Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
SQL ServerBanco de Dados SQL do AzureInstância Gerenciada de SQL do AzureAzure Synapse AnalyticsAnalytics Platform System (PDW)Ponto de extremidade de análise de SQL no Microsoft FabricWarehouse no Microsoft FabricBanco de Dados SQL no Microsoft Fabric
Cada SQL Server protegível tem permissões associadas que podem ser concedidas a uma entidade de segurança. As permissões no mecanismo de banco de dados são gerenciadas no nível do servidor e atribuídas a funções de logon e de servidor, e no nível do banco de dados, são atribuídas a funções de usuários do banco de dados e funções de banco de dados. O modelo para o Banco de Dados SQL do Azure tem o mesmo sistema para as permissões de banco de dados, mas as permissões no nível do servidor não estão disponíveis. Este artigo contém a lista completa de permissões. Para obter uma implementação típica das permissões, veja Introdução às permissões do Mecanismo de Banco de Dados.
O número total de permissões para o SQL Server 2022 (16.x) é 292. O Banco de Dados SQL do Azure expõe 292 permissões. A maioria das permissões se aplica a todas as plataformas, mas algumas delas, não. Por exemplo, a maioria das permissões de nível de servidor não podem ser concedidas no banco de dados SQL do Azure, e algumas permissões só fazem sentido no Banco de Dados SQL do Azure. As novas permissões estão sendo introduzidas gradualmente nas novas versões. O SQL Server 2019 (15.x) expõe 248 permissões. O SQL Server 2017 (14.x) expôs 238 permissões. O SQL Server 2016 (13.x) expôs 230 permissões. O SQL Server 2014 (12.x) expôs 219 permissões. O SQL Server 2012 (11.x) expôs 214 permissões. SQL Server 2008 R2 (10.50.x) expôs 195 permissões. O artigo sys.fn_builtin_permissions especifica quais permissões são novas em versões recentes.
No banco de dados SQL no Microsoft Fabric, há suporte apenas para usuários e funções no nível do banco de dados. Logons no nível do servidor, funções e a conta sa não estão disponíveis. No banco de dados SQL no Microsoft Fabric, a ID do Microsoft Entra para usuários do banco de dados é o único método de autenticação com suporte. Para obter mais informações, consulte Autorização no banco de dados SQL no Microsoft Fabric.
Assim que compreender os requisitos de permissões, você pode aplicar permissões no servidor para logons ou funções de servidor e permissões no banco de dados para usuários ou funções de banco de dados usando as instruções GRANT, REVOKE e DENY. Por exemplo:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Para obter dicas sobre como planejar um sistema de permissões, confira Introdução a permissões de mecanismo de banco de dados.
Convenções de nomenclatura de permissões
A seguir, encontram-se as convenções gerais a serem adotadas ao se nomear permissões:
CONTROLE
Confere capacidades de propriedade ao usuário autorizado. O usuário autorizado efetivamente tem todas as permissões definidas no protegível. Uma entidade à qual foi concedido CONTROL também pode conceder permissões no protegível. Como o modelo de segurança do SQL Server é hierárquico, CONTROL em um escopo específico inclui implicitamente CONTROL sobre todos os protegíveis naquele escopo. Por exemplo, CONTROL em um banco de dados implica todas as permissões do banco de dados, todas as permissões em todos os assemblies no banco de dados, todas as permissões em todos os esquemas no banco de dados e todas as permissões em objetos de todos os esquemas no banco de dados.
ALTERAR
Confere a capacidade de alterar as propriedades, menos a propriedade de um protegível específico. Quando concedido em um escopo, ALTER também concede a capacidade de alterar, criar ou descartar qualquer protegível contido naquele escopo. Por exemplo, a permissão ALTER em um esquema inclui a capacidade de criar, alterar e descartar objetos do esquema.
ALTER ANY <Server Securable>, em que Server Securable pode ser qualquer protegível do servidor.
Confere a capacidade de criar, alterar ou remover instâncias individuais do Protegível de Servidor. Por exemplo, ALTER ANY LOGIN confere a capacidade de criar, alterar ou descartar qualquer logon na instância.
ALTER ANY <Database Securable>, em que Database Securable pode ser qualquer protegível no nível de banco de dados.
Confere a capacidade de criar, alterar ou remover instâncias individuais do Protegível do Banco de Dados. Por exemplo, ALTER ANY SCHEMA confere a capacidade de criar, alterar ou descartar qualquer esquema no banco de dados.
ASSUMIR RESPONSABILIDADE
Habilita o usuário autorizado a assumir propriedade do protegível no qual é concedido.
IMPERSONATE <Logon>
Permite que o usuário autorizado represente o logon.
IMPERSONATE <Usuário>
Permite que o usuário autorizado represente o usuário.
CREATE <Server Securable>
Confere ao usuário autorizado a habilidade para criar o Protegível de Servidor.
CREATE <Database Securable>
Confere ao usuário autorizado a habilidade de criar o Protegível de Banco de Dados.
CREATE <Protegível contido em esquema>
Confere a capacidade para criar o protegível contido em esquema. Porém, a permissão ALTER no esquema é necessária para criar o protegível em um esquema específico.
DEFINIÇÃO DE EXIBIÇÃO
Permite que o usuário autorizado acesse os metadados.
REFERÊNCIAS
A permissão REFERENCES em uma tabela é necessária para criar uma restrição FOREIGN KEY que faça referência àquela tabela.
A permissão REFERENCES é necessária em um objeto para criar uma FUNCTION ou VIEW com a cláusula
WITH SCHEMABINDINGque faz referência àquele objeto.
