適用於:
sql Server Azure SQL 資料庫 Azure SQL 受控執行個體Azure Synapse Analytics Analytics Platform System (PDW) SQL 分析端點Microsoft網狀架構倉儲中的 Microsoft FabricSQL 資料庫Microsoft網狀架構
每個 SQL Server 安全性實體都具有可授與主體的關聯權限。 在資料庫引擎中,指派給登入與伺服器角色的權限會在伺服器層級管理,而指派給資料庫使用者與資料庫角色的權限則會在資料庫層級進行管理。 Azure SQL Database 模型具有相同的資料庫權限系統,但無法使用伺服器層級的權限。 本文包含完整的權限清單。 如需權限的一般實作,請參閱 資料庫引擎權限使用者入門。
SQL Server 2022 (16.x) 的權限總數為 292。 Azure SQL Database 公開 292 個權限。 大部分的權限適用於所有平台,但某些無法適用。 例如,大部分的伺服器層級權限無法在 Azure SQL Database 上授與,而少數的權限僅在 Azure SQL Database 上才有意義。 新的版本會逐漸引入新的權限。 SQL Server 2019 (15.x) 公開 248 個權限。SQL Server 2017 (14.x) 公開 238 個權限。 SQL Server 2016 (13.x) 公開了 230 個權限。 SQL Server 2014 (12.x) 公開了 219 個權限。 SQL Server 2012 (11.x) 公開了 214 個權限。 SQL Server 2008 R2 (10.50.x) 公開了 195 個權限。 sys.fn_builtin_permissions 文章指定了哪些權限是最新版本中的新權限。
在 Microsoft Fabric 的 SQL 資料庫中,僅支援資料庫層級的使用者和角色。 無法使用伺服器層級登入、角色和 sa 帳戶。 在 Microsoft Fabric 的 SQL 資料庫中,Microsoft資料庫使用者的 Entra ID 是唯一支援的驗證方法。 如需詳細資訊,請參閱 Microsoft Fabric 中的 SQL 資料庫中的授權。
一旦了解所需權限後,您就可以透過 GRANT、REVOKE 和 DENY 陳述式,將伺服器層級權限套用至登入或伺服器角色,以及將資料庫層級權限套用至使用者或資料庫角色。 例如:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
如需規劃權限系統的秘訣,請參閱 資料庫引擎權限使用者入門。
權限命名慣例
以下描述一般權限命名慣例:
控制
將類似擁有權的能力授與被授與者。 被授與者實際上擁有安全性實體上已定義的所有權限。 已被授與 CONTROL 的實體也可以將安全性實體上的權限授與其他人。 因為 SQL Server 安全性模型是階層式的,所以在特定範圍內的 CONTROL 隱含包含該範圍下所有安全性實體上的 CONTROL 權限。 例如,資料庫上的 CONTROL 權限隱含表示該資料庫上的所有權限,該資料庫中所有組件上的權限、該資料庫中所有結構描述上的權限,以及該資料庫中所有結構描述內所有物件上的權限。
改變
授與變更特定安全性實體之屬性 (除了擁有權之外) 的能力。 在特定範圍授與 ALTER 權限時,也會一併授與改變、建立或卸除該範圍內包含之任何安全性實體的能力。 例如,結構描述上的 ALTER 權限包括建立、改變與卸除結構描述之物件的能力。
ALTER ANY <伺服器安全性實體>,其中伺服器安全性實體可以是任何伺服器安全性實體。
授與 伺服器安全性實體的 CREATE、ALTER 或 DROP 個別執行個體的能力。 例如,ALTER ANY LOGIN 會授與建立、改變或卸除執行個體中任何登入的能力。
ALTER ANY <資料庫安全性實體>,其中資料庫安全性實體可以是任何資料庫層級的安全性實體。
授與 資料庫安全性實體的 CREATE、ALTER 或 DROP 個別執行個體能力。 例如,ALTER ANY SCHEMA 會授與建立、改變或卸除資料庫中任何結構描述的能力。
掌握主控權
讓被授與者可以取得被授與之安全性實體的擁有權。
IMPERSONATE <登入>
讓被授與者可以模擬登入。
IMPERSONATE <使用者>
讓被授與者可以模擬使用者。
CREATE <伺服器安全性實體>
為被授與者授與建立 伺服器安全性實體的能力。
CREATE <資料庫安全性實體>
為被授與者授與建立 資料庫安全性實體的能力。
CREATE <包含結構描述的安全性實體>
授與建立結構描述包含的安全性實體之能力。 然而,需要結構描述上的 ALTER 權限才能在特定結構描述中建立該安全性實體。
檢視定義
讓被授與者能存取中繼資料。
參考文獻
需要資料表的 REFERENCES 權限,才能建立參考該資料表的 FOREIGN KEY 條件約束。
需要物件的 REFERENCES 權限,才能建立具有可參考該物件之
WITH SCHEMABINDING的 FUNCTION 或 VIEW。
SQL Server 權限的圖表
下圖顯示這些權限及其彼此間的關聯性。 一些較高等級的權限 (例如 CONTROL SERVER) 會多次列出。 本文的海報字級太小,無法閱讀。 您可以下載 PDF 格式的全尺寸資料庫引擎權限海報。
適用於特定安全性實體的權限
下表列出主要的權限類別,以及這些類別的權限可能適用的安全性實體。
| 權限 | 適用於 |
|---|---|
| 改變 | 除了 TYPE 之外的所有物件類別。 |
| 控制 | 所有物件類別︰ AGGREGATE、 APPLICATION ROLE、 ASSEMBLY、 ASYMMETRIC KEY、 AVAILABILITY GROUP、 CERTIFICATE、 CONTRACT、 CREDENTIALS、 DATABASE、 DATABASE SCOPED CREDENTIAL、 DEFAULT、 ENDPOINT、 FULLTEXT CATALOG、 FULLTEXT STOPLIST、 FUNCTION、 LOGIN、 MESSAGE TYPE、 PROCEDURE、 QUEUE、 REMOTE SERVICE BINDING、 ROLE、 ROUTE、 RULE、 SCHEMA、 SEARCH PROPERTY LIST、 SERVER、 SERVER ROLE、 SERVICE、 SYMMETRIC KEY、 SYNONYM、 TABLE、 TYPE、 USER、 VIEW,以及 XML 架構集合 |
| 刪除 | 除了 DATABASE SCOPED CONFIGURATION、SERVER 及 TYPE 之外的所有物件類別。 |
| 執行 CREATE 陳述式之前,請先執行 | CLR 類型、外部指令碼、程序 (Transact-SQL 與 CLR)、純量與彙總函式 (Transact-SQL 與 CLR) 及同義字 |
| 冒充 | 登入和使用者 |
| Insert | 同義字、資料表與資料行、檢視與資料行。 權限可以在資料庫、結構描述或物件層級授與。 |
| 收到 | Service Broker 佇列 |
| 參考文獻 | AGGREGATE、 ASSEMBLY、 ASYMMETRIC KEY、 CERTIFICATE、 CONTRACT、 CREDENTIAL (適用於 SQL Server 2022 (16.x) 和更新版本)、 DATABASE、 DATABASE SCOPED CREDENTIAL、 FULLTEXT CATALOG、 FULLTEXT STOPLIST、 FUNCTION、 MESSAGE TYPE、 PROCEDURE、 QUEUE、 RULE、 SCHEMA、 SEARCH PROPERTY LIST、 SEQUENCE OBJECT、 SYMMETRIC KEY、 TABLE、 TYPE、 VIEW,以及 XML 架構集合 |
| 選擇 | 同義字、資料表與資料行、檢視與資料行。 權限可以在資料庫、結構描述或物件層級授與。 |
| 掌握主控權 | 除了 DATABASE SCOPED CONFIGURATION、LOGIN、SERVER 及 USER 之外的所有物件類別。 |
| 更新 | 同義字、資料表與資料行、檢視與資料行。 權限可以在資料庫、結構描述或物件層級授與。 |
| 查看變更追蹤 | 結構描述與資料表 |
| 檢視定義 | 除了 DATABASE SCOPED CONFIGURATION 及 SERVER 以外的所有物件類別。 |
警告
在安裝時為系統物件授與的預設權限,經過仔細評估可能面臨的威脅,因此在強化 SQL Server 安裝的過程中無須改變。 系統物件的任何權限變更,都可能會限制或破壞其功效,而可能會讓您的 SQL Server 安裝處於不支援的狀態。
SQL Server 權限
下表提供完整的 SQL Server 權限清單。 Azure SQL Database 權限僅供支援的基本安全性實體之用。 無法在 Azure SQL Database 中授與伺服器層級權限,不過,在某些情況下,會改為提供資料庫權限。
| 基底安全性實體 | 基底安全性實體上更細微的權限 | 權限類型代碼 | 包含基底安全性實體的安全性實體 | 容器安全性實體上隱含基底安全性實體之小權限的權限 |
|---|---|---|---|---|
| 應用角色 | 改變 | 鋁 | 資料庫 | 更改任何應用程式角色 |
| 應用角色 | 控制 | CL | 資料庫 | 控制 |
| 應用角色 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 議會 | 改變 | 鋁 | 資料庫 | 變更任何組件 |
| 議會 | 控制 | CL | 資料庫 | 控制 |
| 議會 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 議會 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 議會 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 非對稱密鑰 | 改變 | 鋁 | 資料庫 | 更改任何非對稱密鑰 |
| 非對稱密鑰 | 控制 | CL | 資料庫 | 控制 |
| 非對稱密鑰 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 非對稱密鑰 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 非對稱密鑰 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 可用性群組 | 改變 | 鋁 | 伺服器 | 變更任何可用性群組 |
| 可用性群組 | 控制 | CL | 伺服器 | 控制伺服器 |
| 可用性群組 | 掌握主控權 | 到 | 伺服器 | 控制伺服器 |
| 可用性群組 | 檢視定義 | 大眾 | 伺服器 | 查看任何定義 |
| 證書 | 改變 | 鋁 | 資料庫 | 變更任何證書 |
| 證書 | 控制 | CL | 資料庫 | 控制 |
| 證書 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 證書 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 證書 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 合同 | 改變 | 鋁 | 資料庫 | 修改任何合約 |
| 合同 | 控制 | CL | 資料庫 | 控制 |
| 合同 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 合同 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 合同 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 憑據 | 控制 | CL | 伺服器 | 控制伺服器 |
| 憑據 | 參考文獻 | 射頻 | 伺服器 | 更改任何憑證 |
| 資料庫 | 管理資料庫批量操作 | DABO | 伺服器 | 控制伺服器 |
| 資料庫 | 改變 | 鋁 | 伺服器 | 變更任何資料庫 |
| 資料庫 | 更改任何應用程式角色 | 阿拉爾 | 伺服器 | 控制伺服器 |
| 資料庫 | 變更任何組件 | 唉 | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何非對稱密鑰 | ALAK | 伺服器 | 控制伺服器 |
| 資料庫 | 變更任何證書 | ALCF | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何列加密金鑰 | ALCK 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 控制伺服器 |
| 資料庫 | 變更任意列主密鑰 | ALCM 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 控制伺服器 |
| 資料庫 | 修改任何合約 | ALSC | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何資料庫稽核 | 阿爾達 | 伺服器 | 更改任何伺服器審計 |
| 資料庫 | 更改任何資料庫 DDL 觸發器 | ALTG | 伺服器 | 控制伺服器 |
| 資料庫 | 變更任何資料庫事件通知 | ALED | 伺服器 | 更改任何事件通知 |
| 資料庫 | 修改任何資料庫事件會話 | AADS | 伺服器 | 更改任何事件會話 |
| 資料庫 | 修改任何資料庫事件工作階段新增事件 | LDAE | 伺服器 | ALTER ANY EVENT SESSION 新增事件 |
| 資料庫 | ALTER 任何數據庫事件會話 ADD 目標 | LDAT | 伺服器 | 更改任何事件會話新增目標 |
| 資料庫 | ALTER ANY DATABASE EVENT SESSION 停用 | DDES | 伺服器 | 更改任何事件會話停用 |
| 資料庫 | 修改任何資料庫事件會話以刪除事件 | LDDE | 伺服器 | 更改任意事件會話刪除事件 |
| 資料庫 | ALTER 任何資料庫事件工作階段 刪除目標 | LDDT | 伺服器 | 修改任何事件會話刪除目標 |
| 資料庫 | 更改任何資料庫事件會話啟用 | EDES | 伺服器 | ALTER ANY EVENT SESSION 啟用 |
| 資料庫 | 更改任何資料庫事件會話選項 | LDSO | 伺服器 | 更改任何事件會話選項 |
| 資料庫 | 更改任何資料庫範圍的配置 | ALDC 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 控制伺服器 |
| 資料庫 | 修改任何資料空間 | ALDS | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何外部資料來源 | AEDS | 伺服器 | 控制伺服器 |
| 資料庫 | 修改任何外部檔案格式 | AEFF | 伺服器 | 控制伺服器 |
| 資料庫 | ALTER ANY 外部工作 | AESJ | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何外部語言 | ALLA | 伺服器 | 控制伺服器 |
| 資料庫 | 修改任何外部庫 | ALEL | 伺服器 | 控制伺服器 |
| 資料庫 | 修改任何外部流 | AEST | 伺服器 | 控制伺服器 |
| 資料庫 | ALTER ANY 全文目錄 | ALFT | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何遮罩 | AAMK 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 控制伺服器 |
| 資料庫 | 更改任何訊息類型 | ALMT | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何遠端服務綁定 | ALSB | 伺服器 | 控制伺服器 |
| 資料庫 | 變更任何角色 | ALRL | 伺服器 | 控制伺服器 |
| 資料庫 | 變更任何路由 | ALRT | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何架構 | ALSM | 伺服器 | 控制伺服器 |
| 資料庫 | 更改任何安全策略 | ALSP 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 控制伺服器 |
| 資料庫 | 改變任何敏感度分類 | AASC 適用於 SQL Server (SQL Server 2019 (15.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 控制伺服器 |
| 資料庫 | 變更任何服務 | ALSV | 伺服器 | 控制伺服器 |
| 資料庫 | 變更任意對稱金鑰 | ALSK | 伺服器 | 控制伺服器 |
| 資料庫 | 修改任何使用者 | ALUS | 伺服器 | 控制伺服器 |
| 資料庫 | ALTER LEDGER | ALR | 伺服器 | 控制 |
| 資料庫 | 修改台帳設定 | ALC | 伺服器 | 控制伺服器 |
| 資料庫 | 證實 | 認證 | 伺服器 | 驗證伺服器 |
| 資料庫 | 備份資料庫 | BADB | 伺服器 | 控制伺服器 |
| 資料庫 | 備份日誌 | BALO | 伺服器 | 控制伺服器 |
| 資料庫 | 檢查站 | CP | 伺服器 | 控制伺服器 |
| 資料庫 | 連接 | 一氧化碳 | 伺服器 | 控制伺服器 |
| 資料庫 | 連接複製 | 公司 | 伺服器 | 控制伺服器 |
| 資料庫 | 控制 | CL | 伺服器 | 控制伺服器 |
| 資料庫 | 創建聚合 | 峭壁 | 伺服器 | 控制伺服器 |
| 資料庫 | 創建任何資料庫事件會話 | CRDS | 伺服器 | 建立任何事件會話 |
| 資料庫 | CREATE ASSEMBLY(建立組件) | CRAS | 伺服器 | 控制伺服器 |
| 資料庫 | 建立非對稱金鑰 | CRAK | 伺服器 | 控制伺服器 |
| 資料庫 | 創建證書 | CRCF | 伺服器 | 控制伺服器 |
| 資料庫 | 建立合約 | CRSC | 伺服器 | 控制伺服器 |
| 資料庫 | 建立資料庫 | CRDB | 伺服器 | 建立任何資料庫 |
| 資料庫 | 建立資料庫 DDL 事件通知 | CRED | 伺服器 | 建立 DDL 事件通知 |
| 資料庫 | 建立預設值 | CRDF | 伺服器 | 控制伺服器 |
| 資料庫 | 創建外部語言 | CRLA | 伺服器 | 控制伺服器 |
| 資料庫 | 建立外部程式庫 | CREL | 伺服器 | 控制伺服器 |
| 資料庫 | 建立全文目錄 | CRFT | 伺服器 | 控制伺服器 |
| 資料庫 | 建立函數 | CRFN | 伺服器 | 控制伺服器 |
| 資料庫 | 建立消息類型 | CRMT | 伺服器 | 控制伺服器 |
| 資料庫 | 建立程序 | CRPR | 伺服器 | 控制伺服器 |
| 資料庫 | 建立佇列 | CRQU | 伺服器 | 控制伺服器 |
| 資料庫 | 建立遠端服務系結 | 資源共享平台 (CRSB) | 伺服器 | 控制伺服器 |
| 資料庫 | 建立角色 | CRRL | 伺服器 | 控制伺服器 |
| 資料庫 | 建立路由 | CRRT(連續性腎臟替代療法) | 伺服器 | 控制伺服器 |
| 資料庫 | 建立規則 | CRRU | 伺服器 | 控制伺服器 |
| 資料庫 | 建立結構描述 | CRSM | 伺服器 | 控制伺服器 |
| 資料庫 | 建立服務 | CRSV | 伺服器 | 控制伺服器 |
| 資料庫 | 建立對稱金鑰 | CRSK | 伺服器 | 控制伺服器 |
| 資料庫 | CREATE 同義字 | CRSN | 伺服器 | 控制伺服器 |
| 資料庫 | 建立資料表 | CRTB | 伺服器 | 控制伺服器 |
| 資料庫 | 建立類型 | CRTY | 伺服器 | 控制伺服器 |
| 資料庫 | 創建使用者 | CUSR | 伺服器 | 控制伺服器 |
| 資料庫 | 建立視圖 | CRVW | 伺服器 | 控制伺服器 |
| 資料庫 | 建立 XML 架構集合 | CRXS | 伺服器 | 控制伺服器 |
| 資料庫 | 刪除 | DL | 伺服器 | 控制伺服器 |
| 資料庫 | 刪除任何資料庫事件會話 | DRDS | 伺服器 | 刪除任何事件會話 |
| 資料庫 | 啟用總賬 | EL | 伺服器 | 控制 |
| 資料庫 | 執行 CREATE 陳述式之前,請先執行 | 前任 | 伺服器 | 控制伺服器 |
| 資料庫 | 執行任何外部端點 | EAEE | 伺服器 | 控制伺服器 |
| 資料庫 | 執行任何外部腳本 | EAES 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)。 |
伺服器 | 控制伺服器 |
| 資料庫 | Insert | 在內 | 伺服器 | 控制伺服器 |
| 資料庫 | 終止資料庫連線 | KIDC 僅適用於 Azure SQL Database。 在 SQL Server 中使用 ALTER ANY CONNECTION。 |
伺服器 | 變更任何連線 |
| 資料庫 | 參考文獻 | 射頻 | 伺服器 | 控制伺服器 |
| 資料庫 | 選擇 | SL | 伺服器 | 控制伺服器 |
| 資料庫 | SHOWPLAN | S打法 | 伺服器 | 更改追蹤 |
| 資料庫 | 訂閱查詢通知 | SUQN | 伺服器 | 控制伺服器 |
| 資料庫 | 掌握主控權 | 到 | 伺服器 | 控制伺服器 |
| 資料庫 | 揭露 | UMSK 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 控制伺服器 |
| 資料庫 | 更新 | 向上 | 伺服器 | 控制伺服器 |
| 資料庫 | 檢視任何數據行加密金鑰定義 | VWCK 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 查看伺服器狀態 |
| 資料庫 | 檢視任何資料行主要金鑰定義 | VWCM 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
伺服器 | 查看伺服器狀態 |
| 資料庫 | 檢視任何敏感度分類 | VASC | 伺服器 | 控制伺服器 |
| 資料庫 | 查看以密碼學方式保護的定義 | 影片光碟 (VCD) | 伺服器 | 檢視任何密碼編譯保護的定義 |
| 資料庫 | 檢視資料庫效能狀態 | VDP | 伺服器 | 檢視伺服器效能狀態 |
| 資料庫 | 檢視資料庫安全性稽核 | VDSA | 伺服器 | 控制伺服器 |
| 資料庫 | 檢視資料庫安全性狀態 | VDS | 伺服器 | 檢視伺服器安全性狀態 |
| 資料庫 | 檢視資料庫狀態 | VWDS | 伺服器 | 查看伺服器狀態 |
| 資料庫 | 檢視定義 | 大眾 | 伺服器 | 查看任何定義 |
| 資料庫 | 檢視總賬內容 | VLC | 伺服器 | 控制 |
| 資料庫 | 檢視安全性定義 | VWS | 伺服器 | 檢視任何安全性定義 |
| 資料庫 | 檢視效能定義 | 免簽計劃 (VWP) | 伺服器 | 檢視任何效能定義 |
| 資料庫範圍憑證 | 改變 | 鋁 | 資料庫 | 控制 |
| 資料庫範圍憑證 | 控制 | CL | 資料庫 | 控制 |
| 資料庫範圍憑證 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 資料庫範圍憑證 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 資料庫範圍憑證 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 端點 | 改變 | 鋁 | 伺服器 | 修改任何端點 |
| 端點 | 連接 | 一氧化碳 | 伺服器 | 控制伺服器 |
| 端點 | 控制 | CL | 伺服器 | 控制伺服器 |
| 端點 | 掌握主控權 | 到 | 伺服器 | 控制伺服器 |
| 端點 | 檢視定義 | 大眾 | 伺服器 | 查看任何定義 |
| 全文目錄 | 改變 | 鋁 | 資料庫 | ALTER ANY 全文目錄 |
| 全文目錄 | 控制 | CL | 資料庫 | 控制 |
| 全文目錄 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 全文目錄 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 全文目錄 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 全文停止詞列表 | 改變 | 鋁 | 資料庫 | ALTER ANY 全文目錄 |
| 全文停止詞列表 | 控制 | CL | 資料庫 | 控制 |
| 全文停止詞列表 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 全文停止詞列表 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 全文停止詞列表 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 登錄 | 改變 | 鋁 | 伺服器 | 變更任意登入 |
| 登錄 | 控制 | CL | 伺服器 | 控制伺服器 |
| 登錄 | 冒充 | 即時通信 | 伺服器 | 控制伺服器 |
| 登錄 | 檢視定義 | 大眾 | 伺服器 | 查看任何定義 |
| 訊息類型 | 改變 | 鋁 | 資料庫 | 更改任何訊息類型 |
| 訊息類型 | 控制 | CL | 資料庫 | 控制 |
| 訊息類型 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 訊息類型 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 訊息類型 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 物件 | 改變 | 鋁 | 圖式 | 改變 |
| 物件 | 控制 | CL | 圖式 | 控制 |
| 物件 | 刪除 | DL | 圖式 | 刪除 |
| 物件 | 執行 CREATE 陳述式之前,請先執行 | 前任 | 圖式 | 執行 CREATE 陳述式之前,請先執行 |
| 物件 | Insert | 在內 | 圖式 | Insert |
| 物件 | 收到 | 鋼筋混凝土 | 圖式 | 控制 |
| 物件 | 參考文獻 | 射頻 | 圖式 | 參考文獻 |
| 物件 | 選擇 | SL | 圖式 | 選擇 |
| 物件 | 掌握主控權 | 到 | 圖式 | 控制 |
| 物件 | 揭露 | UMSK | 圖式 | 揭露 |
| 物件 | 更新 | 向上 | 圖式 | 更新 |
| 物件 | 查看變更追蹤 | VWCT | 圖式 | 查看變更追蹤 |
| 物件 | 檢視定義 | 大眾 | 圖式 | 檢視定義 |
| 遠端服務綁定 | 改變 | 鋁 | 資料庫 | 更改任何遠端服務綁定 |
| 遠端服務綁定 | 控制 | CL | 資料庫 | 控制 |
| 遠端服務綁定 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 遠端服務綁定 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 角色 | 改變 | 鋁 | 資料庫 | 變更任何角色 |
| 角色 | 控制 | CL | 資料庫 | 控制 |
| 角色 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 角色 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 路線 | 改變 | 鋁 | 資料庫 | 變更任何路由 |
| 路線 | 控制 | CL | 資料庫 | 控制 |
| 路線 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 路線 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 圖式 | 改變 | 鋁 | 資料庫 | 更改任何架構 |
| 圖式 | 控制 | CL | 資料庫 | 控制 |
| 圖式 | CREATE SEQUENCE(建立序列) | CRSO | 資料庫 | 控制 |
| 圖式 | 刪除 | DL | 資料庫 | 刪除 |
| 圖式 | 執行 CREATE 陳述式之前,請先執行 | 前任 | 資料庫 | 執行 CREATE 陳述式之前,請先執行 |
| 圖式 | Insert | 在內 | 資料庫 | Insert |
| 圖式 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 圖式 | 選擇 | SL | 資料庫 | 選擇 |
| 圖式 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 圖式 | 揭露 | UMSK | 資料庫 | 揭露 |
| 圖式 | 更新 | 向上 | 資料庫 | 更新 |
| 圖式 | 查看變更追蹤 | VWCT | 資料庫 | 查看變更追蹤 |
| 圖式 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 搜尋房產清單 | 改變 | 鋁 | 伺服器 | ALTER ANY 全文目錄 |
| 搜尋房產清單 | 控制 | CL | 伺服器 | 控制 |
| 搜尋房產清單 | 參考文獻 | 射頻 | 伺服器 | 參考文獻 |
| 搜尋房產清單 | 掌握主控權 | 到 | 伺服器 | 控制 |
| 搜尋房產清單 | 檢視定義 | 大眾 | 伺服器 | 檢視定義 |
| 伺服器 | 管理批量操作 | ADBO | 不適用 | 不適用 |
| 伺服器 | 變更任何可用性群組 | ALAG | 不適用 | 不適用 |
| 伺服器 | 變更任何連線 | ALCO | 不適用 | 不適用 |
| 伺服器 | 更改任何憑證 | ALCD | 不適用 | 不適用 |
| 伺服器 | 變更任何資料庫 | ALDB | 不適用 | 不適用 |
| 伺服器 | 修改任何端點 | ALHE | 不適用 | 不適用 |
| 伺服器 | 更改任何事件通知 | 艾爾啤酒 | 不適用 | 不適用 |
| 伺服器 | 更改任何事件會話 | AAES | 不適用 | 不適用 |
| 伺服器 | ALTER ANY EVENT SESSION 新增事件 | LSAE | 不適用 | 不適用 |
| 伺服器 | 更改任何事件會話新增目標 | LSAT(法學院入學考試) | 不適用 | 不適用 |
| 伺服器 | ALTER ANY EVENT SESSION DISABLE | DES(資料加密標準) | 不適用 | 不適用 |
| 伺服器 | 修改任何事件會話並刪除事件 | LSDE | 不適用 | 不適用 |
| 伺服器 | 修改任何事件會話刪除目標 | LSDT | 不適用 | 不適用 |
| 伺服器 | ALTER ANY EVENT SESSION 啟用 | EES | 不適用 | 不適用 |
| 伺服器 | 更改任何事件會話選項 | LESO | 不適用 | 不適用 |
| 伺服器 | 更改任何連接的伺服器 | ALLS | 不適用 | 不適用 |
| 伺服器 | 變更任意登入 | ALLG | 不適用 | 不適用 |
| 伺服器 | 更改任何伺服器審計 | ALAA | 不適用 | 不適用 |
| 伺服器 | 變更任何伺服器角色 | ALSR | 不適用 | 不適用 |
| 伺服器 | 更改資源 | ALRS | 不適用 | 不適用 |
| 伺服器 | 更改伺服器狀態 | ALSS | 不適用 | 不適用 |
| 伺服器 | 修改設定 | 艾爾斯特 | 不適用 | 不適用 |
| 伺服器 | 更改追蹤 | ALTR | 不適用 | 不適用 |
| 伺服器 | 驗證伺服器 | 認證 | 不適用 | 不適用 |
| 伺服器 | 連接任何資料庫 | CADB | 不適用 | 不適用 |
| 伺服器 | 連接 SQL | COSQ | 不適用 | 不適用 |
| 伺服器 | 控制伺服器 | CL | 不適用 | 不適用 |
| 伺服器 | 建立任何資料庫 | CRDB | 不適用 | 不適用 |
| 伺服器 | 建立可用性群組 | CRAC | 不適用 | 不適用 |
| 伺服器 | 建立 DDL 事件通知 | CRDE | 不適用 | 不適用 |
| 伺服器 | 建立端點 | CRHE | 不適用 | 不適用 |
| 伺服器 | 建立伺服器角色 | CRSR | 不適用 | 不適用 |
| 伺服器 | 建立追蹤事件通知 | CRTE | 不適用 | 不適用 |
| 伺服器 | 外部存取組件 | XA | 不適用 | 不適用 |
| 伺服器 | 冒充任何登入 | IAL (國際航空聯盟) | 不適用 | 不適用 |
| 伺服器 | 選取所有使用者安全性物件 | SUS | 不適用 | 不適用 |
| 伺服器 | 關機 | SHDN | 不適用 | 不適用 |
| 伺服器 | 不安全集會 | 徐 | 不適用 | 不適用 |
| 伺服器 | 查看任何資料庫 | VWDB | 不適用 | 不適用 |
| 伺服器 | 查看任何定義 | VWAD | 不適用 | 不適用 |
| 伺服器 | 查看伺服器狀態 | VWSS | 不適用 | 不適用 |
| 伺服器角色 | 改變 | 鋁 | 伺服器 | 變更任何伺服器角色 |
| 伺服器角色 | 控制 | CL | 伺服器 | 控制伺服器 |
| 伺服器角色 | 掌握主控權 | 到 | 伺服器 | 控制伺服器 |
| 伺服器角色 | 檢視定義 | 大眾 | 伺服器 | 查看任何定義 |
| 服務 | 改變 | 鋁 | 資料庫 | 變更任何服務 |
| 服務 | 控制 | CL | 資料庫 | 控制 |
| 服務 | 發送 | 錫 | 資料庫 | 控制 |
| 服務 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 服務 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 對稱金鑰 | 改變 | 鋁 | 資料庫 | 變更任意對稱金鑰 |
| 對稱金鑰 | 控制 | CL | 資料庫 | 控制 |
| 對稱金鑰 | 參考文獻 | 射頻 | 資料庫 | 參考文獻 |
| 對稱金鑰 | 掌握主控權 | 到 | 資料庫 | 控制 |
| 對稱金鑰 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| 類型 | 控制 | CL | 圖式 | 控制 |
| 類型 | 執行 CREATE 陳述式之前,請先執行 | 前任 | 圖式 | 執行 CREATE 陳述式之前,請先執行 |
| 類型 | 參考文獻 | 射頻 | 圖式 | 參考文獻 |
| 類型 | 掌握主控權 | 到 | 圖式 | 控制 |
| 類型 | 檢視定義 | 大眾 | 圖式 | 檢視定義 |
| 使用者 | 改變 | 鋁 | 資料庫 | 修改任何使用者 |
| 使用者 | 控制 | CL | 資料庫 | 控制 |
| 使用者 | 冒充 | 即時通信 | 資料庫 | 控制 |
| 使用者 | 檢視定義 | 大眾 | 資料庫 | 檢視定義 |
| XML 架構集合 | 改變 | 鋁 | 圖式 | 改變 |
| XML 架構集合 | 控制 | CL | 圖式 | 控制 |
| XML 架構集合 | 執行 CREATE 陳述式之前,請先執行 | 前任 | 圖式 | 執行 CREATE 陳述式之前,請先執行 |
| XML 架構集合 | 參考文獻 | 射頻 | 圖式 | 參考文獻 |
| XML 架構集合 | 掌握主控權 | 到 | 圖式 | 控制 |
| XML 架構集合 | 檢視定義 | 大眾 | 圖式 | 檢視定義 |
新增至 SQL Server 2022 的新細微權限
下列權限會新增至 SQL Server 2022:
已新增 10 個新權限,以允許存取系統中繼資料。
已為擴充事件新增 18 個新權限。
已針對與安全性相關的物件新增了 9 個新權限。
已為總帳新增了 4 個權限。
3 個額外的資料庫權限。
如需詳細資訊,請參閱 SQL Server 2022 和 Azure SQL 的新細微權限,以改善 PoLP 的依從性。
系統中繼資料權限的存取權
伺服器層級:
- 檢視任何安全性定義
- 檢視任何效能定義
- 檢視伺服器安全性狀態
- 檢視伺服器效能狀態
- 檢視任何密碼編譯保護的定義
資料庫層級:
- 檢視資料庫安全性狀態
- 檢視資料庫效能狀態
- 檢視安全性定義
- 檢視效能定義
- 查看以密碼學方式保護的定義
擴充事件權限
伺服器層級:
- 建立任何事件會話
- 刪除任何事件會話
- 更改任何事件會話選項
- ALTER ANY EVENT SESSION 新增事件
- 修改任何事件會話 刪除事件
- ALTER ANY EVENT SESSION 啟用
- 更改任何事件會話禁用
- 更改任何事件會話新增目標
- 修改任何事件會話刪除目標
所有這些權限都位於相同的父權限之下:ALTER ANY EVENT SESSION
資料庫層級:
- 創建任何資料庫事件會話
- 刪除任何資料庫事件會話
- 更改任何資料庫事件會話選項
- ALTER ANY DATABASE EVENT SESSION 任何資料庫事件會話 ALTER ANY DATABASE EVENT SESSION 添加事件 ADD EVENT
- 修改任何資料庫事件會話以刪除事件
- ALTER ANY DATABASE EVENT SESSION ENABLE
- ALTER ANY DATABASE EVENT SESSION DISABLE (禁用任何資料庫事件會話)
- 更改任何資料庫事件會話以新增目標
- ALTER 任何資料庫事件工作階段 刪除目標
所有這些權限都位於相同的父權限之下:ALTER ANY DATABASE EVENT SESSION
與安全性相關的物件權限
- 控制(憑證)
- 創建登入帳戶
- 創建使用者
- 參考(憑證)
- 揭露(物件)
- UNMASK (SCHEMA)
- 檢視任何錯誤記錄檔
- 檢視伺服器安全性稽核
- 檢視資料庫安全性稽核
總帳權限
- ALTER LEDGER
- 修改台帳設定
- 啟用總賬
- 檢視總賬內容
其他資料庫權限
- ALTER ANY 外部工作
- 修改任何外部流
- 執行任何外部端點
權限檢查演算法的摘要
檢查權限可能很複雜。 權限檢查演算法包含重疊的群組成員資格和擁有權鏈結 (明確和隱含權限),而且可能會受到包含安全性實體之安全性實體類別的權限影響。 此演算法的一般程序是收集所有相關的權限。 如果找不到任何封鎖的 DENY,此演算法就會搜尋提供足夠存取權的 GRANT。 此演算法包含三個基本元素: 安全性內容、 權限空間和 必要權限。
注意
您無法授與、拒絕或撤銷 sa、dbo、實體擁有者、information_schema、sys 或自己的權限。
安全性內容
這是提供權限給存取權檢查的主體群組。 除非您使用 EXECUTE AS 陳述式,將安全性內容變更為其他登入或使用者,否則這些是與目前登入或使用者相關的權限。 安全性內容包含下列主體:
登入
使用者
角色成員資格
Windows 群組成員資格
如果正在使用模組簽署,則為用來簽署使用者目前正在執行之模組之憑證的任何登入或使用者帳戶,以及該主體的相關聯角色成員資格。
權限空間
這是安全性實體以及任何包含此安全性實體的任何安全性實體類別。 例如,資料表 (安全性實體) 會包含在結構描述安全性實體類別和資料庫安全性實體類別中。 存取權可能會受到資料表、結構描述、資料庫和伺服器層級權限影響。 如需詳細資訊,請參閱權限階層 (資料庫引擎)。
必要權限
必要的權限種類。 例如,INSERT、UPDATE、DELETE、SELECT、EXECUTE、ALTER、CONTROL 等等。
存取權可能會要求多種權限,如下列範例所示:
預存程序可能會要求預存程序的 EXECUTE 權限以及此預存程序所參考之若干資料表的 INSERT 權限。
動態管理檢視可能會要求此檢視的 VIEW SERVER STATE 和 SELECT 權限。
演算法的一般步驟
當此演算法正在判斷是否要允許存取安全性實體時,它所使用的確切步驟可能會因所涉及的主體和安全性實體而有所不同。 不過,此演算法會執行下列一般步驟:
如果登入是系統管理員 (sysadmin) 固定伺服器角色的成員,或者使用者是目前資料庫的 dbo 使用者,就會略過權限檢查。
如果擁有權鏈結適用,而且先前鏈結中的物件存取權檢查通過了安全性檢查,就會允許存取。
彙總與呼叫者相關聯的伺服器層級、資料庫層級和簽署模組識別,以便建立 安全性內容。
針對該 安全性內容,收集授與或拒絕 權限空間的所有權限。 您可以將權限明確陳述為 GRANT、GRANT WITH GRANT 或 DENY,否則這些權限可能是隱含或涵蓋的權限 GRANT 或 DENY。 例如,結構描述的 CONTROL 權限隱含資料表的 CONTROL, 而且資料表的 CONTROL 隱含 SELECT。 因此,如果您已授與結構描述的 CONTROL,就會授與資料表的 SELECT。 如果您已拒絕資料表的 CONTROL,就會拒絕資料表的 SELECT。
注意
資料行層級權限的 GRANT 會覆寫物件層級的 DENY。 如需詳細資訊,請參閱 DENY 物件許可權。
識別 必要權限。
如果您在 權限空間 中針對物件 安全性內容 的任何識別直接或隱含拒絕 必要權限,權限檢查就會失敗。
若未拒絕必要權限,而且必要權限包含直接或隱含地授與權限空間中任何物件的安全性內容中的任何身分識別的 GRANT 或 GRANT WITH GRANT 權限,則會通過權限檢查。
資料行層級權限的特殊考量
資料行層級權限會使用語法 <table_name>(<column _name>) 來授與。 例如:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
資料行上的 GRANT 會覆寫資料表上的 DENY。 不過,後續資料表上的 DENY 將會移除資料行的 GRANT。
範例
本節中的範例示範如何擷取權限資訊。
A。 傳回完整的可授與權限清單
下列陳述式會使用 fn_builtin_permissions 函式傳回所有資料庫引擎權限。 如需詳細資訊,請參閱 sys.fn_builtin_permissions (Transact-SQL)。
SELECT * FROM fn_builtin_permissions(default);
GO
B. 傳回特定物件類別的權限
下列範例使用 fn_builtin_permissions 檢視可供安全性實體類別目錄使用的所有權限。 範例會傳回組件的權限。
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. 傳回授與物件上執行中主體的權限
下列範例使用 fn_my_permissions 來傳回指定安全性實體之呼叫主體所持有的有效權限清單。 範例會傳回名為 Orders55 之物件的權限。 如需詳細資訊,請參閱 sys.fn_my_permissions (Transact-SQL)。
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. 傳回適用於指定物件的權限
下列範例會傳回適用於名為 Yttrium之物件的權限。 此內建函數OBJECT_ID是用來擷取物件Yttrium的識別碼。
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO