Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Punkt końcowy analizy SQL w usłudze Microsoft FabricHurtownia danych w usłudze Microsoft FabricBaza danych SQL w usłudze Microsoft Fabric
Odmawia uprawnień do podmiotu zabezpieczeń. Zapobiega dziedziczeniu uprawnień przez podmiot zabezpieczeń za pośrednictwem członkostw w grupach lub rolach. Opcja DENY ma pierwszeństwo przed wszystkimi uprawnieniami, z tą różnicą, że odmowa nie ma zastosowania do właścicieli obiektów ani członków stałej roli serwera sysadmin. Uwaga dotycząca zabezpieczeń Nie można odmówić uprawnień członkom stałej roli serwera sysadmin i właścicielom obiektów".
Transact-SQL konwencje składni
Syntax
Składnia dla programu SQL Server, usługi Azure SQL Database i bazy danych SQL Fabric
-- Simplified syntax for DENY
DENY { ALL [ PRIVILEGES ] }
| <permission> [ ( column [ ,...n ] ) ] [ ,...n ]
[ ON [ <class> :: ] securable ]
TO principal [ ,...n ]
[ CASCADE] [ AS principal ]
[;]
<permission> ::=
{ see the tables below }
<class> ::=
{ see the tables below }
Składnia dla usług Azure Synapse Analytics i Parallel Data Warehouse i Microsoft Fabric Warehouse
DENY
<permission> [ ,...n ]
[ ON [ <class_> :: ] securable ]
TO principal [ ,...n ]
[ CASCADE ]
[;]
<permission> ::=
{ see the tables below }
<class> ::=
{
LOGIN
| DATABASE
| OBJECT
| ROLE
| SCHEMA
| USER
}
Arguments
ALL
Ta opcja nie blokuje wszystkich możliwych uprawnień. Odmowa ALL jest równoważna odmowie następujących uprawnień.
Jeśli zabezpieczana jest baza danych, WSZYSTKIE oznaczają TWORZENIE KOPII ZAPASOWEJ BAZY DANYCH, DZIENNIKA KOPII ZAPASOWEJ, TWORZENIE BAZY DANYCH, TWORZENIE DOMYŚLNEJ FUNKCJI, TWORZENIE FUNKCJI, PROCEDURĘ TWORZENIA, TWORZENIE REGUŁY, TWORZENIE TABELI i TWORZENIE WIDOKU.
Jeśli zabezpieczana jest funkcja skalarna, ALL oznacza EXECUTE i REFERENCES.
Jeśli zabezpieczana jest funkcja wartości tabeli, ALL oznacza DELETE, INSERT, REFERENCES, SELECT i UPDATE.
Jeśli zabezpieczana jest procedura składowana, FUNKCJA ALL oznacza WYKONANIE.
Jeśli zabezpieczana jest tabela, ALL oznacza DELETE, INSERT, REFERENCES, SELECT i UPDATE.
Jeśli zabezpieczany jest widok, ALL oznacza DELETE, INSERT, REFERENCES, SELECT i UPDATE.
Note
Składnia DENY ALL jest przestarzała. Ta funkcja zostanie usunięta w przyszłej wersji programu SQL Server. Unikaj używania tej funkcji w nowych pracach programistycznych i zaplanuj modyfikowanie aplikacji, które obecnie korzystają z tej funkcji. Zamiast tego odmów określonych uprawnień.
PRIVILEGES
Uwzględniane pod kątem zgodności z normą ISO. Nie zmienia zachowania ALL.
permission
To nazwa uprawnienia. Prawidłowe mapowania uprawnień do zabezpieczanych elementów opisano w poniższych tematach podrzędnych.
column
Określa nazwę kolumny w tabeli, w której uprawnienia są odrzucane. Nawiasy () są wymagane.
class
Określa klasę zabezpieczaną, na której odmówiono uprawnień. Kwalifikator zakresu :: jest wymagany.
securable
Określa zabezpieczanie, na którym uprawnienie jest odrzucane.
TO dyrektor
Jest nazwą podmiotu zabezpieczeń. Podmioty zabezpieczeń, do których można odmówić uprawnień do zabezpieczania, różnią się w zależności od zabezpieczania. Zapoznaj się z zabezpieczanymi tematami wymienionymi poniżej, aby uzyskać prawidłowe kombinacje.
CASCADE
Wskazuje, że uprawnienie jest odrzucane określonemu podmiotowi zabezpieczeń i wszystkim innym podmiotom zabezpieczeń, do których podmiot zabezpieczeń udzielił uprawnienia. Wymagane, gdy podmiot zabezpieczeń ma uprawnienie z OPCJĄ UDZIELANIA.
AS dyrektor
Określa podmiot zabezpieczeń, z którego podmiot zabezpieczeń wykonujący to zapytanie ma prawo do odmowy uprawnienia.
Użyj klauzuli podmiotu zabezpieczeń AS, aby wskazać, że podmiot zabezpieczeń zarejestrowany jako odmowa uprawnienia powinien być podmiotem zabezpieczeń innym niż osoba wykonująca instrukcję. Załóżmy na przykład, że użytkownik Mary jest principal_id 12, a użytkownik Raul jest podmiotem głównym 15. Mary wykonuje DENY SELECT ON OBJECT::X TO Steven WITH GRANT OPTION AS Raul; Teraz tabela sys.database_permissions będzie wskazywać, że grantor_principal_id instrukcji odmowy był 15 (Raul), mimo że instrukcja została rzeczywiście wykonana przez użytkownika 13 (Mary).
Użycie as w tej instrukcji nie oznacza możliwości personifikacji innego użytkownika.
Remarks
Pełna składnia instrukcji DENY jest złożona. Powyższy diagram składni został uproszczony, aby zwrócić uwagę na jego strukturę. Pełna składnia odmowy uprawnień do określonych zabezpieczanych elementów jest opisana w tematach wymienionych poniżej.
Odmowa zakończy się niepowodzeniem, jeśli program CASCADE nie zostanie określony podczas odmowy uprawnienia do podmiotu zabezpieczeń, któremu udzielono tego uprawnienia z określoną opcją GRANT.
Procedura składowana systemu sp_helprotect zgłasza uprawnienia do zabezpieczania na poziomie bazy danych.
W usłudze Microsoft Fabric obecnie nie można jawnie wykonać polecenia CREATE USER. Po wykonaniu polecenia GRANT lub DENY użytkownik zostanie utworzony automatycznie.
Caution
Odmowa na poziomie tabeli nie ma pierwszeństwa przed grantem na poziomie kolumny. Ta niespójność w hierarchii uprawnień została zachowana ze względu na zgodność z poprzednimi wersjami. Zostanie on usunięty w przyszłej wersji.
Caution
Odmowa uprawnień CONTROL w bazie danych niejawnie odmawia uprawnień CONNECT w bazie danych. Podmiot zabezpieczeń, który nie ma uprawnień CONTROL w bazie danych, nie będzie mógł nawiązać połączenia z bazą danych.
Caution
Odmowa uprawnienia CONTROL SERVER niejawnie odmawia uprawnień CONNECT SQL na serwerze. Podmiot zabezpieczeń, który nie ma uprawnień CONTROL SERVER na serwerze, nie będzie mógł nawiązać połączenia z tym serwerem.
Permissions
Obiekt wywołujący (lub podmiot zabezpieczeń określony z opcją AS) musi mieć uprawnienie CONTROL do zabezpieczania lub wyższe uprawnienie, które oznacza uprawnienie CONTROL w zabezpieczaniu. W przypadku korzystania z opcji AS określony podmiot zabezpieczeń musi być właścicielem zabezpieczanego uprawnienia, na którym jest odrzucane uprawnienie.
Udziel uprawnień SERWERA KONTROLI, takich jak członkowie stałej roli serwera sysadmin, mogą odmówić jakichkolwiek uprawnień do zabezpieczania na serwerze. Udziel uprawnień KONTROLI w bazie danych, takich jak członkowie stałej roli db_owner bazy danych, mogą blokować wszelkie uprawnienia do zabezpieczania w bazie danych. Grantees uprawnień CONTROL w schemacie mogą odrzucać wszelkie uprawnienia do dowolnego obiektu w schemacie. Jeśli jest używana klauzula AS, określony podmiot zabezpieczeń musi być właścicielem zabezpieczanego, na którym uprawnienia są odrzucane.
Examples
W poniższej tabeli wymieniono zabezpieczane elementy i tematy opisujące składnię specyficzną dla zabezpieczania.
Zobacz też
ODWOŁAJ (Transact-SQL)
sp_addlogin (Transact-SQL)
sp_adduser (Transact-SQL)
sp_changedbowner (Transact-SQL)
sp_dropuser (Transact-SQL)
sp_helprotect (Transact-SQL)
sp_helpuser (Transact-SQL)