Gráfico de permissões do SQL Server
A imagem a seguir mostra as permissões e as relações entre elas. Algumas das permissões de nível superior (como CONTROL SERVER) são listadas várias vezes. Neste artigo, o cartaz é pequeno demais para ser lido. Você pode baixar o Cartaz de permissões do mecanismo de banco de dados no formato PDF.
Permissões aplicáveis a protegíveis específicos
A tabela a seguir lista classes principais de permissões e os tipos de protegíveis aos quais elas podem ser aplicadas.
| Permissão | Aplicável ao |
|---|---|
| ALTERAR | Todas as classes de objetos, exceto TYPE. |
| CONTROLE | Todas as classes de objetos: AGREGADO FUNÇÃO DE APLICAÇÃO ASSEMBLEIA CHAVE ASSIMÉTRICA, GRUPO DE DISPONIBILIDADE, CERTIFICADO CONTRATO CREDENCIAIS BASE DE DADOS CREDENCIAL DE ESCOPO DE BANCO DE DADOS INADIMPLÊNCIA EXTREMIDADE CATÁLOGO DE TEXTO COMPLETO Lista de Parada de Texto Completo (FULLTEXT STOPLIST) FUNÇÃO ENTRAR TIPO DE MENSAGEM, PROCEDIMENTO FILA VINCULAÇÃO DE SERVIÇO REMOTO PAPEL ROTA REGRA ESQUEMA LISTA DE PROPRIEDADES DE PESQUISA, SERVIDOR FUNÇÃO DE SERVIDOR, SERVIÇO CHAVE SIMÉTRICA, SINÔNIMO MESA TIPO USUÁRIO VIEW e COLEÇÃO DE ESQUEMAS XML |
| EXCLUIR | Todas as classes de objetos, exceto DATABASE SCOPED CONFIGURATION, SERVER e TYPE. |
| Execute | Tipos de CLR, scripts externos, procedimentos (Transact-SQL e CLR), funções escalares e de agregação (Transact-SQL e CLR) e sinônimos |
| IMPERSONAR | Logons e usuários |
| INSERIR | Sinônimos, tabelas e colunas, exibições e colunas. A permissão pode ser concedida em nível de banco de dados, de esquema ou de objeto. |
| RECEBER | Filas do Service Broker |
| REFERÊNCIAS | AGREGADO ASSEMBLEIA CHAVE ASSIMÉTRICA, CERTIFICADO CONTRATO CREDENTIAL (aplica-se a SQL Server 2022 (16.x) e versões posteriores), BASE DE DADOS CREDENCIAL DE ESCOPO DE BANCO DE DADOS CATÁLOGO DE TEXTO COMPLETO Lista de Parada de Texto Completo (FULLTEXT STOPLIST) FUNÇÃO TIPO DE MENSAGEM, PROCEDIMENTO FILA REGRA ESQUEMA LISTA DE PROPRIEDADES DE PESQUISA, OBJETO SEQUENCE, CHAVE SIMÉTRICA, MESA TIPO VIEW e COLEÇÃO DE ESQUEMAS XML |
| SELECIONAR | Sinônimos, tabelas e colunas, exibições e colunas. A permissão pode ser concedida em nível de banco de dados, de esquema ou de objeto. |
| ASSUMIR RESPONSABILIDADE | Todas as classes de objetos, exceto DATABASE SCOPED CONFIGURATION, LOGIN, SERVER e USER. |
| ATUALIZAÇÃO | Sinônimos, tabelas e colunas, exibições e colunas. A permissão pode ser concedida em nível de banco de dados, de esquema ou de objeto. |
| EXIBIR CONTROLE DE ALTERAÇÕES | Esquemas e tabelas |
| DEFINIÇÃO DE EXIBIÇÃO | Todas as classes de objetos, exceto DATABASE SCOPED CONFIGURATION e SERVER. |
Cuidado
As permissões padrão concedidas aos objetos de sistema no momento da instalação são avaliadas cuidadosamente contra possíveis ameaças e não precisam ser alteradas como parte do sistema de proteção de instalação do SQL Server. Qualquer alteração nas permissões nos objetos de sistema poderia limitar ou interromper a funcionalidade e potencialmente pode deixar a instalação do SQL Server em um estado sem suporte.
Permissões do SQL Server
A tabela a seguir fornece uma lista completa de permissões do SQL Server. As permissões do Banco de Dados SQL do Azure estão disponíveis apenas para protegíveis com suporte. Não é possível dar permissões no nível do servidor no Banco de Dados SQL do Azure, no entanto, permissões de banco de dados são disponibilizadas em alguns casos.
| Protegível base | Permissões granulares no protegível base | Código do tipo de permissão | Protegível que contém o protegível base | Permissão no protegível de contêiner que implica permissão granular no protegível base |
|---|---|---|---|---|
| FUNÇÃO DE APLICATIVO | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER FUNÇÃO DE APLICAÇÃO |
| FUNÇÃO DE APLICATIVO | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| FUNÇÃO DE APLICATIVO | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| ASSEMBLEIA | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER ASSEMBLAGEM |
| ASSEMBLEIA | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| ASSEMBLEIA | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| ASSEMBLEIA | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| ASSEMBLEIA | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| CHAVE ASSIMÉTRICA | ALTERAR | Alabama | BASE DE DADOS | ALTER ANY CHAVE ASSIMÉTRICA |
| CHAVE ASSIMÉTRICA | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| CHAVE ASSIMÉTRICA | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| CHAVE ASSIMÉTRICA | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| CHAVE ASSIMÉTRICA | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| Grupo de Disponibilidade | ALTERAR | Alabama | SERVIDOR | ALTERAR QUALQUER GRUPO DE DISPONIBILIDADE |
| Grupo de Disponibilidade | CONTROLE | CL | SERVIDOR | SERVIDOR DE CONTROLE |
| Grupo de Disponibilidade | ASSUMIR RESPONSABILIDADE | PARA | SERVIDOR | SERVIDOR DE CONTROLE |
| Grupo de Disponibilidade | DEFINIÇÃO DE EXIBIÇÃO | VW | SERVIDOR | VISUALIZAR QUALQUER DEFINIÇÃO |
| CERTIFICADO | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER CERTIFICADO |
| CERTIFICADO | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| CERTIFICADO | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| CERTIFICADO | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| CERTIFICADO | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| CONTRATO | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER CONTRATO |
| CONTRATO | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| CONTRATO | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| CONTRATO | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| CONTRATO | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| CREDENCIAL | CONTROLE | CL | SERVIDOR | SERVIDOR DE CONTROLE |
| CREDENCIAL | REFERÊNCIAS | RF | SERVIDOR | ALTERAR QUALQUER CREDENCIAL |
| BASE DE DADOS | ADMINISTRAR OPERAÇÕES EM LOTE DO BANCO DE DADOS | DABO | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR | Alabama | SERVIDOR | ALTERAR QUALQUER BANCO DE DADOS |
| BASE DE DADOS | ALTERAR QUALQUER FUNÇÃO DE APLICAÇÃO | ALAR | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER ASSEMBLAGEM | QUE PENA | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTER ANY CHAVE ASSIMÉTRICA | ALAK | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER CERTIFICADO | ALCF | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER CHAVE DE ENCRIPTAÇÃO DE COLUNA | ALCK Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER CHAVE MESTRA DA COLUNA | ALCM Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER CONTRATO | ALSC | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER AUDITORIA DE BANCO DE DADOS | ALDA | SERVIDOR | ALTERAR QUALQUER AUDITORIA DO SERVIDOR |
| BASE DE DADOS | ALTER TRIGGER DDL EM QUALQUER BANCO DE DADOS | ALTG | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO DE BANCO DE DADOS | ALED | SERVIDOR | ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO |
| BASE DE DADOS | ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS | AADS | SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO |
| BASE DE DADOS | ALTERAR QUALQUER SESSÃO DE EVENTOS DE BANCO DE DADOS PARA ADICIONAR EVENTO | LDAE | SERVIDOR | ALTER ANY EVENT SESSION ADD EVENT |
| BASE DE DADOS | ALTER ANY DATABASE EVENT SESSION ADD TARGET | LDAT | SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO ADICIONAR DESTINO |
| BASE DE DADOS | ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS DESABILITAR | DDES | SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO DESABILITAR |
| BASE DE DADOS | ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS DESCARTAR EVENTO | LDDE | SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO DESCARTAR EVENTO |
| BASE DE DADOS | ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS EXCLUIR ALVO | LDDT | SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO DESCARTAR DESTINO |
| BASE DE DADOS | ALTERAR QUALQUER SESSÃO DE EVENTO DO BANCO DE DADOS PARA ATIVAR | EDES | SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO ATIVAR |
| BASE DE DADOS | ALTERAR QUALQUER OPÇÃO DE SESSÃO DE EVENTO DO BANCO DE DADOS | LDSO | SERVIDOR | ALTERAR QUALQUER OPÇÃO DE SESSÃO DE EVENTO |
| BASE DE DADOS | ALTERAR QUALQUER CONFIGURAÇÃO DE ESCOPO DE BANCO DE DADOS | ALDC Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER ESPAÇO DE DADOS | ALDS | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER FONTE DE DADOS EXTERNA | AEDS | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER FORMATO DE ARQUIVO EXTERNO | AEFF | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER TRABALHO EXTERNO | AESJ | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER LINGUAGEM EXTERNA | ALLA | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER BIBLIOTECA EXTERNA | ALEL | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER STREAM EXTERNO | AEST | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO | ALFT | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER MÁSCARA | AAMK Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER TIPO DE MENSAGEM | ALMT | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER VINCULAÇÃO DE SERVIÇO REMOTO | ALSB | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER FUNÇÃO | ALRL | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER ROTA | ALRT | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTER ANY SCHEMA (Modificar qualquer esquema) | ALSM | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER POLÍTICA DE SEGURANÇA | ALSP Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER CLASSIFICAÇÃO DE SENSIBILIDADE | AASC Aplica-se a SQL Server (SQL Server 2019 (15.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER SERVIÇO | ALSV | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER CHAVE SIMÉTRICA | ALSK | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTERAR QUALQUER USUÁRIO | ALUS | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ALTER LEDGER | ALR | SERVIDOR | CONTROLE |
| BASE DE DADOS | ALTER LEDGER CONFIGURATION | ALC | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | AUTENTICAR | AUTH | SERVIDOR | AUTENTICAR SERVIDOR |
| BASE DE DADOS | BACKUP DO BANCO DE DADOS | BADB | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | BACKUP LOG | BALO | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | PONTO DE VERIFICAÇÃO | CP | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CONECTAR | Monóxido de Carbono | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CONECTAR REPLICAÇÃO | CORP | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CONTROLE | CL | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR AGREGAÇÃO | ROCHEDO | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS | CRDS | SERVIDOR | CRIAR QUALQUER SESSÃO DE EVENTO |
| BASE DE DADOS | CRIAR ASSEMBLY | CRAS | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR CHAVE ASSIMÉTRICA | CRAK | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR CERTIFICADO | CRCF | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR CONTRATO | CRSC | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR BANCO DE DADOS | CRDB | SERVIDOR | CRIAR QUALQUER BANCO DE DADOS |
| BASE DE DADOS | CRIAR NOTIFICAÇÃO DE EVENTO DDL DE BANCO DE DADOS | CRED | SERVIDOR | CRIAR NOTIFICAÇÃO DE EVENTO DDL |
| BASE DE DADOS | CRIAR PADRÃO | CRDF | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR IDIOMA EXTERNO | CRLA | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR BIBLIOTECA EXTERNA | CREL | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR CATÁLOGO DE TEXTO COMPLETO | CRFT | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR FUNÇÃO | CRFN | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR TIPO DE MENSAGEM | CRMT | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR PROCEDIMENTO | CRPR | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR FILA | CRQU | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR VINCULAÇÃO DE SERVIÇO REMOTO | CRSB | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR FUNÇÃO | CRRL | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR ROTA | Terapia de Substituição Renal Contínua (CRRT) | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR REGRA | CRRU | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR ESQUEMA | CRSM | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR SERVIÇO | CRSV | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR CHAVE SIMÉTRICA | CRSK | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR SINÔNIMO | CRSN | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR TABELA | CRTB | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR TIPO | CRTY | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR USUÁRIO | CUSR | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR VISÃO | CRVW | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | CRIAR COLEÇÃO DE ESQUEMA XML | CRXS | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | EXCLUIR | DL | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | DESCARTAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS | DRDS | SERVIDOR | DESCARTAR QUALQUER SESSÃO DE EVENTO |
| BASE DE DADOS | HABILITAR RAZÃO | EL | SERVIDOR | CONTROLE |
| BASE DE DADOS | Execute | EX | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | EXECUTAR QUALQUER PONTO DE EXTREMIDADE EXTERNO | EAEE | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | EXECUTAR QUALQUER SCRIPT EXTERNO | EAES Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual) |
SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | INSERIR | EM | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ENCERRAR CONEXÃO DE BANCO DE DADOS | KIDC Aplica-se apenas ao Banco de Dados SQL do Azure. Usar ALTER ANY CONNECTION no SQL Server. |
SERVIDOR | Alterar Qualquer Conexão |
| BASE DE DADOS | REFERÊNCIAS | RF | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | SELECIONAR | SL | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | SHOWPLAN | SPLN | SERVIDOR | ALTER TRACE |
