Menganugerahkan kemampuan untuk membuat, mengubah, atau menghilangkan masing-masing instans Server Securable. Misalnya, ALTER ANY LOGIN menganugerahkan kemampuan untuk membuat, mengubah, atau menghilangkan login apa pun dalam instans.
ALTER ANY <Database Securable>, di mana Database Securable dapat merujuk pada setiap objek yang dapat diamankan di tingkat database.
Menganugerahkan kemampuan untuk MEMBUAT, MENGUBAH, atau MENGHILANGKAN masing-masing instans Database Securable. Misalnya, ALTER ANY SCHEMA menganugerahkan kemampuan untuk membuat, mengubah, atau menghilangkan skema apa pun dalam database.
AMBIL KEPEMILIKAN
Memungkinkan penerima hak untuk mengambil alih kepemilikan atas objek yang dapat diamankan.
MENGAKSES SEBAGAI <Login>
Memungkinkan penerima izin untuk meniru login.
MENIRU <Pengguna>
Memungkinkan penerima hibah untuk meniru pengguna.
BUAT <Server yang Dapat Diamankan>
Menganugerahkan kepada penerima izin kemampuan untuk membuat Server Securable.
CREATE <Database Securable>
Menganugerahkan kepada penerima izin kemampuan untuk membuat Database Securable.
CREATE <Schema-contained Securable>
Menganugerahkan kemampuan untuk membuat objek yang dapat diamankan dalam skema. Namun, izin ALTER pada skema diperlukan untuk membuat objek yang dapat diamankan dalam skema tertentu.
MELIHAT DEFINISI
Memungkinkan penerima hibah mengakses metadata.
REFERENSI
Izin REFERENCES pada tabel diperlukan untuk membuat batasan KUNCI ASING yang mereferensikan tabel tersebut.
Izin REFERENSI diperlukan pada objek untuk membuat FUNGSI atau TAMPILAN dengan klausa yang mereferensikan objek tersebut
WITH SCHEMABINDING.
Bagan Hak Akses SQL Server
Untuk bagan berukuran poster dari semua izin Mesin Database dalam format pdf, lihat https://github.com/microsoft/sql-server-samples/blob/master/samples/features/security/permissions-posters/Microsoft_SQL_Server_2017_and_Azure_SQL_Database_permissions_infographic.pdf.
Izin yang Berlaku untuk Objek Keamanan Tertentu
Tabel berikut mencantumkan kelas utama izin dan jenis keamanan yang mungkin diterapkan.
| Persetujuan | Berlaku pada |
|---|---|
| PILIH | Sinonim Tabel dan kolom Fungsi bernilai tabel, Transact-SQL, Common Language Runtime (CLR), dan kolom Tampilan dan kolom |
| LIHAT PELACAKAN PERUBAHAN | Tabel Skema |
| Pembaruan | Sinonim Tabel dan kolom Tampilan dan kolom Objek urutan |
| REFERENSI | Fungsi skalar dan agregat (Transact-SQL dan CLR) Antrean Pialang Layanan Tabel dan kolom Fungsi berjenis tabel (Transact-SQL dan CLR), dan kolom Jenis Tampilan dan kolom Objek urutan |
| Masukkan | Sinonim Tabel dan kolom Tampilan dan kolom |
| MENGHAPUS | Sinonim Tabel dan kolom Tampilan dan kolom |
| MELAKSANAKAN | Prosedur (Transact-SQL dan CLR) Fungsi skalar dan agregat (Transact-SQL dan CLR) Sinonim Jenis CLR |
| MENERIMA | Antrean Broker Layanan |
| MELIHAT DEFINISI | Kelompok Ketersediaan Prosedur (Transact-SQL dan CLR) Antrian Perantara Layanan Fungsi skalar dan agregat (Transact-SQL dan CLR) Login, pengguna, dan peran Sinonim Tabel Fungsi bernilai tabel (Transact-SQL dan CLR) Pandangan Objek urutan |
| UBAH | Kelompok Ketersediaan Prosedur (Transact-SQL dan CLR) Fungsi skalar dan agregat (Transact-SQL dan CLR) Objek berurutan Login, pengguna, dan peran Antrean Perantara Layanan Tabel Fungsi bernilai tabel (Transact-SQL dan CLR) Pandangan |
| AMBIL KEPEMILIKAN | Kelompok Ketersediaan Peranan Prosedur (Transact-SQL dan CLR) Fungsi skalar dan agregat (Transact-SQL dan CLR) Peran server Sinonim Tabel Fungsi bernilai tabel (Transact-SQL dan CLR) Pandangan Objek berurutan |
| KONTROL | Kelompok Ketersediaan Prosedur (Transact-SQL dan CLR) Fungsi skalar dan agregat (Transact-SQL dan CLR) Login, pengguna, dan peran Antrean Pialang Layanan Sinonim Tabel Fungsi yang mengembalikan nilai tabel (Transact-SQL dan CLR) Pandangan Objek urutan |
| MENIRU | Login dan pengguna |
Perhatian
Izin default yang diberikan ke objek sistem pada saat penyiapan dievaluasi dengan hati-hati terhadap kemungkinan ancaman dan tidak perlu diubah sebagai bagian dari pengerasan penginstalan SQL Server. Setiap perubahan pada izin pada objek sistem dapat membatasi atau merusak fungsionalitas dan berpotensi meninggalkan penginstalan SQL Server Anda dalam status tidak didukung.
Izin SQL Server dan SQL Database
Tabel berikut ini menyediakan daftar lengkap izin SQL Server. Izin SQL Database hanya tersedia untuk keamanan dasar yang didukung. Izin tingkat server tidak dapat diberikan di SQL Database, namun dalam beberapa kasus izin database tersedia sebagai gantinya.
| Basis yang dapat diamankan | Izin terperinci pada basis yang dapat diamankan | Kode jenis izin | Securable yang berisi basis yang dapat diamankan | Izin pada kontainer yang dapat diamankan yang menyiratkan izin terperinci pada basis yang dapat diamankan |
|---|---|---|---|---|
| PERAN APLIKASI | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH PERAN APLIKASI APA PUN |
| PERAN APLIKASI | KONTROL | CL | BASIS DATA | KONTROL |
| PERAN APLIKASI | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| PERAKITAN (or RAPAT depending on context) | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH RAKITAN APA PUN |
| PERAKITAN (or RAPAT depending on context) | KONTROL | CL | BASIS DATA | KONTROL |
| PERAKITAN (or RAPAT depending on context) | REFERENSI | RF | BASIS DATA | REFERENSI |
| PERAKITAN (or RAPAT depending on context) | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| PERAKITAN (or RAPAT depending on context) | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| KUNCI ASIMETRIS | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH KUNCI ASIMETRIS APA PUN |
| KUNCI ASIMETRIS | KONTROL | CL | BASIS DATA | KONTROL |
| KUNCI ASIMETRIS | REFERENSI | RF | BASIS DATA | REFERENSI |
| KUNCI ASIMETRIS | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| KUNCI ASIMETRIS | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| KELOMPOK KETERSEDIAAN | UBAH | AL (Angkatan Laut) | SERVER | MENGUBAH GRUP KETERSEDIAAN APA PUN |
| KELOMPOK KETERSEDIAAN | KONTROL | CL | SERVER | SERVER KONTROL |
| KELOMPOK KETERSEDIAAN | AMBIL KEPEMILIKAN | KE | SERVER | SERVER KONTROL |
| KELOMPOK KETERSEDIAAN | MELIHAT DEFINISI | VW | SERVER | LIHAT SEMUA DEFINISI |
| SERTIFIKAT | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH SERTIFIKAT APA PUN |
| SERTIFIKAT | KONTROL | CL | BASIS DATA | KONTROL |
| SERTIFIKAT | REFERENSI | RF | BASIS DATA | REFERENSI |
| SERTIFIKAT | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| SERTIFIKAT | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| KONTRAK | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH KONTRAK APA PUN |
| KONTRAK | KONTROL | CL | BASIS DATA | KONTROL |
| KONTRAK | REFERENSI | RF | BASIS DATA | REFERENSI |
| KONTRAK | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| KONTRAK | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| BASIS DATA | UBAH | AL (Angkatan Laut) | SERVER | MENGUBAH SEMUA DATABASE |
| BASIS DATA | MENGUBAH PERAN APLIKASI APA PUN | Alarm | SERVER | SERVER KONTROL |
| BASIS DATA | MENGUBAH RAKITAN APA PUN | SAYANGNYA | SERVER | SERVER KONTROL |
| BASIS DATA | MENGUBAH KUNCI ASIMETRIS APA PUN | ALAK | server | SERVER KONTROL |
