Поделиться через


GRANT, предоставления разрешения на схему (Transact-SQL)

Предоставляет разрешения на работу со схемой.

Применимо для следующих объектов: SQL Server (начиная с SQL Server 2008 до текущей версии).

Значок ссылки на раздел Cинтаксические обозначения в Transact-SQL

Синтаксис

GRANT permission  [ ,...n ] ON SCHEMA :: schema_name
    TO database_principal [ ,...n ]
    [ WITH GRANT OPTION ]
    [ AS granting_principal ]

Аргументы

  • permission
    Разрешение на работу со схемой, которое может быть предоставлено. Список разрешений см. в подразделе «Примечания» далее в этом разделе.

  • ON SCHEMA :: schema_name
    Схема, на работу с которой предоставляется разрешение. Необходимо ввести квалификатор области «::».

  • database_principal
    Участник, которому предоставляется разрешение. Это может быть:

    • пользователь базы данных;

    • роль базы данных;

    • роль приложения;

    • пользователь базы данных, сопоставленный с именем входа Windows;

    • пользователь базы данных, сопоставленный с группой Windows;

    • пользователь базы данных, сопоставленный с сертификатом;

    • пользователь базы данных, сопоставленный с асимметричным ключом;

    • пользователь базы данных, не сопоставленный с сервером-участником.

  • GRANT OPTION
    Показывает, что участнику будет дана возможность предоставлять указанное разрешение другим участникам.

  • AS granting_principal
    Указывает участника, от которого участник, выполняющий данный запрос, наследует право на предоставление разрешения. Это может быть:

    • пользователь базы данных;

    • роль базы данных;

    • роль приложения;

    • пользователь базы данных, сопоставленный с именем входа Windows;

    • пользователь базы данных, сопоставленный с группой Windows;

    • пользователь базы данных, сопоставленный с сертификатом;

    • пользователь базы данных, сопоставленный асимметричному ключу;

    • пользователь базы данных, не сопоставленный серверу-участнику.

Замечания

Важное примечаниеВажно!

Сочетание разрешений ALTER и REFERENCE в некоторых случаях может позволить просматривать данные или выполнять несанкционированные функции.Например, Пользователь с разрешением ALTER на таблицу и разрешением REFERENCE на функцию может создавать вычисляемый столбец на основе функции и в результате — выполнять ее.В этом случае пользователю также требуется разрешение SELECT на вычисляемый столбец.

Схема является защищаемым объектом уровня базы данных, содержащимся в базе данных, которая является материнской по отношению к нему в иерархии разрешений. Ниже перечислены наиболее специфичные и ограниченные разрешения (вместе с наиболее общими разрешениями, из которых они вытекают), которые могут быть предоставлены для схемы.

Разрешение схемы

Содержится в разрешении схемы

Содержится в разрешении базы данных

ALTER

CONTROL

ALTER ANY SCHEMA

CONTROL

CONTROL

CONTROL

CREATE SEQUENCE

ALTER

ALTER ANY SCHEMA

DELETE

CONTROL

DELETE

EXECUTE

CONTROL

EXECUTE

INSERT

CONTROL

INSERT

REFERENCES

CONTROL

REFERENCES

SELECT

CONTROL

SELECT

TAKE OWNERSHIP

CONTROL

CONTROL

UPDATE

CONTROL

UPDATE

VIEW CHANGE TRACKING

CONTROL

CONTROL

VIEW DEFINITION

CONTROL

VIEW DEFINITION

Предупреждение

Пользователь с разрешением ALTER на схему может при помощи цепочки владения получить доступ к защищаемым сущностям других схем, включая такие сущности, к которым пользователю явно запрещен доступ.Это происходит потому, что цепочка владения обходит проверки разрешений на объекты, к которым выполняется обращение, когда они принадлежат участнику, владеющему объектами, которые на них ссылаются.Пользователь с разрешением ALTER на схему может создавать процедуры, синонимы и представления, принадлежащие владельцу схемы.Эти объекты получат доступ (через цепочку владения) к данным других схем, принадлежащих владельцу схемы.По возможности следует избегать предоставления разрешения ALTER на схему, если ее владельцу принадлежат также другие схемы.

Например, эта проблема может возникнуть в следующих сценариях. Предполагается, что у пользователя U1 есть разрешение ALTER на схему S1. Пользователю U1 запрещен доступ к объекту таблицы T1 в схеме S2. Схемы S1 и S2 принадлежат одному и тому же владельцу.

У пользователя U1 есть разрешения CREATE PROCEDURE на базу данных и EXECUTE на схему S1. Поэтому пользователь U1 может создать хранимую процедуру, а затем получить доступ к запрещенному объекту T1 из этой хранимой процедуры.

У пользователя U1 есть разрешения CREATE SYNONYM на базу данных и SELECT на схему S1. Поэтому пользователь U1 может создать в схеме S1 синоним для запрещенного объекта T1, а затем получить доступ к этому объекту с помощью синонима.

У пользователя U1 есть разрешения CREATE VIEW на базу данных и SELECT на схему S1. Поэтому пользователь U1 может создать в схеме S1 представления для запроса данных из запрещенного объекта T1, а затем получить доступ к этому объекту с помощью представления.

Дополнительные сведения см. в статье базы знаний Майкрософт номер 914847.

Разрешения

Объект, предоставляющий разрешение (или участник, указанный параметром AS), должен иметь либо само разрешение, выданное с помощью GRANT OPTION, либо разрешение более высокого уровня, из которого вытекает предоставляемое разрешение.

Если используется параметр AS, налагаются следующие дополнительные требования.

AS granting_principal

Необходимо дополнительное разрешение

Пользователь базы данных

Разрешение IMPERSONATE для пользователя, членство в предопределенной роли базы данных db_securityadmin или db_owner либо в предопределенной роли сервера sysadmin.

Пользователь базы данных, сопоставленный имени входа Windows

Разрешение IMPERSONATE для пользователя, членство в предопределенной роли базы данных db_securityadmin или db_owner либо в предопределенной роли сервера sysadmin.

Пользователь базы данных, сопоставленный группе Windows

Членство в группе Windows, членство в предопределенной роли базы данных db_securityadmin, членство в предопределенной роли базы данных db_owner или членство в предопределенной роли сервера sysadmin.

Пользователь базы данных, сопоставленный сертификату

Членство в предопределенной роли базы данных db_securityadmin, членство в предопределенной роли базы данных db_owner или членство в предопределенной роли сервера sysadmin.

Пользователь базы данных, сопоставленный асимметричному ключу

Членство в предопределенной роли базы данных db_securityadmin, членство в предопределенной роли базы данных db_owner или членство в предопределенной роли сервера sysadmin.

Пользователь базы данных, не сопоставленный ни с одним участником на уровне сервера

Разрешение IMPERSONATE для пользователя, членство в предопределенной роли базы данных db_securityadmin или db_owner либо в предопределенной роли сервера sysadmin.

Роль базы данных

Разрешение ALTER для роли, членство в предопределенной роли базы данных db_securityadmin, членство в предопределенной роли базы данных db_owner или членство в предопределенной роли сервера sysadmin.

Роль приложения

Разрешение ALTER для роли, членство в предопределенной роли базы данных db_securityadmin, членство в предопределенной роли базы данных db_owner или членство в предопределенной роли сервера sysadmin.

Владельцы объектов могут предоставлять разрешения на объекты, которыми они владеют. Участники, имеющие разрешение CONTROL на защищаемый объект, могут предоставлять разрешение на этот защищаемый объект.

Участники, которым предоставлено разрешение CONTROL SERVER, например члены предопределенной роли сервера sysadmin, могут предоставить любое разрешение на любой защищаемый объект на сервере. Участники, предоставляющие разрешение CONTROL на базу данных, такие как члены предопределенной роли базы данных db_owner, могут предоставлять любые разрешения на любой защищаемый объект в базе данных. Участники, которым предоставлено разрешение CONTROL на схему, могут предоставлять любые разрешения на любые объекты, содержащиеся в этой схеме.

Примеры

А.Предоставление пользователю guest разрешения INSERT на схему HumanResources

GRANT INSERT ON SCHEMA :: HumanResources TO guest;

Б.Предоставление пользователю базы данных WilJo разрешения SELECT на схему Person

GRANT SELECT ON SCHEMA :: Person TO WilJo WITH GRANT OPTION;

См. также

Справочник

DENY, запрет разрешений на схему (Transact-SQL)

REVOKE, отмена разрешений на схему (Transact-SQL)

Инструкция GRANT (Transact-SQL)

Инструкция CREATE CERTIFICATE (Transact-SQL)

CREATE ASYMMETRIC KEY (Transact-SQL)

CREATE APPLICATION ROLE (Transact-SQL)

sys.fn_builtin_permissions (Transact-SQL)

sys.fn_my_permissions (Transact-SQL)

HAS_PERMS_BY_NAME (Transact-SQL)

Основные понятия

Разрешения (компонент Database Engine)

Участники (компонент Database Engine)

Иерархия средств шифрования