Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Punkt końcowy analizy SQL w usłudze Microsoft FabricHurtownia danych w usłudze Microsoft FabricBaza danych SQL w usłudze Microsoft Fabric
Każdy obiekt zabezpieczany w SQL Server ma skojarzone uprawnienia, które mogą zostać przyznane głównemu podmiotowi. Uprawnienia w silniku bazy danych są zarządzane na poziomie serwera przypisanym do logowań i ról serwera oraz na poziomie bazy danych przypisanym do użytkowników bazy danych i ról bazy danych. Model usługi Azure SQL Database ma ten sam system uprawnień bazy danych, ale uprawnienia na poziomie serwera nie są dostępne. Ten artykuł zawiera pełną listę uprawnień. Aby zapoznać się z typową implementacją uprawnień, zobacz Rozpocznij pracę z uprawnieniami w silniku bazy danych.
Całkowita liczba uprawnień dla programu SQL Server 2022 (16.x) to 292. Usługa Azure SQL Database uwidacznia 292 uprawnienia. Większość uprawnień dotyczy wszystkich platform, ale niektóre nie. Na przykład większość uprawnień na poziomie serwera nie może być udzielana w usłudze Azure SQL Database, a kilka uprawnień ma sens tylko w usłudze Azure SQL Database. Nowe uprawnienia są wprowadzane stopniowo wraz z nowymi wersjami. Program SQL Server 2019 (15.x) uwidacznia 248 uprawnień. Program SQL Server 2017 (14.x) uwidocznił 238 uprawnień. Program SQL Server 2016 (13.x) uwidocznił 230 uprawnień. Program SQL Server 2014 (12.x) uwidocznił 219 uprawnień. Program SQL Server 2012 (11.x) uwidocznił 214 uprawnień. Program SQL Server 2008 R2 (10.50.x) uwidocznił 195 uprawnień. Artykuł sys.fn_builtin_permissions określa, które uprawnienia są nowe w ostatnich wersjach.
W bazie danych SQL w usłudze Microsoft Fabric obsługiwane są tylko użytkownicy i role na poziomie bazy danych. Identyfikatory logowania, role i sa konto na poziomie serwera nie są dostępne. W bazie danych SQL w ramach Microsoft Fabric Microsoft Entra ID dla użytkowników baz danych jest jedyną obsługiwaną metodą uwierzytelniania. Aby uzyskać więcej informacji, zobacz Autoryzacja w bazie danych SQL w usłudze Microsoft Fabric.
Po zapoznaniu się z wymaganymi uprawnieniami można zastosować uprawnienia na poziomie serwera do logowania lub ról serwera oraz uprawnień na poziomie bazy danych do użytkowników lub ról bazy danych, korzystając z instrukcji GRANT, REVOKE i DENY . Przykład:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Aby uzyskać wskazówki dotyczące planowania systemu uprawnień, zobacz Wprowadzenie do uprawnień silnika bazy danych.
Konwencje nazewnictwa uprawnień
Poniżej opisano ogólne konwencje, które są przestrzegane dla uprawnień nazewnictwa:
CONTROL
Nadaje beneficjentowi cechy podobne do własności. Grantee ma wszystkie zdefiniowane uprawnienia do obiektu zabezpieczanego. Podmiot, któremu udzielono KONTROLI, może również przyznać uprawnienia do obiektów zabezpieczeń. Ponieważ model zabezpieczeń programu SQL Server jest hierarchiczny, kontrolka w określonym zakresie niejawnie obejmuje kontrolkę na wszystkich zabezpieczanych elementach w tym zakresie. Na przykład kontrolka bazy danych oznacza wszystkie uprawnienia do bazy danych, wszystkie uprawnienia do wszystkich zestawów w bazie danych, wszystkie uprawnienia do wszystkich schematów w bazie danych oraz wszystkie uprawnienia do obiektów we wszystkich schematach w bazie danych.
ALTER
Umożliwia zmianę właściwości, z wyjątkiem właściciela, określonego elementu zabezpieczonego. W przypadku udzielenia w zakresie, ALTER zapewnia również możliwość zmiany, tworzenia lub usuwania dowolnego zabezpieczanego elementu zawartego w tym zakresie. Na przykład uprawnienie ALTER w schemacie obejmuje możliwość tworzenia, modyfikowania i upuszczania obiektów ze schematu.
ALTER ANY <Server Securable>, gdzie serwer zabezpieczany może być dowolny serwer zabezpieczany.
Nadaje możliwość tworzenia, modyfikowania lub usuwania poszczególnych instancji elementu zabezpieczalnego serwera. Na przykład funkcja ALTER ANY LOGIN umożliwia tworzenie, modyfikowanie lub usuwanie dowolnego identyfikatora logowania w wystąpieniu.
ALTER ANY <Database Securable>, gdzie element zabezpieczany bazy danych może być dowolnym zabezpieczanym obiektem na poziomie bazy danych.
Nadaje możliwość tworzenia, zmiany lub upuszczania pojedynczych wystąpień zabezpieczania bazy danych. Na przykład FUNKCJA ALTER ANY SCHEMA umożliwia tworzenie, modyfikowanie lub usuwanie dowolnego schematu w bazie danych.
PRZEJMIJ ODPOWIEDZIALNOŚĆ
Umożliwia osobie upoważnionej przejęcie na własność zabezpieczalnego elementu, na który zostało nadane.
PERSONIFIKUJ <logowanie>
Umożliwia beneficjentowi podszywanie się pod login.
PERSONIFIKUJ <użytkownika>
Umożliwia beneficjentowi występowanie w imieniu użytkownika.
CREATE <Serwer zabezpieczalny>
Nadaje użytkownikowi możliwość tworzenia zabezpieczania serwera.
CREATE <Zabezpieczalny obiekt bazy danych>
Nadaje beneficjentowi możliwość tworzenia elementu zabezpieczalnego bazy danych.
Twórz <element zabezpieczeń zawarty w schemacie>
Nadaje możliwość tworzenia zabezpieczania zawartego w schemacie. Jednak uprawnienie ALTER do schematu jest wymagane do utworzenia obiektu zabezpieczeń w szczególnym schemacie.
DEFINICJA WIDOKU
Umożliwia użytkownikowi uzyskiwanie dostępu do metadanych.
REFERENCES
Uprawnienie REFERENCES w tabeli jest wymagane do utworzenia ograniczenia KLUCZA OBCEgo, które odwołuje się do tej tabeli.
Uprawnienie REFERENCES jest wymagane dla obiektu, aby utworzyć funkcję lub WIDOK z
WITH SCHEMABINDINGklauzulą odwołującą się do tego obiektu.
Wykres uprawnień programu SQL Server
Na poniższej ilustracji przedstawiono uprawnienia i ich relacje ze sobą. Niektóre z uprawnień wyższego poziomu (takich jak CONTROL SERVER) są wyświetlane wiele razy. Plakat w artykule jest zbyt mały, aby go przeczytać. Pełnowymiarowy plakat uprawnień silnika baz danych możesz pobrać w formacie PDF.
Uprawnienia dotyczące określonych obiektów zabezpieczalnych
W poniższej tabeli wymieniono główne klasy uprawnień i rodzaje obiektów zabezpieczanych, do których mogą być stosowane.
| Permission | Odnosi się do |
|---|---|
| ALTER | Wszystkie klasy obiektów z wyjątkiem TYPE. |
| CONTROL | Wszystkie klasy obiektów: AGGREGATE, ROLA APLIKACJI, ASSEMBLY, KLUCZ ASYMETRYCZNY, GRUPA DOSTĘPNOŚCI, CERTIFICATE, CONTRACT, CREDENTIALS, DATABASE, POŚWIADCZENIA ZAKRESU BAZY DANYCH DEFAULT, ENDPOINT, KATALOG PEŁNOTEKSTOWY, LISTA STOPLISTA PEŁNOTEKSTOWA, FUNCTION, LOGIN, TYP KOMUNIKATU, PROCEDURE, QUEUE, POWIĄZANIE USŁUGI ZDALNEJ, ROLE, ROUTE, RULE, SCHEMA, LISTA WYSZUKIWANIA NIERUCHOMOŚCI SERVER, ROLA SERWERA, SERVICE, KLUCZ SYMETRYCZNY, SYNONYM, TABLE, TYPE, USER, WIDOK I KOLEKCJA SCHEMATÓW XML |
| DELETE | Wszystkie klasy obiektów z wyjątkiem DATABASE SCOPED CONFIGURATION, SERVER i TYPE. |
| EXECUTE | Typy CLR, skrypty zewnętrzne, procedury (Transact-SQL i CLR), funkcje skalarne i agregujące (Transact-SQL i CLR) oraz synonimy |
| IMPERSONATE | Nazwy logowania i użytkownicy |
| INSERT | Synonimy, tabele i kolumny, widoki i kolumny. Uprawnienie można przyznać na poziomie bazy danych, schematu lub obiektu. |
| RECEIVE | Kolejki usługi Service Broker |
| REFERENCES | AGGREGATE, ASSEMBLY, KLUCZ ASYMETRYCZNY, CERTIFICATE, CONTRACT, CREDENTIAL (dotyczy programu SQL Server 2022 (16.x) i nowszych) DATABASE, POŚWIADCZENIA ZAKRESU BAZY DANYCH KATALOG PEŁNOTEKSTOWY, STOPLISTA PEŁNOTEKSTOWA FUNCTION, TYP KOMUNIKATU, PROCEDURE, QUEUE, RULE, SCHEMA, LISTA WYSZUKIWANIA NIERUCHOMOŚCI OBIEKT SEKWENCJI KLUCZ SYMETRYCZNY, TABLE, TYPE, WIDOK oraz KOLEKCJA SCHEMATÓW XML |
| SELECT | Synonimy, tabele i kolumny, widoki i kolumny. Uprawnienie można przyznać na poziomie bazy danych, schematu lub obiektu. |
| PRZEJMIJ ODPOWIEDZIALNOŚĆ | Wszystkie klasy obiektów z wyjątkiem DATABASE SCOPED CONFIGURATION, LOGIN, SERVER i USER. |
| UPDATE | Synonimy, tabele i kolumny, widoki i kolumny. Uprawnienie można przyznać na poziomie bazy danych, schematu lub obiektu. |
| WYŚWIETLANIE ŚLEDZENIA ZMIAN | Schematy i tabele |
| DEFINICJA WIDOKU | Wszystkie klasy obiektów z wyjątkiem DATABASE SCOPED CONFIGURATION i SERVER. |
Caution
Uprawnienia domyślne, które są przyznawane obiektom systemowym w momencie instalacji, są dokładnie oceniane pod kątem możliwych zagrożeń i nie muszą być zmieniane w ramach wzmacniania funkcjonalności instalacji programu SQL Server. Wszelkie zmiany uprawnień w obiektach systemowych mogą ograniczyć lub przerwać działanie funkcji i potencjalnie pozostawić instalację programu SQL Server w stanie nieobsługiwanym.
Uprawnienia programu SQL Server
Poniższa tabela zawiera pełną listę uprawnień programu SQL Server. Uprawnienia usługi Azure SQL Database są dostępne tylko dla podstawowych zabezpieczanych obiektów, które są obsługiwane. Nie można udzielić uprawnień na poziomie serwera w usłudze Azure SQL Database, jednak w niektórych przypadkach zamiast tego są dostępne uprawnienia bazy danych.
| Bazowe zabezpieczenie | Szczegółowe uprawnienia do elementów bazowych zabezpieczanych | Kod typu uprawnień | Zabezpieczanie, które zawiera zabezpieczanie podstawowe | Uprawnienie do elementu zabezpieczalnego kontenera, które oznacza szczegółowe uprawnienie do podstawowego elementu zabezpieczalnego |
|---|---|---|---|---|
| ROLA APLIKACJI | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEJ ROLI APLIKACJI |
| ROLA APLIKACJI | CONTROL | CL | DATABASE | CONTROL |
| ROLA APLIKACJI | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| ASSEMBLY | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEGO ZESTAWU |
| ASSEMBLY | CONTROL | CL | DATABASE | CONTROL |
| ASSEMBLY | REFERENCES | RF | DATABASE | REFERENCES |
| ASSEMBLY | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| ASSEMBLY | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| KLUCZ ASYMETRYCZNY | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEGO KLUCZA ASYMETRYCZNEGO |
| KLUCZ ASYMETRYCZNY | CONTROL | CL | DATABASE | CONTROL |
| KLUCZ ASYMETRYCZNY | REFERENCES | RF | DATABASE | REFERENCES |
| KLUCZ ASYMETRYCZNY | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| KLUCZ ASYMETRYCZNY | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| GRUPA DOSTĘPNOŚCI | ALTER | AL | SERVER | ZMIENIANIE DOWOLNEJ GRUPY DOSTĘPNOŚCI |
| GRUPA DOSTĘPNOŚCI | CONTROL | CL | SERVER | SERWER KONTROLNY |
| GRUPA DOSTĘPNOŚCI | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | SERVER | SERWER KONTROLI |
| GRUPA DOSTĘPNOŚCI | DEFINICJA WIDOKU | VW | SERVER | ZOBACZ DOWOLNĄ DEFINICJĘ |
| CERTIFICATE | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEGO CERTYFIKATU |
| CERTIFICATE | CONTROL | CL | DATABASE | CONTROL |
| CERTIFICATE | REFERENCES | RF | DATABASE | REFERENCES |
| CERTIFICATE | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| CERTIFICATE | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| CONTRACT | ALTER | AL | DATABASE | ZMIEŃ DOWOLNY KONTRAKT |
| CONTRACT | CONTROL | CL | DATABASE | CONTROL |
| CONTRACT | REFERENCES | RF | DATABASE | REFERENCES |
| CONTRACT | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| CONTRACT | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| CREDENTIAL | CONTROL | CL | SERVER | SERWER KONTROLNY |
| CREDENTIAL | REFERENCES | RF | SERVER | MODYFIKUJ DOWOLNE POŚWIADCZENIE |
| DATABASE | ADMINISTROWANIE ZBIORCZYMI OPERACJAMI BAZY DANYCH | DABO | SERVER | SERWER KONTROLNY |
| DATABASE | ALTER | AL | SERVER | ZMIENIANIE DOWOLNEJ BAZY DANYCH |
| DATABASE | ZMIENIANIE DOWOLNEJ ROLI APLIKACJI | ALAR | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEGO ZESTAWU | ALAS | SERVER | SERWER STEROWANIA |
| DATABASE | ZMIENIANIE DOWOLNEGO KLUCZA ASYMETRYCZNEGO | ALAK | SERVER | SERWER KONTROLI |
| DATABASE | ZMIENIANIE DOWOLNEGO CERTYFIKATU | ALCF | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEGO KLUCZA SZYFROWANIA KOLUMNY | ALCK Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego), usługi Azure SQL Database. |
SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEGO KLUCZA GŁÓWNEGO KOLUMNY | ALCM Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego), usługi Azure SQL Database. |
SERVER | SERWER KONTROLNY |
| DATABASE | ZMIEŃ DOWOLNY KONTRAKT | ALSC | SERVER | SERWER KONTROLNY |
| DATABASE | MODYFIKACJA AUDYTU DOWOLNEJ BAZY DANYCH | ALDA | SERVER | ZMIENIĆ DOWOLNY AUDYT SERWERA |
| DATABASE | ZMIENIANIE DOWOLNEGO WYZWALACZA DDL BAZY DANYCH | ALTG | SERVER | SERWER STEROWANIA |
| DATABASE | ZMIENIANIE DOWOLNEGO POWIADOMIENIA O ZDARZENIU BAZY DANYCH | ALED | SERVER | ZMIENIANIE DOWOLNEGO POWIADOMIENIA O ZDARZENIU |
| DATABASE | ZMIENIĆ DOWOLNĄ SESJĘ ZDARZEŃ BAZY DANYCH | AADS | SERVER | ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ |
| DATABASE | ZMIEŃ DOWOLNE ZDARZENIE BAZY DANYCH DODAJ ZDARZENIE | LDAE | SERVER | ZMIANA DOWOLNEGO ZDARZENIA SESJI DODAWANIA ZDARZENIA |
| DATABASE | ALTERUJ DOWOLNĄ SESJĘ WYDARZEŃ BAZY DANYCH, DODAJ CEL | LDAT | SERVER | ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ DODAJ CEL |
| DATABASE | ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ BAZY DANYCH NA NIEAKTYWNĄ | DDES | SERVER | ALTERUJ DOWOLNĄ SESJĘ ZDARZEŃ WYŁĄCZ |
| DATABASE | ZMIANA DOWOLNEJ SESJI ZDARZEŃ BAZY DANYCH USUNIĘCIE ZDARZEŃ | LDDE | SERVER | ZMIENIAJ SESJĘ WYDARZEŃ DOWOLNEGO USUNIĘCIA ZDARZENIA |
| DATABASE | ZMIENIANIE DOWOLNEGO MIEJSCA DOCELOWEGO UPUSZCZANIA SESJI ZDARZEŃ BAZY DANYCH | LDDT | SERVER | ZMIENIANIE DOWOLNEGO MIEJSCA DOCELOWEGO UPUSZCZANIA SESJI ZDARZEŃ |
| DATABASE | Zmień dowolną sesję zdarzeń baz danych, aby umożliwić | EDES | SERVER | ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ WŁĄCZ |
| DATABASE | ZMIANA OPCJI SESJI ZDARZEŃ BAZY DANYCH | LDSO | SERVER | ZMIEŃ DOWOLNĄ OPCJĘ SESJI ZDARZEŃ |
| DATABASE | ZMIENIANIE DOWOLNEJ KONFIGURACJI W ZAKRESIE BAZY DANYCH | ALDC Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego), usługi Azure SQL Database. |
SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEJ PRZESTRZENI DANYCH | ALDS | SERVER | SERWER STEROWANIA |
| DATABASE | ZMIENIANIE DOWOLNEGO ZEWNĘTRZNEGO ŹRÓDŁA DANYCH | AEDS | SERVER | SERWER STEROWANIA |
| DATABASE | ZMIENIANIE DOWOLNEGO FORMATU PLIKU ZEWNĘTRZNEGO | AEFF | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEGO ZADANIA ZEWNĘTRZNEGO | AESJ | SERVER | SERWER STEROWANIA |
| DATABASE | ZMIEŃ DOWOLNY ZEWNĘTRZNY JĘZYK | ALLA | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEJ BIBLIOTEKI ZEWNĘTRZNEJ | ALEL | SERVER | SERWER STEROWANIA |
| DATABASE | Zmienić dowolny strumień zewnętrzny | AEST | SERVER | SERWER STEROWANIA |
| DATABASE | ZMIEŃ DOWOLNY KATALOG PEŁNOTEKSTOWY | ALFT | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIEŃ DOWOLNĄ MASKĘ | AAMK Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego), usługi Azure SQL Database. |
SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEGO TYPU KOMUNIKATU | ALMT | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEGO POWIĄZANIA USŁUGI ZDALNEJ | ALSB | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEJ ROLI | ALRL | SERVER | SERWER STEROWANIA |
| DATABASE | ZMIENIANIE DOWOLNEJ TRASY | ALRT | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEGO SCHEMATU | ALSM | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEJ POLITYKI BEZPIECZEŃSTWA | ALSP Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego), usługi Azure SQL Database. |
SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEJ KLASYFIKACJI WRAŻLIWOŚCI | AASC Dotyczy programu SQL Server (SQL Server 2019 (15.x) do bieżącego), usługi Azure SQL Database. |
SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEJ USŁUGI | ALSV | SERVER | SERWER STEROWANIA |
| DATABASE | ZMIENIANIE DOWOLNEGO KLUCZA SYMETRYCZNEGO | ALSK | SERVER | SERWER KONTROLNY |
| DATABASE | ZMIENIANIE DOWOLNEGO UŻYTKOWNIKA | ALUS | SERVER | Serwer Kontrolny |
| DATABASE | ALTER LEDGER | ALR | SERVER | CONTROL |
| DATABASE | ZMIEŃ KONFIGURACJĘ KSIĘGI | ALC | SERVER | SERWER STEROWANIA |
| DATABASE | AUTHENTICATE | AUTH | SERVER | UWIERZYTELNIANIE SERWERA |
| DATABASE | KOPIA ZAPASOWA BAZA DANYCH | BADB | SERVER | SERWER STEROWANIA |
| DATABASE | DZIENNIK KOPII ZAPASOWYCH | BALO | SERVER | SERWER STEROWANIA |
| DATABASE | CHECKPOINT | CP | SERVER | SERWER STEROWANIA |
| DATABASE | CONNECT | CO | SERVER | SERWER STEROWANIA |
| DATABASE | REPLIKACJA CONNECT | CORP | SERVER | SERWER STEROWANIA |
| DATABASE | CONTROL | CL | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE AGREGACJI | CRAG | SERVER | SERWER STEROWANIA |
| DATABASE | TWÓRZ DOWOLNĄ SESJĘ ZDARZEŃ BAZY DANYCH | CRDS | SERVER | UTWÓRZ DOWOLNĄ SESJĘ ZDARZEŃ |
| DATABASE | TWORZENIE ZESTAWU | CRAS | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE KLUCZA ASYMETRYCZNEGO | CRAK | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE CERTYFIKATU | CRCF | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE KONTRAKTU | CRSC | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE BAZY DANYCH | CRDB | SERVER | TWORZENIE DOWOLNEJ BAZY DANYCH |
| DATABASE | POWIADOMIENIE O ZDARZENIU TWORZENIA BAZY DANYCH DDL | CRED | SERVER | TWORZENIE POWIADOMIENIA O ZDARZENIU DDL |
| DATABASE | UTWÓRZ DOMYŚLNE | CRDF | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE JĘZYKA ZEWNĘTRZNEGO | CRLA | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE BIBLIOTEKI ZEWNĘTRZNEJ | CREL | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE WYKAZU PEŁNOTEKSTOWEGO | CRFT | SERVER | SERWER STEROWANIA |
| DATABASE | UTWÓRZ FUNKCJĘ | CRFN | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE TYPU KOMUNIKATU | CRMT | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE PROCEDURY | CRPR | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE KOLEJKI | CRQU | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE POWIĄZANIA USŁUGI ZDALNEJ | CRSB | SERVER | SERWER STEROWANIA |
| DATABASE | UTWÓRZ ROLĘ | CRRL | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE TRASY | CRRT | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE REGUŁY | CRRU | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE SCHEMATU | CRSM | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE USŁUGI | CRSV | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE KLUCZA SYMETRYCZNEGO | CRSK | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE SYNONIMU | CRSN | SERVER | SERWER STEROWANIA |
| DATABASE | CREATE TABLE | CRTB | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE TYPU | CRTY | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE UŻYTKOWNIKA | CUSR | SERVER | SERWER STEROWANIA |
| DATABASE | UTWÓRZ WIDOK | CRVW | SERVER | SERWER STEROWANIA |
| DATABASE | TWORZENIE KOLEKCJI SCHEMATÓW XML | CRXS | SERVER | SERWER STEROWANIA |
| DATABASE | DELETE | DL | SERVER | SERWER STEROWANIA |
| DATABASE | USUŃ DOWOLNĄ SESJĘ ZDARZENIA BAZY DANYCH | DRDS | SERVER | USUŃ DOWOLNĄ SESJĘ ZDARZEŃ |
| DATABASE | WŁĄCZANIE REJESTRU | EL | SERVER | CONTROL |
| DATABASE | EXECUTE | EX | SERVER | SERWER STEROWANIA |
| DATABASE | WYKONAJ DOWOLNY ZEWNĘTRZNY PUNKT KOŃCOWY | EAEE | SERVER | SERWER STEROWANIA |
| DATABASE | WYKONAJ DOWOLNY SKRYPT ZEWNĘTRZNY | EAES Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego). |
SERVER | SERWER STEROWANIA |
| DATABASE | INSERT | IN | SERVER | SERWER STEROWANIA |
| DATABASE | ZABIJ POŁĄCZENIE Z BAZĄ DANYCH | KIDC Dotyczy tylko usługi Azure SQL Database. Użyj polecenia ALTER ANY CONNECTION w programie SQL Server. |
SERVER | ZMIENIANIE DOWOLNEGO POŁĄCZENIA |
| DATABASE | REFERENCES | RF | SERVER | SERWER STEROWANIA |
| DATABASE | SELECT | SL | SERVER | SERWER STEROWANIA |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABASE | SUBSKRYBOWANIE POWIADOMIEŃ O ZAPYTANIACH | SUQN | SERVER | SERWER STEROWANIA |
| DATABASE | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | SERVER | SERWER STEROWANIA |
| DATABASE | UNMASK | UMSK Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego), usługi Azure SQL Database. |
SERVER | SERWER STEROWANIA |
| DATABASE | UPDATE | UP | SERVER | SERWER STEROWANIA |
| DATABASE | WYŚWIETL DOWOLNĄ DEFINICJĘ KLUCZA SZYFROWANIA KOLUMNY | VWCK Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego), usługi Azure SQL Database. |
SERVER | WYŚWIETLANIE STANU SERWERA |
| DATABASE | WYŚWIETLANIE DOWOLNEJ DEFINICJI KLUCZA GŁÓWNEGO KOLUMNY | VWCM Dotyczy programu SQL Server (SQL Server 2016 (13.x) do bieżącego), usługi Azure SQL Database. |
SERVER | WYŚWIETLANIE STANU SERWERA |
| DATABASE | WYŚWIETLANIE KAŻDEJ KLASYFIKACJI POUFNOŚCI | VASC | SERVER | SERWER STEROWANIA |
| DATABASE | ZOBACZ DEFINICJĘ ZABEZPIECZONĄ KRYPTOGRAFICZNIE | VCD | SERVER | ZOBACZ DOWOLNĄ DEFINICJĘ ZABEZPIECZONĄ KRYPTOGRAFICZNIE |
| DATABASE | WYŚWIETLANIE STANU WYDAJNOŚCI BAZY DANYCH | VDP | SERVER | WYŚWIETLANIE STANU WYDAJNOŚCI SERWERA |
| DATABASE | WYŚWIETLANIE AUDYTU ZABEZPIECZEŃ BAZY DANYCH | VDSA | SERVER | SERWER STEROWANIA |
| DATABASE | WYŚWIETLANIE STANU ZABEZPIECZEŃ BAZY DANYCH | VDS | SERVER | WYŚWIETLANIE STANU ZABEZPIECZEŃ SERWERA |
| DATABASE | WYŚWIETLANIE STANU BAZY DANYCH | VWDS | SERVER | WYŚWIETLANIE STANU SERWERA |
| DATABASE | DEFINICJA WIDOKU | VW | SERVER | ZOBACZ DOWOLNĄ DEFINICJĘ |
| DATABASE | WYŚWIETLANIE ZAWARTOŚCI REJESTRU | VLC | SERVER | CONTROL |
| DATABASE | WYŚWIETLANIE DEFINICJI ZABEZPIECZEŃ | VWS | SERVER | WYŚWIETL DOWOLNĄ DEFINICJĘ BEZPIECZEŃSTWA |
| DATABASE | DEFINICJA WYDAJNOŚCI | VWP | SERVER | WYŚWIETL DOWOLNĄ DEFINICJĘ WYDAJNOŚCI |
| POŚWIADCZENIA ZAKRESU BAZY DANYCH | ALTER | AL | DATABASE | CONTROL |
| POŚWIADCZENIA ZAKRESU BAZY DANYCH | CONTROL | CL | DATABASE | CONTROL |
| POŚWIADCZENIA ZAKRESU BAZY DANYCH | REFERENCES | RF | DATABASE | REFERENCES |
| POŚWIADCZENIA ZAKRESU BAZY DANYCH | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| POŚWIADCZENIA ZAKRESU BAZY DANYCH | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| ENDPOINT | ALTER | AL | SERVER | ZMIENIANIE DOWOLNEGO PUNKTU KOŃCOWEGO |
| ENDPOINT | CONNECT | CO | SERVER | SERWER STEROWANIA |
| ENDPOINT | CONTROL | CL | SERVER | SERWER STEROWANIA |
| ENDPOINT | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | SERVER | SERWER STEROWANIA |
| ENDPOINT | DEFINICJA WIDOKU | VW | SERVER | ZOBACZ DOWOLNĄ DEFINICJĘ |
| KATALOG PEŁNOTEKSTOWY | ALTER | AL | DATABASE | ZMIEŃ DOWOLNY KATALOG PEŁNOTEKSTOWY |
| KATALOG PEŁNOTEKSTOWY | CONTROL | CL | DATABASE | CONTROL |
| KATALOG PEŁNOTEKSTOWY | REFERENCES | RF | DATABASE | REFERENCES |
| KATALOG PEŁNOTEKSTOWY | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| KATALOG PEŁNOTEKSTOWY | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| LISTA ZATRZYMAŃ PEŁNOTEKSTOWYCH | ALTER | AL | DATABASE | ZMIEŃ DOWOLNY KATALOG PEŁNOTEKSTOWY |
| LISTA ZATRZYMAŃ PEŁNOTEKSTOWYCH | CONTROL | CL | DATABASE | CONTROL |
| LISTA ZATRZYMAŃ PEŁNOTEKSTOWYCH | REFERENCES | RF | DATABASE | REFERENCES |
| LISTA ZATRZYMAŃ PEŁNOTEKSTOWYCH | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| LISTA ZATRZYMAŃ PEŁNOTEKSTOWYCH | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| LOGIN | ALTER | AL | SERVER | ZMIENIANIE DOWOLNEGO IDENTYFIKATORA LOGOWANIA |
| LOGIN | CONTROL | CL | SERVER | SERWER STEROWANIA |
| LOGIN | IMPERSONATE | IM | SERVER | SERWER STEROWANIA |
| LOGIN | DEFINICJA WIDOKU | VW | SERVER | ZOBACZ DOWOLNĄ DEFINICJĘ |
| TYP KOMUNIKATU | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEGO TYPU KOMUNIKATU |
| TYP KOMUNIKATU | CONTROL | CL | DATABASE | CONTROL |
| TYP KOMUNIKATU | REFERENCES | RF | DATABASE | REFERENCES |
| TYP KOMUNIKATU | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| TYP KOMUNIKATU | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| OBJECT | ALTER | AL | SCHEMA | ALTER |
| OBJECT | CONTROL | CL | SCHEMA | CONTROL |
| OBJECT | DELETE | DL | SCHEMA | DELETE |
| OBJECT | EXECUTE | EX | SCHEMA | EXECUTE |
| OBJECT | INSERT | IN | SCHEMA | INSERT |
| OBJECT | RECEIVE | RC | SCHEMA | CONTROL |
| OBJECT | REFERENCES | RF | SCHEMA | REFERENCES |
| OBJECT | SELECT | SL | SCHEMA | SELECT |
| OBJECT | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | SCHEMA | CONTROL |
| OBJECT | UNMASK | UMSK | SCHEMA | UNMASK |
| OBJECT | UPDATE | UP | SCHEMA | UPDATE |
| OBJECT | WYŚWIETLANIE ŚLEDZENIA ZMIAN | VWCT | SCHEMA | WYŚWIETLANIE ŚLEDZENIA ZMIAN |
| OBJECT | DEFINICJA WIDOKU | VW | SCHEMA | DEFINICJA WIDOKU |
| POWIĄZANIE USŁUGI ZDALNEJ | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEGO POWIĄZANIA USŁUGI ZDALNEJ |
| POWIĄZANIE USŁUGI ZDALNEJ | CONTROL | CL | DATABASE | CONTROL |
| POWIĄZANIE USŁUGI ZDALNEJ | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| POWIĄZANIE USŁUGI ZDALNEJ | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| ROLE | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEJ ROLI |
| ROLE | CONTROL | CL | DATABASE | CONTROL |
| ROLE | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| ROLE | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| ROUTE | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEJ TRASY |
| ROUTE | CONTROL | CL | DATABASE | CONTROL |
| ROUTE | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| ROUTE | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| SCHEMA | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEGO SCHEMATU |
| SCHEMA | CONTROL | CL | DATABASE | CONTROL |
| SCHEMA | UTWÓRZ SEKWENCJĘ | CRSO | DATABASE | CONTROL |
| SCHEMA | DELETE | DL | DATABASE | DELETE |
| SCHEMA | EXECUTE | EX | DATABASE | EXECUTE |
| SCHEMA | INSERT | IN | DATABASE | INSERT |
| SCHEMA | REFERENCES | RF | DATABASE | REFERENCES |
| SCHEMA | SELECT | SL | DATABASE | SELECT |
| SCHEMA | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| SCHEMA | UNMASK | UMSK | DATABASE | UNMASK |
| SCHEMA | UPDATE | UP | DATABASE | UPDATE |
| SCHEMA | WYŚWIETLANIE ŚLEDZENIA ZMIAN | VWCT | DATABASE | WYŚWIETLANIE ŚLEDZENIA ZMIAN |
| SCHEMA | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| LISTA NIERUCHOMOŚCI DO WYSZUKANIA | ALTER | AL | SERVER | ZMIEŃ DOWOLNY KATALOG PEŁNOTEKSTOWY |
| LISTA NIERUCHOMOŚCI DO WYSZUKANIA | CONTROL | CL | SERVER | CONTROL |
| LISTA NIERUCHOMOŚCI DO WYSZUKANIA | REFERENCES | RF | SERVER | REFERENCES |
| LISTA NIERUCHOMOŚCI DO WYSZUKANIA | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | SERVER | CONTROL |
| LISTA NIERUCHOMOŚCI DO WYSZUKANIA | DEFINICJA WIDOKU | VW | SERVER | DEFINICJA WIDOKU |
| SERVER | ADMINISTROWANIE OPERACJAMI ZBIORCZYM | ADBO | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE DOWOLNEJ GRUPY DOSTĘPNOŚCI | ALAG | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE DOWOLNEGO POŁĄCZENIA | ALCO | Nie dotyczy | Nie dotyczy |
| SERVER | MODYFIKUJ DOWOLNE POŚWIADCZENIE | ALCD | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE DOWOLNEJ BAZY DANYCH | ALDB | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE DOWOLNEGO PUNKTU KOŃCOWEGO | ALHE | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE DOWOLNEGO POWIADOMIENIA O ZDARZENIU | ALES | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ | AAES | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIANA DOWOLNEGO ZDARZENIA SESJI DODAWANIA ZDARZENIA | LSAE | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ DODAJ CEL | LSAT | Nie dotyczy | Nie dotyczy |
| SERVER | ALTERUJ DOWOLNĄ SESJĘ ZDARZEŃ WYŁĄCZ | DES | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIAJ SESJĘ WYDARZEŃ DOWOLNEGO USUNIĘCIA ZDARZENIA | LSDE | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE DOWOLNEGO MIEJSCA DOCELOWEGO UPUSZCZANIA SESJI ZDARZEŃ | LSDT | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ WŁĄCZ | EES | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIEŃ DOWOLNĄ OPCJĘ SESJI ZDARZEŃ | LESO | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIEŃ DOWOLNY POŁĄCZONY SERWER | ALLS | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE DOWOLNEGO IDENTYFIKATORA LOGOWANIA | ALLG | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIĆ DOWOLNY AUDYT SERWERA | ALAA | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE DOWOLNEJ ROLI SERWERA | ALSR | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE ZASOBÓW | ALRS | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIEN STAN SERWERA | ALSS | Nie dotyczy | Nie dotyczy |
| SERVER | ZMIENIANIE USTAWIEŃ | ALST | Nie dotyczy | Nie dotyczy |
| SERVER | ALTER TRACE | ALTR | Nie dotyczy | Nie dotyczy |
| SERVER | UWIERZYTELNIANIE SERWERA | AUTH | Nie dotyczy | Nie dotyczy |
| SERVER | ŁĄCZENIE DOWOLNEJ BAZY DANYCH | CADB | Nie dotyczy | Nie dotyczy |
| SERVER | POŁĄCZ Z SQL | COSQ | Nie dotyczy | Nie dotyczy |
| SERVER | SERWER STEROWANIA | CL | Nie dotyczy | Nie dotyczy |
| SERVER | TWORZENIE DOWOLNEJ BAZY DANYCH | CRDB | Nie dotyczy | Nie dotyczy |
| SERVER | TWORZENIE GRUPY DOSTĘPNOŚCI | CRAC | Nie dotyczy | Nie dotyczy |
| SERVER | TWORZENIE POWIADOMIENIA O ZDARZENIU DDL | CRDE | Nie dotyczy | Nie dotyczy |
| SERVER | UTWÓRZ PUNKT KOŃCOWY | CRHE | Nie dotyczy | Nie dotyczy |
| SERVER | TWORZENIE ROLI SERWERA | CRSR | Nie dotyczy | Nie dotyczy |
| SERVER | TWORZENIE POWIADOMIENIA O ZDARZENIACH ŚLEDZENIA | CRTE | Nie dotyczy | Nie dotyczy |
| SERVER | ZESTAW DOSTĘPU ZEWNĘTRZNEGO | XA | Nie dotyczy | Nie dotyczy |
| SERVER | PERSONIFIKUJ DOWOLNE LOGOWANIE | IAL | Nie dotyczy | Nie dotyczy |
| SERVER | WYBIERZ WSZYSTKIE ZABEZPIECZANE UŻYTKOWNIKÓW | SUS | Nie dotyczy | Nie dotyczy |
| SERVER | SHUTDOWN | SHDN | Nie dotyczy | Nie dotyczy |
| SERVER | ZESTAW NIEBEZPIECZNY | XU | Nie dotyczy | Nie dotyczy |
| SERVER | WYŚWIETL DOWOLNĄ BAZĘ DANYCH | VWDB | Nie dotyczy | Nie dotyczy |
| SERVER | ZOBACZ DOWOLNĄ DEFINICJĘ | VWAD | Nie dotyczy | Nie dotyczy |
| SERVER | WYŚWIETLANIE STANU SERWERA | VWSS | Nie dotyczy | Nie dotyczy |
| ROLA SERWERA | ALTER | AL | SERVER | ZMIENIANIE DOWOLNEJ ROLI SERWERA |
| ROLA SERWERA | CONTROL | CL | SERVER | SERWER STEROWANIA |
| ROLA SERWERA | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | SERVER | SERWER STEROWANIA |
| ROLA SERWERA | DEFINICJA WIDOKU | VW | SERVER | ZOBACZ DOWOLNĄ DEFINICJĘ |
| SERVICE | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEJ USŁUGI |
| SERVICE | CONTROL | CL | DATABASE | CONTROL |
| SERVICE | SEND | SN | DATABASE | CONTROL |
| SERVICE | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| SERVICE | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| KLUCZ SYMETRYCZNY | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEGO KLUCZA SYMETRYCZNEGO |
| KLUCZ SYMETRYCZNY | CONTROL | CL | DATABASE | CONTROL |
| KLUCZ SYMETRYCZNY | REFERENCES | RF | DATABASE | REFERENCES |
| KLUCZ SYMETRYCZNY | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | DATABASE | CONTROL |
| KLUCZ SYMETRYCZNY | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| TYPE | CONTROL | CL | SCHEMA | CONTROL |
| TYPE | EXECUTE | EX | SCHEMA | EXECUTE |
| TYPE | REFERENCES | RF | SCHEMA | REFERENCES |
| TYPE | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | SCHEMA | CONTROL |
| TYPE | DEFINICJA WIDOKU | VW | SCHEMA | DEFINICJA WIDOKU |
| USER | ALTER | AL | DATABASE | ZMIENIANIE DOWOLNEGO UŻYTKOWNIKA |
| USER | CONTROL | CL | DATABASE | CONTROL |
| USER | IMPERSONATE | IM | DATABASE | CONTROL |
| USER | DEFINICJA WIDOKU | VW | DATABASE | DEFINICJA WIDOKU |
| KOLEKCJA SCHEMATÓW XML | ALTER | AL | SCHEMA | ALTER |
| KOLEKCJA SCHEMATÓW XML | CONTROL | CL | SCHEMA | CONTROL |
| KOLEKCJA SCHEMATÓW XML | EXECUTE | EX | SCHEMA | EXECUTE |
| KOLEKCJA SCHEMATÓW XML | REFERENCES | RF | SCHEMA | REFERENCES |
| KOLEKCJA SCHEMATÓW XML | PRZEJMIJ ODPOWIEDZIALNOŚĆ | TO | SCHEMA | CONTROL |
| KOLEKCJA SCHEMATÓW XML | DEFINICJA WIDOKU | VW | SCHEMA | DEFINICJA WIDOKU |
Nowe szczegółowe uprawnienia dodane do programu SQL Server 2022
Następujące uprawnienia są dodawane do programu SQL Server 2022:
Dodano 10 nowych uprawnień, aby zezwolić na dostęp do metadanych systemu.
Dodano 18 nowych uprawnień dotyczących rozszerzonych zdarzeń.
Dodano 9 nowych uprawnień w odniesieniu do obiektów związanych z zabezpieczeniami.
Dodano 4 uprawnienia dla Ledger.
3 dodatkowe uprawnienia bazy danych.
Aby uzyskać więcej informacji, zobacz New granular permissions for SQL Server 2022 and Azure SQL (Nowe szczegółowe uprawnienia dla programu SQL Server 2022 i Azure SQL), aby poprawić zgodność z funkcją PoLP.
Dostęp do uprawnień metadanych systemu
Poziom serwera:
- WYŚWIETL DOWOLNĄ DEFINICJĘ BEZPIECZEŃSTWA
- WYŚWIETL DOWOLNĄ DEFINICJĘ WYDAJNOŚCI
- WYŚWIETLANIE STANU ZABEZPIECZEŃ SERWERA
- WYŚWIETLANIE STANU WYDAJNOŚCI SERWERA
- ZOBACZ DOWOLNĄ DEFINICJĘ ZABEZPIECZONĄ KRYPTOGRAFICZNIE
Poziom bazy danych:
- WYŚWIETLANIE STANU ZABEZPIECZEŃ BAZY DANYCH
- WYŚWIETLANIE STANU WYDAJNOŚCI BAZY DANYCH
- WYŚWIETLANIE DEFINICJI ZABEZPIECZEŃ
- DEFINICJA WYDAJNOŚCI
- ZOBACZ DEFINICJĘ ZABEZPIECZONĄ KRYPTOGRAFICZNIE
Uprawnienia zdarzeń rozszerzonych
Poziom serwera:
- UTWÓRZ DOWOLNĄ SESJĘ ZDARZEŃ
- USUŃ DOWOLNĄ SESJĘ ZDARZEŃ
- ZMIEŃ DOWOLNĄ OPCJĘ SESJI ZDARZEŃ
- ZMIANA DOWOLNEGO ZDARZENIA SESJI DODAWANIA ZDARZENIA
- ZMIENIAJ SESJĘ WYDARZEŃ DOWOLNEGO USUNIĘCIA ZDARZENIA
- ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ WŁĄCZ
- ALTERUJ DOWOLNĄ SESJĘ ZDARZEŃ WYŁĄCZ
- ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ DODAJ CEL
- ZMIENIANIE DOWOLNEGO MIEJSCA DOCELOWEGO UPUSZCZANIA SESJI ZDARZEŃ
Wszystkie te uprawnienia podlegają temu samemu nadrzędnemu uprawnieniu: ALTER ANY EVENT SESSION
Poziom bazy danych:
- TWÓRZ DOWOLNĄ SESJĘ ZDARZEŃ BAZY DANYCH
- USUŃ DOWOLNĄ SESJĘ ZDARZENIA BAZY DANYCH
- ZMIANA OPCJI SESJI ZDARZEŃ BAZY DANYCH
- ZMIEŃ DOWOLNE ZDARZENIE BAZY DANYCH DODAJ ZDARZENIE
- ZMIANA DOWOLNEJ SESJI ZDARZEŃ BAZY DANYCH USUNIĘCIE ZDARZEŃ
- Zmień dowolną sesję zdarzeń baz danych, aby umożliwić
- ZMIEŃ DOWOLNĄ SESJĘ ZDARZEŃ BAZY DANYCH NA NIEAKTYWNĄ
- ALTERUJ DOWOLNĄ SESJĘ WYDARZEŃ BAZY DANYCH, DODAJ CEL
- ZMIENIANIE DOWOLNEGO MIEJSCA DOCELOWEGO UPUSZCZANIA SESJI ZDARZEŃ BAZY DANYCH
Wszystkie te uprawnienia są objęte tym samym uprawnieniem nadrzędnym: ALTER ANY DATABASE EVENT SESSION
Uprawnienia dotyczące bezpieczeństwa obiektów
- KONTROLA (KREDENCJALE)
- UTWÓRZ LOGIN
- TWORZENIE UŻYTKOWNIKA
- ODWOŁANIA (POŚWIADCZENIE)
- ODMASKOWAĆ (OBIEKT)
- UNMASK (SCHEMA)
- WYŚWIETLANIE DOWOLNEGO DZIENNIKA BŁĘDÓW
- WYŚWIETLANIE AUDYTU ZABEZPIECZEŃ SERWERA
- WYŚWIETLANIE AUDYTU ZABEZPIECZEŃ BAZY DANYCH
Uprawnienia księgi
- ALTER LEDGER
- ZMIEŃ KONFIGURACJĘ KSIĘGI
- WŁĄCZANIE REJESTRU
- WYŚWIETLANIE ZAWARTOŚCI REJESTRU
Inne uprawnienia bazy danych
- ZMIENIANIE DOWOLNEGO ZADANIA ZEWNĘTRZNEGO
- Zmienić dowolny strumień zewnętrzny
- WYKONAJ DOWOLNY ZEWNĘTRZNY PUNKT KOŃCOWY
Podsumowanie algorytmu sprawdzania uprawnień
Sprawdzanie uprawnień może być złożone. Algorytm sprawdzania uprawnień obejmuje nakładające się członkostwa w grupach i łańcuch własności, zarówno jawne, jak i niejawne uprawnienia, i mogą mieć wpływ na uprawnienia do zabezpieczanych klas, które zawierają zabezpieczaną jednostkę. Ogólny proces algorytmu polega na zbieraniu wszystkich odpowiednich uprawnień. Jeśli nie zostanie znaleziona odmowa blokująca, algorytm wyszukuje uprawnienie, które zapewnia wystarczający dostęp. Algorytm zawiera trzy podstawowe elementy, kontekst zabezpieczeń, przestrzeń uprawnień i wymagane uprawnienie.
Note
Nie możesz udzielać, odrzucać ani odwoływać uprawnień do sa, dbo, właściciela jednostki, information_schema, sys lub siebie.
Kontekst zabezpieczeń
Jest to grupa podmiotów zabezpieczeń, które współtworzyją uprawnienia do sprawdzania dostępu. Są to uprawnienia związane z bieżącym logowaniem lub użytkownikiem, chyba że kontekst zabezpieczeń został zmieniony na inny identyfikator logowania lub użytkownika przy użyciu instrukcji EXECUTE AS. Kontekst zabezpieczeń obejmuje następujące podmioty:
Logowanie
Użytkownik
Członkostwa w rolach
Członkostwa w grupach systemu Windows
Jeśli jest używane podpisywanie modułu, wówczas każde konto logowania lub użytkownika powiązane z certyfikatem używanym do podpisywania modułu, który użytkownik obecnie wykonuje, oraz skojarzone członkostwa ról tego podmiotu zabezpieczeń.
Obszar uprawnień
Jest to zabezpieczana jednostka i wszystkie klasy zabezpieczane, które zawierają tę jednostkę zabezpieczaną. Na przykład tabela (zabezpieczana jednostka) jest zawarta w klasie zabezpieczeń schematu oraz w klasie zabezpieczeń bazy danych. Dostęp może mieć wpływ na uprawnienia na poziomie tabeli, schematu, bazy danych i serwera. Aby uzyskać więcej informacji, zobacz Hierarchia uprawnień (aparat bazy danych).
Wymagane uprawnienie
Rodzaj wymaganego uprawnienia. Na przykład INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL itd.
Dostęp może wymagać wielu uprawnień, jak w następujących przykładach:
Procedura składowana może wymagać zarówno uprawnienia EXECUTE w procedurze składowanej, jak i uprawnienia INSERT w kilku tabelach, do których odwołuje się procedura składowana.
Dynamiczny widok zarządzania może wymagać zarówno uprawnień VIEW SERVER STATE, jak i SELECT w widoku.
Ogólne kroki algorytmu
Gdy algorytm określa, czy zezwolić na dostęp do zasobu zabezpieczanego, dokładne kroki, których używa, mogą się różnić w zależności od podmiotów i zasobów zabezpieczanych, które są zaangażowane. Jednak algorytm wykonuje następujące ogólne kroki:
Pomiń sprawdzanie uprawnień, jeśli login jest członkiem stałej roli na serwerze sysadmin lub jeśli użytkownik jest dbo w bieżącej bazie danych.
Zezwól na dostęp, jeśli można zastosować łańcuch własności, a kontrola dostępu względem obiektu wcześniej w łańcuchu przeszła sprawdzenie bezpieczeństwa.
Aby utworzyć kontekst zabezpieczeń, zagreguj tożsamości na poziomie serwera, bazy danych i podpisanego modułu, które są skojarzone z wywołującym.
W tym kontekście zabezpieczeń zbierz wszystkie uprawnienia, które zostały przyznane lub odmówione dla przestrzeni uprawnień. Uprawnienie można jawnie określić jako GRANT, GRANT WITH GRANT lub DENY; lub uprawnienia mogą być dorozumiane lub obejmujące uprawnienie GRANT lub DENY. Na przykład uprawnienie CONTROL w schemacie oznacza kontrolkę w tabeli. A kontrolka w tabeli oznacza SELECT. W związku z tym, jeśli udzielono uprawnienia na schemat, to udzielono uprawnienia SELECT na tabeli. Jeśli odrzucono polecenie CONTROL w tabeli, polecenie SELECT w tabeli również zostanie odrzucone.
Note
Przyznanie uprawnienia na poziomie kolumny zastępuje odmowę na poziomie obiektu. Aby uzyskać więcej informacji, zobacz DENY Object Permissions (ODMOWA uprawnień obiektu).
Zidentyfikuj wymagane uprawnienie.
Nie zdać kontroli uprawnień, jeśli wymagane uprawnienie jest bezpośrednio lub niejawnie odmówione którejkolwiek z tożsamości w kontekście zabezpieczeń dla obiektów w przestrzeni uprawnień.
Zezwalaj na sprawdzenie uprawnień, jeśli wymagane uprawnienie nie zostało odmówione oraz jeśli zawiera ono uprawnienie GRANT lub GRANT WITH GRANT, bezpośrednio lub pośrednio przypisane którejkolwiek z tożsamości w kontekście zabezpieczeń dla dowolnego obiektu w przestrzeni uprawnień.
Specjalne zagadnienia dotyczące uprawnień na poziomie kolumny
Uprawnienia na poziomie kolumny są przyznawane przy użyciu składni <table_name>(<kolumna _name>). Przykład:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
Odmowa w tabeli jest zastępowana przez grant w kolumnie. Jednak kolejna odmowa w tabeli spowoduje usunięcie kolumny GRANT.
Examples
W przykładach w tej sekcji pokazano, jak pobrać informacje o uprawnieniach.
A. Zwróć pełną listę uprawnień możliwych do udzielenia
Poniższa instrukcja zwraca wszystkie uprawnienia silnika bazy danych przy użyciu funkcji fn_builtin_permissions. Aby uzyskać więcej informacji, zobacz sys.fn_builtin_permissions.
SELECT * FROM fn_builtin_permissions(default);
GO
B. Zwracanie uprawnień do określonej klasy obiektów
W poniższym przykładzie użyto fn_builtin_permissions funkcji, aby wyświetlić wszystkie uprawnienia dostępne dla kategorii elementu zabezpieczalnego. Przykład zwraca uprawnienia do zestawów.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Zwróć uprawnienia przyznane podmiotowi wykonującemu na obiekcie
W poniższym przykładzie użyto fn_my_permissions, aby zwrócić listę obowiązujących uprawnień, które są przechowywane przez główną jednostkę wywołującą na określonym obiekcie zabezpieczanym. Przykład zwraca uprawnienia do obiektu o nazwie Orders55. Aby uzyskać więcej informacji, zobacz sys.fn_my_permissions.
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Zwracanie uprawnień mających zastosowanie do określonego obiektu
Poniższy przykład zwraca uprawnienia dotyczące obiektu o nazwie Yttrium. Wbudowana funkcja OBJECT_ID służy do pobierania identyfikatora obiektu Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO