共用方式為


REVOKE 資料庫主體權限 (Transact-SQL)

撤銷授與或拒絕資料庫使用者、資料庫角色或應用程式角色的權限。

主題連結圖示 Transact-SQL 語法慣例

語法

REVOKE [ GRANT OPTION FOR ] permission [ ,...n ]  
    ON 
    {  [ USER :: database_user ]
       | [ ROLE :: database_role ]
       | [ APPLICATION ROLE :: application_role ]
    }
    { FROM | TO } <database_principal> [ ,...n ]
        [ CASCADE ]
    [ AS <database_principal> ]

<database_principal> ::=
        Database_user 
    | Database_role 
    | Application_role 
    | Database_user_mapped_to_Windows_User 
    | Database_user_mapped_to_Windows_Group 
    | Database_user_mapped_to_certificate 
    | Database_user_mapped_to_asymmetric_key 
    | Database_user_with_no_login

引數

  • permission
    指定可以撤銷的資料庫主體權限。 如需權限清單,請參閱這個主題稍後的「備註」一節。

  • USER ::database_user
    指定撤銷其權限之使用者的類別和名稱。 需要範圍限定詞 (::)。

  • ROLE ::database_role
    指定撤銷其權限之角色的類別和名稱。 需要範圍限定詞 (::)。

  • APPLICATION ROLE ::application_role
    指定撤銷其權限之應用程式角色的類別和名稱。 需要範圍限定詞 (::)。

  • GRANT OPTION
    指出會撤銷對其他主體授與指定權限的權限。 不會撤銷權限本身。

    重要事項重要事項

    如果主體有不含 GRANT 選項的指定權限,則會撤銷權限本身。

  • CASCADE
    指出目前正在撤銷的權限,而這個權限也會被這個主體所授與或拒絕的其他主體所撤銷。

    警告注意事項注意

    獲得授與 WITH GRANT OPTION 之權限的串聯撤銷,會同時撤銷該權限的 GRANT 和 DENY。

  • AS <database_principal>
    指定主體,執行這項查詢的主體會從這個主體衍生其權限來撤銷權限。

  • Database_user
    指定資料庫使用者。

  • Database_role
    指定資料庫角色。

  • Application_role
    指定應用程式角色。

  • Database_user_mapped_to_Windows_User
    指定對應至 Windows 使用者的資料庫使用者。

  • Database_user_mapped_to_Windows_Group
    指定對應至 Windows 群組的資料庫使用者。

  • Database_user_mapped_to_certificate
    指定對應至憑證的資料庫使用者。

  • Database_user_mapped_to_asymmetric_key
    指定對應至非對稱金鑰的資料庫使用者。

  • Database_user_with_no_login
    指定不含對應伺服器層級主體的資料庫使用者。

備註

資料庫使用者權限

資料庫使用者是一個由資料庫所包含的資料庫層級安全性實體,在權限階層中,此資料庫為該安全性實體的父系。 下表所列的是可以撤銷之最特定且最有限的資料庫使用者權限,並列出利用隱含方式來併入這些權限的較通用權限。

資料庫使用者權限

資料庫使用者權限所隱含

資料庫權限所隱含

CONTROL

CONTROL

CONTROL

IMPERSONATE

CONTROL

CONTROL

ALTER

CONTROL

ALTER ANY USER

VIEW DEFINITION

CONTROL

VIEW DEFINITION

資料庫角色權限

資料庫角色是一個由資料庫所包含的資料庫層級安全性實體,在權限階層中,此資料庫為該安全性實體的父系。 下表所列的是可以撤銷之最特定且最有限的資料庫角色權限,並列出利用隱含方式來併入這些權限的較通用權限。

資料庫角色權限

資料庫角色權限所隱含

資料庫權限所隱含

CONTROL

CONTROL

CONTROL

TAKE OWNERSHIP

CONTROL

CONTROL

ALTER

CONTROL

ALTER ANY ROLE

VIEW DEFINITION

CONTROL

VIEW DEFINITION

應用程式角色權限

應用程式角色是一個由資料庫所包含的資料庫層級安全性實體,在權限階層中,此資料庫為該安全性實體的父系。 下表所列的是可以撤銷之最特定且最有限的應用程式角色權限,並列出利用隱含方式來併入這些權限的較通用權限。

應用程式角色權限

應用程式角色權限所隱含

資料庫權限所隱含

CONTROL

CONTROL

CONTROL

ALTER

CONTROL

ALTER ANY APPLICATION ROLE

VIEW DEFINITION

CONTROL

VIEW DEFINITION

權限

需要指定主體的 CONTROL 權限,或需要隱含 CONTROL 權限的更高權限。

資料庫之 CONTROL 權限的被授與者 (例如 db_owner 固定資料庫角色的成員) 可以授與資料庫中任何安全性實體的任何權限。

範例

A.從其他使用者撤銷使用者的 CONTROL 權限

下列範例會從使用者 RolandX 撤銷 AdventureWorks2012 使用者 Wanida 的 CONTROL 權限。

USE AdventureWorks2012;
REVOKE CONTROL ON USER::Wanida FROM RolandX;
GO

B.從對其將 WITH GRANT OPTION 授與某角色的使用者,撤銷該角色的 VIEW DEFINITION 權限。

下列範例會從資料庫使用者 JinghaoLiu 撤銷 AdventureWorks2012 角色 SammamishParking 的 VIEW DEFINITION 權限。 指定 CASCADE 選項,是因為使用者 JinghaoLiu 被授與 VIEW DEFINITION 權限 WITH GRANT OPTION。

USE AdventureWorks2012;
REVOKE VIEW DEFINITION ON ROLE::SammamishParking 
    FROM JinghaoLiu CASCADE;
GO

C.從應用程式角色撤銷使用者的 IMPERSONATE 權限

下列範例會從 AdventureWorks2012 應用程式角色 AccountsPayable17 撤銷使用者 HamithaL 的 IMPERSONATE 權限。

USE AdventureWorks2012;
REVOKE IMPERSONATE ON USER::HamithaL FROM AccountsPayable17;
GO  

請參閱

參考

GRANT 資料庫主體權限 (Transact-SQL)

DENY 資料庫主體權限 (Transact-SQL)

sys.database_principals (Transact-SQL)

sys.database_permissions (Transact-SQL)

CREATE USER (Transact-SQL)

CREATE APPLICATION ROLE (Transact-SQL)

CREATE ROLE (Transact-SQL)

GRANT (Transact-SQL)

概念

權限 (Database Engine)

主體 (Database Engine)