Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)SQL-analysslutpunkt i Microsoft FabricWarehouse i Microsoft FabricSQL-databas i Microsoft Fabric
Varje SQL Server-säkerhetsobjekt har associerade behörigheter som kan beviljas till en säkerhetsprincip. Behörigheter i databasmotorn hanteras på servernivå som tilldelats inloggningar och serverroller och på databasnivå som tilldelats databasanvändare och databasroller. Modellen för Azure SQL Database har samma system för databasbehörigheterna, men behörigheterna på servernivå är inte tillgängliga. Den här artikeln innehåller den fullständiga listan över behörigheter. En typisk implementering av behörigheterna finns i Komma igång med behörigheter för databasmotorn.
Det totala antalet behörigheter för SQL Server 2022 (16.x) är 292. Azure SQL Database exponerar 292 behörigheter. De flesta behörigheter gäller för alla plattformar, men vissa inte. De flesta behörigheter på servernivå kan till exempel inte beviljas i Azure SQL Database, och några få behörigheter är bara meningsfulla för Azure SQL Database. Nya behörigheter introduceras gradvis med nya versioner. SQL Server 2019 (15.x) exponerar 248 behörigheter. SQL Server 2017 (14.x) exponerade 238 behörigheter. SQL Server 2016 (13.x) exponerade 230 behörigheter. SQL Server 2014 (12.x) exponerar 219 behörigheter. SQL Server 2012 (11.x) exponerade 214 behörigheter. SQL Server 2008 R2 (10.50.x) visade 195 behörigheter. Artikeln sys.fn_builtin_permissions anger vilka behörigheter som är nya i de senaste versionerna.
I SQL-databasen i Microsoft Fabric stöds endast användare och roller på databasnivå. Inloggningar, roller och sa-kontot på servernivå är inte tillgängliga. I SQL Database i Microsoft Fabric är Microsoft Entra-ID för databasanvändare den enda autentiseringsmetod som stöds. Mer information finns i Auktorisering i SQL-databasen i Microsoft Fabric.
När du förstår vilka behörigheter som krävs kan du använda behörigheter på servernivå för inloggningar eller serverroller och behörigheter på databasnivå för användare eller databasroller med hjälp av satserna GRANT, REVOKE och DENY . Till exempel:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Tips om hur du planerar ett behörighetssystem finns i Komma igång med behörigheter för databasmotorn.
Namngivningskonventioner för behörigheter
Följande beskriver de allmänna konventioner som följs för namngivningsbehörigheter:
KONTROLL
Ger bidragsmottagaren ägarskapsliknande funktioner. Beviljaren har i praktiken alla definierade behörigheter för det skyddbara objektet. En användare som har beviljats KONTROLL kan också tilldela behörigheter på säkerhetsobjektet. Eftersom SQL Server-säkerhetsmodellen är hierarkisk innehåller CONTROL i ett visst omfång implicit KONTROLL för alla skyddsbara objekt under det omfånget. Kontroll på en databas innebär till exempel alla behörigheter för databasen, alla behörigheter för alla sammansättningar i databasen, alla behörigheter för alla scheman i databasen och alla behörigheter för objekt i alla scheman i databasen.
ÄNDRA
Ger förmågan att ändra egenskaper, förutom ägarskap, för ett visst skyddsobjekt. När ALTER beviljas inom ett omfång ger det också möjlighet att ändra, skapa eller ta bort alla säkerhetsobjekt som finns inom det omfånget. Till exempel innehåller ALTER-behörigheten för ett schema möjligheten att skapa, ändra och släppa objekt från schemat.
ÄNDRA ALLA <serversäkra,> där Server Securable kan vara valfri server som kan skyddas.
Ger möjlighet att skapa, ändra eller släppa enskilda instanser av Server Securable. Till exempel ger ALTER ANY LOGIN möjlighet att skapa, ändra eller släppa alla inloggningar i instansen.
ÄNDRA ALLA <säkringsobjekt i databasen>, där säkringsobjekt kan vara vilket som helst säkerhetsrelaterat objekt på databasnivå.
Ger möjlighet att skapa, ÄNDRA eller SLÄPPA enskilda instanser av databasen som kan säkras. Till exempel ger ALTER ANY SCHEMA möjlighet att skapa, ändra eller släppa ett schema i databasen.
TA ÄGARSKAP
Gör det möjligt för den som beviljats att ta över ägarskapet för det säkerhetsobjekt som tilldelats.
< LOGIN SOM EN ANNAN ANVÄNDARE inloggning>
Gör att beviljaren kan personifiera inloggningen.
< PERSONIFIERA användare>
Gör att beviljaren kan personifiera användaren.
CREATE <Server Securable>
Ger mottagaren möjligheten att skapa Server Securable.
CREATE <Database Securable>
Ger mottagaren möjligheten att skapa databassäkerhet.
CREATE <Schema-contained Securable>
Ger möjlighet att skapa det schemabaserade skyddbara objektet. För att skapa säkerhetsobjekt i ett visst schema krävs behörighet att ändra på schemat.
VISA DEFINITION
Gör det möjligt för den som beviljar åtkomst till metadata.
REFERENSER
Behörigheten REFERENSER i en tabell behövs för att skapa en FOREIGN KEY-begränsning som refererar till tabellen.
Behörigheten REFERENSER krävs för ett objekt för att skapa en FUNKTION eller VY med
WITH SCHEMABINDINGsatsen som refererar till objektet.
Diagram över SQL Server-behörigheter
Följande bild visar behörigheter och deras relationer till varandra. Vissa behörigheter på högre nivå (till exempel CONTROL SERVER) visas många gånger. I den här artikeln är affischen alldeles för liten för att läsa. Du kan ladda ned den fullstora postern över behörigheter för databasmotorn i PDF-format.
Behörigheter som gäller för specifika skyddsbara filer
I följande tabell visas större behörighetsklasser och vilka typer av skyddsbara filer som de kan tillämpas på.
| Tillåtelse | Gäller för |
|---|---|
| ÄNDRA | Alla objektklasser utom TYPE. |
| KONTROLL | Alla objektklasser: AGGREGAT APPLIKATIONSROLL FÖRSAMLING ASYMMETRISK NYCKEL TILLGÄNGLIGHETSGRUPP, INTYG KONTRAKT AUTENTISERINGSUPPGIFTER DATABAS DATABASOMFÅNGAD AUTENTISERINGSUPPGIFT, STANDARD SLUTPUNKT FULLTEXTKATALOG, STOPPLISTA FÖR FULLTEXT, FUNKTION LOGGA IN MEDDELANDETYP, PROCEDUR KÖ FJÄRRTJÄNSTBINDNING, ROLL VÄG REGEL SCHEMAT SÖK FASTIGHETSLISTA SERVER SERVERROLL, TJÄNST SYMMETRISK NYCKEL SYNONYM BORD TYP ANVÄNDARE Visa, och XML-schema-samling |
| TA BORT | Alla objektklasser utom DATABASE SCOPED CONFIGURATION, SERVER och TYPE. |
| UTFÖRA | CLR-typer, externa skript, procedurer (Transact-SQL och CLR), skalär- och aggregeringsfunktioner (Transact-SQL och CLR) och synonymer |
| PERSONIFIERA | Inloggningar och användare |
| INFOGA | Synonymer, tabeller och kolumner, vyer och kolumner. Behörighet kan beviljas på databas-, schema- eller objektnivå. |
| MOTTAGA | Service Broker-köer |
| REFERENSER | AGGREGAT FÖRSAMLING ASYMMETRISK NYCKEL INTYG KONTRAKT CREDENTIAL (gäller för SQL Server 2022 (16.x) och senare), DATABAS DATABASOMFÅNGAD AUTENTISERINGSUPPGIFT, FULLTEXTKATALOG, STOPPLISTA FÖR FULLTEXT, FUNKTION MEDDELANDETYP, PROCEDUR KÖ REGEL SCHEMAT SÖK FASTIGHETSLISTA SEKVENSOBJEKT, SYMMETRISK NYCKEL BORD TYP Visa, och XML-schema-samling |
| VÄLJ | Synonymer, tabeller och kolumner, vyer och kolumner. Behörighet kan beviljas på databas-, schema- eller objektnivå. |
| TA ÄGARSKAP | Alla objektklasser utom DATABASE SCOPED CONFIGURATION, LOGIN, SERVER och USER. |
| UPPDATERING | Synonymer, tabeller och kolumner, vyer och kolumner. Behörighet kan beviljas på databas-, schema- eller objektnivå. |
| VISA ÄNDRINGSSPÅRNING | Scheman och tabeller |
| VISA DEFINITION | Alla objektklasser utom DATABASE SCOPED CONFIGURATION och SERVER. |
Försiktighet
De standardbehörigheter som beviljas systemobjekt vid tidpunkten för installationen utvärderas noggrant mot möjliga hot och behöver inte ändras som en del av härdningen av SQL Server-installationen. Eventuella ändringar av behörigheterna för systemobjekten kan begränsa eller bryta funktionerna och eventuellt lämna SQL Server-installationen i ett tillstånd som inte stöds.
SQL Server-behörigheter
Följande tabell innehåller en fullständig lista över SQL Server-behörigheter. Behörigheter i Azure SQL Database är endast tillgängliga för grundläggande säkerhetsobjekt som stöds. Behörigheter på servernivå kan inte beviljas i Azure SQL Database, men i vissa fall är databasbehörigheter tillgängliga i stället.
| Bas som kan säkras | Detaljerade behörigheter för grundläggande säkerhetsobjekt | Typkod för behörighet | Säkerhetsobjekt som innehåller grundläggande säkerhetsobjekt | Behörighet för container som kan säkras som innebär detaljerad behörighet för grundläggande skydd |
|---|---|---|---|---|
| APPLIKATIONSROLL | ÄNDRA | AL | DATABAS | ÄNDRA VILKEN PROGRAMROLL SOM HELST |
| APPLIKATIONSROLL | KONTROLL | CL | DATABAS | KONTROLL |
| APPLIKATIONSROLL | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| FÖRSAMLING | ÄNDRA | AL | DATABAS | ÄNDRA ALLA SAMMANSÄTTNINGAR |
| FÖRSAMLING | KONTROLL | CL | DATABAS | KONTROLL |
| FÖRSAMLING | REFERENSER | RF | DATABAS | REFERENSER |
| FÖRSAMLING | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| FÖRSAMLING | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| ASYMMETRISK NYCKEL | ÄNDRA | AL | DATABAS | ÄNDRA ASYMMETRISK NYCKEL |
| ASYMMETRISK NYCKEL | KONTROLL | CL | DATABAS | KONTROLL |
| ASYMMETRISK NYCKEL | REFERENSER | RF | DATABAS | REFERENSER |
| ASYMMETRISK NYCKEL | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| ASYMMETRISK NYCKEL | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| TILLGÄNGLIGHETSGRUPP | ÄNDRA | AL | SERVER | ÄNDRA VALFRI TILLGÄNGLIGHETSGRUPP |
| TILLGÄNGLIGHETSGRUPP | KONTROLL | CL | SERVER | KONTROLLSERVER |
| TILLGÄNGLIGHETSGRUPP | TA ÄGARSKAP | TILL | SERVER | KONTROLLSERVER |
| TILLGÄNGLIGHETSGRUPP | VISA DEFINITION | VW | SERVER | SE NÅGON DEFINITION |
| INTYG | ÄNDRA | AL | DATABAS | ÄNDRA ALLA CERTIFIKAT |
| INTYG | KONTROLL | CL | DATABAS | KONTROLL |
| INTYG | REFERENSER | RF | DATABAS | REFERENSER |
| INTYG | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| INTYG | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| KONTRAKT | ÄNDRA | AL | DATABAS | ÄNDRA ALLA KONTRAKT |
| KONTRAKT | KONTROLL | CL | DATABAS | KONTROLL |
| KONTRAKT | REFERENSER | RF | DATABAS | REFERENSER |
| KONTRAKT | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| KONTRAKT | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| REFERENS | KONTROLL | CL | SERVER | KONTROLLSERVER |
| REFERENS | REFERENSER | RF | SERVER | ÄNDRA EVENTUELLA AUTENTISERINGSUPPGIFTER |
| DATABAS | ADMINISTRERA MASSOPERATIONER FÖR DATABAS | DABO | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA | AL | SERVER | ÄNDRA EN DATABAS |
| DATABAS | ÄNDRA VILKEN PROGRAMROLL SOM HELST | ALAR | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA SAMMANSÄTTNINGAR | TYVÄRR | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ASYMMETRISK NYCKEL | ALAK | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA CERTIFIKAT | ALCF | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA NÅGON KOLUMNKRYPTERINGSNYCKEL | ALCK Gäller för SQL Server (SQL Server 2016 (13.x) till nuvarande), Azure SQL Database. |
SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA VALFRI KOLUMNHUVUDNYCKEL | ALCM Gäller för SQL Server (SQL Server 2016 (13.x) till nuvarande), Azure SQL Database. |
SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA KONTRAKT | ALSC | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA VILKEN DATABASGRANSKNING SOM HELST | ALDA | SERVER | ÄNDRA SERVERGRANSKNING |
| DATABAS | ÄNDRA VALFRI DATABAS-DDL-UTLÖSARE | ALTG | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA EVENTUELLA DATABASHÄNDELSEMEDDELANDEN | ALED | SERVER | ÄNDRA HÄNDELSEMEDDELANDEN |
| DATABAS | ÄNDRA EN DATABASHÄNDELSESESSION | AADS | SERVER | ÄNDRA HÄNDELSESESSIONER |
| DATABAS | ÄNDRA ALLA DATABASHÄNDELSESESSIONER LÄGG TILL HÄNDELSE | LDAE | SERVER | ÄNDRA VILKEN HÄNDELSESESSION SOM HELST, LÄGG TILL HÄNDELSE |
| DATABAS | ÄNDRA ALLA DATABASHÄNDELSESESSIONER LÄGG TILL MÅL | LDAT | SERVER | ÄNDRA HÄNDELSESESSIONER OCH LÄGG TILL MÅL |
| DATABAS | ALTERERA ALLA DATABASHÄNDELSESESSIONER INAKTIVERA | DDES | SERVER | ÄNDRA VILKEN SOM HELST HÄNDELSESESSION INAKTIVERA |
| DATABAS | ÄNDRA ALLA DATABASHÄNDELSESESSIONER FÖR ATT TA BORT HÄNDELSE | LDDE | SERVER | Ändra vilken händelsesession som helst och ta bort händelse |
| DATABAS | ÄNDRA VALFRITT MÅL FÖR ATT TA BORT DATABASHÄNDELSESESSIONER | LDDT | SERVER | ÄNDRA ALLA MÅL FÖR HÄNDELSESESSIONSAVLÄMNING |
| DATABAS | ÄNDRA ALLA AKTIVERADE DATABASHÄNDELSESESSIONER | EDES | SERVER | ÄNDRA ALLA AKTIVERADE HÄNDELSERSESSIONER |
| DATABAS | ÄNDRA ALTERNATIV FÖR SESSION FÖR DATABASHÄNDELSE | LDSO | SERVER | ÄNDRA VALFRI INSTÄLLNING FÖR HÄNDELSESESSION |
| DATABAS | ÄNDRA VARJE DATABAS-SPECIFIK KONFIGURATION | ALDC Gäller för SQL Server (SQL Server 2016 (13.x) till nuvarande), Azure SQL Database. |
SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA DATARYMDER | ALDS | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA EXTERNA DATAKÄLLOR | AEDS | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA VILKET SOM HELST EXTERNT FILFORMAT | AEFF | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA EXTERNA JOBB | AESJ | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA EXTERNA SPRÅK | ALLA | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA EXTERNA BIBLIOTEK | ALEL | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA EVENTUELL EXTERN STRÖM | AEST | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA FULLTEXTKATALOGER | ALFT | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA VALFRI MASK | AAMK Gäller för SQL Server (SQL Server 2016 (13.x) till nuvarande), Azure SQL Database. |
SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA VALFRI MEDDELANDETYP | ALMT | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA FJÄRRTJÄNSTBINDNINGAR | ALSB | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA VILKEN ROLL SOM HELST | ALRL | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA VALFRI VÄG | ALRT | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA VALFRITT SCHEMA | ALSM | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA SÄKERHETSPRINCIPER | ALSP Gäller för SQL Server (SQL Server 2016 (13.x) till nuvarande), Azure SQL Database. |
SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA EVENTUELL KÄNSLIGHETSKLASSIFICERING | AASC Gäller för SQL Server (SQL Server 2019 (15.x) via aktuell), Azure SQL Database. |
SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA TJÄNSTER | ALSV | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA EN SYMMETRISK NYCKEL | ALSK | SERVER | KONTROLLSERVER |
| DATABAS | ÄNDRA ALLA ANVÄNDARE | ALUS | SERVER | KONTROLLSERVER |
| DATABAS | ALTER LEDGER | ALR | SERVER | KONTROLL |
| DATABAS | ÄNDRA KONFIGURATION AV HUVUDBOK | ALC | SERVER | KONTROLLSERVER |
| DATABAS | STYRKA | Autentisering | SERVER | AUTENTISERA SERVER |
| DATABAS | SÄKERHETSKOPIERINGSDATABAS | BADB | SERVER | KONTROLLSERVER |
| DATABAS | SÄKERHETSKOPIERINGSLOGG | BALO | SERVER | KONTROLLSERVER |
| DATABAS | KONTROLLPUNKT | CP | SERVER | KONTROLLSERVER |
| DATABAS | ANSLUT | Kolmonoxid | SERVER | KONTROLLSERVER |
| DATABAS | ANSLUT REPLIKERING | CORP | SERVER | KONTROLLSERVER |
| DATABAS | KONTROLL | CL | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA AGGREGERING | CRAG | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA SESSION FÖR DATABASHÄNDELSE | CRDS | SERVER | SKAPA EN SESSION FÖR EVENEMANG |
| DATABAS | SKAPA SAMMANSÄTTNING | CRAS | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA ASYMMETRISK NYCKEL | CRAK | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA CERTIFIKAT | CRCF | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA KONTRAKT | CRSC | SERVER | KONTROLLSERVER |
| DATABAS | Skapa databas | CRDB | SERVER | SKAPA VALFRI DATABAS |
| DATABAS | SKAPA HÄNDELSEMEDDELANDE FÖR DATABAS-DDL | CRED | SERVER | SKAPA DDL-HÄNDELSEMEDDELANDE |
| DATABAS | SKAPA STANDARD | CRDF | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA EXTERNT SPRÅK | CRLA | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA EXTERNT BIBLIOTEK | CREL | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA FULLTEXTKATALOG | CRFT | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA FUNKTION | CRFN | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA MEDDELANDETYP | CRMT | SERVER | KONTROLLSERVER |
| DATABAS | LAGRA PROCEDUR | CRPR | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA KÖ | CRQU | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA FJÄRRTJÄNSTBINDNING | CRSB | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA ROLL | CRRL | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA VÄG | CRRT (kontinuerlig njurersättningsterapi) | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA REGEL | CRRU | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA SCHEMA | CRSM | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA TJÄNST | CRSV | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA SYMMETRISK NYCKEL | CRSK | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA SYNONYM | CRSN | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA TABELL | CRTB | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA TYP | CRTY | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA ANVÄNDARE | CUSR | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA VY | CRVW | SERVER | KONTROLLSERVER |
| DATABAS | SKAPA XML-SCHEMASAMLING | CRXS | SERVER | KONTROLLSERVER |
| DATABAS | TA BORT | deciliter | SERVER | KONTROLLSERVER |
| DATABAS | TA BORT ALLA DATABASHÄNDELSESESSIONER | DRDS | SERVER | TA BORT ALLA HÄNDELSESESSIONER |
| DATABAS | AKTIVERA HUVUDBOK | EL | SERVER | KONTROLL |
| DATABAS | UTFÖRA | EX | SERVER | KONTROLLSERVER |
| DATABAS | exekvera valfri extern slutpunkt | EAEE | SERVER | KONTROLLSERVER |
| DATABAS | KÖRA ETT EXTERNT SKRIPT | EAES Gäller för SQL Server (SQL Server 2016 (13.x) till och med den senaste versionen). |
SERVER | KONTROLLSERVER |
| DATABAS | INFOGA | I | SERVER | KONTROLLSERVER |
| DATABAS | AVBRYT DATABASANSLUTNING | KIDC Gäller endast för Azure SQL Database. Använd ALTER ANY CONNECTION i SQL Server. |
SERVER | ÄNDRA ALLA ANSLUTNINGAR |
| DATABAS | REFERENSER | RF | SERVER | KONTROLLSERVER |
| DATABAS | VÄLJ | SL | SERVER | KONTROLLSERVER |
| DATABAS | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABAS | PRENUMERERA PÅ FRÅGEMEDDELANDEN | SUQN | SERVER | KONTROLLSERVER |
| DATABAS | TA ÄGARSKAP | TILL | SERVER | KONTROLLSERVER |
| DATABAS | AVSLÖJA | UMSK Gäller för SQL Server (SQL Server 2016 (13.x) till nuvarande), Azure SQL Database. |
SERVER | KONTROLLSERVER |
| DATABAS | UPPDATERING | UPP | SERVER | KONTROLLSERVER |
| DATABAS | VISA VILKEN SOM HELST AV KOLUMNKRYPTERINGSNYCKELDEFINITION | VWCK Gäller för SQL Server (SQL Server 2016 (13.x) till nuvarande), Azure SQL Database. |
SERVER | SE SERVERTILLSTÅND |
| DATABAS | VISA VILKEN SOM HELST HUVUDNYCKEL FÖR KOLUMN DEFINITION | VWCM Gäller för SQL Server (SQL Server 2016 (13.x) till nuvarande), Azure SQL Database. |
SERVER | SE SERVERTILLSTÅND |
| DATABAS | VISA ALLA KÄNSLIGHETSKLASSIFICERINGAR | VASC | SERVER | KONTROLLSERVER |
| DATABAS | Visa definition som är kryptografiskt säkrad | VCD | SERVER | VISNING AV EN KRYPTOGRAFISKT SKYDDAD DEFINITION |
| DATABAS | VISA DATABASENS PRESTANDATILLSTÅND | VDP | SERVER | VISA SERVERNS PRESTANDATILLSTÅND |
| DATABAS | VISA DATABASSÄKERHETSREVISION | VDSA | SERVER | KONTROLLSERVER |
| DATABAS | VISA DATABASSÄKERHETSTILLSTÅND | VDS | SERVER | VISA SERVERSÄKERHETSTILLSTÅND |
| DATABAS | VISA DATABASENS TILLSTÅND | VWDS | SERVER | SE SERVERTILLSTÅND |
| DATABAS | VISA DEFINITION | VW | SERVER | SE NÅGON DEFINITION |
| DATABAS | VISA HUVUDBOKSINNEHÅLL | VLC | SERVER | KONTROLL |
| DATABAS | VISA DEFINITION AV SÄKERHET | VW | SERVER | VISA ALLA SÄKERHETSDEFINITIONER |
| DATABAS | VISA PRESTANDA-DEFINITION | VWP | SERVER | VISA ALLA PRESTANDADEFINITIONER |
| DATABASSPECIFIKA AUTENTISERINGSINFORMATION | ÄNDRA | AL | DATABAS | KONTROLL |
| DATABASSPECIFIKA AUTENTISERINGSINFORMATION | KONTROLL | CL | DATABAS | KONTROLL |
| DATABASSPECIFIKA AUTENTISERINGSINFORMATION | REFERENSER | RF | DATABAS | REFERENSER |
| DATABASSPECIFIKA AUTENTISERINGSINFORMATION | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| DATABASSPECIFIKA AUTENTISERINGSINFORMATION | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| SLUTPUNKT | ÄNDRA | AL | SERVER | ÄNDRA VALFRI SLUTPUNKT |
| SLUTPUNKT | ANSLUT | Kolmonoxid | SERVER | KONTROLLSERVER |
| SLUTPUNKT | KONTROLL | CL | SERVER | KONTROLLSERVER |
| SLUTPUNKT | TA ÄGARSKAP | TILL | SERVER | KONTROLLSERVER |
| SLUTPUNKT | VISA DEFINITION | VW | SERVER | SE NÅGON DEFINITION |
| FULLTEXT KATALOG | ÄNDRA | AL | DATABAS | ÄNDRA ALLA FULLTEXTKATALOGER |
| FULLTEXT KATALOG | KONTROLL | CL | DATABAS | KONTROLL |
| FULLTEXT KATALOG | REFERENSER | RF | DATABAS | REFERENSER |
| FULLTEXT KATALOG | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| FULLTEXT KATALOG | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| STOPPLISTA FULLTEXT | ÄNDRA | AL | DATABAS | ÄNDRA ALLA FULLTEXTKATALOGER |
| STOPPLISTA FULLTEXT | KONTROLL | CL | DATABAS | KONTROLL |
| STOPPLISTA FULLTEXT | REFERENSER | RF | DATABAS | REFERENSER |
| STOPPLISTA FULLTEXT | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| STOPPLISTA FULLTEXT | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| LOGGA IN | ÄNDRA | AL | SERVER | ÄNDRA ALLA INLOGGNINGAR |
| LOGGA IN | KONTROLL | CL | SERVER | KONTROLLSERVER |
| LOGGA IN | PERSONIFIERA | IM | SERVER | KONTROLLSERVER |
| LOGGA IN | VISA DEFINITION | VW | SERVER | SE NÅGON DEFINITION |
| MEDDELANDETYP | ÄNDRA | AL | DATABAS | ÄNDRA VALFRI MEDDELANDETYP |
| MEDDELANDETYP | KONTROLL | CL | DATABAS | KONTROLL |
| MEDDELANDETYP | REFERENSER | RF | DATABAS | REFERENSER |
| MEDDELANDETYP | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| MEDDELANDETYP | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| OBJEKT | ÄNDRA | AL | SCHEMAT | ÄNDRA |
| OBJEKT | KONTROLL | CL | SCHEMAT | KONTROLL |
| OBJEKT | TA BORT | deciliter | SCHEMAT | TA BORT |
| OBJEKT | UTFÖRA | EX | SCHEMAT | UTFÖRA |
| OBJEKT | INFOGA | I | SCHEMAT | INFOGA |
| OBJEKT | MOTTAGA | ROLLCENTER | SCHEMAT | KONTROLL |
| OBJEKT | REFERENSER | RF | SCHEMAT | REFERENSER |
| OBJEKT | VÄLJ | SL | SCHEMAT | VÄLJ |
| OBJEKT | TA ÄGARSKAP | TILL | SCHEMAT | KONTROLL |
| OBJEKT | AVSLÖJA | UMSK | SCHEMAT | AVSLÖJA |
| OBJEKT | UPPDATERING | UPP | SCHEMAT | UPPDATERING |
| OBJEKT | VISA ÄNDRINGSSPÅRNING | VWCT | SCHEMAT | VISA ÄNDRINGSSPÅRNING |
| OBJEKT | VISA DEFINITION | VW | SCHEMAT | VISA DEFINITION |
| FJÄRRTJÄNSTBINDNING | ÄNDRA | AL | DATABAS | ÄNDRA ALLA FJÄRRTJÄNSTBINDNINGAR |
| FJÄRRTJÄNSTBINDNING | KONTROLL | CL | DATABAS | KONTROLL |
| FJÄRRTJÄNSTBINDNING | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| FJÄRRTJÄNSTBINDNING | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| ROLL | ÄNDRA | AL | DATABAS | ÄNDRA VILKEN ROLL SOM HELST |
| ROLL | KONTROLL | CL | DATABAS | KONTROLL |
| ROLL | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| ROLL | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| VÄG | ÄNDRA | AL | DATABAS | ÄNDRA VALFRI VÄG |
| VÄG | KONTROLL | CL | DATABAS | KONTROLL |
| VÄG | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| VÄG | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| SCHEMAT | ÄNDRA | AL | DATABAS | ÄNDRA VALFRITT SCHEMA |
| SCHEMAT | KONTROLL | CL | DATABAS | KONTROLL |
| SCHEMAT | SKAPA SEKVENS | CRSO | DATABAS | KONTROLL |
| SCHEMAT | TA BORT | deciliter | DATABAS | TA BORT |
| SCHEMAT | UTFÖRA | EX | DATABAS | UTFÖRA |
| SCHEMAT | INFOGA | I | DATABAS | INFOGA |
| SCHEMAT | REFERENSER | RF | DATABAS | REFERENSER |
| SCHEMAT | VÄLJ | SL | DATABAS | VÄLJ |
| SCHEMAT | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| SCHEMAT | AVSLÖJA | UMSK | DATABAS | AVSLÖJA |
| SCHEMAT | UPPDATERING | UPP | DATABAS | UPPDATERING |
| SCHEMAT | VISA ÄNDRINGSSPÅRNING | VWCT | DATABAS | VISA ÄNDRINGSSPÅRNING |
| SCHEMAT | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| SÖK FASTIGHETSLISTA | ÄNDRA | AL | SERVER | ÄNDRA ALLA FULLTEXTKATALOGER |
| SÖK FASTIGHETSLISTA | KONTROLL | CL | SERVER | KONTROLL |
| SÖK FASTIGHETSLISTA | REFERENSER | RF | SERVER | REFERENSER |
| SÖK FASTIGHETSLISTA | TA ÄGARSKAP | TILL | SERVER | KONTROLL |
| SÖK FASTIGHETSLISTA | VISA DEFINITION | VW | SERVER | VISA DEFINITION |
| SERVER | ADMINISTRERA MASSÅTGÄRDER | ADBO | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA VALFRI TILLGÄNGLIGHETSGRUPP | ALAG | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA ALLA ANSLUTNINGAR | ALCO | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA EVENTUELLA AUTENTISERINGSUPPGIFTER | ALCD | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA EN DATABAS | ALDB | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA VALFRI SLUTPUNKT | ALHE | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA HÄNDELSEMEDDELANDEN | ALE | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA HÄNDELSESESSIONER | AAES | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA VILKEN HÄNDELSESESSION SOM HELST, LÄGG TILL HÄNDELSE | LSAE | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA HÄNDELSESESSIONER OCH LÄGG TILL MÅL | LSAT | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA VILKEN SOM HELST HÄNDELSESESSION INAKTIVERA | DES | Ej tillämpligt | Ej tillämpligt |
| SERVER | Ändra vilken händelsesession som helst och ta bort händelse | LSDE | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA ALLA MÅL FÖR HÄNDELSESESSIONSAVLÄMNING | LSDT | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA ALLA AKTIVERADE HÄNDELSERSESSIONER | EES | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA VALFRI INSTÄLLNING FÖR HÄNDELSESESSION | LESO | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA EN LÄNKAD SERVER | ALLS | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA ALLA INLOGGNINGAR | ALLG | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA SERVERGRANSKNING | ALAA | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA VALFRI SERVERROLL | ALSR | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA RESURSER | ALRS | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA SERVERTILLSTÅND | ALSS | Ej tillämpligt | Ej tillämpligt |
| SERVER | ÄNDRA INSTÄLLNINGAR | ALST | Ej tillämpligt | Ej tillämpligt |
| SERVER | ALTER TRACE | ALTR | Ej tillämpligt | Ej tillämpligt |
| SERVER | AUTENTISERA SERVER | Autentisering | Ej tillämpligt | Ej tillämpligt |
| SERVER | ANSLUT VALFRI DATABAS | CADB | Ej tillämpligt | Ej tillämpligt |
| SERVER | ANSLUT SQL | COSQ | Ej tillämpligt | Ej tillämpligt |
| SERVER | KONTROLLSERVER | CL | Ej tillämpligt | Ej tillämpligt |
| SERVER | SKAPA VALFRI DATABAS | CRDB | Ej tillämpligt | Ej tillämpligt |
| SERVER | SKAPA TILLGÄNGLIGHETSGRUPP | CRAC | Ej tillämpligt | Ej tillämpligt |
| SERVER | SKAPA DDL-HÄNDELSEMEDDELANDE | CRDE | Ej tillämpligt | Ej tillämpligt |
| SERVER | SKAPA SLUTPUNKT | CRHE | Ej tillämpligt | Ej tillämpligt |
| SERVER | SKAPA SERVERROLL | CRSR | Ej tillämpligt | Ej tillämpligt |
| SERVER | SKAPA SPÅRNINGSHÄNDELSEAVISERING | CRTE | Ej tillämpligt | Ej tillämpligt |
| SERVER | EXTERN ÅTKOMSTSAMMANSÄTTNING | XA | Ej tillämpligt | Ej tillämpligt |
| SERVER | PERSONIFIERA ALL INLOGGNING | IAL | Ej tillämpligt | Ej tillämpligt |
| SERVER | VÄLJ ALLA SKYDDSBARA ANVÄNDARE | SUS | Ej tillämpligt | Ej tillämpligt |
| SERVER | NEDSTÄNGNING | SHDN | Ej tillämpligt | Ej tillämpligt |
| SERVER | OSÄKER SAMMANSÄTTNING | XU | Ej tillämpligt | Ej tillämpligt |
| SERVER | GRANSKA VALFRI DATABAS | VWDB | Ej tillämpligt | Ej tillämpligt |
| SERVER | SE NÅGON DEFINITION | VWAD | Ej tillämpligt | Ej tillämpligt |
| SERVER | SE SERVERTILLSTÅND | VWSS | Ej tillämpligt | Ej tillämpligt |
| Server roll | ÄNDRA | AL | SERVER | ÄNDRA VALFRI SERVERROLL |
| Server roll | KONTROLL | CL | SERVER | KONTROLLSERVER |
| Server roll | TA ÄGARSKAP | TILL | SERVER | KONTROLLSERVER |
| Server roll | VISA DEFINITION | VW | SERVER | SE NÅGON DEFINITION |
| TJÄNST | ÄNDRA | AL | DATABAS | ÄNDRA ALLA TJÄNSTER |
| TJÄNST | KONTROLL | CL | DATABAS | KONTROLL |
| TJÄNST | Sända | SN | DATABAS | KONTROLL |
| TJÄNST | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| TJÄNST | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| SYMMETRISK NYCKEL | ÄNDRA | AL | DATABAS | ÄNDRA EN SYMMETRISK NYCKEL |
| SYMMETRISK NYCKEL | KONTROLL | CL | DATABAS | KONTROLL |
| SYMMETRISK NYCKEL | REFERENSER | RF | DATABAS | REFERENSER |
| SYMMETRISK NYCKEL | TA ÄGARSKAP | TILL | DATABAS | KONTROLL |
| SYMMETRISK NYCKEL | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| TYP | KONTROLL | CL | SCHEMAT | KONTROLL |
| TYP | UTFÖRA | EX | SCHEMAT | UTFÖRA |
| TYP | REFERENSER | RF | SCHEMAT | REFERENSER |
| TYP | TA ÄGARSKAP | TILL | SCHEMAT | KONTROLL |
| TYP | VISA DEFINITION | VW | SCHEMAT | VISA DEFINITION |
| ANVÄNDARE | ÄNDRA | AL | DATABAS | ÄNDRA ALLA ANVÄNDARE |
| ANVÄNDARE | KONTROLL | CL | DATABAS | KONTROLL |
| ANVÄNDARE | PERSONIFIERA | IM | DATABAS | KONTROLL |
| ANVÄNDARE | VISA DEFINITION | VW | DATABAS | VISA DEFINITION |
| XML-schema-samling | ÄNDRA | AL | SCHEMAT | ÄNDRA |
| XML-schema-samling | KONTROLL | CL | SCHEMAT | KONTROLL |
| XML-schema-samling | UTFÖRA | EX | SCHEMAT | UTFÖRA |
| XML-schema-samling | REFERENSER | RF | SCHEMAT | REFERENSER |
| XML-schema-samling | TA ÄGARSKAP | TILL | SCHEMAT | KONTROLL |
| XML-schema-samling | VISA DEFINITION | VW | SCHEMAT | VISA DEFINITION |
Nya detaljerade behörigheter har lagts till i SQL Server 2022
Följande behörigheter läggs till i SQL Server 2022:
10 nya behörigheter har lagts till för att tillåta åtkomst till systemmetadata.
18 nya behörigheter har lagts till för utökade händelser.
9 nya behörigheter har lagts till för säkerhetsrelaterade objekt.
4 behörigheter har lagts till för ledger.
3 ytterligare databasbehörigheter.
Mer information finns i Nya detaljerade behörigheter för SQL Server 2022 och Azure SQL för att förbättra efterlevnaden med PoLP.
Åtkomst till systemmetadatabehörigheter
Servernivå:
- VISA ALLA SÄKERHETSDEFINITIONER
- VISA ALLA PRESTANDADEFINITIONER
- VISA SERVERSÄKERHETSTILLSTÅND
- VISA SERVERNS PRESTANDATILLSTÅND
- VISNING AV EN KRYPTOGRAFISKT SKYDDAD DEFINITION
Databasnivå:
- VISA DATABASSÄKERHETSTILLSTÅND
- VISA DATABASENS PRESTANDATILLSTÅND
- VISA DEFINITION AV SÄKERHET
- VISA PRESTANDA-DEFINITION
- Visa definition som är kryptografiskt säkrad
Behörigheter för utökade händelser
Servernivå:
- SKAPA EN SESSION FÖR EVENEMANG
- TA BORT ALLA HÄNDELSESESSIONER
- ÄNDRA VALFRI INSTÄLLNING FÖR HÄNDELSESESSION
- ÄNDRA VILKEN HÄNDELSESESSION SOM HELST, LÄGG TILL HÄNDELSE
- Ändra vilken händelsesession som helst och ta bort händelse
- ÄNDRA ALLA AKTIVERADE HÄNDELSERSESSIONER
- ÄNDRA VILKEN SOM HELST HÄNDELSESESSION INAKTIVERA
- ÄNDRA HÄNDELSESESSIONER OCH LÄGG TILL MÅL
- ÄNDRA ALLA MÅL FÖR HÄNDELSESESSIONSAVLÄMNING
Alla dessa behörigheter har samma överordnade behörighet: ÄNDRA VILKEN SOM HELST HÄNDELSESESSION
Databasnivå:
- SKAPA SESSION FÖR DATABASHÄNDELSE
- TA BORT ALLA DATABASHÄNDELSESESSIONER
- ÄNDRA ALTERNATIV FÖR SESSION FÖR DATABASHÄNDELSE
- ÄNDRA ALLA DATABASHÄNDELSESESSIONER LÄGG TILL HÄNDELSE
- ÄNDRA ALLA DATABASHÄNDELSESESSIONER FÖR ATT TA BORT HÄNDELSE
- ÄNDRA ALLA AKTIVERADE DATABASHÄNDELSESESSIONER
- ALTERERA ALLA DATABASHÄNDELSESESSIONER INAKTIVERA
- ÄNDRA ALLA DATABASHÄNDELSESESSIONER LÄGG TILL MÅL
- ÄNDRA VALFRITT MÅL FÖR ATT TA BORT DATABASHÄNDELSESESSIONER
Alla dessa behörigheter har samma överordnade behörighet: ÄNDRA EN DATABASHÄNDELSESESSION
Säkerhetsrelaterade objektbehörigheter
- KONTROLL (CREDENTIAL)
- SKAPA INLOGGNING
- SKAPA ANVÄNDARE
- REFERENSER (CREDENTIAL)
- AVMASKA (OBJEKT)
- AVMASKA (SCHEMA)
- VISA NÅGRA FELRAPPORTER
- VISA SERVERSÄKERHETSREVISION
- VISA DATABASSÄKERHETSREVISION
Transaktionsregisterbehörigheter
- ALTER LEDGER
- ÄNDRA KONFIGURATION AV HUVUDBOK
- AKTIVERA HUVUDBOK
- VISA HUVUDBOKSINNEHÅLL
Andra databasbehörigheter
- ÄNDRA ALLA EXTERNA JOBB
- ÄNDRA EVENTUELL EXTERN STRÖM
- exekvera valfri extern slutpunkt
Sammanfattning av algoritmen för behörighetskontroll
Det kan vara komplicerat att kontrollera behörigheter. Algoritmen för behörighetskontroll innehåller överlappande gruppmedlemskap och ägarskapslänkning, både explicit och implicit behörighet, och kan påverkas av behörigheterna för skyddsbara klasser som innehåller den skyddsbara entiteten. Den allmänna processen för algoritmen är att samla in alla relevanta behörigheter. Om ingen blockerande neka hittas, söker algoritmen efter ett beviljande som ger tillräcklig åtkomst. Algoritmen innehåller tre viktiga element, säkerhetskontexten, behörighetsutrymmet och den behörighet som krävs.
Anmärkning
Du kan inte bevilja, neka eller återkalla behörigheter till sa, dbo, entitetsägaren, information_schema, sys eller dig själv.
Säkerhetskontext
Det här är den grupp av principaler som bidrar med behörigheter till åtkomstkontrollprocessen. Det här är behörigheter som är relaterade till den aktuella inloggningen eller användaren, såvida inte säkerhetskontexten har ändrats till en annan inloggning eller användare med hjälp av EXECUTE AS-instruktionen. Säkerhetskontexten innehåller följande principaler:
Inloggningen
Användaren
Rollmedlemskap
Windows-gruppmedlemskap
Om modulsignering används, används alla inloggnings- eller användarkonton som är kopplade till certifikatet som används för att signera den modul användaren för närvarande kör, samt de associerade rollmedlemskapen för den principalen.
Behörighetsområde
Det här är den skyddsbara entiteten och alla skyddsklasser som innehåller den skyddbara enheten. Till exempel innehålls en tabell (en skyddsbar entitet) av schemats skyddbara klass och databasens skyddbara klass. Åtkomst kan påverkas av behörigheter på tabell-, schema-, databas- och servernivå. Mer information finns i Behörighetshierarki (databasmotor).
Nödvändig behörighet
Den typ av behörighet som krävs. Till exempel INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL och så vidare.
Åtkomst kan kräva flera behörigheter, som i följande exempel:
En lagrad procedur kan kräva både EXECUTE-behörighet för den lagrade proceduren och INSERT-behörighet i flera tabeller som refereras till av den lagrade proceduren.
En dynamisk hanteringsvy kan kräva både VIEW SERVER STATE och SELECT-behörighet i vyn.
Allmänna steg i algoritmen
När algoritmen avgör om den ska tillåta åtkomst till en skyddad resurs kan de exakta stegen som den använder variera beroende på de huvudpersoner och de involverade skyddade resurserna. Algoritmen utför dock följande allmänna steg:
Kringgå behörighetskontrollen om inloggningen är medlem i den fasta serverrollen sysadmin eller om användaren är dbo-användaren i den nuvarande databasen.
Tillåt åtkomst om ägarskapslänkning är tillämpligt och åtkomstkontrollen på objektet tidigare i kedjan klarade säkerhetskontrollen.
Aggregera de identiteter på servernivå, databasnivå och signerade moduler som är associerade med anroparen för att skapa säkerhetskontexten.
För den säkerhetskontexten samlar du in alla behörigheter som beviljas eller nekas för behörighetsutrymmet. Behörigheten kan uttryckligen anges som GRANT, GRANT WITH GRANT eller DENY; eller så kan behörigheterna vara underförstådda eller täckande, som GRANT eller DENY. Kontrollbehörighet för ett schema innebär till exempel KONTROLL i en tabell. Och CONTROL i en tabell innebär SELECT. Om KONTROLL för schemat har beviljats beviljas därför SELECT i tabellen. Om CONTROL nekades i tabellen nekas SELECT i tabellen.
Anmärkning
Ett BEVILJANDE av en behörighet på kolumnnivå åsidosätter en NEKA på objektnivå. För mer information, se Neka objektbehörigheter.
Identifiera den behörighet som krävs.
Behörighetskontrollen misslyckas om den nödvändiga behörigheten nekas direkt eller implicit till någon av identiteterna i säkerhetskontexten för objekten i behörighetsutrymmet.
Godkänn behörighetskontrollen om den nödvändiga behörigheten inte nekades och den behörighet som krävs innehåller behörigheten GRANT eller GRANT WITH GRANT antingen direkt eller implicit till någon av identiteterna i säkerhetskontexten för alla objekt i behörighetsutrymmet.
Särskilda överväganden för behörigheter på kolumnnivå
Behörigheter på kolumnnivå beviljas med syntaxen <table_name>(<kolumn _name>). Till exempel:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
En NEKA i tabellen åsidosätts av ett GRANT i en kolumn. En efterföljande DENY-kommando i tabellen kommer dock att ta bort kolumnen GRANT.
Exempel
Exemplen i det här avsnittet visar hur du hämtar behörighetsinformation.
A. Returnera den fullständiga listan över beviljande behörigheter
Följande instruktion returnerar alla behörigheter för databasmotorn fn_builtin_permissions med hjälp av funktionen . Mer information finns i sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Returnera behörigheterna för en viss klass av objekt
I följande exempel används fn_builtin_permissions för att visa alla behörigheter som är tillgängliga för en kategori av säkerhetsobjekt. Exemplet returnerar behörigheter för sammansättningar.
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. Returnera de behörigheter som beviljats till det utförande huvudkontot för ett objekt
I följande exempel används fn_my_permissions för att returnera en lista över de gällande behörigheter som innehas av det anropande huvudkontot på en angiven skyddsbar. Exemplet returnerar behörigheter för ett objekt med namnet Orders55. Mer information finns i sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Returnera de behörigheter som gäller för ett angivet objekt
I följande exempel returneras behörigheter som gäller för ett objekt med namnet Yttrium. Den inbyggda funktionen OBJECT_ID används för att hämta objektets YttriumID .
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO