Разрешения (ядро СУБД)
Применимо: 
SQL Server База данных SQL Azure Управляемый экземпляр SQL Azure azure Synapse Analytics Analytics Platform System (PDW)
Каждая защищаемая среда SQL Server имеет связанные разрешения, которые можно предоставить субъекту. Разрешения в ядро СУБД управляются на уровне сервера, назначенном ролям входа и серверам, а также на уровне базы данных, назначенной пользователям базы данных и ролям базы данных. Модель для База данных SQL Azure имеет ту же систему для разрешений базы данных, но разрешения на уровне сервера недоступны. В этой статье содержится полный список разрешений. Советы по проектированию системы разрешений см. в статье Начало работы с разрешениями ядра СУБД.
Общее количество разрешений для SQL Server 2022 (16.x) — 292. База данных SQL Azure предоставляет 292 разрешения. Большинство разрешений применяются ко всем платформам, но некоторые не применяются. Например, большинство разрешений на уровне сервера не могут быть предоставлены в База данных SQL Azure, а для База данных SQL Azure имеет смысл только несколько разрешений. Новые разрешения вводятся постепенно с новыми выпусками. SQL Server 2019 (15.x) предоставляет 248 разрешений. SQL Server 2017 (14.x) предоставил 238 разрешений. SQL Server 2016 (13.x) предоставляет 230 разрешений. SQL Server 2014 (12.x) предоставил 219 разрешений. SQL Server 2012 (11.x) предоставляет 214 разрешений. SQL Server 2008 R2 (10.50.x) предоставляет разрешения 195. В статье sys.fn_builtin_permissions указывается, какие разрешения являются новыми в последних версиях.
После понимания необходимых разрешений можно применить разрешения на уровне сервера для входа или ролей сервера, а также разрешения на уровне базы данных для пользователей или ролей базы данных с помощью инструкций GRANT, REVOKE и DENY. Например:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Советы по проектированию системы разрешений см. в разделе Приступая к работе с разрешениями Database Engine.
Соглашения об именовании разрешений
Ниже описаны общие соглашения, которые соблюдаются при задании имен разрешениям.
ПРОИЗВОДИТЕЛЬНОСТИ
Предоставляет возможности, схожие с владением. Имеющий это разрешение получает все установленные разрешения на защищаемую сущность. Участник, получивший разрешение CONTROL, может также предоставлять разрешения на защищаемую сущность другим участникам. Так как модель безопасности SQL Server является иерархической, CONTROL в определенной области неявно включает CONTROL для всех защищаемых объектов в этой области. Например, разрешение CONTROL на базу данных неявно предполагает все разрешения на базу данных, все разрешения на все сборки в базе данных, все разрешения на все схемы в базе данных, а также все разрешения на объекты в пределах всех схем базы данных.
ИЗМЕНИТЬ
Предоставляет возможность изменения свойств определенной защищаемой сущности, кроме ее владельца. При предоставлении разрешения ALTER на ту или иную область также предоставляется возможность изменения, создания или удаления любой защищаемой сущности, содержащейся в пределах данной области. Например, разрешение ALTER на схему включает возможность создания, изменения и удаления объектов этой схемы.
ALTER ANY <Server Securable, где защищаемый> сервер может быть любым защищаемым сервером.
Предоставляет возможность создавать, изменять и удалять отдельные экземпляры Защищаемой сущности сервера. Например, разрешение ALTER ANY LOGIN предоставляет возможность создания, изменения и удаления любого имени входа в экземпляре.
ALTER ANY <Database Securable, где защищаемая> база данных может быть любой защищаемой на уровне базы данных.
Предоставляет возможность СОЗДАВАТЬ, ИЗМЕНЯТЬ и УДАЛЯТЬ отдельные экземпляры Защищаемой сущности базы данных. Например, разрешение ALTER ANY SCHEMA предоставляет возможность создания, изменения и удаления любой схемы в базе данных.
TAKE OWNERSHIP
Позволяет получать во владение защищаемую сущность, на которую предоставлено разрешение.
IMPERSONATE <Имя_для_входа>
Позволяет олицетворять имя входа.
IMPERSONATE <Пользователь>
Позволяет олицетворять пользователя.
CREATE <Защищаемый объект сервера>
Предоставляет возможность создавать Защищаемую сущность сервера.
CREATE <Защищаемый объект базы данных>
Предоставляет возможность создавать Защищаемую сущность базы данных.
CREATE <Защищаемый объект, содержащийся в схеме>
Предоставляет возможность создавать защищаемую сущность, содержащуюся в схеме. Однако для создания защищаемой сущности в той или иной схеме на эту схему требуется разрешение ALTER.
VIEW DEFINITION
Разрешает доступ к метаданным.
ССЫЛКИ
Разрешение REFERENCES для таблицы необходимо для создания ограничения FOREIGN KEY, которое ссылается на эту таблицу.
Разрешение REFERENCES для объекта необходимо для создания FUNCTION или VIEW с предложением 2
WITH SCHEMABINDING, которое ссылается на этот объект.
Диаграмма разрешений SQL Server
На следующем рисунке показаны разрешения и их связи друг с другом. Некоторые из разрешений более высокого уровня (например, CONTROL SERVER) указаны несколько раз. Рисунок в этой статье слишком мал для чтения. Вы можете скачать полноразмерный ядро СУБД плакат разрешений в формате PDF.
Разрешения, применимые к определенным защищаемым компонентам
В следующей таблице перечислены основные классы разрешений и типы защищаемых объектов, к которым они могут применяться.
| Разрешение | Применяется к |
|---|---|
| ИЗМЕНИТЬ | Все классы объектов, кроме TYPE. |
| ПРОИЗВОДИТЕЛЬНОСТИ | Все классы объектов: AGGREGATE, APPLICATION ROLE, ASSEMBLY, ASYMMETRIC KEY, AVAILABILITY GROUP, CERTIFICATE, CONTRACT, ВЕРИТЕЛЬНЫЕ ГРАМОТЫ DATABASE, DATABASE SCOPED CREDENTIAL, DEFAULT, ENDPOINT, FULLTEXT CATALOG, FULLTEXT STOPLIST, FUNCTION, LOGIN, MESSAGE TYPE, PROCEDURE, QUEUE, REMOTE SERVICE BINDING, ROLE, ROUTE, RULE, SCHEMA, SEARCH PROPERTY LIST, SERVER, SERVER ROLE, SERVICE, SYMMETRIC KEY, SYNONYM, TABLE, TYPE, USER, VIEW и XML SCHEMA COLLECTION |
| DELETE | Все классы объектов, кроме DATABASE SCOPED CONFIGURATION, SERVER и TYPE. |
| Выполнение | Типы СРЕДЫ CLR, внешние скрипты, процедуры (Transact-SQL и CLR), скалярные и агрегатные функции (Transact-SQL и CLR) и синонимы |
| IMPERSONATE | Имена входа и пользователи |
| ВСТАВИТЬ | Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов. |
| ПРИЕМ | Очереди Service Broker |
| ССЫЛКИ | AGGREGATE, ASSEMBLY, ASYMMETRIC KEY, CERTIFICATE, CONTRACT, CREDENTIAL (относится к SQL Server 2022 (16.x) и более поздним версиям); DATABASE, DATABASE SCOPED CREDENTIAL, FULLTEXT CATALOG, FULLTEXT STOPLIST, FUNCTION, MESSAGE TYPE, PROCEDURE, QUEUE, RULE, SCHEMA, SEARCH PROPERTY LIST, SEQUENCE OBJECT, SYMMETRIC KEY, TABLE, TYPE, VIEW и XML SCHEMA COLLECTION |
| SELECT | Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов. |
| TAKE OWNERSHIP | Все классы объектов, кроме DATABASE SCOPED CONFIGURATION, LOGIN, SERVER и USER. |
| UPDATE | Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов. |
| VIEW CHANGE TRACKING | Схемы и таблицы |
| VIEW DEFINITION | Все классы объектов, кроме DATABASE SCOPED CONFIGURATION и SERVER. |
Внимание
Разрешения по умолчанию, предоставляемые системным объектам во время установки, тщательно оцениваются по возможным угрозам и не должны быть изменены в рамках защиты установки SQL Server. Любые изменения разрешений для системных объектов могут ограничить или нарушить функциональные возможности и потенциально оставить установку SQL Server в неподдерживаемом состоянии.
Разрешения SQL Server
В следующей таблице приведен полный список разрешений SQL Server. База данных SQL Azure разрешения доступны только для поддерживаемых базовых защищаемых объектов. Разрешения на уровне сервера не могут быть предоставлены в База данных SQL Azure, однако в некоторых случаях разрешения базы данных доступны вместо этого.
| Базовая защищаемая сущность | Гранулярные разрешения на базовую защищаемую сущность | Код типа разрешения | Защищаемая сущность, содержащая базовую сущность | Разрешение на защищаемую сущность контейнера, неявно предоставляющее гранулярное разрешение на базовую сущность |
|---|---|---|---|---|
| APPLICATION ROLE | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY APPLICATION ROLE |
| APPLICATION ROLE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| APPLICATION ROLE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ASSEMBLY | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY ASSEMBLY |
| ASSEMBLY | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ASSEMBLY | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| ASSEMBLY | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ASSEMBLY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ASYMMETRIC KEY | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY ASYMMETRIC KEY |
| ASYMMETRIC KEY | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ASYMMETRIC KEY | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| ASYMMETRIC KEY | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ASYMMETRIC KEY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| AVAILABILITY GROUP | ИЗМЕНИТЬ | AL | СЕРВЕР | ALTER ANY AVAILABILITY GROUP |
| AVAILABILITY GROUP | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СЕРВЕР | CONTROL SERVER |
| AVAILABILITY GROUP | TAKE OWNERSHIP | TO | СЕРВЕР | CONTROL SERVER |
| AVAILABILITY GROUP | VIEW DEFINITION | VW | СЕРВЕР | VIEW ANY DEFINITION |
| СЕРТИФИКАТ | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY CERTIFICATE |
| СЕРТИФИКАТ | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СЕРТИФИКАТ | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| СЕРТИФИКАТ | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СЕРТИФИКАТ | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| CONTRACT | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY CONTRACT |
| CONTRACT | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| CONTRACT | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| CONTRACT | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| CONTRACT | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| CREDENTIAL | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СЕРВЕР | CONTROL SERVER |
| CREDENTIAL | ССЫЛКИ | RF | СЕРВЕР | ALTER ANY CREDENTIAL |
| DATABASE | ADMINISTER DATABASE BULK OPERATIONS | DABO | СЕРВЕР | CONTROL SERVER |
| DATABASE | ИЗМЕНИТЬ | AL | СЕРВЕР | ALTER ANY DATABASE |
| DATABASE | ALTER ANY APPLICATION ROLE | ALAR | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY ASSEMBLY | ALAS | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY ASYMMETRIC KEY | ALAK | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY CERTIFICATE | ALCF | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY COLUMN ENCRYPTION KEY | ALCK Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY COLUMN MASTER KEY | ALCM Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY CONTRACT | ALSC | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY DATABASE AUDIT | ALDA | СЕРВЕР | ALTER ANY SERVER AUDIT |
| DATABASE | ALTER ANY DATABASE DDL TRIGGER | ALTG | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY DATABASE EVENT NOTIFICATION | ALED | СЕРВЕР | ALTER ANY EVENT NOTIFICATION |
| DATABASE | ALTER ANY DATABASE EVENT SESSION | AADS | СЕРВЕР | ALTER ANY EVENT SESSION |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ADD EVENT | LDAE | СЕРВЕР | ALTER ANY EVENT SESSION ADD EVENT |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ADD TARGET | LDAT | СЕРВЕР | ALTER ANY EVENT SESSION ADD TARGET |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DISABLE | DDES | СЕРВЕР | ALTER ANY EVENT SESSION DISABLE |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DROP EVENT | LDDE | СЕРВЕР | ALTER ANY EVENT SESSION DROP EVENT |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DROP TARGET | LDDT | СЕРВЕР | ALTER ANY EVENT SESSION DROP TARGET |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ENABLE | EDES | СЕРВЕР | ALTER ANY EVENT SESSION ENABLE |
| DATABASE | ALTER ANY DATABASE EVENT SESSION OPTION | LDSO | СЕРВЕР | ALTER ANY EVENT SESSION OPTION |
| DATABASE | ALTER ANY DATABASE SCOPED CONFIGURATION | ALDC Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY DATASPACE | ALDS | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL DATA SOURCE | AEDS | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL FILE FORMAT | AEFF | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL JOB | AESJ | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL LANGUAGE | АЛЛА | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL LIBRARY | АЛЕЛЬ | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL STREAM | AEST | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY FULLTEXT CATALOG | ALFT | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY MASK | AAMK Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY MESSAGE TYPE | ALMT | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY REMOTE SERVICE BINDING | ALSB | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY ROLE | ALRL | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY ROUTE | ALRT | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY SCHEMA | ALSM | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY SECURITY POLICY | ALSP Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY SENSITIVITY CLASSIFICATION | AASC Применяется к SQL Server (SQL Server 2019 (15.x) до текущего), База данных SQL Azure. |
СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY SERVICE | ALSV | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER ANY SYMMETRIC KEY | ALSK | СЕРВЕР | CONTROL SERVER |
| DATABASE | ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ | ALUS | СЕРВЕР | CONTROL SERVER |
| DATABASE | ALTER LEDGER | ALR | СЕРВЕР | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE | ALTER LEDGER CONFIGURATION | ALC | СЕРВЕР | CONTROL SERVER |
| DATABASE | AUTHENTICATE | АУТЕНТИФИКАЦИЯ | СЕРВЕР | AUTHENTICATE SERVER |
| DATABASE | BACKUP DATABASE | BADB | СЕРВЕР | CONTROL SERVER |
| DATABASE | BACKUP LOG | BALO | СЕРВЕР | CONTROL SERVER |
| DATABASE | CHECKPOINT | CP | СЕРВЕР | CONTROL SERVER |
| DATABASE | ПОДКЛЮЧЕНИЕ | CO | СЕРВЕР | CONTROL SERVER |
| DATABASE | CONNECT REPLICATION | CORP | СЕРВЕР | CONTROL SERVER |
| DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE AGGREGATE | CRAG | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ | CRDS | СЕРВЕР | СОЗДАНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ |
| DATABASE | CREATE ASSEMBLY | CRAS | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE ASYMMETRIC KEY | CRAK | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE CERTIFICATE | CRCF | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE CONTRACT | CRSC | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАТЬ БАЗУ ДАННЫХ | CRDB | СЕРВЕР | CREATE ANY DATABASE |
| DATABASE | CREATE DATABASE DDL EVENT NOTIFICATION | CRED | СЕРВЕР | CREATE DDL EVENT NOTIFICATION |
| DATABASE | CREATE DEFAULT | CRDF | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАНИЕ ВНЕШНЕГО ЯЗЫКА | CRLA | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАНИЕ ВНЕШНЕЙ БИБЛИОТЕКИ | CREL | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE FULLTEXT CATALOG | CRFT | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE FUNCTION | CRFN | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE MESSAGE TYPE | CRMT | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАТЬ ПРОЦЕДУРУ | CRPR | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE QUEUE | CRQU | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE REMOTE SERVICE BINDING | CRSB | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE ROLE | CRRL | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE ROUTE | CRRT | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE RULE | CRRU | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE SCHEMA | CRSM | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE SERVICE | CRSV | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE SYMMETRIC KEY | CRSK | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE SYNONYM | CRSN | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАТЬ ТАБЛИЦУ | CRTB | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАТЬ ТИП | CRTY | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАНИЕ ПОЛЬЗОВАТЕЛЯ | CUSR | СЕРВЕР | CONTROL SERVER |
| DATABASE | СОЗДАТЬ ПРЕДСТАВЛЕНИЕ | CRVW | СЕРВЕР | CONTROL SERVER |
| DATABASE | CREATE XML SCHEMA COLLECTION | CRXS | СЕРВЕР | CONTROL SERVER |
| DATABASE | DELETE | DL | СЕРВЕР | CONTROL SERVER |
| DATABASE | УДАЛЕНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ | DRDS | СЕРВЕР | УДАЛЕНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ |
| DATABASE | ENABLE LEDGER | EL | СЕРВЕР | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE | Выполнение | EX | СЕРВЕР | CONTROL SERVER |
| DATABASE | ВЫПОЛНЕНИЕ ЛЮБОЙ ВНЕШНЕЙ КОНЕЧНОЙ ТОЧКИ | EAEE | СЕРВЕР | CONTROL SERVER |
| DATABASE | EXECUTE ANY EXTERNAL SCRIPT | EAES Применяется к SQL Server (SQL Server 2016 (13.x) через текущий момент. |
СЕРВЕР | CONTROL SERVER |
| DATABASE | ВСТАВИТЬ | В | СЕРВЕР | CONTROL SERVER |
| DATABASE | KILL DATABASE CONNECTION | KIDC Применяется только к База данных SQL Azure. Используйте ALTER ANY CONNECTION в SQL Server. |
СЕРВЕР | ALTER ANY CONNECTION |
| DATABASE | ССЫЛКИ | RF | СЕРВЕР | CONTROL SERVER |
| DATABASE | SELECT | SL | СЕРВЕР | CONTROL SERVER |
| DATABASE | SHOWPLAN | SPLN | СЕРВЕР | ALTER TRACE |
| DATABASE | SUBSCRIBE QUERY NOTIFICATIONS | SUQN | СЕРВЕР | CONTROL SERVER |
| DATABASE | TAKE OWNERSHIP | TO | СЕРВЕР | CONTROL SERVER |
| DATABASE | UNMASK | UMSK Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
СЕРВЕР | CONTROL SERVER |
| DATABASE | UPDATE | UP | СЕРВЕР | CONTROL SERVER |
| DATABASE | VIEW ANY COLUMN ENCRYPTION KEY DEFINITION | VWCK Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
СЕРВЕР | VIEW SERVER STATE |
| DATABASE | VIEW ANY COLUMN MASTER KEY DEFINITION | VWCM Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
СЕРВЕР | VIEW SERVER STATE |
| DATABASE | ПРОСМОТР ЛЮБОЙ КЛАССИФИКАЦИИ КОНФИДЕНЦИАЛЬНОСТИ | VASC | СЕРВЕР | CONTROL SERVER |
| DATABASE | ПРОСМОТР КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ | VCD | СЕРВЕР | ПРОСМОТР ЛЮБОГО КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ |
| DATABASE | ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ БАЗЫ ДАННЫХ | VDP | СЕРВЕР | ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ СЕРВЕРА |
| DATABASE | ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ | VDSA | СЕРВЕР | CONTROL SERVER |
| DATABASE | ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ | VDS | СЕРВЕР | ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ СЕРВЕРА |
| DATABASE | ПРОСМОТР СОСТОЯНИЯ БАЗЫ ДАННЫХ | VWDS | СЕРВЕР | VIEW SERVER STATE |
| DATABASE | VIEW DEFINITION | VW | СЕРВЕР | VIEW ANY DEFINITION |
| DATABASE | VIEW LEDGER CONTENT | VLC | СЕРВЕР | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE | ПРОСМОТР ОПРЕДЕЛЕНИЯ БЕЗОПАСНОСТИ | VWS | СЕРВЕР | ПРОСМОТР ВСЕХ ОПРЕДЕЛЕНИЙ БЕЗОПАСНОСТИ |
| DATABASE | ПРОСМОТР ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ | VWP | СЕРВЕР | ПРОСМОТР ЛЮБОГО ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE SCOPED CREDENTIAL | ИЗМЕНИТЬ | AL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE SCOPED CREDENTIAL | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE SCOPED CREDENTIAL | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| DATABASE SCOPED CREDENTIAL | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE SCOPED CREDENTIAL | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| КОНЕЧНАЯ ТОЧКА | ИЗМЕНИТЬ | AL | СЕРВЕР | ALTER ANY ENDPOINT |
| КОНЕЧНАЯ ТОЧКА | ПОДКЛЮЧЕНИЕ | CO | СЕРВЕР | CONTROL SERVER |
| КОНЕЧНАЯ ТОЧКА | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СЕРВЕР | CONTROL SERVER |
| КОНЕЧНАЯ ТОЧКА | TAKE OWNERSHIP | TO | СЕРВЕР | CONTROL SERVER |
| КОНЕЧНАЯ ТОЧКА | VIEW DEFINITION | VW | СЕРВЕР | VIEW ANY DEFINITION |
| FULLTEXT CATALOG | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY FULLTEXT CATALOG |
| FULLTEXT CATALOG | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| FULLTEXT CATALOG | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| FULLTEXT CATALOG | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| FULLTEXT CATALOG | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| FULLTEXT STOPLIST | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY FULLTEXT CATALOG |
| FULLTEXT STOPLIST | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| FULLTEXT STOPLIST | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| FULLTEXT STOPLIST | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| FULLTEXT STOPLIST | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ВХОД | ИЗМЕНИТЬ | AL | СЕРВЕР | ALTER ANY LOGIN |
| ВХОД | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СЕРВЕР | CONTROL SERVER |
| ВХОД | IMPERSONATE | "IM" (Обмен мгновенными сообщениями); | СЕРВЕР | CONTROL SERVER |
| ВХОД | VIEW DEFINITION | VW | СЕРВЕР | VIEW ANY DEFINITION |
| MESSAGE TYPE | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY MESSAGE TYPE |
| MESSAGE TYPE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| MESSAGE TYPE | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| MESSAGE TYPE | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| MESSAGE TYPE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| OBJECT | ИЗМЕНИТЬ | AL | СХЕМА | ИЗМЕНИТЬ |
| OBJECT | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| OBJECT | DELETE | DL | СХЕМА | DELETE |
| OBJECT | Выполнение | EX | СХЕМА | Выполнение |
| OBJECT | ВСТАВИТЬ | В | СХЕМА | ВСТАВИТЬ |
| OBJECT | ПРИЕМ | Ролевой центр | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| OBJECT | ССЫЛКИ | RF | СХЕМА | ССЫЛКИ |
| OBJECT | SELECT | SL | СХЕМА | SELECT |
| OBJECT | TAKE OWNERSHIP | TO | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| OBJECT | UNMASK | UMSK | СХЕМА | UNMASK |
| OBJECT | UPDATE | UP | СХЕМА | UPDATE |
| OBJECT | VIEW CHANGE TRACKING | VWCT | СХЕМА | VIEW CHANGE TRACKING |
| OBJECT | VIEW DEFINITION | VW | СХЕМА | VIEW DEFINITION |
| REMOTE SERVICE BINDING | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY REMOTE SERVICE BINDING |
| REMOTE SERVICE BINDING | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| REMOTE SERVICE BINDING | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| REMOTE SERVICE BINDING | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| РОЛЬ | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY ROLE |
| РОЛЬ | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| РОЛЬ | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| РОЛЬ | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ROUTE | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY ROUTE |
| ROUTE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ROUTE | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ROUTE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| СХЕМА | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY SCHEMA |
| СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СХЕМА | CREATE SEQUENCE | CRSO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СХЕМА | DELETE | DL | DATABASE | DELETE |
| СХЕМА | Выполнение | EX | DATABASE | Выполнение |
| СХЕМА | ВСТАВИТЬ | В | DATABASE | ВСТАВИТЬ |
| СХЕМА | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| СХЕМА | SELECT | SL | DATABASE | SELECT |
| СХЕМА | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СХЕМА | UNMASK | UMSK | DATABASE | UNMASK |
| СХЕМА | UPDATE | UP | DATABASE | UPDATE |
| СХЕМА | VIEW CHANGE TRACKING | VWCT | DATABASE | VIEW CHANGE TRACKING |
| СХЕМА | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SEARCH PROPERTY LIST | ИЗМЕНИТЬ | AL | СЕРВЕР | ALTER ANY FULLTEXT CATALOG |
| SEARCH PROPERTY LIST | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СЕРВЕР | ПРОИЗВОДИТЕЛЬНОСТИ |
| SEARCH PROPERTY LIST | ССЫЛКИ | RF | СЕРВЕР | ССЫЛКИ |
| SEARCH PROPERTY LIST | TAKE OWNERSHIP | TO | СЕРВЕР | ПРОИЗВОДИТЕЛЬНОСТИ |
| SEARCH PROPERTY LIST | VIEW DEFINITION | VW | СЕРВЕР | VIEW DEFINITION |
| СЕРВЕР | ADMINISTER BULK OPERATIONS | ADBO | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY AVAILABILITY GROUP | ALAG | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY CONNECTION | ALCO | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY CREDENTIAL | ALCD | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY DATABASE | ALDB | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY ENDPOINT | ALHE | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT NOTIFICATION | ALES | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT SESSION | AAES | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT SESSION ADD EVENT | LSAE | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT SESSION ADD TARGET | LSAT | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT SESSION DISABLE | DES | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT SESSION DROP EVENT | LSDE | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT SESSION DROP TARGET | LSDT | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT SESSION ENABLE | EES | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY EVENT SESSION OPTION | LESO | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY LINKED SERVER | ALLS | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY LOGIN | ALLG | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY SERVER AUDIT | ALAA | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER ANY SERVER ROLE | ALSR | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER RESOURCES | ALRS | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER SERVER STATE | ALSS | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER SETTINGS | ALST | Неприменимо | Неприменимо |
| СЕРВЕР | ALTER TRACE | ALTR | Неприменимо | Неприменимо |
| СЕРВЕР | AUTHENTICATE SERVER | АУТЕНТИФИКАЦИЯ | Неприменимо | Неприменимо |
| СЕРВЕР | CONNECT ANY DATABASE | CADB | Неприменимо | Неприменимо |
| СЕРВЕР | CONNECT SQL | COSQ | Неприменимо | Неприменимо |
| СЕРВЕР | CONTROL SERVER | CL | Неприменимо | Неприменимо |
| СЕРВЕР | CREATE ANY DATABASE | CRDB | Неприменимо | Неприменимо |
| СЕРВЕР | CREATE AVAILABILITY GROUP | CRAC | Неприменимо | Неприменимо |
| СЕРВЕР | CREATE DDL EVENT NOTIFICATION | CRDE | Неприменимо | Неприменимо |
| СЕРВЕР | CREATE ENDPOINT … | CRHE | Неприменимо | Неприменимо |
| СЕРВЕР | CREATE SERVER ROLE | CRSR | Неприменимо | Неприменимо |
| СЕРВЕР | CREATE TRACE EVENT NOTIFICATION | CRTE | Неприменимо | Неприменимо |
| СЕРВЕР | EXTERNAL ACCESS ASSEMBLY | XA | Неприменимо | Неприменимо |
| СЕРВЕР | IMPERSONATE ANY LOGIN | IAL | Неприменимо | Неприменимо |
| СЕРВЕР | SELECT ALL USER SECURABLES | SUS | Неприменимо | Неприменимо |
| СЕРВЕР | SHUTDOWN | SHDN | Неприменимо | Неприменимо |
| СЕРВЕР | UNSAFE ASSEMBLY | XU | Неприменимо | Неприменимо |
| СЕРВЕР | VIEW ANY DATABASE | VWDB | Неприменимо | Неприменимо |
| СЕРВЕР | VIEW ANY DEFINITION | VWAD | Неприменимо | Неприменимо |
| СЕРВЕР | VIEW SERVER STATE | VWSS | Неприменимо | Неприменимо |
| РОЛЬ СЕРВЕРА | ИЗМЕНИТЬ | AL | СЕРВЕР | ALTER ANY SERVER ROLE |
| РОЛЬ СЕРВЕРА | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СЕРВЕР | CONTROL SERVER |
| РОЛЬ СЕРВЕРА | TAKE OWNERSHIP | TO | СЕРВЕР | CONTROL SERVER |
| РОЛЬ СЕРВЕРА | VIEW DEFINITION | VW | СЕРВЕР | VIEW ANY DEFINITION |
| СЛУЖБА | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY SERVICE |
| СЛУЖБА | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СЛУЖБА | SEND | SN | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СЛУЖБА | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СЛУЖБА | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SYMMETRIC KEY | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY SYMMETRIC KEY |
| SYMMETRIC KEY | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| SYMMETRIC KEY | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| SYMMETRIC KEY | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| SYMMETRIC KEY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ТИП | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| ТИП | Выполнение | EX | СХЕМА | Выполнение |
| ТИП | ССЫЛКИ | RF | СХЕМА | ССЫЛКИ |
| ТИП | TAKE OWNERSHIP | TO | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| ТИП | VIEW DEFINITION | VW | СХЕМА | VIEW DEFINITION |
| Пользователь | ИЗМЕНИТЬ | AL | DATABASE | ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ |
| Пользователь | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| Пользователь | IMPERSONATE | "IM" (Обмен мгновенными сообщениями); | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| Пользователь | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| XML SCHEMA COLLECTION | ИЗМЕНИТЬ | AL | СХЕМА | ИЗМЕНИТЬ |
| XML SCHEMA COLLECTION | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| XML SCHEMA COLLECTION | Выполнение | EX | СХЕМА | Выполнение |
| XML SCHEMA COLLECTION | ССЫЛКИ | RF | СХЕМА | ССЫЛКИ |
| XML SCHEMA COLLECTION | TAKE OWNERSHIP | TO | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| XML SCHEMA COLLECTION | VIEW DEFINITION | VW | СХЕМА | VIEW DEFINITION |
Новые детализированные разрешения, добавленные в SQL Server 2022
В SQL Server 2022 добавляются следующие разрешения:
Добавлены 10 новых разрешений, чтобы разрешить доступ к системным метаданным.
Добавлены 18 новых разрешений для расширенных событий.
Добавлены 9 новых разрешений в отношении объектов, связанных с безопасностью.
Для реестра добавлены 4 разрешения.
3 дополнительные разрешения базы данных.
Дополнительные сведения см. в статье "Новые детализированные разрешения для SQL Server 2022 и Azure SQL для улучшения соответствия с помощью PoLP".
Доступ к разрешениям системных метаданных
Уровень сервера:
- ПРОСМОТР ВСЕХ ОПРЕДЕЛЕНИЙ БЕЗОПАСНОСТИ
- ПРОСМОТР ЛЮБОГО ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ
- ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ СЕРВЕРА
- ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ СЕРВЕРА
- ПРОСМОТР ЛЮБОГО КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ
Уровень базы данных:
- ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ
- ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ БАЗЫ ДАННЫХ
- ПРОСМОТР ОПРЕДЕЛЕНИЯ БЕЗОПАСНОСТИ
- ПРОСМОТР ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ
- ПРОСМОТР КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ
Разрешения расширенных событий
Уровень сервера:
- СОЗДАНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ
- УДАЛЕНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ
- ALTER ANY EVENT SESSION OPTION
- ALTER ANY EVENT SESSION ADD EVENT
- ALTER ANY EVENT SESSION DROP EVENT
- ALTER ANY EVENT SESSION ENABLE
- ALTER ANY EVENT SESSION DISABLE
- ALTER ANY EVENT SESSION ADD TARGET
- ALTER ANY EVENT SESSION DROP TARGET
Все эти разрешения находятся под одинаковым родительским разрешением: ALTER ANY EVENT SESSION
Уровень базы данных:
- СОЗДАНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ
- УДАЛЕНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ
- ALTER ANY DATABASE EVENT SESSION OPTION
- ALTER ANY DATABASE EVENT SESSION ADD EVENT
- ALTER ANY DATABASE EVENT SESSION DROP EVENT
- ALTER ANY DATABASE EVENT SESSION ENABLE
- ALTER ANY DATABASE EVENT SESSION DISABLE
- ALTER ANY DATABASE EVENT SESSION ADD TARGET
- ALTER ANY DATABASE EVENT SESSION DROP TARGET
Все эти разрешения находятся под одинаковым родительским разрешением: ALTER ANY DATABASE EVENT SESSION
Разрешения объекта, связанные с безопасностью
- CONTROL (CREDENTIAL)
- CREATE LOGIN
- СОЗДАНИЕ ПОЛЬЗОВАТЕЛЯ
- ССЫЛКИ (УЧЕТНЫЕ ДАННЫЕ)
- UNMASK (OBJECT)
- UNMASK (SCHEMA)
- ПРОСМОТР ЛЮБОГО ЖУРНАЛА ОШИБОК
- ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ СЕРВЕРА
- ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ
Разрешения реестра
- ALTER LEDGER
- ALTER LEDGER CONFIGURATION
- ENABLE LEDGER
- VIEW LEDGER CONTENT
Другие разрешения базы данных
- ALTER ANY EXTERNAL JOB
- ALTER ANY EXTERNAL STREAM
- ВЫПОЛНЕНИЕ ЛЮБОЙ ВНЕШНЕЙ КОНЕЧНОЙ ТОЧКИ
Сводка алгоритма проверки разрешений
Проверка разрешений может оказаться сложной задачей. Алгоритм проверки разрешений учитывает перекрывающееся членство в группах и цепочки владения, явные и неявные разрешения. На его работу могут влиять разрешения на защищаемые классы, содержащие защищаемые сущности. Общая процедура алгоритма состоит в сборе всех применимых разрешений. Если не обнаружена блокирующая инструкция DENY, алгоритм выполняет поиск инструкции GRANT, которая предоставляет достаточные права доступа. Алгоритм содержит три необходимых элемента: контекст безопасности, область разрешенияи требуемое разрешение.
Примечание.
Невозможно предоставить, запретить или отменить разрешения sa, dbo, владельцу сущности, information_schema, sys или самому себе.
Контекст безопасности
Это группа участников, разрешения которых используются в проверке доступа. Сюда входят разрешения, связанные с текущим именем входа или пользователем, если контекст безопасности не изменился на другое имя входа или другого пользователя с помощью инструкции EXECUTE AS. В контекст безопасности входят следующие участники.
Имя входа.
Пользователь
Членство в ролях.
Членство в группах Windows.
Любое имя входа или учетная запись пользователя для сертификата, используемого для подписания модуля (если применяются подписи модулей), который выполняется пользователем в данный момент, и членство этого участника в соответствующих ролях.
Область разрешения
Это защищаемая сущность и все защищаемые классы, содержащие защищаемый объект. Например, таблица (защищаемая сущность) содержится в защищаемом классе схемы и в защищаемом классе базы данных. На доступ могут влиять разрешения на уровне таблицы, схемы, базы данных и сервера. Дополнительные сведения см. в разделе "Иерархия разрешений" (ядро СУБД).
Требуемое разрешение
Тип требуемого разрешения. Например, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL и т. д.
Для доступа может требоваться несколько разрешений, как в следующих примерах.
Хранимой процедуре может быть необходимо разрешение EXECUTE на хранимую процедуру и разрешение INSERT на несколько таблиц, на которые ссылается хранимая процедура.
Для динамического административного представления могут быть одновременно необходимы разрешения VIEW SERVER STATE и SELECT на представление.
Общие шаги алгоритма
Когда алгоритм определяет, следует ли предоставлять доступ к защищаемому объекту, конкретные используемые шаги могут различаться в зависимости от того, какие участники и защищаемые объекты вовлечены в процесс. Однако в любом случае алгоритм выполняет следующие общие шаги.
Пропустить проверку разрешений, если имя входа является членом предопределенной роли сервера sysadmin или если пользователь является пользователем dbo в текущей базе данных.
Разрешить доступ, если применима цепочка владения и проверка доступа к объекту, расположенному ранее в цепочке, завершилась успешно.
Выполнить статистическую обработку удостоверений на уровне сервера, базы данных и подписанных модулей, относящихся к вызывающей стороне, чтобы создать контекст безопасности.
Собрать для полученного контекста безопасностивсе разрешения, которые предоставлены или запрещены в области разрешения. Разрешение может задаваться в явном виде в составе инструкций GRANT, GRANT WITH GRANT или DENY (либо быть неявным или покрывающим разрешением GRANT или DENY). Например, из разрешения CONTROL на схему следует разрешение CONTROL на таблицу, а из разрешения CONTROL на таблицу следует разрешение SELECT. Таким образом, если предоставлено разрешение CONTROL на схему, то неявно предоставляется разрешение SELECT на таблицу. Если разрешение CONTROL на таблицу запрещается, то неявно запрещается разрешение SELECT на таблицу.
Примечание.
Инструкция GRANT для разрешения на уровне столбцов имеет приоритет над инструкцией DENY на уровне объектов. Дополнительные сведения см. здесь: DENY Object Permissions (Transact-SQL).
Определить требуемое разрешение.
Завершить проверку разрешений с отрицательным результатом, если требуемое разрешение явно или неявно запрещено в любом из удостоверений из контекста безопасности для объектов в области разрешения.
Передайте проверку разрешения, если требуемое разрешение не было отклонено, а требуемое разрешение содержит разрешение GRANT или GRANT WITH GRANT либо непосредственно, либо неявно любому из удостоверений в контексте безопасности для любого объекта в пространстве разрешений.
Особые замечания относительно разрешений на уровне столбца
Разрешения на уровне столбцов предоставляются с помощью синтаксиса table_name(столбец _name>).<>< Например:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
Разрешение GRANT на столбец переопределяет разрешение DENY на таблицу. При этом последующее разрешение DENY на таблицу удалит разрешение GRANT на столбец.
Примеры
В примерах этого раздела показано, как получить сведения о разрешениях.
А. Возвращает полный список предоставленных разрешений
Следующая инструкция возвращает все разрешения ядро СУБД с помощью fn_builtin_permissions функции. Дополнительные сведения см. в разделе sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Возврат разрешений для определенного класса объектов
В следующем примере функция fn_builtin_permissions используется для просмотра всех разрешений, доступных для категории защищаемых объектов. В примере возвращаются разрешения на сборки.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Возврат разрешений, предоставленных выполняющей субъекту объекта
В следующем примере функция fn_my_permissions возвращает список действующих разрешений вызывающего участника в отношении указанного защищаемого объекта. В примере возвращаются разрешения на объект с именем Orders55. Дополнительные сведения см. в разделе sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Возврат разрешений, применимых к указанному объекту
В следующем примере возвращаются применимые разрешения на объект с именем Yttrium. Встроенная функция OBJECT_ID используется для получения идентификатора объекта Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO