GRANT 服务器权限 (Transact-SQL)
适用于: 
SQL Server Azure SQL 托管实例
授予服务器的权限。
语法
GRANT permission [ ,...n ]
TO <grantee_principal> [ ,...n ] [ WITH GRANT OPTION ]
[ AS <grantor_principal> ]
<grantee_principal> ::= SQL_Server_login
| SQL_Server_login_mapped_to_Windows_login
| SQL_Server_login_mapped_to_Windows_group
| SQL_Server_login_mapped_to_certificate
| SQL_Server_login_mapped_to_asymmetric_key
| server_role
<grantor_principal> ::= SQL_Server_login
| SQL_Server_login_mapped_to_Windows_login
| SQL_Server_login_mapped_to_Windows_group
| SQL_Server_login_mapped_to_certificate
| SQL_Server_login_mapped_to_asymmetric_key
| server_role
参数
permission
指定可对服务器授予的权限。 有关权限的列表,请参阅本主题后面的“备注”部分。
TO <grantee_principal> 指定要向其授予权限的主体。
AS <grantor_principal> 指定一个主体,执行此查询的主体从该主体获得授予权限的权利。
WITH GRANT OPTION
指示该主体还可以向其他主体授予所指定的权限。
SQL_Server_login
指定 SQL Server 登录名。
SQL_Server_login_mapped_to_Windows_login
指定映射到 Windows 登录名的 SQL Server 登录名。
SQL_Server_login_mapped_to_Windows_group
指定映射到 Windows 组的 SQL Server 登录名。
SQL_Server_login_mapped_to_certificate
指定映射到证书的 SQL Server 登录名。
SQL_Server_login_mapped_to_asymmetric_key
指定映射到非对称密钥的 SQL Server 登录名。
server_role
指定用户定义的服务器角色。
备注
只有在当前数据库为 master 时,才可授予其服务器作用域内的权限。
可以在 sys.server_permissions 目录视图中查看有关服务器权限的信息;在 sys.server_principals 目录视图中查看有关服务器主体的信息。 以及在 sys.server_role_members 目录视图中查看有关服务器角色成员身份的信息。
服务器是权限层次结构的最高级别。 下表列出了可授予的对服务器最为具体的限定权限。
| 服务器权限 | 服务器权限隐含的权限 |
|---|---|
| ADMINISTER BULK OPERATIONS | CONTROL SERVER |
| ALTER ANY AVAILABILITY GROUP 适用范围: SQL Server (SQL Server 2012 (11.x) 到 当前版本)。 |
CONTROL SERVER |
| ALTER ANY CONNECTION | CONTROL SERVER |
| ALTER ANY CREDENTIAL | CONTROL SERVER |
| ALTER ANY DATABASE | CONTROL SERVER |
| ALTER ANY ENDPOINT | CONTROL SERVER |
| ALTER ANY EVENT NOTIFICATION | CONTROL SERVER |
| ALTER ANY EVENT SESSION | CONTROL SERVER |
| ALTER ANY LINKED SERVER | CONTROL SERVER |
| ALTER ANY LOGIN | CONTROL SERVER |
| ALTER ANY SERVER AUDIT | CONTROL SERVER |
| ALTER ANY SERVER ROLE 适用范围: SQL Server (SQL Server 2012 (11.x) 到 当前版本)。 |
CONTROL SERVER |
| ALTER RESOURCES | CONTROL SERVER |
| ALTER SERVER STATE | CONTROL SERVER |
| ALTER SETTINGS | CONTROL SERVER |
| ALTER TRACE | CONTROL SERVER |
| AUTHENTICATE SERVER | CONTROL SERVER |
| CONNECT ANY DATABASE 适用范围: SQL Server (SQL Server 2014 (12.x) 到 当前版本)。 |
CONTROL SERVER |
| CONNECT SQL | CONTROL SERVER |
| CONTROL SERVER | CONTROL SERVER |
| CREATE ANY DATABASE | ALTER ANY DATABASE |
| CREATE AVAILABILITY GROUP 适用范围: SQL Server (SQL Server 2012 (11.x) 到 当前版本)。 |
ALTER ANY AVAILABILITY GROUP |
| CREATE DDL EVENT NOTIFICATION | ALTER ANY EVENT NOTIFICATION |
| CREATE ENDPOINT | ALTER ANY ENDPOINT |
| CREATE LOGIN 适用于:SQL Server 2022 (16.x) 及更高版本。 |
ALTER ANY LOGIN |
| CREATE SERVER ROLE 适用范围: SQL Server (SQL Server 2012 (11.x) 到 当前版本)。 |
ALTER ANY SERVER ROLE |
| CREATE TRACE EVENT NOTIFICATION | ALTER ANY EVENT NOTIFICATION |
| EXTERNAL ACCESS ASSEMBLY | CONTROL SERVER |
| IMPERSONATE ANY LOGIN 适用范围: SQL Server (SQL Server 2014 (12.x) 到 当前版本)。 |
CONTROL SERVER |
| SELECT ALL USER SECURABLES 适用范围: SQL Server (SQL Server 2014 (12.x) 到 当前版本)。 |
CONTROL SERVER |
| SHUTDOWN | CONTROL SERVER |
| UNSAFE ASSEMBLY | CONTROL SERVER |
| VIEW ANY DATABASE | VIEW ANY DEFINITION |
| VIEW ANY DEFINITION | CONTROL SERVER |
| VIEW SERVER STATE | ALTER SERVER STATE |
SQL Server 2014 (12.x) 中添加了以下三个服务器权限。
CONNECT ANY DATABASE 权限
将 CONNECT ANY DATABASE 授予某个登录名,该登录名必须连接到当前存在的所有数据库和将来可能创建的任何新数据库。 不要在任何数据库中授予超过连接的任何权限。 与 SELECT ALL USER SECURABLES 或 VIEW SERVER STATE 结合使用,可审核进程查看所有数据或 SQL Server 实例上的所有数据库状态。
IMPERSONATE ANY LOGIN 权限
授予后,当连接到数据库时,允许中间层进程模拟连接到它的客户端帐户。 被拒绝时,高特权的登录名可以阻止模拟其他登录名。 例如,可通过模拟其他登录名来阻止具有 CONTROL SERVER 权限的登录名。
SELECT ALL USER SECURABLES 权限
授予该权限后,登录名可查看所有架构级对象(如表、视图和表值函数)中的数据,这些对象驻留了用户可写的架构(除 sys 和 INFORMATION_SCHEMA 之外的所有架构),可用于创建用户对象。 此权限在用户可连接到的所有数据库中都有效。 拒绝后,该权限会阻止对所有对象的访问,除非其位于 sys 或 INFORMATION_SCHEMA 架构中。 这也会影响所涵盖对象的元数据可见性,另请参阅:元数据可见性配置。
权限
授权者(或使用 AS 选项指定的主体)必须具有使用 GRANT OPTION 授予的权限本身,或具有隐含授予该权限的更高权限。 sysadmin 固定服务器角色成员可以授予任何权限。
示例
A. 为登录名授予权限
以下示例将 CONTROL SERVER 权限授予 SQL Server 登录名 TerryEminhizer。
USE master;
GRANT CONTROL SERVER TO TerryEminhizer;
GO
B. 授予具有 GRANT 权限的权限
以下示例为 SQL Server 登录名 JanethEsteves 授予 ALTER ANY EVENT NOTIFICATION 权限以及为其他登录名授予该权限的权限。
USE master;
GRANT ALTER ANY EVENT NOTIFICATION TO JanethEsteves WITH GRANT OPTION;
GO
C. 为服务器角色授予权限
以下示例创建名为 ITDevelopers 的服务器角色。 它向 ITDevelopers 服务器角色授予 ALTER ANY DATABASE 权限。
USE master;
CREATE SERVER ROLE ITDevelopers ;
GRANT ALTER ANY DATABASE TO ITDevelopers ;
GO
另请参阅
GRANT (Transact-SQL)
DENY (Transact-SQL)
DENY 服务器权限 (Transact-SQL)
REVOKE 服务器权限 (Transact-SQL)
权限层次结构(数据库引擎)
主体(数据库引擎)
权限(数据库引擎)
sys.fn_builtin_permissions (Transact-SQL)
sys.fn_my_permissions (Transact-SQL)
HAS_PERMS_BY_NAME (Transact-SQL)