GRANT, предоставление разрешений на базу данных (Transact-SQL)
Предоставляет разрешения на базу данных.
.gif "Значок ссылки на раздел")
Соглашения о синтаксисе в Transact-SQL
Синтаксис
GRANT <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission>::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Аргументы
- permission
Указывает разрешение, которое может быть предоставлено в базе данных. Список разрешений см. ниже в разделе «Примечания».
- ALL
Этот параметр не предоставляет все возможные разрешения. Предоставление разрешения ALL эквивалентно предоставлению следующих разрешений: BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE и CREATE VIEW.
- PRIVILEGES
Включен для соответствия SQL-92. Не изменяет поведение параметра ALL.
- WITH GRANT OPTION
Показывает, что участнику будет дана возможность предоставлять указанное разрешение другим участникам.
- AS <database_principal>
Указывает участника, от которого участник, выполняющий данный запрос, наследует право на предоставление разрешения.
- Database_user
Указывает пользователя базы данных.
- Database_role
Указывает роль базы данных.
- Application_role
Указывает роль приложения.
- Database_user_mapped_to_Windows_User
Указывает пользователя базы данных, сопоставленного с пользователем Windows.
- Database_user_mapped_to_Windows_Group
Указывает пользователя базы данных, сопоставленного с группой Windows.
- Database_user_mapped_to_certificate
Указывает пользователя базы данных, сопоставленного с сертификатом.
- Database_user_mapped_to_asymmetric_key
Указывает пользователя базы данных, сопоставленного с асимметричным ключом.
- Database_user_with_no_login
Указывает пользователя базы данных, не имеющего соответствующего участника уровня сервера.
Замечания
.gif "ms178569.note(ru-ru,SQL.90).gif") Важно! |
|---|
| Сочетание разрешений ALTER и REFERENCE в некоторых случаях может разрешить просмотр данных или выполнение неавторизованных функций. Например: пользователь с разрешениями ALTER на таблицу и REFERENCE на функцию может создать вычисляемый столбец с использованием этой функции и выполнить ее. В этом случае пользователю также требуется разрешение SELECT на вычисляемый столбец. |
База данных является защищаемым объектом, содержащимся на сервере, являющимся его родительским элементом в иерархии разрешений. Наиболее специфичные и ограниченные разрешения, которые можно предоставлять в базе данных, перечислены в следующей таблице вместе с общими разрешениями, неявно содержащими их.
| Разрешение в базе данных | Содержится в разрешении базы данных | Содержится в разрешении сервера |
|---|---|---|
ALTER |
CONTROL |
ALTER ANY DATABASE |
ALTER ANY APPLICATION ROLE |
ALTER |
CONTROL SERVER |
ALTER ANY ASSEMBLY |
ALTER |
CONTROL SERVER |
ALTER ANY ASYMMETRIC KEY |
ALTER |
CONTROL SERVER |
ALTER ANY CERTIFICATE |
ALTER |
CONTROL SERVER |
ALTER ANY CONTRACT |
ALTER |
CONTROL SERVER |
ALTER ANY DATABASE DDL TRIGGER |
ALTER |
CONTROL SERVER |
ALTER ANY DATABASE EVENT NOTIFICATION |
ALTER |
ALTER ANY EVENT NOTIFICATION |
ALTER ANY DATASPACE |
ALTER |
CONTROL SERVER |
ALTER ANY FULLTEXT CATALOG |
ALTER |
CONTROL SERVER |
ALTER ANY MESSAGE TYPE |
ALTER |
CONTROL SERVER |
ALTER ANY REMOTE SERVICE BINDING |
ALTER |
CONTROL SERVER |
ALTER ANY ROLE |
ALTER |
CONTROL SERVER |
ALTER ANY ROUTE |
ALTER |
CONTROL SERVER |
ALTER ANY SCHEMA |
ALTER |
CONTROL SERVER |
ALTER ANY SERVICE |
ALTER |
CONTROL SERVER |
ALTER ANY SYMMETRIC KEY |
ALTER |
CONTROL SERVER |
ALTER ANY USER |
ALTER |
CONTROL SERVER |
AUTHENTICATE |
CONTROL |
AUTHENTICATE SERVER |
BACKUP DATABASE |
CONTROL |
CONTROL SERVER |
BACKUP LOG |
CONTROL |
CONTROL SERVER |
CHECKPOINT |
CONTROL |
CONTROL SERVER |
CONNECT |
CONNECT REPLICATION |
CONTROL SERVER |
CONNECT REPLICATION |
CONTROL |
CONTROL SERVER |
CONTROL |
CONTROL |
CONTROL SERVER |
CREATE AGGREGATE |
ALTER |
CONTROL SERVER |
CREATE ASSEMBLY |
ALTER ANY ASSEMBLY |
CONTROL SERVER |
CREATE ASYMMETRIC KEY |
ALTER ANY ASYMMETRIC KEY |
CONTROL SERVER |
CREATE CERTIFICATE |
ALTER ANY CERTIFICATE |
CONTROL SERVER |
CREATE CONTRACT |
ALTER ANY CONTRACT |
CONTROL SERVER |
CREATE DATABASE |
CONTROL |
CREATE ANY DATABASE |
CREATE DATABASE DDL EVENT NOTIFICATION |
ALTER ANY DATABASE EVENT NOTIFICATION |
CREATE DDL EVENT NOTIFICATION |
CREATE DEFAULT |
ALTER |
CONTROL SERVER |
CREATE FULLTEXT CATALOG |
ALTER ANY FULLTEXT CATALOG |
CONTROL SERVER |
CREATE FUNCTION |
ALTER |
CONTROL SERVER |
CREATE MESSAGE TYPE |
ALTER ANY MESSAGE TYPE |
CONTROL SERVER |
CREATE PROCEDURE |
ALTER |
CONTROL SERVER |
CREATE QUEUE |
ALTER |
CONTROL SERVER |
CREATE REMOTE SERVICE BINDING |
ALTER ANY REMOTE SERVICE BINDING |
CONTROL SERVER |
CREATE ROLE |
ALTER ANY ROLE |
CONTROL SERVER |
CREATE ROUTE |
ALTER ANY ROUTE |
CONTROL SERVER |
CREATE RULE |
ALTER |
CONTROL SERVER |
CREATE SCHEMA |
ALTER ANY SCHEMA |
CONTROL SERVER |
CREATE SERVICE |
ALTER ANY SERVICE |
CONTROL SERVER |
CREATE SYMMETRIC KEY |
ALTER ANY SYMMETRIC KEY |
CONTROL SERVER |
CREATE SYNONYM |
ALTER |
CONTROL SERVER |
CREATE TABLE |
ALTER |
CONTROL SERVER |
CREATE TYPE |
ALTER |
CONTROL SERVER |
CREATE VIEW |
ALTER |
CONTROL SERVER |
CREATE XML SCHEMA COLLECTION |
ALTER |
CONTROL SERVER |
DELETE |
CONTROL |
CONTROL SERVER |
EXECUTE |
CONTROL |
CONTROL SERVER |
INSERT |
CONTROL |
CONTROL SERVER |
REFERENCES |
CONTROL |
CONTROL SERVER |
SELECT |
CONTROL |
CONTROL SERVER |
SHOWPLAN |
CONTROL |
ALTER TRACE |
SUBSCRIBE QUERY NOTIFICATIONS |
CONTROL |
CONTROL SERVER |
TAKE OWNERSHIP |
CONTROL |
CONTROL SERVER |
UPDATE |
CONTROL |
CONTROL SERVER |
VIEW DATABASE STATE |
CONTROL |
VIEW SERVER STATE |
VIEW DEFINITION |
CONTROL |
VIEW ANY DEFINITION |
Разрешения
Объект, предоставляющий разрешение (или участник, указанный параметром AS), должен иметь либо само разрешение, выданное с помощью инструкции GRANT OPTION, либо разрешение более высокого уровня, которое неявно включает предоставляемое разрешение.
При использовании параметра AS налагаются следующие дополнительные требования.
| AS granting_principal | Необходимо дополнительное разрешение |
|---|---|
Пользователь базы данных |
Разрешение IMPERSONATE для пользователя, членство в фиксированной роли базы данных db_securityadmin, членство в фиксированной роли базы данных db_owner или членство в фиксированной серверной роли sysadmin. |
Пользователь базы данных сопоставлен с именем входа Windows |
Разрешение IMPERSONATE для пользователя, членство в фиксированной роли базы данных db_securityadmin, членство в фиксированной роли базы данных db_owner или членство в фиксированной серверной роли sysadmin. |
Пользователь базы данных сопоставлен группе Windows |
Членство в группе Windows, членство в фиксированной роли базы данных db_securityadmin, членство в фиксированной роли базы данных db_owner или членство в фиксированной серверной роли sysadmin. |
Пользователь базы данных сопоставлен сертификату |
Членство в фиксированной роли базы данных db_securityadmin, членство в фиксированной роли базы данных db_owner или членство в фиксированной серверной роли sysadmin. |
Пользователь базы данных сопоставлен асимметричному ключу |
Членство в фиксированной роли базы данных db_securityadmin, членство в фиксированной роли базы данных db_owner или членство в фиксированной серверной роли sysadmin. |
Пользователь базы данных не сопоставлен ни одному серверу-участнику |
Разрешение IMPERSONATE для пользователя, членство в фиксированной роли базы данных db_securityadmin, членство в фиксированной роли базы данных db_owner или членство в фиксированной серверной роли sysadmin. |
Роль базы данных |
Разрешение ALTER для роли, членство в фиксированной роли базы данных db_securityadmin, членство в фиксированной роли базы данных db_owner или членство в фиксированной серверной роли sysadmin. |
Роль приложения |
Разрешение ALTER для роли, членство в фиксированной роли базы данных db_securityadmin, членство в фиксированной роли базы данных db_owner или членство в фиксированной серверной роли sysadmin. |
Владельцы объектов могут предоставлять разрешения на объекты, которыми они владеют. Участники, имеющие разрешение CONTROL на защищаемый объект, могут предоставлять разрешение на этот защищаемый объект.
Получатель разрешения CONTROL SERVER, такой, как член фиксированной серверной роли sysadmin, может предоставлять любое разрешение на любой защищаемый объект сервера.
Примеры
А. Предоставление разрешения на создание таблиц
В следующем примере пользователю MelanieK предоставляется разрешение CREATE TABLE в базе данных AdventureWorks.
USE AdventureWorks;
GRANT CREATE TABLE TO MelanieK;
GO
Б. Предоставление разрешения SHOWPLAN роли приложения
В следующем примере роли приложения AuditMonitor предоставляется разрешение SHOWPLAN в базе данных AdventureWorks.
USE AdventureWorks;
GRANT SHOWPLAN TO AuditMonitor;
GO
В. Предоставление разрешения CREATE VIEW с параметром GRANT OPTION
В следующем примере пользователю CarmineEs предоставляется разрешение CREATE VIEW в базе данных AdventureWorks с правом предоставлять разрешение CREATE VIEW другим участникам.
USE AdventureWorks;
GRANT CREATE VIEW TO CarmineEs WITH GRANT OPTION;
GO
См. также
Справочник
sys.database_permissions (Transact-SQL)
sys.database_principals (Transact-SQL)
CREATE DATABASE (Transact-SQL)
Инструкция GRANT (Transact-SQL)