| BASE DE DADOS | ASSINAR NOTIFICAÇÕES DE CONSULTA | SUQN | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ASSUMIR RESPONSABILIDADE | PARA | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | DESMASCARAR | UMSK Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | ATUALIZAÇÃO | Para cima | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | EXIBIR QUALQUER DEFINIÇÃO DE CHAVE DE CRIPTOGRAFIA DE COLUNA | VWCK Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | Visualizar Estado do Servidor |
| BASE DE DADOS | EXIBIR QUALQUER DEFINIÇÃO DE CHAVE MESTRA DE COLUNA | VWCM Aplica-se a SQL Server (SQL Server 2016 (13.x) até a versão atual), Banco de Dados SQL do Azure. |
SERVIDOR | Visualizar Estado do Servidor |
| BASE DE DADOS | EXIBIR QUALQUER CLASSIFICAÇÃO DE CONFIDENCIALIDADE | VASC | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | EXIBIR DEFINIÇÃO PROTEGIDA CRIPTOGRAFICAMENTE | VCD | SERVIDOR | EXIBIR QUALQUER DEFINIÇÃO PROTEGIDA CRIPTOGRAFICAMENTE |
| BASE DE DADOS | EXIBIR O ESTADO DE DESEMPENHO DO BANCO DE DADOS | VDP | SERVIDOR | EXIBIR O ESTADO DE DESEMPENHO DO SERVIDOR |
| BASE DE DADOS | EXIBIR AUDITORIA DE SEGURANÇA DO BANCO DE DADOS | VDSA | SERVIDOR | SERVIDOR DE CONTROLE |
| BASE DE DADOS | EXIBIR O ESTADO DE SEGURANÇA DO BANCO DE DADOS | VDS | SERVIDOR | EXIBIR O ESTADO DE SEGURANÇA DO SERVIDOR |
| BASE DE DADOS | EXIBIR ESTADO DO BANCO DE DADOS | VWDS | SERVIDOR | Visualizar Estado do Servidor |
| BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO | VW | SERVIDOR | VISUALIZAR QUALQUER DEFINIÇÃO |
| BASE DE DADOS | EXIBIR CONTEÚDO DO LIVRO RAZÃO | VLC | SERVIDOR | CONTROLE |
| BASE DE DADOS | EXIBIR DEFINIÇÃO DE SEGURANÇA | VWS | SERVIDOR | EXIBIR QUALQUER DEFINIÇÃO DE SEGURANÇA |
| BASE DE DADOS | EXIBIR DEFINIÇÃO DE DESEMPENHO | VWP | SERVIDOR | EXIBIR QUALQUER DEFINIÇÃO DE DESEMPENHO |
| CREDENCIAL NO ESCOPO DO BANCO DE DADOS | ALTERAR | Alabama | BASE DE DADOS | CONTROLE |
| CREDENCIAL NO ESCOPO DO BANCO DE DADOS | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| CREDENCIAL NO ESCOPO DO BANCO DE DADOS | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| CREDENCIAL NO ESCOPO DO BANCO DE DADOS | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| CREDENCIAL NO ESCOPO DO BANCO DE DADOS | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| PONTO DE EXTREMIDADE | ALTERAR | Alabama | SERVIDOR | ALTERAR QUALQUER PONTO DE EXTREMIDADE |
| PONTO DE EXTREMIDADE | CONECTAR | Monóxido de Carbono | SERVIDOR | SERVIDOR DE CONTROLE |
| PONTO DE EXTREMIDADE | CONTROLE | CL | SERVIDOR | SERVIDOR DE CONTROLE |
| PONTO DE EXTREMIDADE | ASSUMIR RESPONSABILIDADE | PARA | SERVIDOR | SERVIDOR DE CONTROLE |
| PONTO DE EXTREMIDADE | DEFINIÇÃO DE EXIBIÇÃO | VW | SERVIDOR | VISUALIZAR QUALQUER DEFINIÇÃO |
| CATÁLOGO DE TEXTO COMPLETO | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO |
| CATÁLOGO DE TEXTO COMPLETO | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| CATÁLOGO DE TEXTO COMPLETO | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| CATÁLOGO DE TEXTO COMPLETO | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| CATÁLOGO DE TEXTO COMPLETO | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| Lista de Palavras Proibidas de Texto Completo (FULLTEXT STOPLIST) | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO |
| Lista de Palavras Proibidas de Texto Completo (FULLTEXT STOPLIST) | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| Lista de Palavras Proibidas de Texto Completo (FULLTEXT STOPLIST) | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| Lista de Palavras Proibidas de Texto Completo (FULLTEXT STOPLIST) | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| Lista de Palavras Proibidas de Texto Completo (FULLTEXT STOPLIST) | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| LOGON | ALTERAR | Alabama | SERVIDOR | ALTERAR QUALQUER LOGIN |
| LOGON | CONTROLE | CL | SERVIDOR | SERVIDOR DE CONTROLE |
| LOGON | IMPERSONAR | Mensagens instantâneas | SERVIDOR | SERVIDOR DE CONTROLE |
| LOGON | DEFINIÇÃO DE EXIBIÇÃO | VW | SERVIDOR | VISUALIZAR QUALQUER DEFINIÇÃO |
| TIPO DE MENSAGEM | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER TIPO DE MENSAGEM |
| TIPO DE MENSAGEM | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| TIPO DE MENSAGEM | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| TIPO DE MENSAGEM | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| TIPO DE MENSAGEM | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| OBJETO | ALTERAR | Alabama | ESQUEMA | ALTERAR |
| OBJETO | CONTROLE | CL | ESQUEMA | CONTROLE |
| OBJETO | EXCLUIR | DL | ESQUEMA | EXCLUIR |
| OBJETO | Execute | EX | ESQUEMA | Execute |
| OBJETO | INSERIR | EM | ESQUEMA | INSERIR |
| OBJETO | RECEBER | RC | ESQUEMA | CONTROLE |
| OBJETO | REFERÊNCIAS | RF | ESQUEMA | REFERÊNCIAS |
| OBJETO | SELECIONAR | SL | ESQUEMA | SELECIONAR |
| OBJETO | ASSUMIR RESPONSABILIDADE | PARA | ESQUEMA | CONTROLE |
| OBJETO | DESMASCARAR | UMSK | ESQUEMA | DESMASCARAR |
| OBJETO | ATUALIZAÇÃO | Para cima | ESQUEMA | ATUALIZAÇÃO |
| OBJETO | EXIBIR CONTROLE DE ALTERAÇÕES | VWCT | ESQUEMA | EXIBIR CONTROLE DE ALTERAÇÕES |
| OBJETO | DEFINIÇÃO DE EXIBIÇÃO | VW | ESQUEMA | DEFINIÇÃO DE EXIBIÇÃO |
| VINCULAÇÃO DE SERVIÇO REMOTO | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER VINCULAÇÃO DE SERVIÇO REMOTO |
| VINCULAÇÃO DE SERVIÇO REMOTO | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| VINCULAÇÃO DE SERVIÇO REMOTO | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| VINCULAÇÃO DE SERVIÇO REMOTO | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| FUNÇÃO | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER FUNÇÃO |
| FUNÇÃO | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| FUNÇÃO | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| FUNÇÃO | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| ROTA | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER ROTA |
| ROTA | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| ROTA | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| ROTA | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| ESQUEMA | ALTERAR | Alabama | BASE DE DADOS | ALTER ANY SCHEMA (Modificar qualquer esquema) |
| ESQUEMA | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| ESQUEMA | CRIAR SEQUÊNCIA | CRSO | BASE DE DADOS | CONTROLE |
| ESQUEMA | EXCLUIR | DL | BASE DE DADOS | EXCLUIR |
| ESQUEMA | Execute | EX | BASE DE DADOS | Execute |
| ESQUEMA | INSERIR | EM | BASE DE DADOS | INSERIR |
| ESQUEMA | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| ESQUEMA | SELECIONAR | SL | BASE DE DADOS | SELECIONAR |
| ESQUEMA | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| ESQUEMA | DESMASCARAR | UMSK | BASE DE DADOS | DESMASCARAR |
| ESQUEMA | ATUALIZAÇÃO | Para cima | BASE DE DADOS | ATUALIZAÇÃO |
| ESQUEMA | EXIBIR CONTROLE DE ALTERAÇÕES | VWCT | BASE DE DADOS | EXIBIR CONTROLE DE ALTERAÇÕES |
| ESQUEMA | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| LISTA DE PROPRIEDADES DE PESQUISA | ALTERAR | Alabama | SERVIDOR | ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO |
| LISTA DE PROPRIEDADES DE PESQUISA | CONTROLE | CL | SERVIDOR | CONTROLE |
| LISTA DE PROPRIEDADES DE PESQUISA | REFERÊNCIAS | RF | SERVIDOR | REFERÊNCIAS |
| LISTA DE PROPRIEDADES DE PESQUISA | ASSUMIR RESPONSABILIDADE | PARA | SERVIDOR | CONTROLE |
| LISTA DE PROPRIEDADES DE PESQUISA | DEFINIÇÃO DE EXIBIÇÃO | VW | SERVIDOR | DEFINIÇÃO DE EXIBIÇÃO |
| SERVIDOR | ADMINISTRAR OPERAÇÕES EM MASSA | ADBO | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER GRUPO DE DISPONIBILIDADE | ALAG | Não aplicável | Não aplicável |
| SERVIDOR | Alterar Qualquer Conexão | ALCO | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER CREDENCIAL | ALCD | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER BANCO DE DADOS | ALDB | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER PONTO DE EXTREMIDADE | ALHE | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO | ALES | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO | AAES | Não aplicável | Não aplicável |
| SERVIDOR | ALTER ANY EVENT SESSION ADD EVENT | LSAE | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO ADICIONAR DESTINO | Teste de Admissão para Faculdade de Direito (LSAT) | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO DESABILITAR | Data Encryption Standard (DES) | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO DESCARTAR EVENTO | LSDE | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO DESCARTAR DESTINO | LSDT | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER SESSÃO DE EVENTO ATIVAR | EES | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER OPÇÃO DE SESSÃO DE EVENTO | LESO | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER SERVIDOR VINCULADO | ALLS | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER LOGIN | ALLG | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR QUALQUER AUDITORIA DO SERVIDOR | ALAA | Não aplicável | Não aplicável |
| SERVIDOR | ALTER ANY SERVER ROLE | ALSR | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR RECURSOS | ALRS | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR ESTADO DO SERVIDOR | ALSS | Não aplicável | Não aplicável |
| SERVIDOR | ALTERAR CONFIGURAÇÕES | ALST | Não aplicável | Não aplicável |
| SERVIDOR | ALTER TRACE | ALTR | Não aplicável | Não aplicável |
| SERVIDOR | AUTENTICAR SERVIDOR | AUTH | Não aplicável | Não aplicável |
| SERVIDOR | CONECTAR QUALQUER BANCO DE DADOS | CADB | Não aplicável | Não aplicável |
| SERVIDOR | CONECTAR SQL | COSQ | Não aplicável | Não aplicável |
| SERVIDOR | SERVIDOR DE CONTROLE | CL | Não aplicável | Não aplicável |
| SERVIDOR | CRIAR QUALQUER BANCO DE DADOS | CRDB | Não aplicável | Não aplicável |
| SERVIDOR | CRIAR GRUPO DE DISPONIBILIDADE | CRAC | Não aplicável | Não aplicável |
| SERVIDOR | CRIAR NOTIFICAÇÃO DE EVENTO DDL | CRDE | Não aplicável | Não aplicável |
| SERVIDOR | CRIAR PONTO DE EXTREMIDADE | CRHE | Não aplicável | Não aplicável |
| SERVIDOR | CRIAR FUNÇÃO DE SERVIDOR | CRSR | Não aplicável | Não aplicável |
| SERVIDOR | CRIAR NOTIFICAÇÃO DE EVENTO DE RASTREAMENTO | CRTE | Não aplicável | Não aplicável |
| SERVIDOR | MONTAGEM DE ACESSO EXTERNO | XA | Não aplicável | Não aplicável |
| SERVIDOR | REPRESENTAR QUALQUER LOGON | IAL | Não aplicável | Não aplicável |
| SERVIDOR | SELECIONAR TODOS OS ITENS DE SEGURANÇA DO USUÁRIO | SUS | Não aplicável | Não aplicável |
| SERVIDOR | DESLIGAMENTO | SHDN | Não aplicável | Não aplicável |
| SERVIDOR | MONTAGEM INSEGURA | XU | Não aplicável | Não aplicável |
| SERVIDOR | VISUALIZAR QUALQUER BANCO DE DADOS | VWDB | Não aplicável | Não aplicável |
| SERVIDOR | VISUALIZAR QUALQUER DEFINIÇÃO | VWAD | Não aplicável | Não aplicável |
| SERVIDOR | Visualizar Estado do Servidor | VWSS | Não aplicável | Não aplicável |
| FUNÇÃO DE SERVIDOR | ALTERAR | Alabama | SERVIDOR | ALTER ANY SERVER ROLE |
| FUNÇÃO DE SERVIDOR | CONTROLE | CL | SERVIDOR | SERVIDOR DE CONTROLE |
| FUNÇÃO DE SERVIDOR | ASSUMIR RESPONSABILIDADE | PARA | SERVIDOR | SERVIDOR DE CONTROLE |
| FUNÇÃO DE SERVIDOR | DEFINIÇÃO DE EXIBIÇÃO | VW | SERVIDOR | VISUALIZAR QUALQUER DEFINIÇÃO |
| SERVIÇO | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER SERVIÇO |
| SERVIÇO | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| SERVIÇO | ENVIAR | SN | BASE DE DADOS | CONTROLE |
| SERVIÇO | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| SERVIÇO | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| CHAVE SIMÉTRICA | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER CHAVE SIMÉTRICA |
| CHAVE SIMÉTRICA | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| CHAVE SIMÉTRICA | REFERÊNCIAS | RF | BASE DE DADOS | REFERÊNCIAS |
| CHAVE SIMÉTRICA | ASSUMIR RESPONSABILIDADE | PARA | BASE DE DADOS | CONTROLE |
| CHAVE SIMÉTRICA | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| Tipo | CONTROLE | CL | ESQUEMA | CONTROLE |
| Tipo | Execute | EX | ESQUEMA | Execute |
| Tipo | REFERÊNCIAS | RF | ESQUEMA | REFERÊNCIAS |
| Tipo | ASSUMIR RESPONSABILIDADE | PARA | ESQUEMA | CONTROLE |
| Tipo | DEFINIÇÃO DE EXIBIÇÃO | VW | ESQUEMA | DEFINIÇÃO DE EXIBIÇÃO |
| UTILIZADOR | ALTERAR | Alabama | BASE DE DADOS | ALTERAR QUALQUER USUÁRIO |
| UTILIZADOR | CONTROLE | CL | BASE DE DADOS | CONTROLE |
| UTILIZADOR | IMPERSONAR | Mensagens instantâneas | BASE DE DADOS | CONTROLE |
| UTILIZADOR | DEFINIÇÃO DE EXIBIÇÃO | VW | BASE DE DADOS | DEFINIÇÃO DE EXIBIÇÃO |
| COLEÇÃO DE ESQUEMAS XML | ALTERAR | Alabama | ESQUEMA | ALTERAR |
| COLEÇÃO DE ESQUEMAS XML | CONTROLE | CL | ESQUEMA | CONTROLE |
| COLEÇÃO DE ESQUEMAS XML | Execute | EX | ESQUEMA | Execute |
| COLEÇÃO DE ESQUEMAS XML | REFERÊNCIAS | RF | ESQUEMA | REFERÊNCIAS |
| COLEÇÃO DE ESQUEMAS XML | ASSUMIR RESPONSABILIDADE | PARA | ESQUEMA | CONTROLE |
| COLEÇÃO DE ESQUEMAS XML | DEFINIÇÃO DE EXIBIÇÃO | VW | ESQUEMA | DEFINIÇÃO DE EXIBIÇÃO |
Novas permissões granulares adicionadas ao SQL Server 2022
As seguintes permissões são adicionadas ao SQL Server 2022:
Foram adicionadas 10 novas permissões para permitir o acesso aos metadados do sistema.
Foram adicionadas 18 novas permissões para eventos estendidos.
Foram adicionadas 9 novas permissões quanto a objetos relacionados à segurança.
Foram adicionadas 4 permissões para Razão.
Mais 3 permissões de banco de dados adicionais.
Para obter mais informações, consulte Novas permissões granulares para SQL Server 2022 e SQL do Azure para melhorar a aderência com o PoLP.
Acesso a permissões de metadados do sistema
Nível de servidor:
- EXIBIR QUALQUER DEFINIÇÃO DE SEGURANÇA
- EXIBIR QUALQUER DEFINIÇÃO DE DESEMPENHO
- EXIBIR O ESTADO DE SEGURANÇA DO SERVIDOR
- EXIBIR O ESTADO DE DESEMPENHO DO SERVIDOR
- EXIBIR QUALQUER DEFINIÇÃO PROTEGIDA CRIPTOGRAFICAMENTE
Nível de banco de dados:
- EXIBIR O ESTADO DE SEGURANÇA DO BANCO DE DADOS
- EXIBIR O ESTADO DE DESEMPENHO DO BANCO DE DADOS
- EXIBIR DEFINIÇÃO DE SEGURANÇA
- EXIBIR DEFINIÇÃO DE DESEMPENHO
- EXIBIR DEFINIÇÃO PROTEGIDA CRIPTOGRAFICAMENTE
Permissões de Eventos Estendidos
Nível de servidor:
- CRIAR QUALQUER SESSÃO DE EVENTO
- DESCARTAR QUALQUER SESSÃO DE EVENTO
- ALTERAR QUALQUER OPÇÃO DE SESSÃO DE EVENTO
- ALTER ANY EVENT SESSION ADD EVENT
- ALTERAR QUALQUER SESSÃO DE EVENTO DESCARTAR EVENTO
- ALTERAR QUALQUER SESSÃO DE EVENTO ATIVAR
- ALTERAR QUALQUER SESSÃO DE EVENTO DESABILITAR
- ALTERAR QUALQUER SESSÃO DE EVENTO ADICIONAR DESTINO
- ALTERAR QUALQUER SESSÃO DE EVENTO DESCARTAR DESTINO
Todas essas permissões estão sob a mesma permissão primária: ALTER ANY EVENT SESSION
Nível de banco de dados:
- CRIAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS
- DESCARTAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS
- ALTERAR QUALQUER OPÇÃO DE SESSÃO DE EVENTO DO BANCO DE DADOS
- ALTERAR QUALQUER SESSÃO DE EVENTOS DE BANCO DE DADOS PARA ADICIONAR EVENTO
- ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS DESCARTAR EVENTO
- ALTERAR QUALQUER SESSÃO DE EVENTO DO BANCO DE DADOS PARA ATIVAR
- ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS DESABILITAR
- ALTER ANY DATABASE EVENT SESSION ADD TARGET
- ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS EXCLUIR ALVO
Todas essas permissões estão sob a mesma permissão primária: ALTER ANY DATABASE EVENT SESSION
Permissões de objeto relacionadas à segurança
- CONTROLE (CREDENCIAL)
- CRIAR LOGIN
- CRIAR USUÁRIO
- REFERÊNCIAS (CREDENCIAL)
- DESMASCARAR (OBJETO)
- DESMASCARAR (ESQUEMA)
- EXIBIR QUALQUER LOG DE ERROS
- VER AUDITORIA DE SEGURANÇA DO SERVIDOR
- EXIBIR AUDITORIA DE SEGURANÇA DO BANCO DE DADOS
Permissões do razão
- ALTER LEDGER
- ALTER LEDGER CONFIGURATION
- HABILITAR RAZÃO
- EXIBIR CONTEÚDO DO LIVRO RAZÃO
Outras permissões do banco de dados
- ALTERAR QUALQUER TRABALHO EXTERNO
- ALTERAR QUALQUER STREAM EXTERNO
- EXECUTAR QUALQUER PONTO DE EXTREMIDADE EXTERNO
Resumo do algoritmo de verificação de permissão
A verificação de permissões pode ser uma tarefa complexa. O algoritmo de verificação de permissão inclui a sobreposição de associações de grupo e o encadeamento de propriedades, as permissões explícita e implícita, e pode ser afetado pelas permissões em classes de protegíveis que contêm a entidade protegível. O processo geral do algoritmo é coletar todas as permissões pertinentes. Se nenhum bloqueio DENY for localizado, o algoritmo irá procurar uma permissão GRANT que fornece acesso suficiente. O algoritmo contém três elementos essenciais, o contexto de segurança, o espaço de permissãoe a permissão necessária.
Observação
Não é possível conceder, negar ou revogar permissões para sa, dbo, o proprietário da entidade, information_schema, sys ou para você mesmo.
Contexto de segurança
Este é o grupo de entidades que fornece permissões à verificação de acesso. Essas são as permissões relacionadas com o logon ou usuário atual, a menos que o contexto de segurança tenha sido alterado para outro logon ou usuário por meio da instrução EXECUTE AS. O contexto de segurança inclui as seguintes entidades:
O logon
O usuário
Associações de função
Associações de grupo do Windows
Se a assinatura de módulo estiver sendo usada, qualquer logon ou conta de usuário do certificado usado para assinar o módulo que está em execução no momento e as associações de função associadas a essa entidade.
Espaço de permissão
É a entidade protegível e qualquer classe protegível que contém o protegível. Por exemplo, uma tabela (uma entidade protegível) é contida pela classe protegível de esquema e pela classe protegível de banco de dados. O acesso pode ser afetado por permissões em nível de tabela, esquema, banco de dados e servidor. Para obter mais informações, veja Hierarquia de permissões (Mecanismo de Banco de Dados).
Permissão necessária
O tipo de permissão exigido. Por exemplo, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, e assim por diante.
O acesso pode exigir várias permissões, como as dos exemplos a seguir.
Um procedimento armazenado pode exigir a permissão EXECUTE no procedimento armazenado e a permissão INSERT em várias tabelas que são referenciadas pelo procedimento armazenado.
Uma exibição de gerenciamento dinâmico pode exibir as permissões VIEW SERVER STATE e SELECT na exibição.
Etapas gerais do algoritmo
Quando o algoritmo estiver determinando a permissão do acesso a um protegível, as etapas que ele utiliza podem variar, dependendo das entidades e dos protegíveis que estão envolvidos. No entanto, o algoritmo executa as seguintes etapas gerais:
Ignorar a verificação de permissão se o logon for um membro da função de servidor fixa sysadmin ou se o usuário for o usuário dbo no banco de dados atual.
Permite o acesso se o encadeamento de propriedades for aplicável e se a verificação de acesso no objeto anterior da cadeia tiver passado pela verificação de segurança.
Agrega as identidades em nível de servidor e de banco de dados e as identidades do módulo assinado associadas ao chamador para criar o contexto de segurança.
Para esse contexto de segurança, reúna todas as permissões concedidas ou negadas ao espaço de permissão. A permissão pode ser declarada explicitamente como GRANT, GRANT WITH GRANT ou DENY; ou as permissões podem ser implícitas ou de cobertura GRANT ou DENY. Por exemplo, a permissão CONTROL em um esquema implica CONTROL em uma tabela. E CONTROL em uma tabela implica SELECT. Portanto, se CONTROL foi concedida no esquema, SELECT será concedida na tabela. Se CONTROL foi negada na tabela, SELECT será negada na tabela.
Observação
Uma permissão GRANT no nível de coluna substitui DENY no nível de objeto. Para obter mais informações, consulte Permissões de objeto DENY.
Identifica a permissão necessária.
Falha ao executar a verificação de permissão se a permissão necessária for direta ou implicitamente negada a quaisquer das identidades contidas no contexto de segurança para os objetos do espaço de permissão.
Executa a verificação de permissão se a permissão necessária não tiver sido negada e a permissão necessária contiver uma permissão GRANT ou GRANT WITH GRANT direta ou implicitamente para quaisquer das identidades contidas no contexto de segurança para qualquer objeto do espaço de permissão.
Considerações especiais para permissões no nível da coluna
Permissões em nível de coluna são concedidas com a sintaxe <table_name>(<column _name>). Por exemplo:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
DENY na tabela é substituído por GRANT em uma coluna. No entanto, um DENY posterior na tabela removerá a coluna GRANT.
Exemplos
Os exemplos nesta seção mostram como recuperar informações sobre permissões.
R. Retornar a lista completa de permissões que podem ser concedidas
A instrução a seguir retorna todas as permissões de mecanismo de banco de dados usando a função fn_builtin_permissions. Para obter mais informações, veja sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Retornar permissões em uma classe específica de objetos
O exemplo a seguir usa fn_builtin_permissions para exibir todas as permissões que estão disponíveis para uma categoria de protegível. O exemplo retorna permissões em assemblies.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Retornar as permissões concedidas à entidade de segurança em execução em um objeto
O exemplo a seguir usa fn_my_permissions para retornar uma lista das permissões efetivas mantidas pela entidade de chamada em um protegível especificado. O exemplo retorna permissões em um objeto denominado Orders55. Para obter mais informações, veja sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Retornar permissões aplicáveis a um objeto especificado
O exemplo a seguir retorna permissões aplicáveis a um objeto denominado Yttrium. Observe que a função interna OBJECT_ID é usada para recuperar o ID do objeto Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO