分享方式:


DENY 物件權限 (Transact-SQL)

適用於:SQL Server Azure SQL 資料庫 Azure SQL 受控執行個體

為安全性實體之 OBJECT 類別的成員定義權限。 OBJECT 類別的成員包括:資料表、檢視表、資料表值函式、預存程序、擴充預存程序、純量函數、彙總函式、服務佇列和同義字。

Transact-SQL 語法慣例

語法

DENY <permission> [ ,...n ] ON   
    [ OBJECT :: ][ schema_name ]. object_name [ ( column [ ,...n ] ) ]  
        TO <database_principal> [ ,...n ]   
    [ CASCADE ]  
        [ AS <database_principal> ]  
  
<permission> ::=  
    ALL [ PRIVILEGES ] | permission [ ( column [ ,...n ] ) ]  
  
<database_principal> ::=   
        Database_user   
    | Database_role   
    | Application_role   
    | Database_user_mapped_to_Windows_User   
    | Database_user_mapped_to_Windows_Group   
    | Database_user_mapped_to_certificate   
    | Database_user_mapped_to_asymmetric_key   
    | Database_user_with_no_login  

引數

permission
指定可以拒絕的結構描述所含物件之權限。 如需權限清單,請參閱這個主題稍後的「備註」一節。

ALL
拒絕 ALL 不會拒絕所有可能的權限。 拒絕 ALL 相當於拒絕所有適用於指定物件的 ANSI-92 權限。 ALL 有多種意義,如下所示:

  • 純量函式權限:EXECUTE、REFERENCES。
  • 資料表值函式權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
  • 預存程序權限:EXECUTE。
  • 資料表權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
  • 檢視權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。

PRIVILEGES
為符合 ANSI-92 而包含這個項目。 不會變更 ALL 的行為。

column
在拒絕其權限之資料表、檢視或資料表值函式中指定資料行名稱。 它必須以括弧 ( ) 括住。 只能拒絕資料行的 SELECT、REFERENCES 及 UPDATE 權限。 column 可以在權限子句中或在安全性實體名稱之後指定 。

警告

資料表層級的 DENY 不會優先於資料行層級的 GRANT。 保留權限階層中這項不一致的目的,是為了與舊版相容。 在 SQL Server 中,如果伺服器設定為使用啟用通用條件合規性的伺服器設定來執行,則此行為會有所不同。 但這通常只能謹慎使用,不應當作一般做法。

ON [ OBJECT :: ] [ schema_name ] object_name
指定要拒絕其權限的物件。 若指定 schema_name,則 OBJECT 片語為選擇性。 若使用 OBJECT 片語,則範圍限定詞 ( :: ) 為必要項目。 若未指定 schema_name,則會使用預設結構描述。 如果指定 schema_name,則結構描述範圍限定詞 ( . ) 為必要項目。

TO <database_principal>
指定要拒絕其權限的主體。

CASCADE
指出目前受到拒絕的權限,也為這個主體曾授與此權限的其他主體所拒絕。

AS <database_principal>
指定主體,執行這項查詢的主體會從這個主體衍生權限來拒絕權限。

Database_user
指定資料庫使用者。

Database_role
指定資料庫角色。

Application_role
指定應用程式角色。

Database_user_mapped_to_Windows_User
指定對應至 Windows 使用者的資料庫使用者。

Database_user_mapped_to_Windows_Group
指定對應至 Windows 群組的資料庫使用者。

Database_user_mapped_to_certificate
指定對應至憑證的資料庫使用者。

Database_user_mapped_to_asymmetric_key
指定對應至非對稱金鑰的資料庫使用者。

Database_user_with_no_login
指定不含對應伺服器層級主體的資料庫使用者。

備註

可以在各種目錄檢視中看到物件的相關資訊。 如需詳細資訊,請參閱物件目錄檢視 (Transact-SQL)

物件是一個由結構描述所包含的結構描述層級安全性實體,在權限階層中,此結構描述為該安全性實體的父系。 下表所列的是可以拒絕之最特定和最有限制的物件權限,並列出利用隱含方式來併入這些權限的較通用權限。

物件權限 物件權限所隱含 結構描述權限所隱含
ALTER CONTROL ALTER
CONTROL CONTROL CONTROL
刪除 CONTROL 刪除
執行 CREATE 陳述式之前,請先執行 CONTROL 執行 CREATE 陳述式之前,請先執行
Insert CONTROL Insert
RECEIVE CONTROL CONTROL
REFERENCES CONTROL REFERENCES
SELECT RECEIVE SELECT
TAKE OWNERSHIP CONTROL CONTROL
UPDATE CONTROL UPDATE
VIEW CHANGE TRACKING CONTROL VIEW CHANGE TRACKING
VIEW DEFINITION CONTROL VIEW DEFINITION

權限

需要物件的 CONTROL 權限。

如果是使用 AS 子句,指定的主體必須擁有要拒絕其權限的物件。

範例

下列範例使用 AdventureWorks 資料庫。

A. 拒絕資料表的 SELECT 權限

下列範例會拒絕使用者 RosaQdMPerson.Address 資料表的 SELECT 權限。

DENY SELECT ON OBJECT::Person.Address TO RosaQdM;  
GO  

B. 拒絕預存程序的 EXECUTE 權限

下列範例會對一個稱為 EXECUTE 的應用程式角色拒絕預存程序 HumanResources.uspUpdateEmployeeHireInfoRecruiting11 權限。

DENY EXECUTE ON OBJECT::HumanResources.uspUpdateEmployeeHireInfo  
    TO Recruiting11;  
GO   

C. 拒絕具有 CASCADE 之檢視的 REFERENCES 權限

下列範例會對具有 REFERENCES 之使用者 BusinessEntityID 拒絕檢視 HumanResources.vEmployee 中之資料行 WanidaCASCADE 權限。

DENY REFERENCES (BusinessEntityID) ON OBJECT::HumanResources.vEmployee   
    TO Wanida CASCADE;  
GO  

另請參閱

GRANT 物件權限 (Transact-SQL)
REVOKE 物件權限 (Transact-SQL)
物件目錄檢視 (Transact-SQL)
權限 (資料庫引擎)
主體 (資料庫引擎)
安全性實體
sys.fn_builtin_permissions (Transact-SQL)
HAS_PERMS_BY_NAME (Transact-SQL)
sys.fn_my_permissions (Transact-SQL)