Condividi tramite


Autorizzazioni (Motore di database)

Si applica a: SQL Server database SQL di Azure Istanza gestita di SQL di Azure endpoint di analisi SQL di Azure Synapse AnalyticsPlatform System (PDW)in Microsoft FabricWarehouse nel database SQL di Microsoft Fabricin Microsoft Fabric

A ogni entità a protezione diretta di SQL Server sono associate autorizzazioni che possono essere concesse a un'entità di sicurezza. Le autorizzazioni nel motore di database vengono gestite a livello di server, assegnate agli account di accesso e ai ruoli del server, e a livello di database assegnate agli utenti e ai ruoli del database. Il modello per il Database SQL di Azure ha lo stesso sistema di autorizzazioni del database, ma le autorizzazioni a livello di server non sono disponibili. Questo articolo contiene l'elenco completo delle autorizzazioni. Per un'implementazione tipica delle autorizzazioni, vedere Introduzione alle autorizzazioni del motore di database.

Il numero totale di autorizzazioni per SQL Server 2022 (16.x) è 292. Il Database SQL di Azure espone 292 autorizzazioni. La maggior parte delle autorizzazioni si applica a tutte le piattaforme, mentre alcune non si applicano a tutte le piattaforme. Ad esempio, la maggior parte delle autorizzazioni a livello di server non possono essere concesse nel Database SQL di Azure e alcune autorizzazioni hanno senso solo nel Database SQL di Azure. Con i nuovi rilasci verranno introdotte gradualmente nuove autorizzazioni. SQL Server 2019 (15.x) espone 248 autorizzazioni. SQL Server 2017 (14.x) ha esposto 238 autorizzazioni. SQL Server 2016 (13.x) ha esposto 230 autorizzazioni. SQL Server 2014 (12.x) ha esposto 219 autorizzazioni. SQL Server 2012 (11.x) ha esposto 214 autorizzazioni. SQL Server 2008 R2 (10.50.x) ha esposto 195 autorizzazioni. L'articolo sys.fn_builtin_permissions specifica le nuove autorizzazioni nelle versioni recenti.

Nel database SQL in Microsoft Fabric sono supportati solo utenti e ruoli a livello di database. Gli account di accesso a livello di server, i ruoli e l'account sa non sono disponibili. Nel database SQL in Microsoft Fabric, l'ID Microsoft Entra per gli utenti del database è l'unico metodo di autenticazione supportato. Per altre informazioni, vedere Autorizzazione nel database SQL in Microsoft Fabric.

Una volta comprese le autorizzazioni richieste, applicare le autorizzazioni a livello di server agli account di accesso e le autorizzazioni a livello di database agli utenti o ruoli del database usando le istruzioni GRANT, REVOKE e DENY. Ad esempio:

GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;

Per suggerimenti sulla pianificazione di un sistema di autorizzazioni, vedere Introduzione alle autorizzazioni del motore di database.

Convenzioni di denominazione delle autorizzazioni

Di seguito vengono descritte le convenzioni generali adottate per la denominazione delle autorizzazioni:

  • CONTROLLO

    Conferisce al beneficiario capacità da proprietario. In pratica il beneficiario dispone di tutte le autorizzazioni definite sull'entità a protezione diretta. Un'entità a cui è stata conferita un'autorizzazione CONTROL può a sua volta concedere autorizzazioni sull'entità a protezione diretta. Poiché il modello di sicurezza di SQL Server è di tipo gerarchico, CONTROL in un particolare ambito include implicitamente CONTROL su tutte le entità a protezione diretta in tale ambito. Un'autorizzazione CONTROL su un database, ad esempio, implica tutte le autorizzazioni sul database, su tutti gli assembly del database, su tutti gli schemi del database e sugli oggetti contenuti in tutti gli schemi del database.

  • ALTERARE

    Conferisce la capacità di modificare le proprietà, eccetto il diritto di proprietà, di una particolare entità a protezione diretta. Quando viene concessa in un ambito, l'autorizzazione ALTER concede la capacità di modificare, creare o eliminare una qualsiasi entità a protezione diretta contenuta in tale ambito. Un'autorizzazione ALTER in uno schema, ad esempio, include la capacità di creare, modificare ed eliminare oggetti contenuti nello schema.

  • ALTER ANY <Server Securable>, dove Server Securable può essere qualunque server a protezione diretta.

    Conferisce la capacità di creare, modificare o eliminare singole istanze dell' Entità a protezione diretta del server. L'autorizzazione ALTER ANY LOGIN, ad esempio, conferisce la capacità di creare, modificare o eliminare un qualsiasi account di accesso nell'istanza.

  • ALTER ANY <Database Securable>, dove Database Securable può essere qualunque entità a protezione diretta a livello di database.

    Conferisce la capacità di creare, modificare o eliminare singole istanze dell' Entità a protezione diretta del database. L'autorizzazione ALTER ANY SCHEMA, ad esempio, conferisce la capacità di creare, modificare o eliminare un qualsiasi schema contenuto nel database.

  • ACQUISIRE LA PROPRIETÀ

    Consente al beneficiario di acquisire la proprietà dell'oggetto di protezione su cui è stata concessa.

  • IMPERSONATE <Account di accesso>

    Consente al beneficiario di rappresentare l'account di accesso.

  • IMPERSONATE <Utente>

    Consente al beneficiario di rappresentare l'utente.

  • CREATE <Entità a protezione diretta del server>

    Conferisce al beneficiario la capacità di creare l' Entità a protezione diretta del server.

  • CREATE <Entità a protezione diretta del database>

    Conferisce al beneficiario la capacità di creare l' Entità a protezione diretta del database.

  • CREATE <Entità a protezione diretta contenuta in uno schema>

    Conferisce la capacità di creare un'entità a protezione diretta contenuta in uno schema. Per creare un'entità a protezione diretta in un particolare schema, è però necessario avere un'autorizzazione ALTER sullo schema.

  • VISUALIZZA DEFINIZIONE

    Consente al beneficiario di accedere a metadati.

  • RIFERIMENTI

    L'autorizzazione REFERENCES su una tabella è necessaria per creare un vincolo FOREIGN KEY che faccia riferimento alla tabella stessa.

    L'autorizzazione REFERENCES è necessaria su un oggetto per creare FUNCTION o VIEW con la clausola WITH SCHEMABINDING che faccia riferimento all'oggetto stesso.

Grafico delle autorizzazioni di SQL Server

La figura seguente illustra le autorizzazioni e le relative relazioni tra loro. Alcune delle autorizzazioni di livello superiore (ad esempio CONTROL SERVER) sono elencate più volte. In questo articolo l'anteprima è molto piccola e non può essere consultata. È possibile scaricare il Poster relativo alle autorizzazioni del motore di database a dimensione intera in formato PDF.

Screenshot del PDF delle autorizzazioni motore di database.

Autorizzazioni applicabili a particolari entità a protezione diretta

Nella tabella seguente vengono elencate le classi principali di autorizzazione e i tipi di entità a protezione diretta a cui possono essere applicati.

Autorizzazione Si applica a
ALTERARE Tutte le classi di oggetti ad eccezione di TYPE
CONTROLLO Tutte le classi di oggetti:

AGGREGATO
RUOLO DELL'APPLICAZIONE
ASSEMBLEA
chiave asimmetrica
GRUPPO DI DISPONIBILITÀ,
CERTIFICATO
CONTRATTO
CREDENZIALI
BANCA DATI
CREDENZIALE CON AMBITO DI DATABASE
Predefinito
ENDPOINT
CATALOGO TESTO COMPLETO
FULLTEXT STOPLIST,
FUNZIONE
LOGIN
TIPO DI MESSAGGIO,
PROCEDIMENTO
CODA
COLLEGAMENTO AL SERVIZIO REMOTO
RUOLO
ROTTA
REGOLA
SCHEMA
Elenca proprietà di ricerca
SERVER
RUOLO SERVER,
SERVIZIO
CHIAVE SIMMETRICA,
SINONIMO
TAVOLO
TIPO
UTENTE
VIEW e
Collezione XML Schema
ELIMINA Tutte le classi di oggetti ad eccezione di DATABASE SCOPED CONFIGURATION, SERVER e TYPE.
ESEGUIRE tipi CLR, script esterni, procedure (Transact-SQL e CLR), funzioni scalari e di aggregazione (Transact-SQL e CLR) e sinonimi
IMPERSONARE Account di accesso e utenti
INSERT … Sinonimi, tabelle e colonne, viste e colonne. L'autorizzazione può essere concesso a livello di database, schema oppure oggetto
AREARICEV Code di Service Broker
RIFERIMENTI AGGREGATO
ASSEMBLEA
chiave asimmetrica
CERTIFICATO
CONTRATTO
CREDENTIAL (si applica a SQL Server 2022 (16.x) e versioni successive,
BANCA DATI
CREDENZIALE CON AMBITO DI DATABASE
CATALOGO TESTO COMPLETO
FULLTEXT STOPLIST,
FUNZIONE
TIPO DI MESSAGGIO,
PROCEDIMENTO
CODA
REGOLA
SCHEMA
Elenca proprietà di ricerca
OGGETTO SEQUENZA
CHIAVE SIMMETRICA,
TAVOLO
TIPO
VIEW e
Collezione XML Schema
SELEZIONA Sinonimi, tabelle e colonne, viste e colonne. L'autorizzazione può essere concesso a livello di database, schema oppure oggetto
ACQUISIRE LA PROPRIETÀ Tutte le classi di oggetti ad eccezione di DATABASE SCOPED CONFIGURATION LOGIN, SERVER e USER
AGGIORNAMENTO Sinonimi, tabelle e colonne, viste e colonne. L'autorizzazione può essere concesso a livello di database, schema oppure oggetto
VISUALIZZARE IL RILEVAMENTO MODIFICHE Schemi e tabelle
VISUALIZZA DEFINIZIONE Tutte le classi di oggetti ad eccezione di DATABASE SCOPED CONFIGURATION e SERVER

Attenzione

Le autorizzazioni predefinite concesse a oggetti di sistema durante l'installazione vengono valutate attentamente per individuare possibili minacce, per cui non è necessario modificarle come parte della protezione avanzata dell'installazione di SQL Server. Eventuali modifiche alle autorizzazioni per gli oggetti di sistema possono limitare o compromettere la funzionalità e potrebbero lasciare l'installazione di SQL Server in uno stato non supportato.

Autorizzazioni di SQL Server

La tabella seguente contiene un elenco completo delle autorizzazioni di SQL Server. Le autorizzazioni del Database SQL di Azure sono disponibili solo per le entità a protezione diretta di base che sono supportate. Non è possibile concedere autorizzazioni a livello di server nel Database SQL di Azure, ma in alcuni casi sono disponibili autorizzazioni di database.

Entità a protezione diretta di base Autorizzazioni di granularità sull'entità a protezione diretta di base Codice tipo di autorizzazione Entità a protezione diretta contenente l'entità a protezione diretta di base Autorizzazione sull'entità a protezione diretta contenente che implica un'autorizzazione di granularità sull'entità a protezione diretta di base
RUOLO DELL'APPLICAZIONE ALTERARE ALE BANCA DATI MODIFICA QUALSIASI RUOLO DELL'APPLICAZIONE
RUOLO DELL'APPLICAZIONE CONTROLLO CL BANCA DATI CONTROLLO
RUOLO DELL'APPLICAZIONE VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
ASSEMBLEA/ASSEMBLAGGIO ALTERARE ALE BANCA DATI ALTERA QUALSIASI ASSEMBLY
ASSEMBLEA/ASSEMBLAGGIO CONTROLLO CL BANCA DATI CONTROLLO
ASSEMBLEA/ASSEMBLAGGIO RIFERIMENTI RF BANCA DATI RIFERIMENTI
ASSEMBLEA/ASSEMBLAGGIO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
ASSEMBLEA/ASSEMBLAGGIO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
CHIAVE ASIMMETRICA ALTERARE ALE BANCA DATI ALTERA QUALSIASI CHIAVE ASIMMETRICA
CHIAVE ASIMMETRICA CONTROLLO CL BANCA DATI CONTROLLO
CHIAVE ASIMMETRICA RIFERIMENTI RF BANCA DATI RIFERIMENTI
CHIAVE ASIMMETRICA ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
CHIAVE ASIMMETRICA VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
GRUPPO DI DISPONIBILITÀ ALTERARE ALE SERVER ALTERA QUALSIASI AVAILABILITY GROUP
GRUPPO DI DISPONIBILITÀ CONTROLLO CL SERVER SERVER DI CONTROLLO
GRUPPO DI DISPONIBILITÀ ACQUISIRE LA PROPRIETÀ A SERVER SERVER DI CONTROLLO
GRUPPO DI DISPONIBILITÀ VISUALIZZA DEFINIZIONE VW SERVER VISUALIZZA QUALSIASI DEFINIZIONE
CERTIFICATO ALTERARE ALE BANCA DATI MODIFICA QUALSIASI CERTIFICATO
CERTIFICATO CONTROLLO CL BANCA DATI CONTROLLO
CERTIFICATO RIFERIMENTI RF BANCA DATI RIFERIMENTI
CERTIFICATO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
CERTIFICATO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
CONTRATTO ALTERARE ALE BANCA DATI MODIFICA QUALSIASI CONTRATTO
CONTRATTO CONTROLLO CL BANCA DATI CONTROLLO
CONTRATTO RIFERIMENTI RF BANCA DATI RIFERIMENTI
CONTRATTO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
CONTRATTO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
CREDENZIALE CONTROLLO CL SERVER SERVER DI CONTROLLO
CREDENZIALE RIFERIMENTI RF SERVER ALTERA QUALSIASI CREDENZIALE
BANCA DATI AMMINISTRA LE OPERAZIONI DI MASSA DEL DATABASE DABO SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE ALE SERVER MODIFICA QUALSIASI DATABASE
BANCA DATI MODIFICA QUALSIASI RUOLO DELL'APPLICAZIONE ALAR SERVER SERVER DI CONTROLLO
BANCA DATI ALTERA QUALSIASI ASSEMBLY AHIMÉ SERVER SERVER DI CONTROLLO
BANCA DATI ALTERA QUALSIASI CHIAVE ASIMMETRICA ALAK SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICA QUALSIASI CERTIFICATO ALCF SERVER SERVER DI CONTROLLO
BANCA DATI ALTERA QUALSIASI CHIAVE DI CRITTOGRAFIA DELLA COLONNA ALCK

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure.
SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICA QUALSIASI CHIAVE PRINCIPALE DELLA COLONNA ALCM

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure.
SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICA QUALSIASI CONTRATTO ALSC SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE QUALSIASI AUDIT DEL DATABASE ALDA SERVER MODIFICA QUALSIASI CONTROLLO DEL SERVER
BANCA DATI ALTERA QUALSIASI TRIGGER DDL DEL DATABASE ALTG SERVER SERVER DI CONTROLLO
BANCA DATI ALTER QUALSIASI NOTIFICA DI EVENTO DEL DATABASE ALED SERVER MODIFICA QUALSIASI NOTIFICA DI EVENTO
BANCA DATI ALTERARE QUALSIASI SESSIONE DI EVENTO DEL DATABASE AADS SERVER ALTERARE QUALSIASI SESSIONE DI EVENTO
BANCA DATI ALTER ANY DATABASE EVENT SESSION ADD EVENT LDAE SERVER ALTERA QUALSIASI SESSIONE DI EVENTO AGGIUNGI EVENTO
BANCA DATI ALTER ANY DATABASE EVENT SESSION ADD TARGET LDAT SERVER ALTERARE QUALSIASI SESSIONE DI EVENTO AGGIUNGERE DESTINAZIONE
BANCA DATI N/A (The command remains in English.) DDES SERVER ALTERARE QUALSIASI SESSIONE EVENTO DISABILITARE
BANCA DATI ALTER EVENT SESSION DI QUALSIASI DATABASE RIMUOVI EVENTO LDDE SERVER ALTERA QUALSIASI SESSIONE DI EVENTI ELIMINA EVENTO
BANCA DATI ALTERAZIONE DI QUALSIASI SESSIONE DI EVENTI DEL DATABASE RIMUOVI OBIETTIVO LDDT SERVER ALTER ANY EVENT SESSION CANCELLA DESTINAZIONE
BANCA DATI ABILITA QUALSIASI SESSIONE EVENTO DEL DATABASE EDES SERVER ALTERA QUALSIASI SESSIONE DI EVENTI ATTIVA
BANCA DATI MODIFICA OPZIONE DI QUALSIASI SESSIONE EVENTO DEL DATABASE LDSO SERVER ALTER OPZIONI DI QUALSIASI SESSIONE DI EVENTO
BANCA DATI ALTER QUALSIASI CONFIGURAZIONE AMBITO DATABASE ALDC

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure.
SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICARE QUALSIASI SPAZIO DATI ALDS SERVER SERVER DI CONTROLLO
BANCA DATI ALTERA QUALSIASI FONTE DATI ESTERNA AEDS SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICARE QUALSIASI FORMATO DI FILE ESTERNO AEFF SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICARE QUALSIASI LAVORO ESTERNO AESJ SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE QUALSIASI LINGUA ESTERNA ALLA SERVER SERVER DI CONTROLLO
BANCA DATI ALTERA QUALSIASI BIBLIOTECA ESTERNA ALEL SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE QUALSIASI FLUSSO ESTERNO AEST SERVER SERVER DI CONTROLLO
BANCA DATI ALTER QUALSIASI CATALOGO FULLTEXT ALFT SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE QUALSIASI MASCHERA AAMK

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure.
SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICARE QUALSIASI TIPO DI MESSAGGIO ALMT SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICA QUALSIASI ASSOCIAZIONE DI SERVIZIO REMOTO ALSB SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICA QUALSIASI RUOLO ALRL SERVER SERVER DI CONTROLLO
BANCA DATI ALTERA QUALSIASI ROTTA ALRT SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE QUALSIASI SCHEMA ALSM SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE QUALSIASI POLITICA DI SICUREZZA ALSP

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure.
SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICARE LE CLASSIFICAZIONI DI SENSIBILITÀ AASC
Si applica a SQL Server (da SQL Server 2019 (15.x) fino alla versione corrente), Database SQL di Azure.
SERVER SERVER DI CONTROLLO
BANCA DATI MODIFICARE QUALSIASI SERVIZIO ALSV SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE QUALSIASI CHIAVE SIMMETRICA ALSK SERVER SERVER DI CONTROLLO
BANCA DATI ALTERARE QUALSIASI UTENTE ALUS SERVER SERVER DI CONTROLLO
BANCA DATI ALTER LEDGER ALR SERVER CONTROLLO
BANCA DATI MODIFICA CONFIGURAZIONE LIBRO MASTRO ALC SERVER SERVER DI CONTROLLO
BANCA DATI AUTENTICARE AUTH SERVER SERVER DI AUTENTICAZIONE
BANCA DATI Backup del database BADB SERVER SERVER DI CONTROLLO
BANCA DATI Registro di Backup BALO SERVER SERVER DI CONTROLLO
BANCA DATI POSTO DI CONTROLLO CP SERVER SERVER DI CONTROLLO
BANCA DATI CONNETTI Monossido di carbonio SERVER SERVER DI CONTROLLO
BANCA DATI CONNETTI REPLICAZIONE CORP (Società) SERVER SERVER DI CONTROLLO
BANCA DATI CONTROLLO CL SERVER SERVER DI CONTROLLO
BANCA DATI CREA AGGREGATO DIRUPO SERVER SERVER DI CONTROLLO
BANCA DATI CREA QUALSIASI SESSIONE DI EVENTI DEL DATABASE Contributo per il Rimborso del Debito Sociale (CRDS) SERVER CREA QUALSIASI SESSIONE DI EVENTO
BANCA DATI CREATE ASSEMBLY CRAS SERVER SERVER DI CONTROLLO
BANCA DATI CREA CHIAVE ASIMMETRICA CRAK SERVER SERVER DI CONTROLLO
BANCA DATI CREA CERTIFICATO CRCF SERVER SERVER DI CONTROLLO
BANCA DATI CREA CONTRATTO CRSC SERVER SERVER DI CONTROLLO
BANCA DATI CREATE DATABASE CRDB SERVER CREA QUALSIASI DATABASE
BANCA DATI NOTIFICA EVENTO DDL DEL DATABASE CRED SERVER CREATE DDL EVENT NOTIFICATION
BANCA DATI CREARE PREDEFINITO CRDF SERVER SERVER DI CONTROLLO
BANCA DATI CREA LINGUAGGIO ESTERNO CRLA SERVER SERVER DI CONTROLLO
BANCA DATI CREA LIBRERIA ESTERNA CREL SERVER SERVER DI CONTROLLO
BANCA DATI CREA CATALOGO FULLTEXT CRFT SERVER SERVER DI CONTROLLO
BANCA DATI CREA FUNZIONE CRFN SERVER SERVER DI CONTROLLO
BANCA DATI CREA TIPO DI MESSAGGIO CRMT SERVER SERVER DI CONTROLLO
BANCA DATI CREA PROCEDURA CRPR SERVER SERVER DI CONTROLLO
BANCA DATI CREATE QUEUE CRQU SERVER SERVER DI CONTROLLO
BANCA DATI CREA ASSOCIAZIONE DI SERVIZIO REMOTO CRSB SERVER SERVER DI CONTROLLO
BANCA DATI CREA RUOLO CRRL SERVER SERVER DI CONTROLLO
BANCA DATI Crea percorso Terapia di Sostituzione Renale Continua (CRRT) SERVER SERVER DI CONTROLLO
BANCA DATI CREA REGOLA CRRU SERVER SERVER DI CONTROLLO
BANCA DATI CREATE SCHEMA CRSM SERVER SERVER DI CONTROLLO
BANCA DATI CREA SERVIZIO CRSV SERVER SERVER DI CONTROLLO
BANCA DATI CREARE CHIAVE SIMMETRICA CRSK SERVER SERVER DI CONTROLLO
BANCA DATI CREA SINONIMO CRSN SERVER SERVER DI CONTROLLO
BANCA DATI CREA TABELLA CRTB SERVER SERVER DI CONTROLLO
BANCA DATI CREA TIPO (CREATE TYPE) CRTY SERVER SERVER DI CONTROLLO
BANCA DATI CREA UTENTE CUSR SERVER SERVER DI CONTROLLO
BANCA DATI CREARE VISTA CRVW SERVER SERVER DI CONTROLLO
BANCA DATI CREA XML SCHEMA COLLECTION CRXS SERVER SERVER DI CONTROLLO
BANCA DATI ELIMINA DL SERVER SERVER DI CONTROLLO
BANCA DATI RIMUOVI QUALSIASI SESSIONE DI EVENTO DEL DATABASE DRDS SERVER ELIMINA QUALSIASI SESSIONE DI EVENTO
BANCA DATI ENABLE LEDGER EL SERVER CONTROLLO
BANCA DATI ESEGUIRE EX SERVER SERVER DI CONTROLLO
BANCA DATI ESEGUI QUALSIASI ENDPOINT ESTERNO EAEE SERVER SERVER DI CONTROLLO
BANCA DATI Eseguire qualsiasi script esterno EAES

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente).
SERVER SERVER DI CONTROLLO
BANCA DATI INSERT … IN SERVER SERVER DI CONTROLLO
BANCA DATI Interrompi connessione al database KIDC

Si applica solo al Database SQL di Azure. Usare ALTER ANY CONNECTION in SQL Server.
SERVER ALTERARE QUALSIASI CONNESSIONE
BANCA DATI RIFERIMENTI RF SERVER SERVER DI CONTROLLO
BANCA DATI SELEZIONA SL SERVER SERVER DI CONTROLLO
BANCA DATI SHOWPLAN SPLN SERVER ALTER TRACE (modifica della traccia)
BANCA DATI SOTTOSCRIVERE LE NOTIFICHE DELLE QUERY SUQN SERVER SERVER DI CONTROLLO
BANCA DATI ACQUISIRE LA PROPRIETÀ A SERVER SERVER DI CONTROLLO
BANCA DATI SMASCHERARE UMSK

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure.
SERVER SERVER DI CONTROLLO
BANCA DATI AGGIORNAMENTO SU SERVER SERVER DI CONTROLLO
BANCA DATI VISUALIZZARE QUALSIASI DEFINIZIONE DELLA CHIAVE DI CRITTOGRAFIA DELLA COLONNA VWCK

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure.
SERVER VISUALIZZA STATO DEL SERVER
BANCA DATI VISUALIZZARE LA DEFINIZIONE DELLA CHIAVE MASTER DI QUALSIASI COLONNA VWCM

Si applica a SQL Server (da SQL Server 2016 (13.x) fino alla versione corrente), Database SQL di Azure.
SERVER VISUALIZZA STATO DEL SERVER
BANCA DATI VISUALIZZARE QUALSIASI CLASSIFICAZIONE DI RISERVATEZZA VASC SERVER SERVER DI CONTROLLO
BANCA DATI VISUALIZZARE LA DEFINIZIONE PROTETTA CRITTOGRAFICAMENTE VCD SERVER VISUALIZZARE QUALSIASI DEFINIZIONE CRITTOGRAFICAMENTE PROTETTA
BANCA DATI VISUALIZZARE LO STATO DELLE PRESTAZIONI DEL DATABASE VDP SERVER VISUALIZZARE LO STATO DELLE PRESTAZIONI DEL SERVER
BANCA DATI VISUALIZZARE IL CONTROLLO DI SICUREZZA DEL DATABASE VDSA SERVER SERVER DI CONTROLLO
BANCA DATI VISUALIZZARE LO STATO DI SICUREZZA DEL DATABASE VDS SERVER VISUALIZZARE LO STATO DI SICUREZZA DEL SERVER
BANCA DATI VISUALIZZARE LO STATO DEL DATABASE VWDS SERVER VISUALIZZA STATO DEL SERVER
BANCA DATI VISUALIZZA DEFINIZIONE VW SERVER VISUALIZZA QUALSIASI DEFINIZIONE
BANCA DATI VISUALIZZARE IL CONTENUTO LEDGER WMI SERVER CONTROLLO
BANCA DATI VISUALIZZARE LA DEFINIZIONE DI SICUREZZA VWS SERVER VISUALIZZARE QUALSIASI DEFINIZIONE DI SICUREZZA
BANCA DATI VISUALIZZARE LA DEFINIZIONE DELLE PRESTAZIONI VWP (Programma di Esenzione dal Visto) SERVER VISUALIZZARE QUALSIASI DEFINIZIONE DI PRESTAZIONI
CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE ALTERARE ALE BANCA DATI CONTROLLO
CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE CONTROLLO CL BANCA DATI CONTROLLO
CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE RIFERIMENTI RF BANCA DATI RIFERIMENTI
CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
CREDENZIALE CON AMBITO SPECIFICO DEL DATABASE VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
punto finale ALTERARE ALE SERVER MODIFICA QUALSIASI ENDPOINT
punto finale CONNETTI Monossido di carbonio SERVER SERVER DI CONTROLLO
punto finale CONTROLLO CL SERVER SERVER DI CONTROLLO
punto finale ACQUISIRE LA PROPRIETÀ A SERVER SERVER DI CONTROLLO
punto finale VISUALIZZA DEFINIZIONE VW SERVER VISUALIZZA QUALSIASI DEFINIZIONE
CATALOGO TESTO COMPLETO ALTERARE ALE BANCA DATI ALTER QUALSIASI CATALOGO FULLTEXT
CATALOGO TESTO COMPLETO CONTROLLO CL BANCA DATI CONTROLLO
CATALOGO TESTO COMPLETO RIFERIMENTI RF BANCA DATI RIFERIMENTI
CATALOGO TESTO COMPLETO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
CATALOGO TESTO COMPLETO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
Lista di Parole Escluse per il Testo Completo ALTERARE ALE BANCA DATI ALTER QUALSIASI CATALOGO FULLTEXT
Lista di Parole Escluse per il Testo Completo CONTROLLO CL BANCA DATI CONTROLLO
Lista di Parole Escluse per il Testo Completo RIFERIMENTI RF BANCA DATI RIFERIMENTI
Lista di Parole Escluse per il Testo Completo ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
Lista di Parole Escluse per il Testo Completo VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
ACCESSO AL SISTEMA ALTERARE ALE SERVER MODIFICA QUALSIASI LOGIN
ACCESSO AL SISTEMA CONTROLLO CL SERVER SERVER DI CONTROLLO
ACCESSO AL SISTEMA IMPERSONARE Messaggistica Istantanea (IM) SERVER SERVER DI CONTROLLO
ACCESSO AL SISTEMA VISUALIZZA DEFINIZIONE VW SERVER VISUALIZZA QUALSIASI DEFINIZIONE
TIPO DI MESSAGGIO ALTERARE ALE BANCA DATI MODIFICARE QUALSIASI TIPO DI MESSAGGIO
TIPO DI MESSAGGIO CONTROLLO CL BANCA DATI CONTROLLO
TIPO DI MESSAGGIO RIFERIMENTI RF BANCA DATI RIFERIMENTI
TIPO DI MESSAGGIO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
TIPO DI MESSAGGIO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
OGGETTO ALTERARE ALE schema ALTERARE
OGGETTO CONTROLLO CL schema CONTROLLO
OGGETTO ELIMINA DL schema ELIMINA
OGGETTO ESEGUIRE EX schema ESEGUIRE
OGGETTO INSERT … IN schema INSERT …
OGGETTO AREARICEV Gestione ruolo schema CONTROLLO
OGGETTO RIFERIMENTI RF schema RIFERIMENTI
OGGETTO SELEZIONA SL schema SELEZIONA
OGGETTO ACQUISIRE LA PROPRIETÀ A schema CONTROLLO
OGGETTO SMASCHERARE UMSK schema SMASCHERARE
OGGETTO AGGIORNAMENTO SU schema AGGIORNAMENTO
OGGETTO VISUALIZZARE IL RILEVAMENTO MODIFICHE VWCT schema VISUALIZZARE IL RILEVAMENTO MODIFICHE
OGGETTO VISUALIZZA DEFINIZIONE VW schema VISUALIZZA DEFINIZIONE
COLLEGAMENTO AL SERVIZIO REMOTO ALTERARE ALE BANCA DATI MODIFICA QUALSIASI ASSOCIAZIONE DI SERVIZIO REMOTO
COLLEGAMENTO AL SERVIZIO REMOTO CONTROLLO CL BANCA DATI CONTROLLO
COLLEGAMENTO AL SERVIZIO REMOTO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
COLLEGAMENTO AL SERVIZIO REMOTO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
RUOLO ALTERARE ALE BANCA DATI MODIFICA QUALSIASI RUOLO
RUOLO CONTROLLO CL BANCA DATI CONTROLLO
RUOLO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
RUOLO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
PERCORSO ALTERARE ALE BANCA DATI ALTERA QUALSIASI ROTTA
PERCORSO CONTROLLO CL BANCA DATI CONTROLLO
PERCORSO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
PERCORSO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
schema ALTERARE ALE BANCA DATI ALTERARE QUALSIASI SCHEMA
schema CONTROLLO CL BANCA DATI CONTROLLO
schema CREA SEQUENZA CRSO BANCA DATI CONTROLLO
schema ELIMINA DL BANCA DATI ELIMINA
schema ESEGUIRE EX BANCA DATI ESEGUIRE
schema INSERT … IN BANCA DATI INSERT …
schema RIFERIMENTI RF BANCA DATI RIFERIMENTI
schema SELEZIONA SL BANCA DATI SELEZIONA
schema ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
schema SMASCHERARE UMSK BANCA DATI SMASCHERARE
schema AGGIORNAMENTO SU BANCA DATI AGGIORNAMENTO
schema VISUALIZZARE IL RILEVAMENTO MODIFICHE VWCT BANCA DATI VISUALIZZARE IL RILEVAMENTO MODIFICHE
schema VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
ELENCO RICERCA IMMOBILI ALTERARE ALE SERVER ALTER QUALSIASI CATALOGO FULLTEXT
ELENCO RICERCA IMMOBILI CONTROLLO CL SERVER CONTROLLO
ELENCO RICERCA IMMOBILI RIFERIMENTI RF SERVER RIFERIMENTI
ELENCO RICERCA IMMOBILI ACQUISIRE LA PROPRIETÀ A SERVER CONTROLLO
ELENCO RICERCA IMMOBILI VISUALIZZA DEFINIZIONE VW SERVER VISUALIZZA DEFINIZIONE
SERVER AMMINISTRARE LE OPERAZIONI MASSIVE ADBO Non applicabile Non applicabile
SERVER ALTERA QUALSIASI AVAILABILITY GROUP ALAG Non applicabile Non applicabile
SERVER ALTERARE QUALSIASI CONNESSIONE ALCO Non applicabile Non applicabile
SERVER ALTERA QUALSIASI CREDENZIALE ALCD Non applicabile Non applicabile
SERVER MODIFICA QUALSIASI DATABASE ALDB Non applicabile Non applicabile
SERVER MODIFICA QUALSIASI ENDPOINT ALHE Non applicabile Non applicabile
SERVER MODIFICA QUALSIASI NOTIFICA DI EVENTO ALES Non applicabile Non applicabile
SERVER ALTERARE QUALSIASI SESSIONE DI EVENTO AAES Non applicabile Non applicabile
SERVER ALTERA QUALSIASI SESSIONE DI EVENTO AGGIUNGI EVENTO LSAE Non applicabile Non applicabile
SERVER ALTERARE QUALSIASI SESSIONE DI EVENTO AGGIUNGERE DESTINAZIONE Strumenti di amministrazione locale Non applicabile Non applicabile
SERVER ALTERARE QUALSIASI SESSIONE EVENTO DISABILITARE Standard di Cifratura dei Dati (DES) Non applicabile Non applicabile
SERVER ALTERA QUALSIASI SESSIONE DI EVENTI ELIMINA EVENTO LSDE Non applicabile Non applicabile
SERVER ALTER ANY EVENT SESSION CANCELLA DESTINAZIONE LSDT Non applicabile Non applicabile
SERVER ALTERA QUALSIASI SESSIONE DI EVENTI ATTIVA EES Non applicabile Non applicabile
SERVER ALTER OPZIONI DI QUALSIASI SESSIONE DI EVENTO LESO Non applicabile Non applicabile
SERVER MODIFICARE QUALSIASI SERVER COLLEGATO ALLS Non applicabile Non applicabile
SERVER MODIFICA QUALSIASI LOGIN ALLG Non applicabile Non applicabile
SERVER MODIFICA QUALSIASI CONTROLLO DEL SERVER ALAA Non applicabile Non applicabile
SERVER MODIFICARE QUALSIASI RUOLO DEL SERVER ALSR Non applicabile Non applicabile
SERVER ALTER RESOURCES ALRS Non applicabile Non applicabile
SERVER MODIFICA STATO DEL SERVER ALSS Non applicabile Non applicabile
SERVER MODIFICA IMPOSTAZIONI ALST Non applicabile Non applicabile
SERVER ALTER TRACE (modifica della traccia) ALTR Non applicabile Non applicabile
SERVER SERVER DI AUTENTICAZIONE AUTH Non applicabile Non applicabile
SERVER COLLEGA QUALSIASI DATABASE CADB Non applicabile Non applicabile
SERVER CONNECT SQL COSQ Non applicabile Non applicabile
SERVER SERVER DI CONTROLLO CL Non applicabile Non applicabile
SERVER CREA QUALSIASI DATABASE CRDB Non applicabile Non applicabile
SERVER CREA GRUPPO DI DISPONIBILITÀ CRAC Non applicabile Non applicabile
SERVER CREATE DDL EVENT NOTIFICATION CRDE Non applicabile Non applicabile
SERVER CREA ENDPOINT CRHE Non applicabile Non applicabile
SERVER CREA RUOLO DEL SERVER CRSR Non applicabile Non applicabile
SERVER CREARE UNA NOTIFICA DEGLI EVENTI DI TRACCIA CRTE Non applicabile Non applicabile
SERVER ASSEMBLEA DI ACCESSO ESTERNO XA Non applicabile Non applicabile
SERVER RAPPRESENTA QUALSIASI ACCOUNT DI ACCESSO IAL Non applicabile Non applicabile
SERVER SELEZIONARE TUTTI GLI ELEMENTI PROTEGGIBILI DELL'UTENTE SUS Non applicabile Non applicabile
SERVER CHIUSURA SHDN Non applicabile Non applicabile
SERVER ASSEMBLAGGIO NON SICURO XU Non applicabile Non applicabile
SERVER Visualizza qualsiasi database VWDB Non applicabile Non applicabile
SERVER VISUALIZZA QUALSIASI DEFINIZIONE VWAD Non applicabile Non applicabile
SERVER VISUALIZZA STATO DEL SERVER VWSS Non applicabile Non applicabile
RUOLO SERVER ALTERARE ALE SERVER MODIFICARE QUALSIASI RUOLO DEL SERVER
RUOLO SERVER CONTROLLO CL SERVER SERVER DI CONTROLLO
RUOLO SERVER ACQUISIRE LA PROPRIETÀ A SERVER SERVER DI CONTROLLO
RUOLO SERVER VISUALIZZA DEFINIZIONE VW SERVER VISUALIZZA QUALSIASI DEFINIZIONE
SERVIZIO ALTERARE ALE BANCA DATI MODIFICARE QUALSIASI SERVIZIO
SERVIZIO CONTROLLO CL BANCA DATI CONTROLLO
SERVIZIO INVIA SN BANCA DATI CONTROLLO
SERVIZIO ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
SERVIZIO VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
CHIAVE SIMMETRICA ALTERARE ALE BANCA DATI ALTERARE QUALSIASI CHIAVE SIMMETRICA
CHIAVE SIMMETRICA CONTROLLO CL BANCA DATI CONTROLLO
CHIAVE SIMMETRICA RIFERIMENTI RF BANCA DATI RIFERIMENTI
CHIAVE SIMMETRICA ACQUISIRE LA PROPRIETÀ A BANCA DATI CONTROLLO
CHIAVE SIMMETRICA VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
TIPO CONTROLLO CL schema CONTROLLO
TIPO ESEGUIRE EX schema ESEGUIRE
TIPO RIFERIMENTI RF schema RIFERIMENTI
TIPO ACQUISIRE LA PROPRIETÀ A schema CONTROLLO
TIPO VISUALIZZA DEFINIZIONE VW schema VISUALIZZA DEFINIZIONE
UTENTE ALTERARE ALE BANCA DATI ALTERARE QUALSIASI UTENTE
UTENTE CONTROLLO CL BANCA DATI CONTROLLO
UTENTE IMPERSONARE Messaggistica Istantanea (IM) BANCA DATI CONTROLLO
UTENTE VISUALIZZA DEFINIZIONE VW BANCA DATI VISUALIZZA DEFINIZIONE
Collezione XML Schema ALTERARE ALE schema ALTERARE
Collezione XML Schema CONTROLLO CL schema CONTROLLO
Collezione XML Schema ESEGUIRE EX schema ESEGUIRE
Collezione XML Schema RIFERIMENTI RF schema RIFERIMENTI
Collezione XML Schema ACQUISIRE LA PROPRIETÀ A schema CONTROLLO
Collezione XML Schema VISUALIZZA DEFINIZIONE VW schema VISUALIZZA DEFINIZIONE

Nuove autorizzazioni granulari aggiunte a SQL Server 2022

A SQL Server 2022 sono aggiunte le autorizzazioni seguenti:

  • Sono state aggiunte 10 nuove autorizzazioni per consentire l'accesso ai metadati di sistema.

  • Sono state aggiunte 18 nuove autorizzazioni per gli eventi estesi.

  • Sono state aggiunte 9 nuove autorizzazioni in relazione agli oggetti correlati alla sicurezza.

  • Sono state aggiunte 4 autorizzazioni per Ledger.

  • 3 autorizzazioni aggiuntive per il database.

Per altre informazioni, vedere Nuove autorizzazioni granulari per SQL Server 2022 e Azure SQL per migliorare l'aderenza a PoLP.

Autorizzazioni per l’accesso ai metadati di sistema

Livello server:

  • VISUALIZZARE QUALSIASI DEFINIZIONE DI SICUREZZA
  • VISUALIZZARE QUALSIASI DEFINIZIONE DI PRESTAZIONI
  • VISUALIZZARE LO STATO DI SICUREZZA DEL SERVER
  • VISUALIZZARE LO STATO DELLE PRESTAZIONI DEL SERVER
  • VISUALIZZARE QUALSIASI DEFINIZIONE CRITTOGRAFICAMENTE PROTETTA

Livello database:

  • VISUALIZZARE LO STATO DI SICUREZZA DEL DATABASE
  • VISUALIZZARE LO STATO DELLE PRESTAZIONI DEL DATABASE
  • VISUALIZZARE LA DEFINIZIONE DI SICUREZZA
  • VISUALIZZARE LA DEFINIZIONE DELLE PRESTAZIONI
  • VISUALIZZARE LA DEFINIZIONE PROTETTA CRITTOGRAFICAMENTE

Autorizzazioni di eventi estesi

Livello server:

  • CREA QUALSIASI SESSIONE DI EVENTO
  • ELIMINA QUALSIASI SESSIONE DI EVENTO
  • ALTER OPZIONI DI QUALSIASI SESSIONE DI EVENTO
  • ALTERA QUALSIASI SESSIONE DI EVENTO AGGIUNGI EVENTO
  • ALTERA QUALSIASI SESSIONE DI EVENTI ELIMINA EVENTO
  • ALTERA QUALSIASI SESSIONE DI EVENTI ATTIVA
  • ALTERARE QUALSIASI SESSIONE EVENTO DISABILITARE
  • ALTERARE QUALSIASI SESSIONE DI EVENTO AGGIUNGERE DESTINAZIONE
  • ALTER ANY EVENT SESSION CANCELLA DESTINAZIONE

Tutte queste autorizzazioni si trovano nella stessa autorizzazione padre: ALTER ANY EVENT SESSION

Livello database:

  • CREA QUALSIASI SESSIONE DI EVENTI DEL DATABASE
  • RIMUOVI QUALSIASI SESSIONE DI EVENTO DEL DATABASE
  • MODIFICA OPZIONE DI QUALSIASI SESSIONE EVENTO DEL DATABASE
  • ALTER ANY DATABASE EVENT SESSION ADD EVENT
  • ALTER EVENT SESSION DI QUALSIASI DATABASE RIMUOVI EVENTO
  • ABILITA QUALSIASI SESSIONE EVENTO DEL DATABASE
  • N/A (The command remains in English.)
  • ALTER ANY DATABASE EVENT SESSION ADD TARGET
  • ALTERAZIONE DI QUALSIASI SESSIONE DI EVENTI DEL DATABASE RIMUOVI OBIETTIVO

Tutte queste autorizzazioni si trovano nella stessa autorizzazione padre: ALTER ANY DATABASE EVENT SESSION

  • CONTROLLO (CREDENZIALI)
  • CREATE LOGIN
  • CREA UTENTE
  • RIFERIMENTI (CREDENZIALI)
  • UNMASK (OBJECT)
  • UNMASK (SCHEMA)
  • VISUALIZZARE EVENTUALI LOG DEGLI ERRORI
  • VISUALIZZARE IL CONTROLLO DI SICUREZZA DEL SERVER
  • VISUALIZZARE IL CONTROLLO DI SICUREZZA DEL DATABASE

Autorizzazioni Ledger

  • ALTER LEDGER
  • MODIFICA CONFIGURAZIONE LIBRO MASTRO
  • ENABLE LEDGER
  • VISUALIZZARE IL CONTENUTO LEDGER

Altre autorizzazioni del database

  • MODIFICARE QUALSIASI LAVORO ESTERNO
  • ALTERARE QUALSIASI FLUSSO ESTERNO
  • ESEGUI QUALSIASI ENDPOINT ESTERNO

Riepilogo dell'algoritmo di controllo delle autorizzazioni

Il controllo delle autorizzazioni può essere complesso. L'algoritmo di controllo delle autorizzazioni include le appartenenze a gruppi sovrapposti e il concatenamento di proprietà, nonché autorizzazioni esplicite e implicite. È inoltre possibile che le autorizzazioni per le classi di entità a protezione diretta contenenti l'entità a protezione diretta abbiano impatto su tale algoritmo. Il processo generale dell'algoritmo consiste nel raccogliere tutte le autorizzazioni rilevanti. Se non viene individuato alcun blocco DENY, l'algoritmo cerca un'istruzione GRANT che fornisce accesso sufficiente. L'algoritmo contiene tre elementi fondamentali, ovvero il contesto di sicurezza, lo spazio di autorizzazionee l' autorizzazione necessaria.

Nota

Non è possibile concedere, negare o revocare le autorizzazioni a sa, dbo, il proprietario dell'entità, information_schema, syso manualmente.

  • Contesto di sicurezza

    Gruppo di entità che fornisce le autorizzazioni per il controllo dell'accesso. Tali autorizzazioni sono correlate all'utente o all'account di accesso corrente, a meno che l'utente o l'account di accesso del contesto di sicurezza non sia stato modificato tramite l'istruzione EXECUTE AS. Il contesto di sicurezza include le seguenti entità:

    • Account di accesso

    • Utente

    • Appartenenze a ruoli

    • Appartenenze a gruppi di Windows

    • Se si usano la firma del modulo, qualsiasi account utente o di accesso tiene conto del certificato usato per firmare il modulo attualmente eseguito dall'utente e delle appartenenze a ruoli associate di tale entità.

  • Spazio di autorizzazione

    L'entità a protezione diretta e qualsiasi classe di entità a protezione diretta in cui è contenuta. Ad esempio, una tabella (entità a protezione diretta) è contenuta nella classe di entità a protezione diretta dello schema e nella classe di entità a protezione diretta del database. Sull'accesso possono influire le autorizzazioni a livello di tabella, schema, database e server. Per altre informazioni, vedere Gerarchia delle autorizzazioni (motore di database).

  • Autorizzazione necessaria

    Il tipo di autorizzazione richiesto. Ad esempio, INSERT, UPDATE, DELETE SELECT, EXECUTE ALTER, CONTROL e così via.

    L'accesso può richiedere più autorizzazioni, come negli esempi seguenti:

    • Una stored procedure può richiedere sia l'autorizzazione EXECUTE per la stored procedure, sia l'autorizzazione INSERT per varie tabelle a cui la stored procedure fa riferimento.

    • Una vista a gestione dinamica può richiedere entrambe le autorizzazioni VIEW SERVER STATE e SELECT per la vista.

Passaggi generali dell'algoritmo

I passaggi precisi usati dall'algoritmo per determinare se consentire l'accesso a un'entità a protezione diretta possono variare in base alle entità e alle entità a protezione diretta coinvolte. L'algoritmo, tuttavia, effettua i passaggi generali indicati di seguito:

  1. Ignora il controllo delle autorizzazioni se l'account di accesso è un membro del ruolo predefinito del server sysadmin o se l'utente è l'utente dbo nel database corrente.

  2. Consente l'accesso se il concatenamento della proprietà è applicabile e il controllo dell'accesso sul primo oggetto nella catena ha superato il controllo della sicurezza.

  3. Aggrega le identità del modulo firmato a livello di database e a livello di server associate al chiamante per creare il contesto di scurezza.

  4. Per il contesto di sicurezzaraccoglie tutte le autorizzazioni concesse o negate per lo spazio di autorizzazione. È possibile dichiarare l'autorizzazione in modo esplicito come GRANT, GRANT WITH GRANT o DENY oppure usare autorizzazioni GRANT o DENY implicite o effettive. L'autorizzazione CONTROL per uno schema implica ad esempio l'autorizzazione CONTROL per una tabella, così come l'autorizzazione CONTROL per una tabella implica l'autorizzazione SELECT. Se è stata pertanto concessa l'autorizzazione CONTROL per lo schema, viene concessa anche l'autorizzazione SELECT per la tabella. Se l'autorizzazione CONTROL è stata negata per la tabella, viene negata anche l'autorizzazione SELECT per la tabella.

    Nota

    Un'autorizzazione GRANT a livello di colonna esegue l'override di un'autorizzazione DENY a livello di oggetto. Per altre informazioni, vedere DENY - Autorizzazioni per oggetti.

  5. Identifica l' autorizzazione necessaria.

  6. Restituisce un esito negativo per il controllo delle autorizzazioni se l' autorizzazione necessaria è negata in modo diretto o implicito per un'identità nel contesto di sicurezza degli oggetti nello spazio di autorizzazione.

  7. Superamento del controllo dell’autorizzazione se l’autorizzazione richiesta non è stata negata e se l’autorizzazione richiesta contiene un'autorizzazione GRANT WITH GRANT concessa in modo diretto o implicito a una delle identità nel contesto di protezione per qualunque oggetto nello spazio di autorizzazione.

Considerazioni speciali per le autorizzazioni a livello di colonna

Le autorizzazioni a livello di colonna vengono concesse con la sintassi <table_name>(<column_name>). Ad esempio:

GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;

Un'istruzione GRANT a livello di colonna esegue l'override di un'istruzione DENY a livello di tabella. Tuttavia, un'istruzione DENY successiva a livello di tabella rimuoverà l'istruzione GRANT a livello di colonna.

Esempi

Negli esempi inclusi in questa sezione viene illustrato come recuperare le informazioni sulle autorizzazioni.

R. Restituzione dell'elenco completo delle autorizzazioni concedibili

L'istruzione seguente restituisce tutte le autorizzazioni del motore di database tramite la funzione fn_builtin_permissions. Per altre informazioni, vedere sys.fn_builtin_permissions.

SELECT * FROM fn_builtin_permissions(default);
GO

B. Restituzione delle autorizzazioni per una particolare classe di oggetti

Nell'esempio seguente viene usata la funzione fn_builtin_permissions per visualizzare tutte le autorizzazioni disponibili per una categoria di entità a protezione diretta. Nell'esempio vengono restituite le autorizzazioni per gli assembly.

SELECT * FROM fn_builtin_permissions('assembly');
GO

C. Restituzione delle autorizzazioni concesse all'entità di sicurezza in esecuzione su un oggetto

Nell'esempio seguente viene usata la funzione fn_my_permissions per restituire un elenco delle autorizzazioni valide assegnate all'entità chiamante per un'entità a protezione diretta specificata. Nell'esempio vengono restituite le autorizzazioni per un oggetto denominato Orders55. Per altre informazioni, vedere sys.fn_my_permissions.

SELECT * FROM fn_my_permissions('Orders55', 'object');
GO

D. Restituzione delle autorizzazioni applicabili a un oggetto specificato

Nell'esempio seguente vengono restituite le autorizzazioni applicabili a un oggetto denominato Yttrium. La funzione predefinita OBJECT_ID viene usata per recuperare l'ID dell'oggetto Yttrium.

SELECT * FROM sys.database_permissions
    WHERE major_id = OBJECT_ID('Yttrium');
GO