Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)SQL Analytics-eindpunt in Microsoft FabricMagazijn in Microsoft FabricSQL-database in Microsoft Fabric
Elk beveiligbaar SQL Server heeft gekoppelde machtigingen die aan een principal kunnen worden verleend. Machtigingen in de database-engine worden beheerd op serverniveau dat is toegewezen aan aanmeldingen en serverfuncties, en op databaseniveau dat is toegewezen aan databasegebruikers en databaserollen. Het model voor Azure SQL Database heeft hetzelfde systeem voor de databasemachtigingen, maar de machtigingen op serverniveau zijn niet beschikbaar. Dit artikel bevat de volledige lijst met machtigingen. Zie Aan de slag met database-enginemachtigingen voor een typische implementatie van de machtigingen.
Het totale aantal machtigingen voor SQL Server 2022 (16.x) is 292. Azure SQL Database biedt 292 machtigingen. De meeste machtigingen zijn van toepassing op alle platforms, maar sommige niet. De meeste machtigingen op serverniveau kunnen bijvoorbeeld niet worden verleend in Azure SQL Database en een paar machtigingen zijn alleen zinvol voor Azure SQL Database. Nieuwe machtigingen worden geleidelijk geïntroduceerd met nieuwe releases. SQL Server 2019 (15.x) biedt 248 machtigingen. SQL Server 2017 (14.x) heeft 238 machtigingen weergegeven. SQL Server 2016 (13.x) heeft 230 machtigingen weergegeven. SQL Server 2014 (12.x) heeft 219 machtigingen weergegeven. SQL Server 2012 (11.x) heeft 214 machtigingen beschikbaar gesteld. SQL Server 2008 R2 (10.50.x) heeft 195 machtigingen beschikbaar gesteld. Het sys.fn_builtin_permissions artikel geeft aan welke machtigingen nieuw zijn in recente versies.
In SQL Database in Microsoft Fabric worden alleen gebruikers en rollen op databaseniveau ondersteund. Aanmeldingen, rollen en het sa account op serverniveau zijn niet beschikbaar. In SQL Database in Microsoft Fabric is Microsoft Entra ID voor databasegebruikers de enige ondersteunde verificatiemethode. Zie Autorisatie in SQL Database in Microsoft Fabricvoor meer informatie.
Zodra u de vereiste machtigingen begrijpt, kunt u machtigingen op serverniveau toepassen op aanmeldingen of serverfuncties, en machtigingen op databaseniveau voor gebruikers of databaserollen, met behulp van de instructies GRANT, REVOKE en DENY . Voorbeeld:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Zie Aan de slag met database-enginemachtigingen voor tips over het plannen van een machtigingssysteem.
Naamconventies voor machtigingen
Hieronder worden de algemene conventies beschreven die worden gevolgd voor naamgevingsmachtigingen:
CONTROL
Verleent eigendomsachtige mogelijkheden aan de grantee. De grantee heeft in feite alle gedefinieerde machtigingen voor het beveiligbaar. Een principal waaraan CONTROL is toegewezen, kan ook machtigingen verlenen voor de beveiligbare eenheid. Omdat het SQL Server-beveiligingsmodel hiërarchisch is, bevat CONTROL in een bepaald bereik impliciet CONTROL voor alle beveiligbare elementen onder dat bereik. Control voor een database impliceert bijvoorbeeld alle machtigingen voor de database, alle machtigingen voor alle assembly's in de database, alle machtigingen voor alle schema's in de database en alle machtigingen voor objecten binnen alle schema's in de database.
ALTER
Geeft de mogelijkheid om de eigenschappen, met uitzondering van eigendom, van een bepaald beveiligbaar object te wijzigen. Wanneer aan een bereik wordt verleend, krijgt ALTER ook de mogelijkheid om een beveiligbaar te wijzigen, te maken of te verwijderen dat binnen dat bereik is opgenomen. De machtiging ALTER voor een schema bevat bijvoorbeeld de mogelijkheid om objecten uit het schema te maken, te wijzigen en neer te zetten.
ALTER ANY <Server Securable>, waarbij Server Securable elke server beveiligbaar kan zijn.
Verleent de mogelijkheid om afzonderlijke exemplaren van het Server-beveiligd object te maken, te wijzigen of te verwijderen. ALTER ANY LOGIN biedt bijvoorbeeld de mogelijkheid om in de instantie aanmeldingen te maken, te wijzigen of te verwijderen.
ALTER ANY <Database Securable>, waarbij een Database Securable iets beveiligbaars kan zijn op databaseniveau.
Biedt de mogelijkheid om afzonderlijke exemplaren van het database-object te maken, wijzigen of verwijderen. ALTER ANY SCHEMA biedt bijvoorbeeld de mogelijkheid om een schema in de database te maken, te wijzigen of te verwijderen.
EIGENAAR
Hiermee kan de grantee eigenaar worden van het beveiligbare waarvoor deze wordt verleend.
IMITEREN <Inloggen>
Hiermee kan de grantee de aanmelding imiteren.
IMITEER <Gebruiker>
Hiermee kan de grantee de gebruiker imiteren.
CREATE Server <Beveiligbaar>
Verleent de grante de mogelijkheid om de server te beveiligen.
CREATE Database <Beveiligbaar>
Verleent de ontvanger de mogelijkheid om de Database Securable te creëren.
CREATE <Schema-beveiligbaar object>
Geeft de mogelijkheid om beveiligbare objecten binnen het schema te creëren. Alter-machtigingen voor het schema zijn echter vereist om het beveiligbaar te maken in een bepaald schema.
DEFINITIE WEERGEVEN
Hiermee kan de grantee toegang krijgen tot metagegevens.
REFERENCES
Voor het creëren van een FOREIGN KEY-constraint die naar die tabel verwijst, is toestemming voor referenties op een tabel nodig.
De machtiging VERWIJZINGEN is vereist op een object om een FUNCTIE of WEERGAVE te maken met de
WITH SCHEMABINDINGclausule die naar dat object verwijst.
Grafiek met SQL Server-machtigingen
In de volgende afbeelding ziet u de machtigingen en de bijbehorende relaties met elkaar. Sommige machtigingen op een hoger niveau (zoals CONTROL SERVER) worden vaak vermeld. In dit artikel is de poster veel te klein om te lezen. U kunt de Database Engine Permissions Poster in volledige grootte in PDF-formaat downloaden.
Machtigingen die van toepassing zijn op specifieke beveiligbare objecten
De volgende tabel bevat de belangrijkste klassen machtigingen en de soorten beveiligbare items waarop ze kunnen worden toegepast.
| Permission | Van toepassing op: |
|---|---|
| ALTER | Alle klassen van objecten behalve TYPE. |
| CONTROL | Alle klassen van objecten: AGGREGATE, APPLICATIEROL ASSEMBLY, ASYMMETRISCHE SLEUTEL, BESCHIKBAARHEIDSGROEP, CERTIFICATE, CONTRACT, CREDENTIALS, DATABASE, REFERENTIE VOOR DATABASEBEREIK, DEFAULT, ENDPOINT, FULLTEXT CATALOG FULLTEXT STOPLIJST FUNCTION, LOGIN, BERICHTTYPE, PROCEDURE, QUEUE, KOPPELING VAN EXTERNE DIENST ROLE, ROUTE, RULE, SCHEMA, ZOEK EIGENSCHAPPENLIJST SERVER, SERVERFUNCTIE, SERVICE, SYMMETRISCHE SLEUTEL, SYNONYM, TABLE, TYPE, USER, WEERGEVEN en XML-schema verzameling |
| DELETE | Alle klassen van objecten behalve DATABASE SCOPED CONFIGURATION, SERVER en TYPE. |
| EXECUTE | CLR-typen, externe scripts, procedures (Transact-SQL en CLR), scalaire en statistische functies (Transact-SQL en CLR) en synoniemen |
| IMPERSONATE | Aanmeldingen en gebruikers |
| INSERT | Synoniemen, tabellen en kolommen, weergaven en kolommen. Machtiging kan worden verleend op database-, schema- of objectniveau. |
| RECEIVE | Service Broker-wachtrijen |
| REFERENCES | AGGREGATE, ASSEMBLY, ASYMMETRISCHE SLEUTEL, CERTIFICATE, CONTRACT, CREDENTIAL (van toepassing op SQL Server 2022 (16.x) en hoger), DATABASE, REFERENTIE VOOR DATABASEBEREIK, Fulltekstcatalogus VOLLEDIGE TEKST UITSCHAKELLIJST FUNCTION, BERICHTTYPE, PROCEDURE, QUEUE, RULE, SCHEMA, ZOEK EIGENSCHAPPENLIJST SEQUENTIEOBJECT SYMMETRISCHE SLEUTEL, TABLE, TYPE, Weergeven en XML-schema verzameling |
| SELECT | Synoniemen, tabellen en kolommen, weergaven en kolommen. Machtiging kan worden verleend op database-, schema- of objectniveau. |
| EIGENAAR | Alle klassen van objecten behalve DATABASE SCOPED CONFIGURATION, LOGIN, SERVER en USER. |
| UPDATE | Synoniemen, tabellen en kolommen, weergaven en kolommen. Machtiging kan worden verleend op database-, schema- of objectniveau. |
| WIJZIGINGEN BIJHOUDEN WEERGEVEN | Schema's en tabellen |
| DEFINITIE WEERGEVEN | Alle klassen van objecten behalve DATABASE SCOPED CONFIGURATION en SERVER. |
Caution
De standaardmachtigingen die worden verleend aan systeemobjecten op het moment van de installatie, worden zorgvuldig geëvalueerd tegen mogelijke bedreigingen en hoeven niet te worden gewijzigd als onderdeel van het beveiligen van de SQL Server-installatie. Wijzigingen in de machtigingen voor de systeemobjecten kunnen de functionaliteit beperken of verbreken en uw SQL Server-installatie mogelijk in een niet-ondersteunde status laten staan.
SQL Server-machtigingen
De volgende tabel bevat een volledige lijst met SQL Server-machtigingen. Azure SQL Database-machtigingen zijn alleen beschikbaar voor basisveiligbare objecten die worden ondersteund. Machtigingen op serverniveau kunnen niet worden verleend in Azure SQL Database, maar in sommige gevallen zijn databasemachtigingen beschikbaar.
| Basis beveiligbaar | Gedetailleerde machtigingen op basis van beveiligbare elementen | Typecode machtiging | Beveiligingsobject dat basisbeveiligingsobject bevat | Machtiging voor een beveiligbare container die gedetailleerde machtigingen impliceert op een basis beveiligbaar object |
|---|---|---|---|---|
| TOEPASSINGSROL | ALTER | AL | DATABASE | ELKE TOEPASSINGSROL WIJZIGEN |
| TOEPASSINGSROL | CONTROL | CL | DATABASE | CONTROL |
| TOEPASSINGSROL | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| ASSEMBLY | ALTER | AL | DATABASE | ELKE ASSEMBLY WIJZIGEN |
| ASSEMBLY | CONTROL | CL | DATABASE | CONTROL |
| ASSEMBLY | REFERENCES | RF | DATABASE | REFERENCES |
| ASSEMBLY | EIGENAAR | TO | DATABASE | CONTROL |
| ASSEMBLY | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| ASYMMETRISCHE SLEUTEL | ALTER | AL | DATABASE | ASYMMETRISCHE SLEUTEL WIJZIGEN |
| ASYMMETRISCHE SLEUTEL | CONTROL | CL | DATABASE | CONTROL |
| ASYMMETRISCHE SLEUTEL | REFERENCES | RF | DATABASE | REFERENCES |
| ASYMMETRISCHE SLEUTEL | EIGENAAR | TO | DATABASE | CONTROL |
| ASYMMETRISCHE SLEUTEL | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| BESCHIKBAARHEIDSGROEP | ALTER | AL | SERVER | EEN BESCHIKBAARHEIDSGROEP WIJZIGEN |
| BESCHIKBAARHEIDSGROEP | CONTROL | CL | SERVER | besturingsserver |
| BESCHIKBAARHEIDSGROEP | EIGENAAR | TO | SERVER | Beheerserver |
| BESCHIKBAARHEIDSGROEP | DEFINITIE WEERGEVEN | VW | SERVER | ALLE DEFINITIES BEKIJKEN |
| CERTIFICATE | ALTER | AL | DATABASE | ELK CERTIFICAAT WIJZIGEN |
| CERTIFICATE | CONTROL | CL | DATABASE | CONTROL |
| CERTIFICATE | REFERENCES | RF | DATABASE | REFERENCES |
| CERTIFICATE | EIGENAAR | TO | DATABASE | CONTROL |
| CERTIFICATE | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| CONTRACT | ALTER | AL | DATABASE | EEN CONTRACT WIJZIGEN |
| CONTRACT | CONTROL | CL | DATABASE | CONTROL |
| CONTRACT | REFERENCES | RF | DATABASE | REFERENCES |
| CONTRACT | EIGENAAR | TO | DATABASE | CONTROL |
| CONTRACT | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| CREDENTIAL | CONTROL | CL | SERVER | CONTROL SERVER |
| CREDENTIAL | REFERENCES | RF | SERVER | ALLE REFERENTIES WIJZIGEN |
| DATABASE | DE DATABASE BULKOPERATIES BEHEEREN | DABO | SERVER | CONTROL SERVER |
| DATABASE | ALTER | AL | SERVER | ELKE DATABASE WIJZIGEN |
| DATABASE | ELKE TOEPASSINGSROL WIJZIGEN | ALAR | SERVER | CONTROL SERVER |
| DATABASE | ELKE ASSEMBLY WIJZIGEN | ALAS | SERVER | CONTROL SERVER |
| DATABASE | ASYMMETRISCHE SLEUTEL WIJZIGEN | ALAK | SERVER | CONTROL SERVER |
| DATABASE | ELK CERTIFICAAT WIJZIGEN | ALCF | SERVER | CONTROL SERVER |
| DATABASE | EEN KOLOMVERSLEUTELINGSSLEUTEL WIJZIGEN | ALCK Is van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | CONTROL SERVER |
| DATABASE | EEN KOLOMHOOFDSLEUTEL WIJZIGEN | ALCM Is van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | CONTROL SERVER |
| DATABASE | EEN CONTRACT WIJZIGEN | ALSC | SERVER | CONTROL SERVER |
| DATABASE | DATABASECONTROLE WIJZIGEN | ALDA | SERVER | SERVERCONTROLE WIJZIGEN |
| DATABASE | EEN DDL-TRIGGER VOOR DATABASES WIJZIGEN | ALTG | SERVER | Beheerserver |
| DATABASE | ELKE MELDING VOOR DATABASE-GEBEURTENIS WIJZIGEN | ALED | SERVER | GEBEURTENISMELDING WIJZIGEN |
| DATABASE | EEN GEBEURTENISSESSIE VOOR DE DATABASE WIJZIGEN | AADS | SERVER | EEN GEBEURTENISSESSIE WIJZIGEN |
| DATABASE | WIJZIG ELKE DATABASE-GEBEURTENISSESSIE VOEG GEBEURTENIS TOE | LDAE | SERVER | GEBEURTENIS TOEVOEGEN VAN GEBEURTENISSESSIE WIJZIGEN |
| DATABASE | ALLE DATABASE-EVENEMENTSESSIES AANPASSEN EN DOEL TOEVOEGEN | LDAT | SERVER | WIJZIGEN EEN GEBEURTENISSESSIE DOEL TOEVOEGEN |
| DATABASE | ELKE DATABASE-GEBEURTENISSESSIE UITSCHAKELEN | DDES | SERVER | EEN GEBEURTENISSESSIE UITSCHAKELEN |
| DATABASE | ELKE GEBEURTENIS VOOR HET VERWIJDEREN VAN EEN DATABASE-GEBEURTENISSESSIE WIJZIGEN | LDDE | SERVER | GEBEURTENIS VOOR HET VERWIJDEREN VAN EEN GEBEURTENISSESSIE WIJZIGEN |
| DATABASE | DOEL VOOR HET VERWIJDEREN VAN EEN DATABASE-GEBEURTENISSESSIE WIJZIGEN | LDDT | SERVER | WIJZIG HET DOEL VAN ELKE GEBEURTENISSESSIE |
| DATABASE | ELKE DATABASE-GEBEURTENISSESSIE INSCHAKELEN | EDES | SERVER | WIJZIG ELKE GEBEURTENISSESSIE INSCHAKELEN |
| DATABASE | WIJZIG EEN OF ANDERE OPTIE VOOR GEBEURTENISSESSIES VAN EEN DATABASE | LDSO | SERVER | ELKE OPTIE VAN GEBEURTENISSESSIE WIJZIGEN |
| DATABASE | CONFIGURATIE VAN DATABASEBEREIK WIJZIGEN | ALDC Is van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | CONTROLESERVER |
| DATABASE | ELKE DATASPACE WIJZIGEN | ALDS | SERVER | CONTROL SERVER |
| DATABASE | ELKE EXTERNE GEGEVENSBRON WIJZIGEN | AEDS | SERVER | Beheerserver |
| DATABASE | WIJZIGEN VAN ELKE EXTERNE BESTANDSINDELING | AEFF | SERVER | besturingsserver |
| DATABASE | Elke externe taak wijzigen | AESJ | SERVER | CONTROL SERVER |
| DATABASE | EEN EXTERNE TAAL WIJZIGEN | ALLA | SERVER | CONTROLESERVER |
| DATABASE | IEDERE EXTERNE BIBLIOTHEEK WIJZIGEN | ALEL | SERVER | CONTROL SERVER |
| DATABASE | EEN EXTERNE STREAM WIJZIGEN | AEST | SERVER | CONTROL SERVER |
| DATABASE | ELKE VOLLEDIGE TEKSTCATALOGUS WIJZIGEN | ALFT | SERVER | CONTROLESERVER |
| DATABASE | EEN MASKER WIJZIGEN | AAMK Is van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | Beheer Server |
| DATABASE | ELK BERICHTTYPE WIJZIGEN | ALMT | SERVER | CONTROL SERVER |
| DATABASE | EEN EXTERNE SERVICEBINDING WIJZIGEN | ALSB | SERVER | Beheerserver |
| DATABASE | ELKE ROL WIJZIGEN | ALRL | SERVER | Controle-server |
| DATABASE | ELKE ROUTE WIJZIGEN | ALRT | SERVER | CONTROL SERVER |
| DATABASE | EEN SCHEMA WIJZIGEN | ALSM | SERVER | CONTROL SERVER |
| DATABASE | BEVEILIGINGSBELEID WIJZIGEN | ALSP Is van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | CONTROL SERVER |
| DATABASE | EVENTUELE GEVOELIGHEIDSCLASSIFICATIE WIJZIGEN | AASC Is van toepassing op SQL Server (SQL Server 2019 (15.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | besturingsserver |
| DATABASE | ELKE SERVICE WIJZIGEN | ALSV | SERVER | CONTROL SERVER |
| DATABASE | ELKE SYMMETRISCHE SLEUTEL WIJZIGEN | ALSK | SERVER | besturingsserver |
| DATABASE | WILLEKEURIGE GEBRUIKER WIJZIGEN | ALUS | SERVER | Controlserver |
| DATABASE | ALTER LEDGER | ALR | SERVER | CONTROL |
| DATABASE | WIJZIGEN VAN GROOTBOEKCONFIGURATIE | ALC | SERVER | CONTROL SERVER |
| DATABASE | AUTHENTICATE | AUTH | SERVER | VERIFICATIESERVER |
| DATABASE | BACK-UP DATABASE | BADB | SERVER | CONTROL SERVER |
| DATABASE | BACKUPLOG | BALO | SERVER | CONTROL SERVER |
| DATABASE | CHECKPOINT | CP | SERVER | CONTROL SERVER |
| DATABASE | CONNECT | CO | SERVER | CONTROL SERVER |
| DATABASE | CONNECTREPLICATIE | CORP | SERVER | CONTROL SERVER |
| DATABASE | CONTROL | CL | SERVER | CONTROL SERVER |
| DATABASE | AGGREGATIE MAKEN | CRAG | SERVER | CONTROL SERVER |
| DATABASE | MAAK EEN DATABASE-GEBEURTENISSESSIE | CRDS | SERVER | EEN EVENEMENTSESSIE AANMAKEN |
| DATABASE | MAAK ASSEMBLY AAN | CRAS | SERVER | CONTROL SERVER |
| DATABASE | ASYMMETRISCHE SLEUTEL MAKEN | CRAK | SERVER | CONTROL SERVER |
| DATABASE | CERTIFICAAT MAKEN | CRCF | SERVER | CONTROL SERVER |
| DATABASE | CONTRACT MAKEN | CRSC | SERVER | CONTROL SERVER |
| DATABASE | DATABASE MAKEN | CRDB | SERVER | EEN DATABASE MAKEN |
| DATABASE | DDL-GEBEURTENISMELDING VOOR DATABASE MAKEN | CRED | SERVER | DDL-GEBEURTENISMELDING MAKEN |
| DATABASE | STANDAARD MAKEN | CRDF | SERVER | CONTROL SERVER |
| DATABASE | EXTERNE TAAL MAKEN | CRLA | SERVER | CONTROL SERVER |
| DATABASE | EXTERNE BIBLIOTHEEK MAKEN | CREL | SERVER | CONTROL SERVER |
| DATABASE | VOLLEDIGE TEKSTCATALOGUS MAKEN | CRFT | SERVER | CONTROL SERVER |
| DATABASE | MAAK FUNCTIE AAN | CRFN | SERVER | CONTROL SERVER |
| DATABASE | BERICHTTYPE MAKEN | CRMT | SERVER | CONTROL SERVER |
| DATABASE | Aanmaken van procedure | CRPR | SERVER | CONTROL SERVER |
| DATABASE | WACHTRIJ MAKEN | CRQU | SERVER | CONTROL SERVER |
| DATABASE | EXTERNE SERVICEBINDING MAKEN | CRSB | SERVER | CONTROL SERVER |
| DATABASE | CREËER ROL | CRRL | SERVER | CONTROL SERVER |
| DATABASE | Maak route aan | CRRT | SERVER | CONTROL SERVER |
| DATABASE | REGEL MAKEN | CRRU | SERVER | CONTROL SERVER |
| DATABASE | SCHEMA MAKEN | CRSM | SERVER | CONTROL SERVER |
| DATABASE | SERVICE CREËREN | CRSV | SERVER | CONTROL SERVER |
| DATABASE | SYMMETRISCHE SLEUTEL MAKEN | CRSK | SERVER | CONTROL SERVER |
| DATABASE | SYNONIEM MAKEN | CRSN | SERVER | CONTROL SERVER |
| DATABASE | CREATE TABLE | CRTB | SERVER | CONTROL SERVER |
| DATABASE | TYPE AANMAKEN | CRTY | SERVER | CONTROL SERVER |
| DATABASE | GEBRUIKER AANMAKEN | CUSR | SERVER | CONTROL SERVER |
| DATABASE | VIEW AANMAKEN | CRVW | SERVER | CONTROL SERVER |
| DATABASE | XML-SCHEMAVERZAMELING MAKEN | CRXS | SERVER | CONTROL SERVER |
| DATABASE | DELETE | DL | SERVER | CONTROL SERVER |
| DATABASE | ELKE DATABASEGEBEURTENISSESSIE VERWIJDEREN | DRDS | SERVER | EEN GEBEURTENISSESSIE SCHRAPPEN |
| DATABASE | GROOTBOEK INSCHAKELEN | EL | SERVER | CONTROL |
| DATABASE | EXECUTE | EX | SERVER | CONTROL SERVER |
| DATABASE | EEN EXTERN EINDPUNT UITVOEREN | EAEE | SERVER | CONTROL SERVER |
| DATABASE | EEN EXTERN SCRIPT UITVOEREN | EAES Van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige). |
SERVER | CONTROL SERVER |
| DATABASE | INSERT | IN | SERVER | CONTROL SERVER |
| DATABASE | DATABASEVERBINDING BEËINDIGEN | KIDC Alleen van toepassing op Azure SQL Database. Gebruik ALTER ANY CONNECTION in SQL Server. |
SERVER | ELKE VERBINDING WIJZIGEN |
| DATABASE | REFERENCES | RF | SERVER | CONTROL SERVER |
| DATABASE | SELECT | SL | SERVER | CONTROL SERVER |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER TRACE (gebruikersmachtiging voor het traceren van gebeurtenissen) |
| DATABASE | MELDINGEN VOOR ABONNEREN-QUERY'S | SUQN | SERVER | CONTROL SERVER |
| DATABASE | EIGENAAR | TO | SERVER | CONTROL SERVER |
| DATABASE | UNMASK | UMSK Is van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | CONTROL SERVER |
| DATABASE | UPDATE | UP | SERVER | CONTROL SERVER |
| DATABASE | WEERGEVEN VAN ELKE KOLOMVERSLEUTELINGSSLEUTEL DEFINITIE | VWCK Is van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | SERVERSTATUS BEKIJKEN |
| DATABASE | EEN KOLOMHOOFDSLEUTELDEFINITIE WEERGEVEN | VWCM Is van toepassing op SQL Server (SQL Server 2016 (13.x) tot en met de huidige versie), Azure SQL Database. |
SERVER | SERVERSTATUS BEKIJKEN |
| DATABASE | EVENTUELE GEVOELIGHEIDSCLASSIFICATIE WEERGEVEN | VASC | SERVER | CONTROL SERVER |
| DATABASE | BEKIJK CRYPTOGRAFISCH BEVEILIGDE DEFINITIE | VCD | SERVER | ELKE CRYPTOGRAFISCH BEVEILIGDE DEFINITIE BEKIJKEN |
| DATABASE | PRESTATIESTATUS VAN DATABASE WEERGEVEN | VDP | SERVER | PRESTATIESTATUS VAN DE SERVER WEERGEVEN |
| DATABASE | DATABASEBEVEILIGINGSCONTROLE WEERGEVEN | VDSA | SERVER | CONTROL SERVER |
| DATABASE | Weergeven van de databasebeveiligingsstatus | VDS | SERVER | Serverbeveiligingsstatus weergeven |
| DATABASE | STATUS VAN DATABASE BEKIJKEN | VWDS | SERVER | SERVERSTATUS BEKIJKEN |
| DATABASE | DEFINITIE WEERGEVEN | VW | SERVER | ALLE DEFINITIES BEKIJKEN |
| DATABASE | GROOTBOEKINHOUD BEKIJKEN | VLC | SERVER | CONTROL |
| DATABASE | BEKIJK BEVEILIGINGSDEFINITIE | VWS | SERVER | Elke beveiligingsdefinitie weergeven |
| DATABASE | WEERGAVE VAN PRESTATIEDEFINITIE | VWP | SERVER | ELKE PRESTATIEDEFINITIE BEKIJKEN |
| GECREDENTIALISEERD DATABASEBEREIK | ALTER | AL | DATABASE | CONTROL |
| GECREDENTIALISEERD DATABASEBEREIK | CONTROL | CL | DATABASE | CONTROL |
| GECREDENTIALISEERD DATABASEBEREIK | REFERENCES | RF | DATABASE | REFERENCES |
| GECREDENTIALISEERD DATABASEBEREIK | EIGENAAR | TO | DATABASE | CONTROL |
| GECREDENTIALISEERD DATABASEBEREIK | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| ENDPOINT | ALTER | AL | SERVER | ELK EINDPUNT WIJZIGEN |
| ENDPOINT | CONNECT | CO | SERVER | CONTROL SERVER |
| ENDPOINT | CONTROL | CL | SERVER | CONTROL SERVER |
| ENDPOINT | EIGENAAR | TO | SERVER | CONTROL SERVER |
| ENDPOINT | DEFINITIE WEERGEVEN | VW | SERVER | ALLE DEFINITIES BEKIJKEN |
| VOLLEDIGE TEKSTCATALOGUS | ALTER | AL | DATABASE | ELKE VOLLEDIGE TEKSTCATALOGUS WIJZIGEN |
| VOLLEDIGE TEKSTCATALOGUS | CONTROL | CL | DATABASE | CONTROL |
| VOLLEDIGE TEKSTCATALOGUS | REFERENCES | RF | DATABASE | REFERENCES |
| VOLLEDIGE TEKSTCATALOGUS | EIGENAAR | TO | DATABASE | CONTROL |
| VOLLEDIGE TEKSTCATALOGUS | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| GEHEELTEKST UITSLUITINGSLIJST | ALTER | AL | DATABASE | ELKE VOLLEDIGE TEKSTCATALOGUS WIJZIGEN |
| GEHEELTEKST UITSLUITINGSLIJST | CONTROL | CL | DATABASE | CONTROL |
| GEHEELTEKST UITSLUITINGSLIJST | REFERENCES | RF | DATABASE | REFERENCES |
| GEHEELTEKST UITSLUITINGSLIJST | EIGENAAR | TO | DATABASE | CONTROL |
| GEHEELTEKST UITSLUITINGSLIJST | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| LOGIN | ALTER | AL | SERVER | ELKE AANMELDING WIJZIGEN |
| LOGIN | CONTROL | CL | SERVER | CONTROL SERVER |
| LOGIN | IMPERSONATE | IM | SERVER | CONTROL SERVER |
| LOGIN | DEFINITIE WEERGEVEN | VW | SERVER | ALLE DEFINITIES BEKIJKEN |
| BERICHTTYPE | ALTER | AL | DATABASE | ELK BERICHTTYPE WIJZIGEN |
| BERICHTTYPE | CONTROL | CL | DATABASE | CONTROL |
| BERICHTTYPE | REFERENCES | RF | DATABASE | REFERENCES |
| BERICHTTYPE | EIGENAAR | TO | DATABASE | CONTROL |
| BERICHTTYPE | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| OBJECT | ALTER | AL | SCHEMA | ALTER |
| OBJECT | CONTROL | CL | SCHEMA | CONTROL |
| OBJECT | DELETE | DL | SCHEMA | DELETE |
| OBJECT | EXECUTE | EX | SCHEMA | EXECUTE |
| OBJECT | INSERT | IN | SCHEMA | INSERT |
| OBJECT | RECEIVE | RC | SCHEMA | CONTROL |
| OBJECT | REFERENCES | RF | SCHEMA | REFERENCES |
| OBJECT | SELECT | SL | SCHEMA | SELECT |
| OBJECT | EIGENAAR | TO | SCHEMA | CONTROL |
| OBJECT | UNMASK | UMSK | SCHEMA | UNMASK |
| OBJECT | UPDATE | UP | SCHEMA | UPDATE |
| OBJECT | WIJZIGINGEN BIJHOUDEN WEERGEVEN | VWCT | SCHEMA | WIJZIGINGEN BIJHOUDEN WEERGEVEN |
| OBJECT | DEFINITIE WEERGEVEN | VW | SCHEMA | DEFINITIE WEERGEVEN |
| SERVICEBINDING VANAF AFSTAND | ALTER | AL | DATABASE | EEN EXTERNE SERVICEBINDING WIJZIGEN |
| SERVICEBINDING VANAF AFSTAND | CONTROL | CL | DATABASE | CONTROL |
| SERVICEBINDING VANAF AFSTAND | EIGENAAR | TO | DATABASE | CONTROL |
| SERVICEBINDING VANAF AFSTAND | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| ROLE | ALTER | AL | DATABASE | ELKE ROL WIJZIGEN |
| ROLE | CONTROL | CL | DATABASE | CONTROL |
| ROLE | EIGENAAR | TO | DATABASE | CONTROL |
| ROLE | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| ROUTE | ALTER | AL | DATABASE | ELKE ROUTE WIJZIGEN |
| ROUTE | CONTROL | CL | DATABASE | CONTROL |
| ROUTE | EIGENAAR | TO | DATABASE | CONTROL |
| ROUTE | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| SCHEMA | ALTER | AL | DATABASE | EEN SCHEMA WIJZIGEN |
| SCHEMA | CONTROL | CL | DATABASE | CONTROL |
| SCHEMA | CREATE SEQUENCE | CRSO | DATABASE | CONTROL |
| SCHEMA | DELETE | DL | DATABASE | DELETE |
| SCHEMA | EXECUTE | EX | DATABASE | EXECUTE |
| SCHEMA | INSERT | IN | DATABASE | INSERT |
| SCHEMA | REFERENCES | RF | DATABASE | REFERENCES |
| SCHEMA | SELECT | SL | DATABASE | SELECT |
| SCHEMA | EIGENAAR | TO | DATABASE | CONTROL |
| SCHEMA | UNMASK | UMSK | DATABASE | UNMASK |
| SCHEMA | UPDATE | UP | DATABASE | UPDATE |
| SCHEMA | WIJZIGINGEN BIJHOUDEN WEERGEVEN | VWCT | DATABASE | WIJZIGINGEN BIJHOUDEN WEERGEVEN |
| SCHEMA | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| ZOEK EIGENSCHAPPENLIJST | ALTER | AL | SERVER | ELKE VOLLEDIGE TEKSTCATALOGUS WIJZIGEN |
| ZOEK EIGENSCHAPPENLIJST | CONTROL | CL | SERVER | CONTROL |
| ZOEK EIGENSCHAPPENLIJST | REFERENCES | RF | SERVER | REFERENCES |
| ZOEK EIGENSCHAPPENLIJST | EIGENAAR | TO | SERVER | CONTROL |
| ZOEK EIGENSCHAPPENLIJST | DEFINITIE WEERGEVEN | VW | SERVER | DEFINITIE WEERGEVEN |
| SERVER | BULKBEWERKINGEN BEHEREN | ADBO | Niet van toepassing | Niet van toepassing |
| SERVER | EEN BESCHIKBAARHEIDSGROEP WIJZIGEN | ALAG | Niet van toepassing | Niet van toepassing |
| SERVER | ELKE VERBINDING WIJZIGEN | ALCO | Niet van toepassing | Niet van toepassing |
| SERVER | ALLE REFERENTIES WIJZIGEN | ALCD | Niet van toepassing | Niet van toepassing |
| SERVER | ELKE DATABASE WIJZIGEN | ALDB | Niet van toepassing | Niet van toepassing |
| SERVER | ELK EINDPUNT WIJZIGEN | ALHE | Niet van toepassing | Niet van toepassing |
| SERVER | GEBEURTENISMELDING WIJZIGEN | ALES | Niet van toepassing | Niet van toepassing |
| SERVER | EEN GEBEURTENISSESSIE WIJZIGEN | AAES | Niet van toepassing | Niet van toepassing |
| SERVER | GEBEURTENIS TOEVOEGEN VAN GEBEURTENISSESSIE WIJZIGEN | LSAE | Niet van toepassing | Niet van toepassing |
| SERVER | WIJZIGEN EEN GEBEURTENISSESSIE DOEL TOEVOEGEN | LSAT | Niet van toepassing | Niet van toepassing |
| SERVER | EEN GEBEURTENISSESSIE UITSCHAKELEN | DES | Niet van toepassing | Niet van toepassing |
| SERVER | GEBEURTENIS VOOR HET VERWIJDEREN VAN EEN GEBEURTENISSESSIE WIJZIGEN | LSDE | Niet van toepassing | Niet van toepassing |
| SERVER | WIJZIG HET DOEL VAN ELKE GEBEURTENISSESSIE | LSDT | Niet van toepassing | Niet van toepassing |
| SERVER | WIJZIG ELKE GEBEURTENISSESSIE INSCHAKELEN | EES | Niet van toepassing | Niet van toepassing |
| SERVER | ELKE OPTIE VAN GEBEURTENISSESSIE WIJZIGEN | LESO | Niet van toepassing | Niet van toepassing |
| SERVER | EEN GEKOPPELDE SERVER WIJZIGEN | ALLS | Niet van toepassing | Niet van toepassing |
| SERVER | ELKE AANMELDING WIJZIGEN | ALLG | Niet van toepassing | Niet van toepassing |
| SERVER | SERVERCONTROLE WIJZIGEN | ALAA | Niet van toepassing | Niet van toepassing |
| SERVER | EEN SERVERFUNCTIE WIJZIGEN | ALSR | Niet van toepassing | Niet van toepassing |
| SERVER | ALTER RESOURCES | ALRS | Niet van toepassing | Niet van toepassing |
| SERVER | STATUS VAN ALTER SERVER | ALSS | Niet van toepassing | Niet van toepassing |
| SERVER | INSTELLINGEN WIJZIGEN | ALST | Niet van toepassing | Niet van toepassing |
| SERVER | ALTER TRACE (gebruikersmachtiging voor het traceren van gebeurtenissen) | ALTR | Niet van toepassing | Niet van toepassing |
| SERVER | VERIFICATIESERVER | AUTH | Niet van toepassing | Niet van toepassing |
| SERVER | VERBINDING MAKEN MET ELKE DATABASE | CADB | Niet van toepassing | Niet van toepassing |
| SERVER | VERBINDING MAKEN MET SQL | COSQ | Niet van toepassing | Niet van toepassing |
| SERVER | CONTROL SERVER | CL | Niet van toepassing | Niet van toepassing |
| SERVER | EEN DATABASE MAKEN | CRDB | Niet van toepassing | Niet van toepassing |
| SERVER | BESCHIKBAARHEIDSGROEP MAKEN | CRAC | Niet van toepassing | Niet van toepassing |
| SERVER | DDL-GEBEURTENISMELDING MAKEN | CRDE | Niet van toepassing | Niet van toepassing |
| SERVER | EINDPUNT MAKEN | CRHE | Niet van toepassing | Niet van toepassing |
| SERVER | SERVERFUNCTIE MAKEN | CRSR | Niet van toepassing | Niet van toepassing |
| SERVER | MELDING VOOR TRACERINGS EVENT MAKEN | CRTE | Niet van toepassing | Niet van toepassing |
| SERVER | ASSEMBLY VOOR EXTERNE TOEGANG | XA | Niet van toepassing | Niet van toepassing |
| SERVER | ELKE AANMELDING IMITEREN | IAL | Niet van toepassing | Niet van toepassing |
| SERVER | ALLE GEBRUIKERSVEILIGE ITEMS SELECTEREN | SUS | Niet van toepassing | Niet van toepassing |
| SERVER | SHUTDOWN | SHDN | Niet van toepassing | Niet van toepassing |
| SERVER | ONVEILIGE MONTAGE | XU | Niet van toepassing | Niet van toepassing |
| SERVER | BEKIJK ELKE DATABASE | VWDB | Niet van toepassing | Niet van toepassing |
| SERVER | ALLE DEFINITIES BEKIJKEN | VWAD | Niet van toepassing | Niet van toepassing |
| SERVER | SERVERSTATUS BEKIJKEN | VWSS | Niet van toepassing | Niet van toepassing |
| SERVERFUNCTIE | ALTER | AL | SERVER | EEN SERVERFUNCTIE WIJZIGEN |
| SERVERFUNCTIE | CONTROL | CL | SERVER | CONTROL SERVER |
| SERVERFUNCTIE | EIGENAAR | TO | SERVER | CONTROL SERVER |
| SERVERFUNCTIE | DEFINITIE WEERGEVEN | VW | SERVER | ALLE DEFINITIES BEKIJKEN |
| SERVICE | ALTER | AL | DATABASE | ELKE SERVICE WIJZIGEN |
| SERVICE | CONTROL | CL | DATABASE | CONTROL |
| SERVICE | SEND | SN | DATABASE | CONTROL |
| SERVICE | EIGENAAR | TO | DATABASE | CONTROL |
| SERVICE | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| SYMMETRISCHE SLEUTEL | ALTER | AL | DATABASE | ELKE SYMMETRISCHE SLEUTEL WIJZIGEN |
| SYMMETRISCHE SLEUTEL | CONTROL | CL | DATABASE | CONTROL |
| SYMMETRISCHE SLEUTEL | REFERENCES | RF | DATABASE | REFERENCES |
| SYMMETRISCHE SLEUTEL | EIGENAAR | TO | DATABASE | CONTROL |
| SYMMETRISCHE SLEUTEL | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| TYPE | CONTROL | CL | SCHEMA | CONTROL |
| TYPE | EXECUTE | EX | SCHEMA | EXECUTE |
| TYPE | REFERENCES | RF | SCHEMA | REFERENCES |
| TYPE | EIGENAAR | TO | SCHEMA | CONTROL |
| TYPE | DEFINITIE WEERGEVEN | VW | SCHEMA | DEFINITIE WEERGEVEN |
| USER | ALTER | AL | DATABASE | WILLEKEURIGE GEBRUIKER WIJZIGEN |
| USER | CONTROL | CL | DATABASE | CONTROL |
| USER | IMPERSONATE | IM | DATABASE | CONTROL |
| USER | DEFINITIE WEERGEVEN | VW | DATABASE | DEFINITIE WEERGEVEN |
| XML-schema verzameling | ALTER | AL | SCHEMA | ALTER |
| XML-schema verzameling | CONTROL | CL | SCHEMA | CONTROL |
| XML-schema verzameling | EXECUTE | EX | SCHEMA | EXECUTE |
| XML-schema verzameling | REFERENCES | RF | SCHEMA | REFERENCES |
| XML-schema verzameling | EIGENAAR | TO | SCHEMA | CONTROL |
| XML-schema verzameling | DEFINITIE WEERGEVEN | VW | SCHEMA | DEFINITIE WEERGEVEN |
Nieuwe gedetailleerde machtigingen toegevoegd aan SQL Server 2022
De volgende machtigingen worden toegevoegd aan SQL Server 2022:
Er zijn 10 nieuwe machtigingen toegevoegd om toegang tot systeemmetagegevens toe te staan.
Er zijn 18 nieuwe machtigingen toegevoegd voor uitgebreide gebeurtenissen.
Er zijn 9 nieuwe machtigingen toegevoegd met betrekking tot beveiligingsgerelateerde objecten.
Er zijn 4 machtigingen toegevoegd voor Ledger.
3 extra databasemachtigingen.
Zie nieuwe gedetailleerde machtigingen voor SQL Server 2022 en Azure SQL om de naleving van PoLP te verbeteren voor meer informatie.
Toegang tot machtigingen voor systeemmetagegevens
Serverniveau:
- Elke beveiligingsdefinitie weergeven
- ELKE PRESTATIEDEFINITIE BEKIJKEN
- Serverbeveiligingsstatus weergeven
- PRESTATIESTATUS VAN DE SERVER WEERGEVEN
- ELKE CRYPTOGRAFISCH BEVEILIGDE DEFINITIE BEKIJKEN
Databaseniveau:
- Weergeven van de databasebeveiligingsstatus
- PRESTATIESTATUS VAN DATABASE WEERGEVEN
- BEKIJK BEVEILIGINGSDEFINITIE
- WEERGAVE VAN PRESTATIEDEFINITIE
- BEKIJK CRYPTOGRAFISCH BEVEILIGDE DEFINITIE
Uitgebreide gebeurtenissenmachtigingen
Serverniveau:
- EEN EVENEMENTSESSIE AANMAKEN
- EEN GEBEURTENISSESSIE SCHRAPPEN
- ELKE OPTIE VAN GEBEURTENISSESSIE WIJZIGEN
- GEBEURTENIS TOEVOEGEN VAN GEBEURTENISSESSIE WIJZIGEN
- GEBEURTENIS VOOR HET VERWIJDEREN VAN EEN GEBEURTENISSESSIE WIJZIGEN
- WIJZIG ELKE GEBEURTENISSESSIE INSCHAKELEN
- EEN GEBEURTENISSESSIE UITSCHAKELEN
- WIJZIGEN EEN GEBEURTENISSESSIE DOEL TOEVOEGEN
- WIJZIG HET DOEL VAN ELKE GEBEURTENISSESSIE
Al deze machtigingen vallen onder dezelfde bovenliggende machtiging: ALTER ANY EVENT SESSION
Databaseniveau:
- MAAK EEN DATABASE-GEBEURTENISSESSIE
- ELKE DATABASEGEBEURTENISSESSIE VERWIJDEREN
- WIJZIG EEN OF ANDERE OPTIE VOOR GEBEURTENISSESSIES VAN EEN DATABASE
- WIJZIG ELKE DATABASE-GEBEURTENISSESSIE VOEG GEBEURTENIS TOE
- ELKE GEBEURTENIS VOOR HET VERWIJDEREN VAN EEN DATABASE-GEBEURTENISSESSIE WIJZIGEN
- ELKE DATABASE-GEBEURTENISSESSIE INSCHAKELEN
- ELKE DATABASE-GEBEURTENISSESSIE UITSCHAKELEN
- ALLE DATABASE-EVENEMENTSESSIES AANPASSEN EN DOEL TOEVOEGEN
- DOEL VOOR HET VERWIJDEREN VAN EEN DATABASE-GEBEURTENISSESSIE WIJZIGEN
Al deze machtigingen vallen onder één en dezelfde bovenliggende machtiging: ALTER ANY DATABASE EVENT SESSION
Machtigingen voor beveiligingsgerelateerde objecten
- CONTROL (REFERENTIE)
- LOGIN AANMAKEN
- GEBRUIKER AANMAKEN
- VERWIJZINGEN (REFERENTIE)
- DEMASKEREN (OBJECT)
- UNMASK (SCHEMA)
- EEN FOUTENLOGBOEK BEKIJKEN
- SERVERBEVEILIGINGSAUDIT TONEN
- DATABASEBEVEILIGINGSCONTROLE WEERGEVEN
Grootboekmachtigingen
- ALTER LEDGER
- WIJZIGEN VAN GROOTBOEKCONFIGURATIE
- GROOTBOEK INSCHAKELEN
- GROOTBOEKINHOUD BEKIJKEN
Andere databasemachtigingen
- Elke externe taak wijzigen
- EEN EXTERNE STREAM WIJZIGEN
- EEN EXTERN EINDPUNT UITVOEREN
Samenvatting van het algoritme voor machtigingscontrole
Het controleren van machtigingen kan complex zijn. Het algoritme voor machtigingscontrole omvat overlappende groepslidmaatschappen en eigendomsketens, zowel expliciete als impliciete machtigingen, en kan worden beïnvloed door de machtigingen voor beveiligbare klassen die de beveiligbare entiteit bevatten. Het algemene proces van het algoritme is het verzamelen van alle relevante machtigingen. Als er geen blokkerende DENY wordt gevonden, zoekt het algoritme naar een GRANT die voldoende toegang biedt. Het algoritme bevat drie essentiële elementen, de beveiligingscontext, de machtigingsruimte en de vereiste machtiging.
Note
U kunt geen machtigingen verlenen, weigeren of intrekken voorsadbo, de eigenaar van de entiteit, information_schemasysof uzelf.
Beveiligingscontext
Dit is de groep gebruikers die machtigingen verlenen voor de toegangscontrole. Dit zijn machtigingen die zijn gerelateerd aan de huidige aanmelding of gebruiker, tenzij de beveiligingscontext is gewijzigd in een andere aanmelding of gebruiker met behulp van de EXECUTE AS-instructie. De beveiligingscontext bevat de volgende principals:
De aanmelding
De gebruiker
Rollidmaatschappen
Windows-groepslidmaatschappen
Als moduleondertekening wordt gebruikt, worden aanmeldings- of gebruikersaccounts voor het certificaat gebruikt om de module te ondertekenen die de gebruiker momenteel uitvoert en de bijbehorende rollidmaatschappen van die principal.
Toestemmingsruimte
Dit is de beveiligbare entiteit en eventuele beveiligbare klassen die de beveiligbare entiteit bevatten. Een tabel (een beveiligbare entiteit) is bijvoorbeeld opgenomen in de beveiligbare klasse van het schema en door de beveiligbare klasse van de database. Toegang kan worden beïnvloed door machtigingen op tabel-, schema-, database- en serverniveau. Zie Machtigingenhiërarchie (database-engine) voor meer informatie.
Vereiste machtiging
Het type machtiging dat is vereist. Bijvoorbeeld INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, enzovoort.
Access kan meerdere machtigingen vereisen, zoals in de volgende voorbeelden:
Een opgeslagen procedure kan zowel EXECUTE-machtiging vereisen voor de opgeslagen procedure als INSERT-machtiging voor verschillende tabellen waarnaar de opgeslagen procedure verwijst.
Voor een dynamische beheerweergave kunnen zowel VIEW SERVER STATE als SELECT-machtiging voor de weergave zijn vereist.
Algemene stappen van het algoritme
Wanneer het algoritme bepaalt of toegang tot een object dat beveiligd kan worden is toegestaan, kunnen de exacte stappen die het gebruikt variëren, afhankelijk van de betrokken partijen en de beveiligbare objecten. Het algoritme voert echter de volgende algemene stappen uit:
Overslaan van de machtigingscontrole of de aanmelding lid is van de vaste serverfunctie sysadmin of als de gebruiker de dbo-gebruiker in de huidige database is.
Toegang toestaan als eigendomsketen van toepassing is en de toegangscontrole van het eerdere object in de keten de beveiligingscontrole heeft doorstaan.
Aggregeren de identiteiten op serverniveau, databaseniveau en ondertekende module die zijn gekoppeld aan de aanroeper om de beveiligingscontext te maken.
Verzamel voor deze beveiligingscontext alle machtigingen die worden verleend of geweigerd voor de machtigingsruimte. De machtiging kan expliciet worden vermeld als een TOEKENNEN, TOEKENNEN MET TOEKENNEN of WEIGEREN; of de machtigingen kunnen een impliciete of omvattende machtiging TOEKENNEN of WEIGEREN zijn. Control-machtiging voor een schema impliceert bijvoorbeeld CONTROL in een tabel. En CONTROL in een tabel impliceert SELECT. Als CONTROL voor het schema is verleend, wordt SELECT in de tabel daarom verleend. Als CONTROL op de tabel wordt geweigerd, wordt SELECT ook op de tabel geweigerd.
Note
Een machtiging (GRANT) op kolomniveau overschrijft een weigering (DENY) op objectniveau. Zie DENY-objectmachtigingen voor meer informatie.
Identificeer de vereiste machtiging.
Mislukt de machtigingscontrole als de vereiste machtiging rechtstreeks of impliciet wordt geweigerd voor een van de identiteiten in de beveiligingscontext voor de objecten in de machtigingsruimte.
Geef de machtigingscontrole door als de vereiste machtiging niet is geweigerd en de vereiste machtiging een GRANT- of GRANT WITH GRANT-machtiging bevat, hetzij rechtstreeks of impliciet aan een van de identiteiten in de beveiligingscontext voor een object in de machtigingsruimte.
Speciale overwegingen voor machtigingen op kolomniveau
Machtigingen op kolomniveau worden verleend met de syntaxis <table_name>(<kolom _name>). Voorbeeld:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
Een DENY in de tabel wordt overschreven door een GRANT op een kolom. Een volgende DENY op de tabel verwijdert echter de kolom GRANT.
Examples
In de voorbeelden in deze sectie ziet u hoe u informatie over machtigingen ophaalt.
A. De volledige lijst met toekenningsmachtigingen retourneren
De volgende instructie retourneert alle machtigingen van de database-engine met behulp van de functie fn_builtin_permissions. Zie sys.fn_builtin_permissions voor meer informatie.
SELECT * FROM fn_builtin_permissions(default);
GO
B. De machtigingen voor een bepaalde klasse objecten retourneren
Het volgende voorbeeld gebruikt fn_builtin_permissions om alle machtigingen te bekijken die beschikbaar zijn voor een categorie beveiligbaar. In het voorbeeld worden machtigingen voor assembly's geretourneerd.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Geef de machtigingen terug die zijn verleend aan de uitvoerende instantie op een object
Het volgende voorbeeld gebruikt fn_my_permissions om een lijst met effectieve machtigingen te retourneren die worden gehouden door de aanroepende principal op een bepaald beveiligbaar object. In het voorbeeld worden machtigingen geretourneerd voor een object met de naam Orders55. Zie sys.fn_my_permissions voor meer informatie.
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. De machtigingen retourneren die van toepassing zijn op een opgegeven object
In het volgende voorbeeld worden machtigingen geretourneerd die van toepassing zijn op een object met de naam Yttrium. De ingebouwde functie OBJECT_ID wordt gebruikt om de id van het object Yttriumop te halen.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO