次の方法で共有


DENY (サーバー プリンシパルの権限の拒否) (Transact-SQL)

SQL Server ログインに対して許可された権限を拒否します。

トピック リンク アイコン Transact-SQL 構文表記規則

構文

DENY permission [ ,...n ] } 
    ON 
    { [ LOGIN :: SQL_Server_login ]
      | [ SERVER ROLE :: server_role ] } 
    TO <server_principal> [ ,...n ]
    [ CASCADE ]
    [ AS SQL_Server_login ] 

<server_principal> ::= 
    SQL_Server_login
    | SQL_Server_login_from_Windows_login 
    | SQL_Server_login_from_certificate 
    | SQL_Server_login_from_AsymKey 
    | server_role

引数

  • permission
    SQL Server ログインで拒否できる権限を指定します。 権限の一覧については、後の「解説」を参照してください。

  • LOGIN :: SQL_Server_login
    拒否される権限の対象となる SQL Server ログインを指定します。 スコープ修飾子 (::) が必要です。

  • SERVER ROLE :: server_role
    拒否される権限の対象となるサーバー ロールを指定します。 スコープ修飾子 (::) が必要です。

  • TO <server_principal>
    権限を許可する SQL Server ログインまたはサーバー ロールを指定します。

  • TO SQL_Server_login
    権限を拒否する SQL Server ログインを指定します。

  • SQL_Server_login
    SQL Server ログインの名前を指定します。

  • SQL_Server_login_from_Windows_login
    Windows ログインから作成された SQL Server ログインの名前を指定します。

  • SQL_Server_login_from_certificate
    証明書にマップされている SQL Server ログインの名前を指定します。

  • SQL_Server_login_from_AsymKey
    非対称キーにマップされている SQL Server ログインの名前を指定します。

  • server_role
    サーバー ロールの名前を指定します。

  • CASCADE
    このプリンシパルによって権限が許可されている他のプリンシパルに対しても、同じ権限を拒否することを示します。

  • AS SQL_Server_login
    このクエリを実行するプリンシパルが権限を拒否する権利を取得した、元の SQL Server ログインを指定します。

説明

サーバー スコープの権限を拒否できるのは、現在のデータベースが master のときだけです。

サーバー権限に関する情報は、sys.server_permissions カタログ ビューで確認できます。 サーバー プリンシパルに関する情報は、sys.server_principals カタログ ビューで確認できます。

GRANT OPTION で権限が許可されたプリンシパルに対して権限を拒否するときに CASCADE を指定しない場合、DENY ステートメントは失敗します。

SQL Server ログインおよびサーバー ロールはサーバー レベルのセキュリティ保護可能なリソースです。 次の表に、SQL Server ログインまたはサーバー ロールで拒否できる権限のうち最も限定的なものを、それらを暗黙的に含む一般的な権限と共に示します。

SQL Server ログインまたはサーバー ロールの権限

権限が含まれる SQL Server ログインまたはサーバー ロールの権限

権限が含まれるサーバー権限

CONTROL

CONTROL

CONTROL SERVER

IMPERSONATE

CONTROL

CONTROL SERVER

VIEW DEFINITION

CONTROL

VIEW ANY DEFINITION

ALTER

CONTROL

ALTER ANY LOGIN

ALTER ANY SERVER ROLE

権限

ログインの場合、ログインに対する CONTROL 権限、またはサーバーに対する ALTER ANY LOGIN 権限が必要です。

サーバー ロールの場合、サーバー ロールに対する CONTROL 権限、またはサーバーに対する ALTER ANY SERVER ROLE 権限が必要です。

使用例

A. ログインの IMPERSONATE 権限を拒否する

次の例では、SQL Server ログイン WanidaBenshoof の IMPERSONATE 権限を、Windows ユーザー AdvWorks\YoonM から作成された SQL Server ログインに対して拒否します。

USE master;
DENY IMPERSONATE ON LOGIN::WanidaBenshoof TO [AdvWorks\YoonM];
GO

B. CASCADE を指定して VIEW DEFINITION 権限を拒否する

次の例では、SQL Server ログイン EricKurjan の VIEW DEFINITION 権限を、SQL Server ログイン RMeyyappan に対して拒否します。 ここでは CASCADE オプションを使用して、RMeyyappan がこの権限を許可したプリンシパルに対しても、EricKurjan の VIEW DEFINITION 権限を拒否することを指定します。

USE master;
DENY VIEW DEFINITION ON LOGIN::EricKurjan TO RMeyyappan 
    CASCADE;
GO 

C. サーバー ロールの VIEW DEFINITION 権限を拒否する

次の例では、Sales サーバー ロールの VIEW DEFINITION 権限を、Auditors サーバー ロールに対して拒否します。

USE master;
DENY VIEW DEFINITION ON SERVER ROLE::Sales TO Auditors ;
GO 

関連項目

参照

sys.server_principals (Transact-SQL)

sys.server_permissions (Transact-SQL)

GRANT (サーバー プリンシパルの権限の許可) (Transact-SQL)

REVOKE (サーバー プリンシパルの権限の取り消し) (Transact-SQL)

CREATE LOGIN (Transact-SQL)

セキュリティ関数 (Transact-SQL)

セキュリティ ストアド プロシージャ (Transact-SQL)

概念

プリンシパル (データベース エンジン)

権限 (データベース エンジン)