| BASIS DATA | MENGUBAH SERTIFIKAT APA PUN | ALCF | SERVER | SERVER KONTROL |
| BASIS DATA | MENGUBAH KONTRAK APA PUN | ALSC | PELADEN | SERVER KONTROL |
| BASIS DATA | MENGUBAH AUDIT DATABASE APAPUN | ALDA | PELADEN | MENGUBAH AUDIT SERVER APA PUN |
| BASIS DATA | MENGUBAH PEMICU DDL DATABASE APA PUN | ALTG | PELADEN | SERVER KONTROL |
| BASIS DATA | MENGUBAH PEMBERITAHUAN PERISTIWA DATABASE APA PUN | ALED | PELADEN | MENGUBAH PEMBERITAHUAN PERISTIWA APA PUN |
| BASIS DATA | MENGUBAH SESI PERISTIWA DATABASE APA PUN | AADS Catatan: Hanya berlaku untuk SQL Database. |
PELADEN | MENGUBAH SESI PERISTIWA APA PUN |
| BASIS DATA | MENGUBAH RUANG DATA APA PUN | ALD | PELADEN | SERVER KONTROL |
| BASIS DATA | MENGUBAH KATALOG FULLTEXT APA PUN | ALFT | SERVER | SERVER KONTROL |
| BASIS DATA | UBAH JENIS PESAN APA PUN | ALMT | PELADEN | SERVER KONTROL |
| BASIS DATA | MENGUBAH PENGIKATAN LAYANAN JARAK JAUH APA PUN | ALSB | SERVER | SERVER KONTROL |
| BASIS DATA | MENGUBAH PERAN APA PUN | ALRL | SERVER | SERVER KONTROL |
| BASIS DATA | MENGUBAH RUTE APA PUN | ALRT | PELADEN | SERVER KONTROL |
| BASIS DATA | MENGUBAH SKEMA MANAPUN | ALSM | PELADEN | SERVER KONTROL |
| BASIS DATA | MENGUBAH KEBIJAKAN KEAMANAN APA PUN | ALSP Catatan: Hanya berlaku untuk SQL Database. |
Server | SERVER KONTROL |
| BASIS DATA | MENGUBAH LAYANAN APA PUN | ALSV | SERVER | SERVER KONTROL |
| BASIS DATA | MENGUBAH KUNCI SIMETRIS APA PUN | ALSK | PELAYAN | SERVER KONTROL |
| BASIS DATA | MENGUBAH SETIAP PENGGUNA | ALUS | SERVER | SERVER KONTROL |
| BASIS DATA | MENGOTENTIKASI | AUTENTIKASI | SERVER | MENGAUTENTIKASI SERVER |
| BASIS DATA | DATABASE CADANGAN | BADB | PELADEN | SERVER KONTROL |
| BASIS DATA | LOG CADANGAN | BALO | SERVER | SERVER KONTROL |
| BASIS DATA | Pos pemeriksaan | CP | SERVER | SERVER KONTROL |
| BASIS DATA | MENGHUBUNGKAN | Karbon Monoksida | PELADEN | SERVER KONTROL |
| BASIS DATA | SAMBUNGKAN REPLIKASI | KORPORASI | PELADEN | SERVER KONTROL |
| BASIS DATA | KONTROL | CL | SERVER | SERVER KONTROL |
| BASIS DATA | BUAT AGREGAT | KARANG | PELADEN | SERVER KONTROL |
| BASIS DATA | MEMBUAT RAKITAN | CRAS | PELADEN | SERVER KONTROL |
| BASIS DATA | MEMBUAT KUNCI ASIMETRIS | CRAK | SERVER | SERVER KONTROL |
| BASIS DATA | BUAT SERTIFIKAT | CRCF | PELADEN | SERVER KONTROL |
| BASIS DATA | BUAT KONTRAK | CRSC | SERVER | SERVER KONTROL |
| BASIS DATA | BUAT DATABASE | CRDB | PELADEN | MEMBUAT DATABASE APA PUN |
| BASIS DATA | MEMBUAT PEMBERITAHUAN PERISTIWA DDL DATABASE | CRED | SERVER | MEMBUAT PEMBERITAHUAN PERISTIWA DDL |
| BASIS DATA | BUAT DEFAULT | CRDF | PELADEN | SERVER KONTROL |
| BASIS DATA | BUAT KATALOG FULLTEXT | CRFT | SERVER | SERVER KONTROL |
| BASIS DATA | BUAT FUNGSI | CRFN | PELADEN | SERVER KONTROL |
| BASIS DATA | MEMBUAT JENIS PESAN | CRMT | PELADEN | SERVER KONTROL |
| BASIS DATA | CREATE PROCEDURE (membuat prosedur) | CRPR | SERVER | SERVER KONTROL |
| BASIS DATA | BUAT ANTREAN | CRQU | SERVER | SERVER KONTROL |
| BASIS DATA | MEMBUAT PENGIKATAN LAYANAN JARAK JAUH | CRSB | SERVER | SERVER KONTROL |
| BASIS DATA | BUAT PERAN | CRRL | SERVER | SERVER KONTROL |
| BASIS DATA | BUAT RUTE | CRRT | SERVER | SERVER KONTROL |
| BASIS DATA | BUAT ATURAN | CRRU | SERVER | SERVER KONTROL |
| BASIS DATA | Buat Skema | CRSM | PELADEN | SERVER KONTROL |
| BASIS DATA | BUAT LAYANAN | CRSV | Server | SERVER KONTROL |
| BASIS DATA | MEMBUAT KUNCI SIMETRIS | CRSK | SERVER | SERVER KONTROL |
| BASIS DATA | MEMBUAT SINONIM | CRSN | Server | SERVER KONTROL |
| BASIS DATA | BUAT TABEL | CRTB | PELADEN | SERVER KONTROL |
| BASIS DATA | MEMBUAT TIPE | CRTY | server | SERVER KONTROL |
| BASIS DATA | BUAT TAMPILAN | CRVW | PELADEN | SERVER KONTROL |
| BASIS DATA | MEMBUAT KOLEKSI SKEMA XML | CRXS | SERVER | SERVER KONTROL |
| BASIS DATA | MENGHAPUS | DL | SERVER | SERVER KONTROL |
| BASIS DATA | MELAKSANAKAN | BEKAS | PELADEN | SERVER KONTROL |
| BASIS DATA | Masukkan | DI | PELADEN | SERVER KONTROL |
| BASIS DATA | Hentikan Koneksi Basis Data | KIDC Catatan: Hanya berlaku untuk SQL Database. Gunakan “ALTER ANY CONNECTION” di SQL Server. |
SERVER | MENGUBAH KONEKSI APA PUN |
| BASIS DATA | REFERENSI | RF | SERVER | SERVER KONTROL |
| BASIS DATA | PILIH | SL | SERVER | SERVER KONTROL |
| BASIS DATA | SHOWPLAN | SPLN | PELADEN | ALTER TRACE |
| BASIS DATA | BERLANGGANAN PEMBERITAHUAN KUERI | SUQN | SERVER | SERVER KONTROL |
| BASIS DATA | AMBIL KEPEMILIKAN | KE | PELADEN | SERVER KONTROL |
| BASIS DATA | Pembaruan | Ke atas | SERVER | SERVER KONTROL |
| BASIS DATA | LIHAT STATUS DATABASE | VWDS | SERVER | LIHAT KEADAAN SERVER |
| BASIS DATA | MELIHAT DEFINISI | VW | SERVER | LIHAT SEMUA DEFINISI |
| titik akhir | UBAH | AL (Angkatan Laut) | SERVER | MENGUBAH TITIK AKHIR APA PUN |
| titik akhir | MENGHUBUNGKAN | Karbon Monoksida | PELADEN | SERVER KONTROL |
| titik akhir | KONTROL | CL | PELADEN | SERVER KONTROL |
| titik akhir | AMBIL KEPEMILIKAN | KE | SERVER | SERVER KONTROL |
| titik akhir | MELIHAT DEFINISI | VW | SERVER | LIHAT SEMUA DEFINISI |
| Katalog Fulltext | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH KATALOG FULLTEXT APA PUN |
| Katalog Fulltext | KONTROL | CL | BASIS DATA | KONTROL |
| Katalog Fulltext | REFERENSI | RF | BASIS DATA | REFERENSI |
| Katalog Fulltext | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| Katalog Fulltext | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| DAFTAR HENTI TEKS PENUH | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH KATALOG FULLTEXT APA PUN |
| DAFTAR HENTI TEKS PENUH | KONTROL | CL | BASIS DATA | KONTROL |
| DAFTAR HENTI TEKS PENUH | REFERENSI | RF | BASIS DATA | REFERENSI |
| DAFTAR HENTI TEKS PENUH | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| DAFTAR HENTI TEKS PENUH | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| LOGIN | UBAH | AL (Angkatan Laut) | SERVER | MENGUBAH SEMUA LOGIN |
| LOGIN | KONTROL | CL | SERVER | SERVER KONTROL |
| LOGIN | MENIRU | IM | SERVER | SERVER KONTROL |
| LOGIN | MELIHAT DEFINISI | VW | SERVER | LIHAT SEMUA DEFINISI |
| JENIS PESAN | UBAH | AL (Angkatan Laut) | BASIS DATA | UBAH JENIS PESAN APA PUN |
| JENIS PESAN | KONTROL | CL | BASIS DATA | KONTROL |
| JENIS PESAN | REFERENSI | RF | BASIS DATA | REFERENSI |
| JENIS PESAN | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| JENIS PESAN | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| BENDA | UBAH | AL (Angkatan Laut) | SKEMA | UBAH |
| BENDA | KONTROL | CL | SKEMA | KONTROL |
| BENDA | MENGHAPUS | DL | SKEMA | MENGHAPUS |
| BENDA | MELAKSANAKAN | BEKAS | SKEMA | MELAKSANAKAN |
| BENDA | Masukkan | DI | SKEMA | Masukkan |
| BENDA | MENERIMA | RC | SKEMA | KONTROL |
| BENDA | REFERENSI | RF | SKEMA | REFERENSI |
| BENDA | PILIH | SL | SKEMA | PILIH |
| BENDA | AMBIL KEPEMILIKAN | KE | SKEMA | KONTROL |
| BENDA | Pembaruan | Ke atas | SKEMA | Pembaruan |
| BENDA | LIHAT PELACAKAN PERUBAHAN | VWCT | SKEMA | LIHAT PELACAKAN PERUBAHAN |
| BENDA | MELIHAT DEFINISI | VW | SKEMA | MELIHAT DEFINISI |
| PENGIKATAN LAYANAN JARAK JAUH | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH PENGIKATAN LAYANAN JARAK JAUH APA PUN |
| PENGIKATAN LAYANAN JARAK JAUH | KONTROL | CL | BASIS DATA | KONTROL |
| PENGIKATAN LAYANAN JARAK JAUH | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| PENGIKATAN LAYANAN JARAK JAUH | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| PERANAN | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH PERAN APA PUN |
| PERANAN | KONTROL | CL | BASIS DATA | KONTROL |
| PERANAN | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| PERANAN | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| RUTE | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH RUTE APA PUN |
| RUTE | KONTROL | CL | BASIS DATA | KONTROL |
| RUTE | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| RUTE | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| DAFTAR PROPERTI UNTUK PENCARIAN | UBAH | AL (Angkatan Laut) | SERVER | MENGUBAH KATALOG FULLTEXT APA PUN |
| DAFTAR PROPERTI UNTUK PENCARIAN | KONTROL | CL | SERVER | KONTROL |
| DAFTAR PROPERTI UNTUK PENCARIAN | REFERENSI | RF | PELADEN | REFERENSI |
| DAFTAR PROPERTI UNTUK PENCARIAN | AMBIL KEPEMILIKAN | KE | PELADEN | KONTROL |
| DAFTAR PROPERTI UNTUK PENCARIAN | MELIHAT DEFINISI | VW | server | MELIHAT DEFINISI |
| SKEMA | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH SKEMA APA SAJA |
| SKEMA | KONTROL | CL | BASIS DATA | KONTROL |
| SKEMA | BUAT URUTAN | CRSO | BASIS DATA | KONTROL |
| SKEMA | MENGHAPUS | DL | BASIS DATA | MENGHAPUS |
| SKEMA | MELAKSANAKAN | BEKAS | BASIS DATA | MELAKSANAKAN |
| SKEMA | Masukkan | DI | BASIS DATA | Masukkan |
| SKEMA | REFERENSI | RF | BASIS DATA | REFERENSI |
| SKEMA | PILIH | SL | BASIS DATA | PILIH |
| SKEMA | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| SKEMA | Pembaruan | Ke atas | BASIS DATA | Pembaruan |
| SKEMA | LIHAT PELACAKAN PERUBAHAN | VWCT | BASIS DATA | LIHAT PELACAKAN PERUBAHAN |
| SKEMA | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| PELADEN | MENGELOLA OPERASI MASSAL | ADBO | Tidak berlaku | Tidak berlaku |
| PELADEN | MENGUBAH KONEKSI APA PUN | ALCO | Tidak berlaku | Tidak berlaku |
| SERVER | MENGUBAH KREDENSIAL APA PUN | ALCD | Tidak berlaku | Tidak berlaku |
| SERVER | MENGUBAH DATABASE APA SAJA | ALDB | Tidak berlaku | Tidak berlaku |
| Server | MENGUBAH TITIK AKHIR APA PUN | ALHE | Tidak berlaku | Tidak berlaku |
| SERVER | MENGUBAH PEMBERITAHUAN PERISTIWA APA PUN | ALES | Tidak berlaku | Tidak berlaku |
| SERVER | MENGUBAH SESI PERISTIWA APA PUN | AAES | Tidak berlaku | Tidak berlaku |
| SERVER | MENGUBAH SERVER TERTAUT APA PUN | ALLS | Tidak berlaku | Tidak berlaku |
| SERVER | MENGUBAH IZIN LOGIN | ALLG | Tidak berlaku | Tidak berlaku |
| PELADEN | MENGUBAH AUDIT SERVER APA PUN | ALAA | Tidak berlaku | Tidak berlaku |
| SERVER | MENGUBAH PERAN SERVER APA PUN | ALSR | Tidak berlaku | Tidak berlaku |
| SERVER | UBAH GRUP KETERSEDIAAN | ALAG | Tidak berlaku | Tidak berlaku |
| PELADEN | UBAH SUMBER DAYA | ALRS | Tidak berlaku | Tidak berlaku |
| SERVIS | UBAH STATUS SERVER | ALSS | Tidak berlaku | Tidak berlaku |
| SERVER | UBAH PENGATURAN | ALST | Tidak berlaku | Tidak berlaku |
| SERVER | UBAH TRACE (ALTER TRACE) | ALTR | Tidak berlaku | Tidak berlaku |
| SERVER | MENGAUTENTIKASI SERVER | AUTENTIKASI | Tidak berlaku | Tidak berlaku |
| SERVER | MENGHUBUNGKAN DATABASE APA SAJA | CADB | Tidak berlaku | Tidak berlaku |
| PELADEN | SAMBUNGKAN SQL | COSQ | Tidak berlaku | Tidak berlaku |
| SERVER | SERVER KONTROL | CL | Tidak berlaku | Tidak berlaku |
| SERVER | BUAT DATABASE APA SAJA | CRDB | Tidak berlaku | Tidak berlaku |
| SERVER | MEMBUAT GRUP KETERSEDIAAN | CRAC | Tidak berlaku | Tidak berlaku |
| SERVER | MEMBUAT PEMBERITAHUAN PERISTIWA DDL | CRDE | Tidak berlaku | Tidak berlaku |
| PELADEN | MEMBUAT TITIK AKHIR ... | CRHE | Tidak berlaku | Tidak berlaku |
| PELADEN | BUAT PERAN SERVER | CRSR | Tidak berlaku | Tidak berlaku |
| Server | MEMBUAT PEMBERITAHUAN PERISTIWA PELACAKAN | CRTE | Tidak berlaku | Tidak berlaku |
| PELADEN | RAKITAN AKSES EKSTERNAL | XA | Tidak berlaku | Tidak berlaku |
| PELADEN | MENIRU LOGIN APA PUN | IAL | Tidak berlaku | Tidak berlaku |
| SERVER | PILIH SEMUA PENGGUNA YANG DAPAT DIAMANKAN | SUS | Tidak berlaku | Tidak berlaku |
| PELADEN | Matikan | SHDN | Tidak berlaku | Tidak berlaku |
| SERVER | RAKITAN TIDAK AMAN | XU | Tidak berlaku | Tidak berlaku |
| SERVER | MENAMPILKAN DATABASE APA PUN | VWDB | Tidak berlaku | Tidak berlaku |
| PELADEN | LIHAT SEMUA DEFINISI | VWAD | Tidak berlaku | Tidak berlaku |
| SERVER | LIHAT KEADAAN SERVER | VWSS | Tidak berlaku | Tidak berlaku |
| PERAN SERVER | UBAH | AL (Angkatan Laut) | SERVER | MENGUBAH PERAN SERVER APA PUN |
| PERAN SERVER | KONTROL | CL | SERVER | SERVER KONTROL |
| PERAN SERVER | AMBIL KEPEMILIKAN | KE | SERVER | SERVER KONTROL |
| PERAN SERVER | MELIHAT DEFINISI | VW | PELADEN | LIHAT SEMUA DEFINISI |
| LAYANAN | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH LAYANAN APA PUN |
| LAYANAN | KONTROL | CL | BASIS DATA | KONTROL |
| LAYANAN | KIRIM | SN | BASIS DATA | KONTROL |
| LAYANAN | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| LAYANAN | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| KUNCI SIMETRIS | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH KUNCI SIMETRIS APA PUN |
| KUNCI SIMETRIS | KONTROL | CL | BASIS DATA | KONTROL |
| KUNCI SIMETRIS | REFERENSI | RF | BASIS DATA | REFERENSI |
| KUNCI SIMETRIS | AMBIL KEPEMILIKAN | KE | BASIS DATA | KONTROL |
| KUNCI SIMETRIS | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| JENIS | KONTROL | CL | SKEMA | KONTROL |
| JENIS | MELAKSANAKAN | BEKAS | SKEMA | MELAKSANAKAN |
| JENIS | REFERENSI | RF | SKEMA | REFERENSI |
| JENIS | AMBIL KEPEMILIKAN | KE | SKEMA | KONTROL |
| JENIS | MELIHAT DEFINISI | VW | SKEMA | MELIHAT DEFINISI |
| PENGGUNA | UBAH | AL (Angkatan Laut) | BASIS DATA | MENGUBAH SETIAP PENGGUNA |
| PENGGUNA | KONTROL | CL | BASIS DATA | KONTROL |
| PENGGUNA | MENIRU | IM | BASIS DATA | KONTROL |
| PENGGUNA | MELIHAT DEFINISI | VW | BASIS DATA | MELIHAT DEFINISI |
| KOLEKSI SKEMA XML | UBAH | AL (Angkatan Laut) | SKEMA | UBAH |
| KOLEKSI SKEMA XML | KONTROL | CL | SKEMA | KONTROL |
| KOLEKSI SKEMA XML | MELAKSANAKAN | BEKAS | SKEMA | MELAKSANAKAN |
| KOLEKSI SKEMA XML | REFERENSI | RF | SKEMA | REFERENSI |
| KOLEKSI SKEMA XML | AMBIL KEPEMILIKAN | KE | SKEMA | KONTROL |
| KOLEKSI SKEMA XML | MELIHAT DEFINISI | VW | SKEMA | MELIHAT DEFINISI |
Ringkasan Algoritma Pemeriksaan Hak Akses
Memeriksa izin bisa kompleks. Algoritma pemeriksaan izin mencakup keanggotaan grup yang tumpang tindih dan rantai kepemilikan, izin eksplisit dan implisit, dan dapat dipengaruhi oleh izin pada kelas yang dapat diamankan yang berisi entitas yang dapat diamankan. Proses umum algoritma adalah mengumpulkan semua izin yang relevan. Jika tidak ada penolakan pemblokiran yang ditemukan, algoritma mencari izin yang menyediakan akses yang cukup. Algoritma berisi tiga elemen penting, konteks keamanan, ruang izin, dan izin yang diperlukan.
Nota
Anda tidak dapat memberikan, menolak, atau mencabut izin untuk sa, dbo, pemilik entitas, information_schema, sys, atau diri Anda sendiri.
Konteks keamanan
Ini adalah grup pelaku yang memberikan izin untuk pemeriksaan akses. Ini adalah izin yang terkait dengan login atau pengguna saat ini, kecuali konteks keamanan diubah ke login atau pengguna lain dengan menggunakan pernyataan EXECUTE AS. Konteks keamanan mencakup prinsipal berikut:
Masuk
Pengguna
Keanggotaan peran
Keanggotaan grup Windows
Jika penandatanganan modul sedang digunakan, setiap login atau akun pengguna untuk sertifikat yang digunakan untuk menandatangani modul yang saat ini dijalankan pengguna, dan keanggotaan peran terkait dari prinsipal tersebut.
Ruang izin
Ini adalah entitas yang dapat diamankan dan kelas-kelas yang berisi entitas tersebut. Misalnya, tabel (entitas yang dapat diamankan) dimuat oleh kelas yang dapat diamankan skema dan oleh kelas yang dapat diamankan database. Akses dapat dipengaruhi oleh izin tingkat tabel, skema, database, dan server. Untuk informasi selengkapnya, lihat Hierarki Izin (Mesin Database).
Izin yang diperlukan
Jenis izin yang diperlukan. Misalnya, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, dan sebagainya.
Access dapat memerlukan beberapa izin, seperti dalam contoh berikut:
Prosedur tersimpan dapat memerlukan izin EXECUTE pada prosedur tersimpan dan izin INSERT pada beberapa tabel yang dirujuk oleh prosedur tersimpan.
Tampilan manajemen dinamis dapat memerlukan izin TAMPILKAN STATUS SERVER dan SELECT pada tampilan.
Langkah-Langkah Umum Algoritma
Saat algoritma menentukan apakah akan memberikan akses ke objek yang dapat diamankan, langkah-langkah tepat yang digunakannya dapat bervariasi, tergantung pada prinsipal dan objek yang dapat diamankan yang terlibat. Namun, algoritma melakukan langkah-langkah umum berikut:
Lewati pemeriksaan izin apakah login adalah anggota peran server tetap sysadmin atau jika pengguna adalah pengguna dbo dalam database saat ini.
Izinkan akses jika rantai kepemilikan berlaku dan pemeriksaan akses pada objek sebelumnya dalam rantai melewati pemeriksaan keamanan.
Menggabungkan identitas tingkat server, tingkat database, dan modul yang ditandatangani yang terkait dengan pemanggil untuk menciptakan konteks keamanan.
Untuk konteks keamanan tersebut, kumpulkan semua izin yang diberikan atau ditolak untuk ruang izin. Izin dapat secara eksplisit dinyatakan sebagai GRANT, GRANT WITH GRANT, atau DENY; atau izin dapat berupa izin tersirat atau mencakup GRANT atau DENY. Misalnya, izin CONTROL pada skema menyiratkan CONTROL pada tabel. Dan CONTROL pada tabel menyiratkan SELECT. Oleh karena itu, jika CONTROL pada skema diberikan izin, maka SELECT pada tabel akan diberikan izin. Jika CONTROL ditolak untuk tabel, maka SELECT pada tabel juga ditolak.
Nota
Izin pada tingkat kolom yang diberikan akan menggantikan penolakan pada tingkat objek.
Identifikasi izin yang diperlukan.
Gagalkan pemeriksaan izin jika izin yang diperlukan secara langsung atau implisit ditolak terhadap salah satu identitas dalam konteks keamanan untuk objek di ruang izin.
Teruskan pemeriksaan izin jika izin yang diperlukan tidak ditolak, dan izin yang diperlukan tersebut mencakup izin GRANT atau GRANT WITH GRANT, baik secara langsung maupun implisit, terhadap salah satu identitas dalam konteks keamanan untuk objek apa pun di ruang izin.
Contoh
Contoh di bagian ini menunjukkan cara mengambil informasi izin.
Sebuah. Mengembalikan daftar lengkap izin yang dapat diberikan
Pernyataan berikut mengembalikan semua izin Mesin Database dengan menggunakan fn_builtin_permissions fungsi . Untuk informasi selengkapnya, lihat sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Mengembalikan izin pada kelas objek tertentu
Contoh berikut menggunakan fn_builtin_permissions untuk melihat semua izin yang tersedia untuk kategori objek yang dapat diamankan. Contoh mengembalikan izin pada assembly.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Mengembalikan izin yang diberikan kepada prinsipal yang menjalankan objek
Contoh berikut menggunakan fn_my_permissions untuk mengembalikan daftar izin efektif yang dipegang oleh pemanggil pada objek yang ditentukan. Contoh mengembalikan izin pada objek bernama Orders55. Untuk informasi selengkapnya, lihat sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Mengembalikan izin yang berlaku untuk objek tertentu
Contoh berikut mengembalikan izin yang berlaku untuk objek yang disebut Yttrium. Perhatikan bahwa fungsi OBJECT_ID bawaan digunakan untuk mengambil ID objek Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO
Lihat Juga
Hierarki Izin (Mesin Database)
sys.database_permissions (Transact-SQL)