適用於:
SQL ServerAzure SQL 資料庫Azure SQL 受控執行個體Azure Synapse Analytics分析平台系統(PDW)Microsoft Fabric 中的 SQL 分析端點Microsoft Fabric 中的倉儲Microsoft Fabric 中的 SQL 資料庫
每個 SQL Server 安全性實體都具有可授與主體的關聯權限。 在資料庫引擎中,指派給登入與伺服器角色的權限會在伺服器層級管理,而指派給資料庫使用者與資料庫角色的權限則會在資料庫層級進行管理。 Azure SQL Database 模型具有相同的資料庫權限系統,但無法使用伺服器層級的權限。 本文包含完整的權限清單。 如需許可權的一般實作,請參閱 開始使用Database Engine許可權。
SQL Server 2022 (16.x) 的權限總數為 292。 Azure SQL Database 公開 292 個權限。 大部分的權限適用於所有平台,但某些無法適用。 例如,大部分的伺服器層級權限無法在 Azure SQL Database 上授與,而少數的權限僅在 Azure SQL Database 上才有意義。 新的版本會逐漸引入新的權限。 SQL Server 2019 (15.x) 公開 248 個權限。SQL Server 2017 (14.x) 公開 238 個權限。 SQL Server 2016 (13.x) 公開了 230 個權限。 SQL Server 2014 (12.x) 公開了 219 個權限。 SQL Server 2012 (11.x) 公開了 214 個權限。 SQL Server 2008 R2 (10.50.x) 公開了 195 個權限。 sys.fn_builtin_permissions 文章指定了哪些權限是最新版本中的新權限。
在 Microsoft Fabric 的 SQL 資料庫中,僅支援資料庫層級的使用者與角色。 伺服器層級登入、角色和 sa 帳戶不可用。 在 Microsoft Fabric 的 SQL 資料庫中,唯一支援的 Microsoft Entra ID 是資料庫使用者的認證方法。 如需詳細資訊,請參閱 Microsoft Fabric 中的 SQL 資料庫中的授權。
一旦了解所需權限後,您就可以透過 GRANT、REVOKE 和 DENY 陳述式,將伺服器層級權限套用至登入或伺服器角色,以及將資料庫層級權限套用至使用者或資料庫角色。 例如:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
如需規劃許可權系統的秘訣,請參閱 開始使用Database Engine許可權。
權限命名慣例
以下描述一般權限命名慣例:
CONTROL
將類似擁有權的能力授與被授與者。 被授與者實際上擁有安全性實體上已定義的所有權限。 已被授與 CONTROL 的實體也可以將安全性實體上的權限授與其他人。 因為 SQL Server 安全性模型是階層式的,所以在特定範圍內的 CONTROL 隱含包含該範圍下所有安全性實體上的 CONTROL 權限。 例如,資料庫上的 CONTROL 權限隱含表示該資料庫上的所有權限,該資料庫中所有組件上的權限、該資料庫中所有結構描述上的權限,以及該資料庫中所有結構描述內所有物件上的權限。
ALTER
授與變更特定安全性實體之屬性 (除了擁有權之外) 的能力。 在特定範圍授與 ALTER 權限時,也會一併授與改變、建立或卸除該範圍內包含之任何安全性實體的能力。 例如,結構描述上的 ALTER 權限包括建立、改變與卸除結構描述之物件的能力。
ALTER ANY <伺服器安全性實體>,其中伺服器安全性實體可以是任何伺服器安全性實體。
授與 伺服器安全性實體的 CREATE、ALTER 或 DROP 個別執行個體的能力。 例如,ALTER ANY LOGIN 會授與建立、改變或卸除執行個體中任何登入的能力。
ALTER ANY <資料庫安全性實體>,其中資料庫安全性實體可以是任何資料庫層級的安全性實體。
授與 資料庫安全性實體的 CREATE、ALTER 或 DROP 個別執行個體能力。 例如,ALTER ANY SCHEMA 會授與建立、改變或卸除資料庫中任何結構描述的能力。
掌握所有權
可使受授人獲得其授予之安全物件的所有權。
IMPERSONATE <登入>
讓被授與者可以模擬登入。
IMPERSONATE <使用者>
讓被授與者可以模擬使用者。
CREATE <伺服器安全性實體>
為被授與者授與建立 伺服器安全性實體的能力。
CREATE <資料庫安全性實體>
為被授與者授與建立 資料庫安全性實體的能力。
CREATE <包含結構描述的安全性實體>
授與建立結構描述包含的安全性實體之能力。 然而,需要結構描述上的 ALTER 權限才能在特定結構描述中建立該安全性實體。
檢視定義
讓被授與者能存取中繼資料。
REFERENCES
需要資料表的 REFERENCES 權限,才能建立參考該資料表的 FOREIGN KEY 條件約束。
需要物件的 REFERENCES 權限,才能建立具有可參考該物件之
WITH SCHEMABINDING的 FUNCTION 或 VIEW。
SQL Server 權限的圖表
下圖顯示這些權限及其彼此間的關聯性。 一些較高等級的權限 (例如 CONTROL SERVER) 會多次列出。 本文的海報字級太小,無法閱讀。 您可以下載 PDF 格式的全尺寸資料庫引擎權限海報。
適用於特定安全性實體的權限
下表列出主要的權限類別,以及這些類別的權限可能適用的安全性實體。
| Permission | 適用對象 |
|---|---|
| ALTER | 除了 TYPE 之外的所有物件類別。 |
| CONTROL | 所有物件類別︰ AGGREGATE, 應用角色, ASSEMBLY, 非對稱金鑰 可用性小組, CERTIFICATE, CONTRACT, CREDENTIALS, DATABASE, DATABASE SCOPED CREDENTIAL、 DEFAULT, ENDPOINT, 全文目錄, 全文停用詞列表 FUNCTION, LOGIN, 訊息類型, PROCEDURE, QUEUE, REMOTE SERVICE BINDING、 ROLE, ROUTE, RULE, SCHEMA, SEARCH PROPERTY LIST、 SERVER, 伺服器角色, SERVICE, 對稱鍵, SYNONYM, TABLE, TYPE, USER, 檢視,以及 XML 架構集合 |
| DELETE | 除了 DATABASE SCOPED CONFIGURATION、SERVER 及 TYPE 之外的所有物件類別。 |
| EXECUTE | CLR 類型、外部指令碼、程序 (Transact-SQL 與 CLR)、純量與彙總函式 (Transact-SQL 與 CLR) 及同義字 |
| IMPERSONATE | 登入和使用者 |
| INSERT | 同義字、資料表與資料行、檢視與資料行。 權限可以在資料庫、結構描述或物件層級授與。 |
| RECEIVE | Service Broker 佇列 |
| REFERENCES | AGGREGATE, ASSEMBLY, 非對稱密鑰 CERTIFICATE, CONTRACT, CREDENTIAL (適用於 SQL Server 2022 (16.x) 和更新版本)、 DATABASE, DATABASE SCOPED CREDENTIAL、 全文目錄, 全文停止列表, FUNCTION, 訊息類型, PROCEDURE, QUEUE, RULE, SCHEMA, SEARCH PROPERTY LIST、 序列物件, 對稱鍵, TABLE, TYPE, 檢視,以及 XML 架構集合 |
| SELECT | 同義字、資料表與資料行、檢視與資料行。 權限可以在資料庫、結構描述或物件層級授與。 |
| 掌握所有權 | 除了 DATABASE SCOPED CONFIGURATION、LOGIN、SERVER 及 USER 之外的所有物件類別。 |
| UPDATE | 同義字、資料表與資料行、檢視與資料行。 權限可以在資料庫、結構描述或物件層級授與。 |
| 查看變更追蹤 | 結構描述與資料表 |
| 檢視定義 | 除了 DATABASE SCOPED CONFIGURATION 及 SERVER 以外的所有物件類別。 |
Caution
在安裝時為系統物件授與的預設權限,經過仔細評估可能面臨的威脅,因此在強化 SQL Server 安裝的過程中無須改變。 系統物件的任何權限變更,都可能會限制或破壞其功效,而可能會讓您的 SQL Server 安裝處於不支援的狀態。
SQL Server 權限
下表提供完整的 SQL Server 權限清單。 Azure SQL Database 權限僅供支援的基本安全性實體之用。 無法在 Azure SQL Database 中授與伺服器層級權限,不過,在某些情況下,會改為提供資料庫權限。
| 基礎可擔保 | 基底安全性實體上更細微的權限 | 權限類型代碼 | 包含基底安全性實體的安全性實體 | 容器安全性實體上隱含基底安全性實體之小權限的權限 |
|---|---|---|---|---|
| 應用角色 | ALTER | AL | DATABASE | 更改任何應用程式角色 |
| 應用角色 | CONTROL | CL | DATABASE | CONTROL |
| 應用角色 | 檢視定義 | VW | DATABASE | 檢視定義 |
| ASSEMBLY | ALTER | AL | DATABASE | 變更任何組件 |
| ASSEMBLY | CONTROL | CL | DATABASE | CONTROL |
| ASSEMBLY | REFERENCES | RF | DATABASE | REFERENCES |
| ASSEMBLY | 掌握所有權 | TO | DATABASE | CONTROL |
| ASSEMBLY | 檢視定義 | VW | DATABASE | 檢視定義 |
| 非對稱鍵 | ALTER | AL | DATABASE | 更改任何非對稱密鑰 |
| 非對稱鍵 | CONTROL | CL | DATABASE | CONTROL |
| 非對稱鍵 | REFERENCES | RF | DATABASE | REFERENCES |
| 非對稱鍵 | 掌握所有權 | TO | DATABASE | CONTROL |
| 非對稱鍵 | 檢視定義 | VW | DATABASE | 檢視定義 |
| 可用性群組 | ALTER | AL | SERVER | 變更任何可用性群組 |
| 可用性群組 | CONTROL | CL | SERVER | 控制伺服器 |
| 可用性群組 | 掌握所有權 | TO | SERVER | 控制伺服器 |
| 可用性群組 | 檢視定義 | VW | SERVER | 查看任何定義 |
| CERTIFICATE | ALTER | AL | DATABASE | 變更任何證書 |
| CERTIFICATE | CONTROL | CL | DATABASE | CONTROL |
| CERTIFICATE | REFERENCES | RF | DATABASE | REFERENCES |
| CERTIFICATE | 掌握所有權 | TO | DATABASE | CONTROL |
| CERTIFICATE | 檢視定義 | VW | DATABASE | 檢視定義 |
| CONTRACT | ALTER | AL | DATABASE | 修改任何合約 |
| CONTRACT | CONTROL | CL | DATABASE | CONTROL |
| CONTRACT | REFERENCES | RF | DATABASE | REFERENCES |
| CONTRACT | 掌握所有權 | TO | DATABASE | CONTROL |
| CONTRACT | 檢視定義 | VW | DATABASE | 檢視定義 |
| CREDENTIAL | CONTROL | CL | SERVER | 控制伺服器 |
| CREDENTIAL | REFERENCES | RF | SERVER | 更改任何憑證 |
| DATABASE | 管理資料庫批量操作 | DABO | SERVER | 控制伺服器 |
| DATABASE | ALTER | AL | SERVER | 變更任何資料庫 |
| DATABASE | 更改任何應用程式角色 | ALAR | SERVER | 控制伺服器 |
| DATABASE | 變更任何組件 | ALAS | SERVER | 控制伺服器 |
| DATABASE | 更改任何非對稱密鑰 | ALAK | SERVER | 控制伺服器 |
| DATABASE | 變更任何證書 | ALCF | SERVER | 控制伺服器 |
| DATABASE | 更改任何列加密金鑰 | ALCK 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
SERVER | 控制伺服器 |
| DATABASE | 變更任意列主密鑰 | ALCM 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
SERVER | 控制伺服器 |
| DATABASE | 修改任何合約 | ALSC | SERVER | 控制伺服器 |
| DATABASE | 更改任何資料庫稽核 | ALDA | SERVER | 更改任何伺服器審計 |
| DATABASE | 更改任何資料庫 DDL 觸發器 | ALTG | SERVER | 控制伺服器 |
| DATABASE | 變更任何資料庫事件通知 | ALED | SERVER | 更改任何事件通知 |
| DATABASE | 修改任何資料庫事件會話 | AADS | SERVER | 更改任何事件會話 |
| DATABASE | 修改任何資料庫事件工作階段新增事件 | LDAE | SERVER | ALTER ANY EVENT SESSION 新增事件 |
| DATABASE | ALTER 任何數據庫事件會話 ADD 目標 | LDAT | SERVER | 更改任何事件會話新增目標 |
| DATABASE | ALTER ANY DATABASE EVENT SESSION 停用 | DDES | SERVER | 更改任何事件會話停用 |
| DATABASE | 修改任何資料庫事件會話以刪除事件 | LDDE | SERVER | 更改任意事件會話刪除事件 |
| DATABASE | ALTER 任何資料庫事件工作階段 刪除目標 | LDDT | SERVER | 修改任何事件會話刪除目標 |
| DATABASE | 更改任何資料庫事件會話啟用 | EDES | SERVER | ALTER ANY EVENT SESSION 啟用 |
| DATABASE | 更改任何資料庫事件會話選項 | LDSO | SERVER | 更改任何事件會話選項 |
| DATABASE | 更改任何資料庫範圍的配置 | ALDC 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
SERVER | 控制伺服器 |
| DATABASE | 修改任何資料空間 | ALDS | SERVER | 控制伺服器 |
| DATABASE | 更改任何外部資料來源 | AEDS | SERVER | 控制伺服器 |
| DATABASE | 修改任何外部檔案格式 | AEFF | SERVER | 控制伺服器 |
| DATABASE | ALTER ANY 外部工作 | AESJ | SERVER | 控制伺服器 |
| DATABASE | 更改任何外部語言 | ALLA | SERVER | 控制伺服器 |
| DATABASE | 修改任何外部庫 | ALEL | SERVER | 控制伺服器 |
| DATABASE | 修改任何外部流 | AEST | SERVER | 控制伺服器 |
| DATABASE | ALTER ANY 全文目錄 | ALFT | SERVER | 控制伺服器 |
| DATABASE | 更改任何遮罩 | AAMK 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
SERVER | 控制伺服器 |
| DATABASE | 更改任何訊息類型 | ALMT | SERVER | 控制伺服器 |
| DATABASE | 更改任何遠端服務綁定 | ALSB | SERVER | 控制伺服器 |
| DATABASE | 變更任何角色 | ALRL | SERVER | 控制伺服器 |
| DATABASE | 變更任何路由 | ALRT | SERVER | 控制伺服器 |
| DATABASE | 更改任何架構 | ALSM | SERVER | 控制伺服器 |
| DATABASE | 更改任何安全策略 | ALSP 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
SERVER | 控制伺服器 |
| DATABASE | 改變任何敏感度分類 | AASC 適用於 SQL Server (SQL Server 2019 (15.x) 至目前版本)、Azure SQL Database。 |
SERVER | 控制伺服器 |
| DATABASE | 變更任何服務 | ALSV | SERVER | 控制伺服器 |
| DATABASE | 變更任意對稱金鑰 | ALSK | SERVER | 控制伺服器 |
| DATABASE | 修改任何使用者 | ALUS | SERVER | 控制伺服器 |
| DATABASE | ALTER 帳本 | ALR | SERVER | CONTROL |
| DATABASE | 修改台帳設定 | ALC | SERVER | 控制伺服器 |
| DATABASE | AUTHENTICATE | AUTH | SERVER | 認證伺服器 |
| DATABASE | 備份資料庫 | BADB | SERVER | 控制伺服器 |
| DATABASE | 備份日誌 | BALO | SERVER | 控制伺服器 |
| DATABASE | CHECKPOINT | CP | SERVER | 控制伺服器 |
| DATABASE | CONNECT | CO | SERVER | 控制伺服器 |
| DATABASE | 連接複本 | CORP | SERVER | 控制伺服器 |
| DATABASE | CONTROL | CL | SERVER | 控制伺服器 |
| DATABASE | 創建聚合 | CRAG | SERVER | 控制伺服器 |
| DATABASE | 創建任何資料庫事件會話 | CRDS | SERVER | 建立任何事件會話 |
| DATABASE | CREATE ASSEMBLY(建立組件) | CRAS | SERVER | 控制伺服器 |
| DATABASE | 建立非對稱金鑰 | CRAK | SERVER | 控制伺服器 |
| DATABASE | 創建證書 | CRCF | SERVER | 控制伺服器 |
| DATABASE | 建立合約 | CRSC | SERVER | 控制伺服器 |
| DATABASE | 建立資料庫 | CRDB | SERVER | 建立任何資料庫 |
| DATABASE | 建立資料庫 DDL 事件通知 | CRED | SERVER | 建立 DDL 事件通知 |
| DATABASE | 建立預設值 | CRDF | SERVER | 控制伺服器 |
| DATABASE | 創建外部語言 | CRLA | SERVER | 控制伺服器 |
| DATABASE | 建立外部程式庫 | CREL | SERVER | 控制伺服器 |
| DATABASE | 建立全文目錄 | CRFT | SERVER | 控制伺服器 |
| DATABASE | 建立函數 | CRFN | SERVER | 控制伺服器 |
| DATABASE | 建立消息類型 | CRMT | SERVER | 控制伺服器 |
| DATABASE | 建立程序 | CRPR | SERVER | 控制伺服器 |
| DATABASE | 建立佇列 | CRQU | SERVER | 控制伺服器 |
| DATABASE | 建立遠端服務系結 | CRSB | SERVER | 控制伺服器 |
| DATABASE | 創建角色 | CRRL | SERVER | 控制伺服器 |
| DATABASE | 建立路由 | CRRT | SERVER | 控制伺服器 |
| DATABASE | 建立規則 | CRRU | SERVER | 控制伺服器 |
| DATABASE | 建立結構描述 | CRSM | SERVER | 控制伺服器 |
| DATABASE | 建立服務 | CRSV | SERVER | 控制伺服器 |
| DATABASE | 建立對稱金鑰 | CRSK | SERVER | 控制伺服器 |
| DATABASE | CREATE 同義字 | CRSN | SERVER | 控制伺服器 |
| DATABASE | CREATE TABLE | CRTB | SERVER | 控制伺服器 |
| DATABASE | 建立類型 (CREATE TYPE) | CRTY | SERVER | 控制伺服器 |
| DATABASE | 創建使用者 | CUSR | SERVER | 控制伺服器 |
| DATABASE | 建立視圖 | CRVW | SERVER | 控制伺服器 |
| DATABASE | 建立 XML 架構集合 | CRXS | SERVER | 控制伺服器 |
| DATABASE | DELETE | DL | SERVER | 控制伺服器 |
| DATABASE | 刪除任何資料庫事件會話 | DRDS | SERVER | 刪除任何事件會話 |
| DATABASE | 啟用總賬 | EL | SERVER | CONTROL |
| DATABASE | EXECUTE | EX | SERVER | 控制伺服器 |
| DATABASE | 執行任何外部端點 | EAEE | SERVER | 控制伺服器 |
| DATABASE | 執行任何外部腳本 | EAES 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)。 |
SERVER | 控制伺服器 |
| DATABASE | INSERT | IN | SERVER | 控制伺服器 |
| DATABASE | 終止資料庫連線 | KIDC 僅適用於 Azure SQL Database。 在 SQL Server 中使用 ALTER ANY CONNECTION。 |
SERVER | 變更任何連線 |
| DATABASE | REFERENCES | RF | SERVER | 控制伺服器 |
| DATABASE | SELECT | SL | SERVER | 控制伺服器 |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER 追蹤 |
| DATABASE | 訂閱查詢通知 | SUQN | SERVER | 控制伺服器 |
| DATABASE | 掌握所有權 | TO | SERVER | 控制伺服器 |
| DATABASE | UNMASK | UMSK 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
SERVER | 控制伺服器 |
| DATABASE | UPDATE | UP | SERVER | 控制伺服器 |
| DATABASE | 檢視任何數據行加密金鑰定義 | VWCK 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
SERVER | 查看伺服器狀態 |
| DATABASE | 檢視任何資料行主要金鑰定義 | VWCM 適用於 SQL Server (SQL Server 2016 (13.x) 至目前版本)、Azure SQL Database。 |
SERVER | 查看伺服器狀態 |
| DATABASE | 檢視任何敏感度分類 | VASC | SERVER | 控制伺服器 |
| DATABASE | 查看以密碼學方式保護的定義 | VCD | SERVER | 檢視任何密碼編譯保護的定義 |
| DATABASE | 檢視資料庫效能狀態 | VDP | SERVER | 檢視伺服器效能狀態 |
| DATABASE | 檢視資料庫安全性稽核 | VDSA | SERVER | 控制伺服器 |
| DATABASE | 檢視資料庫安全性狀態 | VDS | SERVER | 檢視伺服器安全性狀態 |
| DATABASE | 檢視資料庫狀態 | VWDS | SERVER | 查看伺服器狀態 |
| DATABASE | 檢視定義 | VW | SERVER | 查看任何定義 |
| DATABASE | 檢視總賬內容 | VLC | SERVER | CONTROL |
| DATABASE | 檢視安全性定義 | VWS | SERVER | 檢視任何安全性定義 |
| DATABASE | 檢視效能定義 | VWP | SERVER | 檢視任何效能定義 |
| 資料庫範圍憑證 | ALTER | AL | DATABASE | CONTROL |
| 資料庫範圍憑證 | CONTROL | CL | DATABASE | CONTROL |
| 資料庫範圍憑證 | REFERENCES | RF | DATABASE | REFERENCES |
| 資料庫範圍憑證 | 掌握所有權 | TO | DATABASE | CONTROL |
| 資料庫範圍憑證 | 檢視定義 | VW | DATABASE | 檢視定義 |
| ENDPOINT | ALTER | AL | SERVER | 修改任何端點 |
| ENDPOINT | CONNECT | CO | SERVER | 控制伺服器 |
| ENDPOINT | CONTROL | CL | SERVER | 控制伺服器 |
| ENDPOINT | 掌握所有權 | TO | SERVER | 控制伺服器 |
| ENDPOINT | 檢視定義 | VW | SERVER | 查看任何定義 |
| 全文目錄 | ALTER | AL | DATABASE | ALTER ANY 全文目錄 |
| 全文目錄 | CONTROL | CL | DATABASE | CONTROL |
| 全文目錄 | REFERENCES | RF | DATABASE | REFERENCES |
| 全文目錄 | 掌握所有權 | TO | DATABASE | CONTROL |
| 全文目錄 | 檢視定義 | VW | DATABASE | 檢視定義 |
| 全文檢索停止清單 | ALTER | AL | DATABASE | ALTER ANY 全文目錄 |
| 全文檢索停止清單 | CONTROL | CL | DATABASE | CONTROL |
| 全文檢索停止清單 | REFERENCES | RF | DATABASE | REFERENCES |
| 全文檢索停止清單 | 掌握所有權 | TO | DATABASE | CONTROL |
| 全文檢索停止清單 | 檢視定義 | VW | DATABASE | 檢視定義 |
| LOGIN | ALTER | AL | SERVER | 變更任意登入 |
| LOGIN | CONTROL | CL | SERVER | 控制伺服器 |
| LOGIN | IMPERSONATE | IM | SERVER | 控制伺服器 |
| LOGIN | 檢視定義 | VW | SERVER | 查看任何定義 |
| 訊息類型 | ALTER | AL | DATABASE | 更改任何訊息類型 |
| 訊息類型 | CONTROL | CL | DATABASE | CONTROL |
| 訊息類型 | REFERENCES | RF | DATABASE | REFERENCES |
| 訊息類型 | 掌握所有權 | TO | DATABASE | CONTROL |
| 訊息類型 | 檢視定義 | VW | DATABASE | 檢視定義 |
| OBJECT | ALTER | AL | SCHEMA | ALTER |
| OBJECT | CONTROL | CL | SCHEMA | CONTROL |
| OBJECT | DELETE | DL | SCHEMA | DELETE |
| OBJECT | EXECUTE | EX | SCHEMA | EXECUTE |
| OBJECT | INSERT | IN | SCHEMA | INSERT |
| OBJECT | RECEIVE | RC | SCHEMA | CONTROL |
| OBJECT | REFERENCES | RF | SCHEMA | REFERENCES |
| OBJECT | SELECT | SL | SCHEMA | SELECT |
| OBJECT | 掌握所有權 | TO | SCHEMA | CONTROL |
| OBJECT | UNMASK | UMSK | SCHEMA | UNMASK |
| OBJECT | UPDATE | UP | SCHEMA | UPDATE |
| OBJECT | 查看變更追蹤 | VWCT | SCHEMA | 查看變更追蹤 |
| OBJECT | 檢視定義 | VW | SCHEMA | 檢視定義 |
| 遠端服務綁定 | ALTER | AL | DATABASE | 更改任何遠端服務綁定 |
| 遠端服務綁定 | CONTROL | CL | DATABASE | CONTROL |
| 遠端服務綁定 | 掌握所有權 | TO | DATABASE | CONTROL |
| 遠端服務綁定 | 檢視定義 | VW | DATABASE | 檢視定義 |
| ROLE | ALTER | AL | DATABASE | 變更任何角色 |
| ROLE | CONTROL | CL | DATABASE | CONTROL |
| ROLE | 掌握所有權 | TO | DATABASE | CONTROL |
| ROLE | 檢視定義 | VW | DATABASE | 檢視定義 |
| ROUTE | ALTER | AL | DATABASE | 變更任何路由 |
| ROUTE | CONTROL | CL | DATABASE | CONTROL |
| ROUTE | 掌握所有權 | TO | DATABASE | CONTROL |
| ROUTE | 檢視定義 | VW | DATABASE | 檢視定義 |
| SCHEMA | ALTER | AL | DATABASE | 更改任何架構 |
| SCHEMA | CONTROL | CL | DATABASE | CONTROL |
| SCHEMA | 建立序列 | CRSO | DATABASE | CONTROL |
| SCHEMA | DELETE | DL | DATABASE | DELETE |
| SCHEMA | EXECUTE | EX | DATABASE | EXECUTE |
| SCHEMA | INSERT | IN | DATABASE | INSERT |
| SCHEMA | REFERENCES | RF | DATABASE | REFERENCES |
| SCHEMA | SELECT | SL | DATABASE | SELECT |
| SCHEMA | 掌握所有權 | TO | DATABASE | CONTROL |
| SCHEMA | UNMASK | UMSK | DATABASE | UNMASK |
| SCHEMA | UPDATE | UP | DATABASE | UPDATE |
| SCHEMA | 查看變更追蹤 | VWCT | DATABASE | 查看變更追蹤 |
| SCHEMA | 檢視定義 | VW | DATABASE | 檢視定義 |
| 搜尋房產清單 | ALTER | AL | SERVER | ALTER ANY 全文目錄 |
| 搜尋房產清單 | CONTROL | CL | SERVER | CONTROL |
| 搜尋房產清單 | REFERENCES | RF | SERVER | REFERENCES |
| 搜尋房產清單 | 掌握所有權 | TO | SERVER | CONTROL |
| 搜尋房產清單 | 檢視定義 | VW | SERVER | 檢視定義 |
| SERVER | 管理批量操作 | ADBO | 不適用 | 不適用 |
| SERVER | 變更任何可用性群組 | ALAG | 不適用 | 不適用 |
| SERVER | 變更任何連線 | ALCO | 不適用 | 不適用 |
| SERVER | 更改任何憑證 | ALCD | 不適用 | 不適用 |
| SERVER | 變更任何資料庫 | ALDB | 不適用 | 不適用 |
| SERVER | 修改任何端點 | ALHE | 不適用 | 不適用 |
| SERVER | 更改任何事件通知 | ALES | 不適用 | 不適用 |
| SERVER | 更改任何事件會話 | AAES | 不適用 | 不適用 |
| SERVER | ALTER ANY EVENT SESSION 新增事件 | LSAE | 不適用 | 不適用 |
| SERVER | 更改任何事件會話新增目標 | LSAT | 不適用 | 不適用 |
| SERVER | 更改任何事件會話停用 | DES | 不適用 | 不適用 |
| SERVER | 更改任意事件會話刪除事件 | LSDE | 不適用 | 不適用 |
| SERVER | 修改任何事件會話刪除目標 | LSDT | 不適用 | 不適用 |
| SERVER | ALTER ANY EVENT SESSION 啟用 | EES | 不適用 | 不適用 |
| SERVER | 更改任何事件會話選項 | LESO | 不適用 | 不適用 |
| SERVER | 更改任何連接的伺服器 | ALLS | 不適用 | 不適用 |
| SERVER | 變更任意登入 | ALLG | 不適用 | 不適用 |
| SERVER | 更改任何伺服器審計 | ALAA | 不適用 | 不適用 |
| SERVER | 變更任何伺服器角色 | ALSR | 不適用 | 不適用 |
| SERVER | 修改資源 | ALRS | 不適用 | 不適用 |
| SERVER | 更改伺服器狀態 | ALSS | 不適用 | 不適用 |
| SERVER | 變更設定 | ALST | 不適用 | 不適用 |
| SERVER | ALTER 追蹤 | ALTR | 不適用 | 不適用 |
| SERVER | 認證伺服器 | AUTH | 不適用 | 不適用 |
| SERVER | 連接任何資料庫 | CADB | 不適用 | 不適用 |
| SERVER | 連接 SQL | COSQ | 不適用 | 不適用 |
| SERVER | 控制伺服器 | CL | 不適用 | 不適用 |
| SERVER | 建立任何資料庫 | CRDB | 不適用 | 不適用 |
| SERVER | 建立可用性群組 | CRAC | 不適用 | 不適用 |
| SERVER | 建立 DDL 事件通知 | CRDE | 不適用 | 不適用 |
| SERVER | 建立端點 | CRHE | 不適用 | 不適用 |
| SERVER | 建立伺服器角色 | CRSR | 不適用 | 不適用 |
| SERVER | 建立追蹤事件通知 | CRTE | 不適用 | 不適用 |
| SERVER | 外部存取組件 | XA | 不適用 | 不適用 |
| SERVER | 冒充任何登入 | IAL | 不適用 | 不適用 |
| SERVER | 選取所有使用者安全性物件 | SUS | 不適用 | 不適用 |
| SERVER | SHUTDOWN | SHDN | 不適用 | 不適用 |
| SERVER | 不安全集會 | XU | 不適用 | 不適用 |
| SERVER | 查看任何資料庫 | VWDB | 不適用 | 不適用 |
| SERVER | 查看任何定義 | VWAD | 不適用 | 不適用 |
| SERVER | 查看伺服器狀態 | VWSS | 不適用 | 不適用 |
| 伺服器角色 | ALTER | AL | SERVER | 變更任何伺服器角色 |
| 伺服器角色 | CONTROL | CL | SERVER | 控制伺服器 |
| 伺服器角色 | 掌握所有權 | TO | SERVER | 控制伺服器 |
| 伺服器角色 | 檢視定義 | VW | SERVER | 查看任何定義 |
| SERVICE | ALTER | AL | DATABASE | 變更任何服務 |
| SERVICE | CONTROL | CL | DATABASE | CONTROL |
| SERVICE | SEND | SN | DATABASE | CONTROL |
| SERVICE | 掌握所有權 | TO | DATABASE | CONTROL |
| SERVICE | 檢視定義 | VW | DATABASE | 檢視定義 |
| 對稱鍵 | ALTER | AL | DATABASE | 變更任意對稱金鑰 |
| 對稱鍵 | CONTROL | CL | DATABASE | CONTROL |
| 對稱鍵 | REFERENCES | RF | DATABASE | REFERENCES |
| 對稱鍵 | 掌握所有權 | TO | DATABASE | CONTROL |
| 對稱鍵 | 檢視定義 | VW | DATABASE | 檢視定義 |
| TYPE | CONTROL | CL | SCHEMA | CONTROL |
| TYPE | EXECUTE | EX | SCHEMA | EXECUTE |
| TYPE | REFERENCES | RF | SCHEMA | REFERENCES |
| TYPE | 掌握所有權 | TO | SCHEMA | CONTROL |
| TYPE | 檢視定義 | VW | SCHEMA | 檢視定義 |
| USER | ALTER | AL | DATABASE | 修改任何使用者 |
| USER | CONTROL | CL | DATABASE | CONTROL |
| USER | IMPERSONATE | IM | DATABASE | CONTROL |
| USER | 檢視定義 | VW | DATABASE | 檢視定義 |
| XML 架構集合 | ALTER | AL | SCHEMA | ALTER |
| XML 架構集合 | CONTROL | CL | SCHEMA | CONTROL |
| XML 架構集合 | EXECUTE | EX | SCHEMA | EXECUTE |
| XML 架構集合 | REFERENCES | RF | SCHEMA | REFERENCES |
| XML 架構集合 | 掌握所有權 | TO | SCHEMA | CONTROL |
| XML 架構集合 | 檢視定義 | VW | SCHEMA | 檢視定義 |
新增至 SQL Server 2022 的新細微權限
下列權限會新增至 SQL Server 2022:
已新增 10 個新權限,以允許存取系統中繼資料。
已為擴充事件新增 18 個新權限。
已針對與安全性相關的物件新增了 9 個新權限。
已為總帳新增了 4 個權限。
3 個額外的資料庫權限。
如需詳細資訊,請參閱 SQL Server 2022 和 Azure SQL 的新細微權限,以改善 PoLP 的依從性。
系統中繼資料權限的存取權
伺服器層級:
- 檢視任何安全性定義
- 檢視任何效能定義
- 檢視伺服器安全性狀態
- 檢視伺服器效能狀態
- 檢視任何密碼編譯保護的定義
資料庫層級:
- 檢視資料庫安全性狀態
- 檢視資料庫效能狀態
- 檢視安全性定義
- 檢視效能定義
- 查看以密碼學方式保護的定義
擴充事件權限
伺服器層級:
- 建立任何事件會話
- 刪除任何事件會話
- 更改任何事件會話選項
- ALTER ANY EVENT SESSION 新增事件
- 更改任意事件會話刪除事件
- ALTER ANY EVENT SESSION 啟用
- 更改任何事件會話停用
- 更改任何事件會話新增目標
- 修改任何事件會話刪除目標
所有這些權限都位於相同的父權限之下:ALTER ANY EVENT SESSION
資料庫層級:
- 創建任何資料庫事件會話
- 刪除任何資料庫事件會話
- 更改任何資料庫事件會話選項
- 修改任何資料庫事件工作階段新增事件
- 修改任何資料庫事件會話以刪除事件
- 更改任何資料庫事件會話啟用
- ALTER ANY DATABASE EVENT SESSION 停用
- ALTER 任何數據庫事件會話 ADD 目標
- ALTER 任何資料庫事件工作階段 刪除目標
所有這些權限都位於相同的父權限之下:ALTER ANY DATABASE EVENT SESSION
與安全性相關的物件權限
- 控制(憑證)
- 建立帳號
- 創建使用者
- 參考資料(證書)
- UNMASK(物件)
- UNMASK(SCHEMA)
- 檢視任何錯誤記錄檔
- 檢視伺服器安全性稽核
- 檢視資料庫安全性稽核
帳本權限
- ALTER 帳本
- 修改台帳設定
- 啟用總賬
- 檢視總賬內容
其他資料庫權限
- ALTER ANY 外部工作
- 修改任何外部流
- 執行任何外部端點
權限檢查演算法的摘要
檢查權限可能很複雜。 權限檢查演算法包含重疊的群組成員資格和擁有權鏈結 (明確和隱含權限),而且可能會受到包含安全性實體之安全性實體類別的權限影響。 此演算法的一般程序是收集所有相關的權限。 如果找不到任何封鎖的 DENY,此演算法就會搜尋提供足夠存取權的 GRANT。 此演算法包含三個基本元素: 安全性內容、 權限空間和 必要權限。
Note
您無法授與、拒絕或撤銷 sa、dbo、實體擁有者、information_schema、sys 或您自己的許可權。
安全背景
這是提供權限給存取權檢查的主體群組。 除非您使用 EXECUTE AS 陳述式,將安全性內容變更為其他登入或使用者,否則這些是與目前登入或使用者相關的權限。 安全性內容包含下列主體:
登入
使用者
角色成員資格
Windows 群組成員資格
如果正在使用模組簽署,則為用來簽署使用者目前正在執行之模組之憑證的任何登入或使用者帳戶,以及該主體的相關聯角色成員資格。
權限空間
這是安全性實體以及任何包含此安全性實體的任何安全性實體類別。 例如,資料表 (安全性實體) 會包含在結構描述安全性實體類別和資料庫安全性實體類別中。 存取權可能會受到資料表、結構描述、資料庫和伺服器層級權限影響。 如需詳細資訊,請參閱權限階層 (資料庫引擎)。
所需許可
必要的權限種類。 例如,INSERT、UPDATE、DELETE、SELECT、EXECUTE、ALTER、CONTROL 等等。
存取權可能會要求多種權限,如下列範例所示:
預存程序可能會要求預存程序的 EXECUTE 權限以及此預存程序所參考之若干資料表的 INSERT 權限。
動態管理檢視可能會要求此檢視的 VIEW SERVER STATE 和 SELECT 權限。
演算法的一般步驟
當此演算法正在判斷是否要允許存取安全性實體時,它所使用的確切步驟可能會因所涉及的主體和安全性實體而有所不同。 不過,此演算法會執行下列一般步驟:
如果登入是系統管理員 (sysadmin) 固定伺服器角色的成員,或者使用者是目前資料庫的 dbo 使用者,就會略過權限檢查。
如果擁有權鏈結適用,而且先前鏈結中的物件存取權檢查通過了安全性檢查,就會允許存取。
彙總與呼叫者相關聯的伺服器層級、資料庫層級和簽署模組識別,以便建立 安全性內容。
針對該 安全性內容,收集授與或拒絕 權限空間的所有權限。 您可以將權限明確陳述為 GRANT、GRANT WITH GRANT 或 DENY,否則這些權限可能是隱含或涵蓋的權限 GRANT 或 DENY。 例如,結構描述的 CONTROL 權限隱含資料表的 CONTROL, 而且資料表的 CONTROL 隱含 SELECT。 因此,如果您已授與結構描述的 CONTROL,就會授與資料表的 SELECT。 如果您已拒絕資料表的 CONTROL,就會拒絕資料表的 SELECT。
Note
資料行層級權限的 GRANT 會覆寫物件層級的 DENY。 如需詳細資訊,請參閱 DENY 物件許可權。
識別 必要權限。
如果您在 權限空間 中針對物件 安全性內容 的任何識別直接或隱含拒絕 必要權限,權限檢查就會失敗。
若未拒絕必要權限,而且必要權限包含直接或隱含地授與權限空間中任何物件的安全性內容中的任何身分識別的 GRANT 或 GRANT WITH GRANT 權限,則會通過權限檢查。
資料行層級權限的特殊考量
資料行層級權限會使用語法 <table_name>(<column _name>) 來授與。 例如:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
資料行上的 GRANT 會覆寫資料表上的 DENY。 不過,後續資料表上的 DENY 將會移除資料行的 GRANT。
Examples
本節中的範例示範如何擷取權限資訊。
A. 傳回完整的可授與權限清單
下列陳述式會使用 fn_builtin_permissions 函式傳回所有資料庫引擎權限。 如需詳細資訊,請參閱 sys.fn_builtin_permissions。
SELECT * FROM fn_builtin_permissions(default);
GO
B. 傳回特定物件類別的權限
下列範例使用 fn_builtin_permissions 檢視可供安全性實體類別目錄使用的所有權限。 範例會傳回組件的權限。
SELECT * FROM fn_builtin_permissions('assembly');
GO
C. 傳回授與物件上執行中主體的權限
下列範例使用 fn_my_permissions 來傳回指定安全性實體之呼叫主體所持有的有效權限清單。 範例會傳回名為 Orders55 之物件的權限。 如需詳細資訊,請參閱 sys.fn_my_permissions。
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. 傳回適用於指定物件的權限
下列範例會傳回適用於名為 Yttrium之物件的權限。 此內建函數OBJECT_ID是用來擷取物件Yttrium的識別碼。
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO