Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a:
SQL ServerBase de Dados SQL do AzureInstância Gerida do Azure SQLAzure Synapse AnalyticsSistema de Plataforma de Análise (PDW)Ponto de Extremidade de Análise SQL no Microsoft FabricArmazém no Microsoft FabricBase de Dados SQL no Microsoft Fabric
Retorna uma linha para cada permissão ou permissão de exceção de coluna no banco de dados. Para colunas, há uma linha para cada permissão que é diferente da permissão de nível de objeto correspondente. Se a permissão de coluna for igual à permissão de objeto correspondente, não haverá linha para ela e a permissão aplicada será a do objeto.
Important
As permissões no nível da coluna substituem as permissões no nível do objeto na mesma entidade.
| Nome da coluna | Tipo de dados | Description |
|---|---|---|
| class | tinyint | Identifica a classe na qual existe permissão. Para obter mais informações, consulte sys.securable_classes (Transact-SQL). 0 = Base de dados 1 = Objeto ou Coluna 3 = Esquema 4 = Principal da Base de Dados 5 = Assembly - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 6 = Tipo 10 = Coleção de esquema XML - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 15 = Tipo de mensagem - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 16 = Contrato de Serviço - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 17 = Serviço - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 18 = Vinculação de serviço remoto - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 19 = Route - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 23 =Full-Text Catalog - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 24 = Chave simétrica - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 25 = Certificado - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 26 = Chave assimétrica - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 29 = Fulltext Stoplist - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 31 = Lista de propriedades de pesquisa - Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. 32 = Credencial com escopo de banco de dados - Aplica-se a: SQL Server 2016 (13.x) e versões posteriores. 34 = Idioma Externo - Aplica-se a: SQL Server 2019 (15.x) e versões posteriores. |
| class_desc | nvarchar(60) | Descrição da classe na qual existe permissão. DATABASE OBJECT_OR_COLUMN SCHEMA DATABASE_PRINCIPAL ASSEMBLY TYPE XML_SCHEMA_COLLECTION MESSAGE_TYPE SERVICE_CONTRACT SERVICE REMOTE_SERVICE_BINDING ROUTE FULLTEXT_CATALOG SYMMETRIC_KEYS CERTIFICATE ASYMMETRIC_KEY LISTA DE EXCLUSÃO DE TEXTO COMPLETO PESQUISAR LISTA DE PROPRIEDADES CREDENCIAL COM ESCOPO DE BANCO DE DADOS LÍNGUA EXTERNA |
| major_id | int | ID da coisa sobre a qual existe permissão, interpretada de acordo com a classe. Normalmente, o major_id simplesmente o tipo de ID que se aplica ao que a classe representa. 0 = A própria base de dados >0 = Object-IDs para objetos de usuário <0 = Object-IDs para objetos do sistema |
| minor_id | int | Secondary-ID de coisa sobre a qual existe permissão, interpretada de acordo com a classe. Muitas vezes, o minor_id é zero, porque não há nenhuma subcategoria disponível para a classe de objeto. Caso contrário, é o Column-ID de uma tabela. |
| grantee_principal_id | int | ID da entidade de banco de dados à qual as permissões são concedidas. |
| grantor_principal_id | int | ID principal do banco de dados do concedente dessas permissões. |
| type | char(4) | Tipo de permissão de banco de dados. Para obter uma lista de tipos de permissão, consulte a tabela a seguir. |
| permission_name | nvarchar(128) | Nome de permissão. |
| state | char(1) | Estado de permissão: D = Negar R = Revogar G = Subvenção W = Subvenção com opção de subvenção |
| state_desc | nvarchar(60) | Descrição do estado de permissão: DENY REVOKE GRANT GRANT_WITH_GRANT_OPTION |
Permissões de banco de dados
Os seguintes tipos de permissões são possíveis.
| Tipo de permissão | Nome da permissão | Aplica-se a valores protegíveis |
|---|---|---|
| AADS | ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS | DATABASE |
| AAMK | ALTERE QUALQUER MÁSCARA | DATABASE |
| AEDS | ALTERAR QUALQUER FONTE DE DADOS EXTERNA | DATABASE |
| AEFF | ALTERAR QUALQUER FORMATO DE ARQUIVO EXTERNO | DATABASE |
| AL | ALTER | FUNÇÃO DO APLICATIVO, MONTAGEM, CHAVE ASSIMÉTRICA, CERTIFICADO, CONTRATO, BANCO DE DADOS, CATÁLOGO DE TEXTO COMPLETO, TIPO DE MENSAGEM, OBJETO, VINCULAÇÃO DE SERVIÇO REMOTO, FUNÇÃO, ROTA, ESQUEMA, SERVIÇO, CHAVE SIMÉTRICA, USUÁRIO, COLEÇÃO DE ESQUEMA XML |
| ALAK | ALTERAR QUALQUER CHAVE ASSIMÉTRICA | DATABASE |
| ALAR | ALTERAR QUALQUER FUNÇÃO DE APLICATIVO | DATABASE |
| ALAS | ALTERAR QUALQUER MONTAGEM | DATABASE |
| ALCF | ALTERAR QUALQUER CERTIFICADO | DATABASE |
| ALDS | ALTERAR QUALQUER ESPAÇO DE DADOS | DATABASE |
| ALED | ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO DO BANCO DE DADOS | DATABASE |
| ALFT | ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO | DATABASE |
| ALMT | ALTERAR QUALQUER TIPO DE MENSAGEM | DATABASE |
| ALRL | ALTERAR QUALQUER FUNÇÃO | DATABASE |
| ALRT | ALTERAR QUALQUER ROTA | DATABASE |
| ALSB | ALTERAR QUALQUER LIGAÇÃO DE SERVIÇO REMOTO | DATABASE |
| ALSC | ALTERAR QUALQUER CONTRATO | DATABASE |
| ALSK | ALTERAR QUALQUER CHAVE SIMÉTRICA | DATABASE |
| ALSM | ALTERAR QUALQUER ESQUEMA | DATABASE |
| ALSV | ALTERAR QUALQUER SERVIÇO | DATABASE |
| ALTG | ALTERAR QUALQUER GATILHO DDL DE BANCO DE DADOS | DATABASE |
| ALUS | ALTERAR QUALQUER UTILIZADOR | DATABASE |
| AUTH | AUTHENTICATE | DATABASE |
| BADB | BANCO DE DADOS DE BACKUP | DATABASE |
| BALO | REGISTO DE CÓPIA DE SEGURANÇA | DATABASE |
| CL | CONTROL | FUNÇÃO DO APLICATIVO, MONTAGEM, CHAVE ASSIMÉTRICA, CERTIFICADO, CONTRATO, BANCO DE DADOS, CATÁLOGO DE TEXTO COMPLETO, TIPO DE MENSAGEM, OBJETO, VINCULAÇÃO DE SERVIÇO REMOTO, FUNÇÃO, ROTA, ESQUEMA, SERVIÇO, CHAVE SIMÉTRICA, TIPO, USUÁRIO, COLEÇÃO DE ESQUEMA XML |
| CO | CONNECT | DATABASE |
| CORP | REPLICAÇÃO CONNECT | DATABASE |
| CP | CHECKPOINT | DATABASE |
| CRAG | CRIAR AGREGAÇÃO | DATABASE |
| CRAK | CRIAR CHAVE ASSIMÉTRICA | DATABASE |
| CRAS | CRIAR ASSEMBLY | DATABASE |
| CRCF | CRIAR CERTIFICADO | DATABASE |
| CRDB | CRIAR BASE DE DADOS | DATABASE |
| CRDF | CRIAR PADRÃO | DATABASE |
| CRED | CRIAR NOTIFICAÇÃO DE EVENTO DDL DO BANCO DE DADOS | DATABASE |
| CRFN | CRIAR FUNÇÃO | DATABASE |
| CRFT | CRIAR CATÁLOGO DE TEXTO COMPLETO | DATABASE |
| CRMT | CRIAR TIPO DE MENSAGEM | DATABASE |
| CRPR | CRIAR PROCEDIMENTO | DATABASE |
| CRQU | CRIAR FILA | DATABASE |
| CRRL | CRIAR PAPEL | DATABASE |
| CRRT | CRIAR ROTA | DATABASE |
| CRRU | CRIAR REGRA | DATABASE |
| CRSB | CRIAR VINCULAÇÃO DE SERVIÇO REMOTO | DATABASE |
| CRSC | CRIAR CONTRATO | DATABASE |
| CRSK | CRIAR CHAVE SIMÉTRICA | DATABASE |
| CRSM | CRIAR ESQUEMA | DATABASE |
| CRSN | CRIAR SINÓNIMO | DATABASE |
| CRSO |
Aplica-se a: SQL Server 2012 (11.x) e versões posteriores. CRIAR SEQUÊNCIA |
DATABASE |
| CRSV | CRIAR SERVIÇO | DATABASE |
| CRTB | CREATE TABLE | DATABASE |
| CRTY | CRIAR TIPO | DATABASE |
| CRVW | CRIAÇÃO DE VISÃO | DATABASE |
| CRXS |
Aplica-se a: SQL Server 2008 (10.0.x) e versões posteriores. CRIAR COLEÇÃO DE ESQUEMA XML |
DATABASE |
| DABO | ADMINISTRAR OPERAÇÕES EM MASSA DO BANCO DE DADOS | DATABASE |
| DL | DELETE | BANCO DE DADOS, OBJETO, ESQUEMA |
| EAES | EXECUTE QUALQUER SCRIPT EXTERNO | DATABASE |
| EX | EXECUTE | ASSEMBLY, BANCO DE DADOS, OBJETO, ESQUEMA, TIPO, COLEÇÃO DE ESQUEMA XML |
| IM | IMPERSONATE | USER |
| IN | INSERT | BANCO DE DADOS, OBJETO, ESQUEMA |
| RC | RECEIVE | OBJECT |
| RF | REFERENCES | ASSEMBLY, CHAVE ASSIMÉTRICA, CERTIFICADO, CONTRATO, BANCO DE DADOS, CATÁLOGO DE TEXTO COMPLETO, TIPO DE MENSAGEM, OBJETO, ESQUEMA, CHAVE SIMÉTRICA, TIPO, COLEÇÃO DE ESQUEMA XML |
| SL | SELECT | BANCO DE DADOS, OBJETO, ESQUEMA |
| SN | SEND | SERVICE |
| SPLN | SHOWPLAN | DATABASE |
| SUQN | SUBSCREVER NOTIFICAÇÕES DE CONSULTA | DATABASE |
| TO | ASSUMIR A RESPONSABILIDADE | ASSEMBLY, CHAVE ASSIMÉTRICA, CERTIFICADO, CONTRATO, BANCO DE DADOS, CATÁLOGO DE TEXTO COMPLETO, TIPO DE MENSAGEM, OBJETO, VINCULAÇÃO DE SERVIÇO REMOTO, FUNÇÃO, ROTA, ESQUEMA, SERVIÇO, CHAVE SIMÉTRICA, TIPO, COLEÇÃO DE ESQUEMA XML |
| UP | UPDATE | BANCO DE DADOS, OBJETO, ESQUEMA |
| VW | VER DEFINIÇÃO | FUNÇÃO DO APLICATIVO, MONTAGEM, CHAVE ASSIMÉTRICA, CERTIFICADO, CONTRATO, BANCO DE DADOS, CATÁLOGO DE TEXTO COMPLETO, TIPO DE MENSAGEM, OBJETO, VINCULAÇÃO DE SERVIÇO REMOTO, FUNÇÃO, ROTA, ESQUEMA, SERVIÇO, CHAVE SIMÉTRICA, TIPO, USUÁRIO, COLEÇÃO DE ESQUEMA XML |
| VWCK | EXIBIR QUALQUER DEFINIÇÃO DE CHAVE DE CRIPTOGRAFIA DE COLUNA | DATABASE |
| VWCM | VER QUALQUER DEFINIÇÃO DE CHAVE MESTRA DE COLUNA | DATABASE |
| VWCT | VER CONTROLO DE ALTERAÇÕES | TABELA, ESQUEMA |
| VWDS | EXIBIR ESTADO DO BANCO DE DADOS | DATABASE |
REVOGAR e permissões de exceção de coluna
Na maioria dos casos, o comando REVOKE removerá a entrada GRANT ou DENY do sys.database_permissions.
No entanto, é possível CONCEDER ou NEGAR permissões em um objeto e, em seguida, REVOGAR essa permissão em uma coluna. Essa permissão de exceção de coluna aparecerá como REVOKE no sys.database_permissions. Considere o seguinte exemplo:
GRANT SELECT ON Person.Person TO [Sales];
REVOKE SELECT ON Person.Person(AdditionalContactInfo) FROM [Sales];
Essas permissões aparecerão em sys.database_permissions como um GRANT (na tabela) e um REVOKE (na coluna).
Important
REVOKE é diferente de DENY, pois a entidade de Sales ainda pode ter acesso à coluna por meio de outras permissões. Se tivéssemos negado permissões em vez de revogá-las, Sales não seria capaz de visualizar o conteúdo da coluna porque DENY sempre substitui GRANT.
Permissions
Qualquer usuário pode ver suas próprias permissões. Para ver permissões para outros usuários, requer VIEW DEFINITION, ALTER ANY USER, ou qualquer permissão em um usuário. Para ver as funções definidas pelo usuário, é necessário ALTERAR QUALQUER FUNÇÃO ou associação à função (como pública).
A visibilidade dos metadados em exibições de catálogo é limitada aos protegíveis que um usuário possui ou nos quais o usuário recebeu alguma permissão. Para obter mais informações, consulte Configuração de visibilidade de metadados.
Examples
A. Listar todas as permissões das entidades de banco de dados
A consulta a seguir lista as permissões explicitamente concedidas ou negadas às entidades de banco de dados.
Important
As permissões de funções de banco de dados fixas não aparecem no sys.database_permissions. Portanto, as entidades de banco de dados podem ter permissões adicionais não listadas aqui.
SELECT pr.principal_id
,pr.name
,pr.type_desc
,pr.authentication_type_desc
,pe.state_desc
,pe.permission_name
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe ON pe.grantee_principal_id = pr.principal_id;
B. Listar permissões em objetos de esquema em um banco de dados
A consulta a seguir une sys.database_principals e sys.database_permissions para sys.objects e sys.schemas para listar permissões concedidas ou negadas a objetos de esquema específicos.
SELECT pr.principal_id
,pr.name
,pr.type_desc
,pr.authentication_type_desc
,pe.state_desc
,pe.permission_name
,s.name + '.' + o.name AS ObjectName
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe ON pe.grantee_principal_id = pr.principal_id
INNER JOIN sys.objects AS o ON pe.major_id = o.object_id
INNER JOIN sys.schemas AS s ON o.schema_id = s.schema_id;
C. Listar permissões para um objeto específico
Você pode usar o exemplo anterior para consultar permissões específicas para um único objeto de banco de dados.
Por exemplo, considere as seguintes permissões granulares concedidas a um usuário de banco de dados test no banco de dados de exemplo AdventureWorksDW2025:
GRANT SELECT ON dbo.vAssocSeqOrders TO [test];
Encontre as permissões granulares atribuídas a dbo.vAssocSeqOrders:
SELECT pr.principal_id
,pr.name
,pr.type_desc
,pr.authentication_type_desc
,pe.state_desc
,pe.permission_name
,s.name + '.' + o.name AS ObjectName
FROM sys.database_principals AS pr
INNER JOIN sys.database_permissions AS pe ON pe.grantee_principal_id = pr.principal_id
INNER JOIN sys.objects AS o ON pe.major_id = o.object_id
INNER JOIN sys.schemas AS s ON o.schema_id = s.schema_id
WHERE o.name = 'vAssocSeqOrders'
AND s.name = 'dbo';
Devolve a saída:
principal_id name type_desc authentication_type_desc state_desc permission_name ObjectName
5 test SQL_USER INSTANCE GRANT SELECT dbo.vAssocSeqOrders
Consulte também
- Securables
- Hierarquia de permissões (Mecanismo de Banco de Dados)
- Visualizações do catálogo de segurança (Transact-SQL)
- Visualizações do catálogo (Transact-SQL)