DENY, запрет разрешения участника на уровне сервера (Transact-SQL)
Применимо к:
SQL Server Управляемый экземпляр SQL Azure
Запрещает разрешения, предоставленные при входе SQL Server.
Соглашения о синтаксисе Transact-SQL
Синтаксис
DENY permission [ ,...n ] }
ON
{ [ LOGIN :: SQL_Server_login ]
| [ SERVER ROLE :: server_role ] }
TO <server_principal> [ ,...n ]
[ CASCADE ]
[ AS SQL_Server_login ]
<server_principal> ::=
SQL_Server_login
| SQL_Server_login_from_Windows_login
| SQL_Server_login_from_certificate
| SQL_Server_login_from_AsymKey
| server_role
Примечание.
Сведения о синтаксисе Transact-SQL для SQL Server 2014 (12.x) и более ранних версиях см . в документации по предыдущим версиям.
Аргументы
permission
Указывает разрешение, которое может быть отказано в имени входа SQL Server. Список разрешений см. в подразделе "Примечания" далее в этом разделе.
LOGIN ::SQL_Server_login
Указывает имя входа SQL Server, для которого запрещено разрешение. Квалификатор области (::) является обязательным.
SERVER ROLE ::server_role
Указывает роль сервера, для которой запрещается разрешение. Квалификатор области (::) является обязательным.
TO <server_principal>
Указывает роль входа ИЛИ сервера SQL Server, которой предоставляется разрешение.
TO SQL_Server_login
Указывает имя входа SQL Server, которому запрещено разрешение.
SQL_Server_login
Указывает имя имени входа SQL Server.
SQL_Server_login_from_Windows_login
Указывает имя имени входа SQL Server, созданного из имени входа Windows.
SQL_Server_login_from_certificate
Указывает имя имени входа SQL Server, сопоставленного с сертификатом.
SQL_Server_login_from_AsymKey
Указывает имя имени входа SQL Server, сопоставленного с асимметричным ключом.
server_role
Название определения роли сервера.
CASCADE
Указывает, что запрещаемое разрешение также запрещается для других участников, которым оно было предоставлено данным участником.
AS SQL_Server_login
Указывает имя входа SQL Server, из которого субъект, выполняющий этот запрос, получает право запретить разрешение.
Замечания
Разрешения в области сервера могут запрещаться только в том случае, если текущей базой данных является master.
Данные о разрешениях сервера отображаются в представлении каталога sys.server_permissions. Данные о серверах-субъектах отображаются в представлении каталога sys.server_principals.
Инструкция DENY завершается ошибкой, если разрешение запрещается субъекту, который ранее предоставил его через GRANT OPTION, и при этом не указано предложение CASCADE.
Имена входа SQL Server и роли сервера являются защищаемыми на уровне сервера. Наиболее конкретные и ограниченные разрешения, которые могут быть отклонены в роли входа SQL Server или сервера, перечислены в следующей таблице вместе с более общими разрешениями, которые включают их в результате.
| Разрешение для имени входа SQL Server или роли сервера | Содержится в разрешении для имени входа SQL Server или роли сервера | Подразумевается в разрешении сервера |
|---|---|---|
| ПРОИЗВОДИТЕЛЬНОСТИ | ПРОИЗВОДИТЕЛЬНОСТИ | CONTROL SERVER |
| IMPERSONATE | ПРОИЗВОДИТЕЛЬНОСТИ | CONTROL SERVER |
| VIEW DEFINITION | ПРОИЗВОДИТЕЛЬНОСТИ | VIEW ANY DEFINITION |
| ИЗМЕНИТЬ | ПРОИЗВОДИТЕЛЬНОСТИ | ALTER ANY LOGIN ALTER ANY SERVER ROLE |
Разрешения
Для имен входа требуется разрешение CONTROL на имя входа или разрешение ALTER ANY LOGIN на сервер.
Для ролей сервера требуется разрешение CONTROL на роль сервера или разрешение ALTER ANY SERVER ROLE на сервер.
Примеры
А. Запрещение разрешения IMPERSONATE на имя входа
В следующем примере запрещено IMPERSONATE разрешение на вход SQL Server в имя входа WanidaBenshoof SQL Server, созданное пользователем Windows AdvWorks\YoonM.
USE master;
DENY IMPERSONATE ON LOGIN::WanidaBenshoof TO [AdvWorks\YoonM];
GO
B. Запрещение разрешения VIEW DEFINITION с параметром CASCADE
В следующем примере запрещено VIEW DEFINITION разрешение на вход SQL Server в имя входа EricKurjanRMeyyappanSQL Server. Параметр CASCADE указывает, что разрешение VIEW DEFINITION на EricKurjan будет также запрещено участникам, которым RMeyyappan его предоставил ранее.
USE master;
DENY VIEW DEFINITION ON LOGIN::EricKurjan TO RMeyyappan
CASCADE;
GO
C. Запрещение разрешения VIEW DEFINITION для роли сервера
В следующем примере разрешение VIEW DEFINITION для роли сервера Sales запрещается для роли сервера Auditors.
USE master;
DENY VIEW DEFINITION ON SERVER ROLE::Sales TO Auditors ;
GO
См. также
sys.server_principals (Transact-SQL)
sys.server_permissions (Transact-SQL)
Grant Server Principal Permissions (Transact-SQL)
REVOKE Server Principal Permissions (Transact-SQL)
CREATE LOGIN (Transact-SQL)
Субъекты (ядро СУБД)
Разрешения (ядро СУБД)
Функция безопасности (Transact-SQL)
Хранимые процедуры безопасности (Transact-SQL)
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по