Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
SQL ServerBanco de Dados SQL do AzureInstância Gerenciada de SQL do AzureAzure Synapse AnalyticsAnalytics Platform System (PDW)Ponto de extremidade de análise de SQL no Microsoft FabricDepósito no Microsoft FabricBanco de dados SQL no Microsoft Fabric
Concede permissões em um banco de dados no SQL Server.
Convenções de sintaxe de Transact-SQL
Syntax
GRANT <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission>::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Arguments
permission Especifica uma permissão que pode ser concedida em um banco de dados. Para obter uma lista de permissões, consulte a seção Comentários mais adiante neste tópico.
ALL Esta opção não concede todas as permissões possíveis. A concessão ALL é equivalente a conceder as seguintes permissões: BACKUP DATABASE, BACKUP LOG, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE e CREATE VIEW.
PRIVILEGES Incluídos para conformidade com ANSI-92. Não altera o comportamento de ALL.
WITH GRANT OPTION Indica que a entidade de segurança também terá a capacidade de conceder a permissão especificada a outros principais.
AS <database_principal> Especifica uma entidade de segurança por meio da qual a entidade de segurança que executa essa consulta obtém seu direito de conceder a permissão.
Database_user Especifica um usuário de banco de dados.
Database_role Especifica uma função de banco de dados.
Application_roleAplica-se a: SQL Server 2008 (10.0.x) e posterior e Banco de Dados SQL do Azure
Especifica uma função de aplicativo.
Database_user_mapped_to_Windows_UserAplica-se a: SQL Server 2008 (10.0.x) e posterior
Especifica um usuário do banco de dados mapeado para um usuário do Windows.
Database_user_mapped_to_Windows_GroupAplica-se a: SQL Server 2008 (10.0.x) e posterior
Especifica um usuário do banco de dados mapeado para um grupo do Windows.
Database_user_mapped_to_certificateAplica-se a: SQL Server 2008 (10.0.x) e posterior
Especifica um usuário do banco de dados mapeado para um certificado.
Database_user_mapped_to_asymmetric_keyAplica-se a: SQL Server 2008 (10.0.x) e posterior
Especifica um usuário do banco de dados mapeado para uma chave assimétrica.
Database_user_with_no_login Especifica um usuário de banco de dados sem entidade de segurança no nível do servidor correspondente.
Remarks
Important
Uma combinação das permissões ALTER e REFERENCE em alguns casos pode permitir ao usuário autorizado exibir dados ou executar funções não autorizadas. Por exemplo: Um usuário com a permissão ALTER em uma tabela e a permissão REFERENCE em uma função pode criar uma coluna computada em uma função e fazer com que ela seja executada. Nesse caso, o usuário também precisará da permissão SELECT na coluna computada.
Um banco de dados é um protegível contido no servidor pai na hierarquia de permissões. As permissões mais específicas e limitadas que podem ser concedidas em um banco de dados são listadas na tabela a seguir, junto com as permissões mais gerais que as incluem implicitamente.
| Permissão para banco de dados | Implícito na permissão de banco de dados | Implícito na permissão de servidor |
|---|---|---|
| ADMINISTRAR OPERAÇÕES EM LOTE DO BANCO DE DADOS Aplica-se a: Banco de Dados SQL. |
CONTROL | SERVIDOR DE CONTROLE |
| ALTER | CONTROL | ALTERAR QUALQUER BANCO DE DADOS |
| ALTERAR QUALQUER FUNÇÃO DE APLICAÇÃO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER ASSEMBLAGEM | ALTER | SERVIDOR DE CONTROLE |
| ALTER ANY CHAVE ASSIMÉTRICA | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER CERTIFICADO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER CHAVE DE ENCRIPTAÇÃO DE COLUNA | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER DEFINIÇÃO DE CHAVE MESTRA DE COLUNA | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER CONTRATO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER AUDITORIA DE BANCO DE DADOS | ALTER | ALTERAR QUALQUER AUDITORIA DO SERVIDOR |
| ALTER TRIGGER DDL EM QUALQUER BANCO DE DADOS | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO DE BANCO DE DADOS | ALTER | ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO |
| ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS Aplica-se a: Banco de Dados SQL. |
ALTER | ALTERAR QUALQUER SESSÃO DE EVENTO |
| ALTERAR QUALQUER CONFIGURAÇÃO DE ESCOPO DE BANCO DE DADOS Aplica-se a: SQL Server 2016 (13.x) e posterior, Banco de Dados SQL. |
CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER ESPAÇO DE DADOS | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER FONTE DE DADOS EXTERNA | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER FORMATO DE ARQUIVO EXTERNO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER BIBLIOTECA EXTERNA Aplica-se a: SQL Server 2017 (14.x). |
CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER MÁSCARA | CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER TIPO DE MENSAGEM | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER VINCULAÇÃO DE SERVIÇO REMOTO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER FUNÇÃO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER ROTA | ALTER | SERVIDOR DE CONTROLE |
| ALTER ANY SCHEMA (Modificar qualquer esquema) | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER POLÍTICA DE SEGURANÇA Aplica-se a: Banco de Dados SQL do Azure. |
CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER CLASSIFICAÇÃO DE SENSIBILIDADE Aplica-se a: SQL Server (SQL Server 2019 e posterior), Banco de Dados SQL do Azure. |
CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER SERVIÇO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER CHAVE SIMÉTRICA | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER USUÁRIO | ALTER | SERVIDOR DE CONTROLE |
| AUTHENTICATE | CONTROL | AUTENTICAR SERVIDOR |
| FAZER BACKUP DO BANCO DE DADOS | CONTROL | SERVIDOR DE CONTROLE |
| BACKUP LOG | CONTROL | SERVIDOR DE CONTROLE |
| CHECKPOINT | CONTROL | SERVIDOR DE CONTROLE |
| CONNECT | REPLICAÇÃO DE CONEXÃO | SERVIDOR DE CONTROLE |
| REPLICAÇÃO DE CONEXÃO | CONTROL | SERVIDOR DE CONTROLE |
| CONTROL | CONTROL | SERVIDOR DE CONTROLE |
| CRIAR AGREGAÇÃO | ALTER | SERVIDOR DE CONTROLE |
| CREATE ANY EXTERNAL LIBRARY Aplica-se a: SQL Server 2017 (14.x). |
CONTROL | SERVIDOR DE CONTROLE |
| CRIAR ASSEMBLY | ALTERAR QUALQUER ASSEMBLAGEM | SERVIDOR DE CONTROLE |
| CRIAR CHAVE ASSIMÉTRICA | ALTER ANY CHAVE ASSIMÉTRICA | SERVIDOR DE CONTROLE |
| CRIAR CERTIFICADO | ALTERAR QUALQUER CERTIFICADO | SERVIDOR DE CONTROLE |
| CRIAR CONTRATO | ALTERAR QUALQUER CONTRATO | SERVIDOR DE CONTROLE |
| CRIAR BANCO DE DADOS | CONTROL | CRIAR QUALQUER BANCO DE DADOS |
| CRIAR NOTIFICAÇÃO DE EVENTO DDL DE BANCO DE DADOS | ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO DE BANCO DE DADOS | CRIAR NOTIFICAÇÃO DE EVENTO DDL |
| CRIAR PADRÃO | ALTER | SERVIDOR DE CONTROLE |
| CRIAR CATÁLOGO DE TEXTO COMPLETO | ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO | SERVIDOR DE CONTROLE |
| CRIAR FUNÇÃO | ALTER | SERVIDOR DE CONTROLE |
| CRIAR TIPO DE MENSAGEM | ALTERAR QUALQUER TIPO DE MENSAGEM | SERVIDOR DE CONTROLE |
| CRIAR PROCEDIMENTO | ALTER | SERVIDOR DE CONTROLE |
| CRIAR FILA | ALTER | SERVIDOR DE CONTROLE |
| CRIAR VINCULAÇÃO DE SERVIÇO REMOTO | ALTERAR QUALQUER VINCULAÇÃO DE SERVIÇO REMOTO | SERVIDOR DE CONTROLE |
| CRIAR PAPEL | ALTERAR QUALQUER FUNÇÃO | SERVIDOR DE CONTROLE |
| CRIAR ROTA | ALTERAR QUALQUER ROTA | SERVIDOR DE CONTROLE |
| CRIAR REGRA | ALTER | SERVIDOR DE CONTROLE |
| CRIAR ESQUEMA | ALTER ANY SCHEMA (Modificar qualquer esquema) | SERVIDOR DE CONTROLE |
| CRIAR SERVIÇO | ALTERAR QUALQUER SERVIÇO | SERVIDOR DE CONTROLE |
| CRIAR CHAVE SIMÉTRICA | ALTERAR QUALQUER CHAVE SIMÉTRICA | SERVIDOR DE CONTROLE |
| CRIAR SINÔNIMO | ALTER | SERVIDOR DE CONTROLE |
| CREATE TABLE | ALTER | SERVIDOR DE CONTROLE |
| CRIAR TIPO | ALTER | SERVIDOR DE CONTROLE |
| CRIAR VISÃO | ALTER | SERVIDOR DE CONTROLE |
| CRIAR COLEÇÃO DE ESQUEMA XML | ALTER | SERVIDOR DE CONTROLE |
| DELETE | CONTROL | SERVIDOR DE CONTROLE |
| EXECUTE | CONTROL | SERVIDOR DE CONTROLE |
| EXECUTE ANY EXTERNAL ENDPOINT Aplica-se a: Banco de Dados SQL do Azure. |
CONTROL | SERVIDOR DE CONTROLE |
| EXECUTE ANY EXTERNAL SCRIPT Aplica-se a: SQL Server 2016 (13.x). |
CONTROL | SERVIDOR DE CONTROLE |
| EXECUTE EXTERNAL SCRIPT Aplica-se a: SQL Server 2019 (15.x). |
EXECUTAR QUALQUER SCRIPT EXTERNO | SERVIDOR DE CONTROLE |
| INSERT | CONTROL | SERVIDOR DE CONTROLE |
| ENCERRAR CONEXÃO DE BANCO DE DADOS Aplica-se a: Banco de Dados SQL do Azure. |
CONTROL | Alterar Qualquer Conexão |
| REFERENCES | CONTROL | SERVIDOR DE CONTROLE |
| SELECT | CONTROL | SERVIDOR DE CONTROLE |
| SHOWPLAN | CONTROL | ALTER TRACE |
| ASSINAR NOTIFICAÇÕES DE CONSULTA | CONTROL | SERVIDOR DE CONTROLE |
| ASSUMA A RESPONSABILIDADE | CONTROL | SERVIDOR DE CONTROLE |
| UNMASK | CONTROL | SERVIDOR DE CONTROLE |
| UPDATE | CONTROL | SERVIDOR DE CONTROLE |
| EXIBIR QUALQUER DEFINIÇÃO DE CHAVE DE CRIPTOGRAFIA DE COLUNA | CONTROL | VISUALIZAR QUALQUER DEFINIÇÃO |
| EXIBIR QUALQUER DEFINIÇÃO DE CHAVE MESTRA DE COLUNA | CONTROL | VISUALIZAR QUALQUER DEFINIÇÃO |
| EXIBIR ESTADO DO BANCO DE DADOS | CONTROL | Visualizar Estado do Servidor |
| DEFINIÇÃO DE EXIBIÇÃO | CONTROL | VISUALIZAR QUALQUER DEFINIÇÃO |
Permissions
O concessor (ou a entidade de segurança especificada com a opção AS) deve ter a própria permissão com GRANT OPTION ou uma permissão superior que tenha a permissão que está sendo concedida implícita.
Se você estiver usando a opção AS, os requisitos adicionais a seguir serão aplicáveis.
| COMO granting_principal | Permissão adicional necessária |
|---|---|
| Usuário de banco de dados | Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados mapeado para um logon do Windows | Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados mapeado para um grupo do Windows | Associação no grupo do Windows, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados mapeado para um certificado | Associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados mapeado para uma chave assimétrica | Associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados não mapeado para nenhuma entidade de segurança de servidor | Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Função de banco de dados | Permissão ALTER na função, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Função de aplicativo | Permissão ALTER na função, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
Os proprietários de objetos podem conceder permissões nos objetos de sua propriedade. As entidades que têm a permissão CONTROL em um protegível podem conceder a permissão nesse protegível.
Os usuários autorizados da permissão CONTROL SERVER, como os membros da função de servidor fixa sysadmin, podem conceder qualquer permissão em qualquer protegível do servidor.
Examples
A. Concedendo permissão para criar tabelas
O exemplo a seguir concede a permissão CREATE TABLE no banco de dados AdventureWorks ao usuário MelanieK.
USE AdventureWorks;
GRANT CREATE TABLE TO MelanieK;
GO
B. Concedendo a permissão SHOWPLAN a uma função de aplicativo
O exemplo a seguir concede a permissão SHOWPLAN no banco de dados AdventureWorks2025 à função de aplicativo AuditMonitor.
Aplica-se a: SQL Server 2008 (10.0.x) e posterior e Banco de Dados SQL
USE AdventureWorks2022;
GRANT SHOWPLAN TO AuditMonitor;
GO
C. Concedendo CREATE VIEW com GRANT OPTION
O exemplo a seguir concede a permissão CREATE VIEW no banco de dados AdventureWorks2025 ao usuário CarmineEs com o direito de conceder CREATE VIEW a outras entidades.
USE AdventureWorks2022;
GRANT CREATE VIEW TO CarmineEs WITH GRANT OPTION;
GO
D. Concedendo a permissão CONTROL a um usuário de banco de dados
O exemplo a seguir concede a permissão CONTROL no banco de dados AdventureWorks2025 ao usuário do banco de dados Sarah. O usuário deve existir no banco de dados, e o contexto deve ser definido como o banco de dados.
USE AdventureWorks2022;
GRANT CONTROL ON DATABASE::AdventureWorks2022 TO Sarah;
GO