Odepřít oprávnění serveru (Transact-SQL)
platí pro:
SQL ServerAzure SQL Databaseazure SQL Managed Instance
Odmítne oprávnění na serveru.
Syntax
DENY permission [ ,...n ]
TO <grantee_principal> [ ,...n ]
[ CASCADE ]
[ AS <grantor_principal> ]
<grantee_principal> ::= SQL_Server_login
| SQL_Server_login_mapped_to_Windows_login
| SQL_Server_login_mapped_to_Windows_group
| SQL_Server_login_mapped_to_certificate
| SQL_Server_login_mapped_to_asymmetric_key
| server_role
<grantor_principal> ::= SQL_Server_login
| SQL_Server_login_mapped_to_Windows_login
| SQL_Server_login_mapped_to_Windows_group
| SQL_Server_login_mapped_to_certificate
| SQL_Server_login_mapped_to_asymmetric_key
| server_role
Argumenty
oprávnění
Určuje oprávnění, která lze na serveru odepřít. Seznam oprávnění najdete v části Poznámky dále v tomto tématu.
KASKÁDA
Označuje, že oprávnění je odepřeno zadanému objektu zabezpečení a všem ostatním objektům zabezpečení, kterým objekt zabezpečení udělil oprávnění. Vyžaduje se, pokud má objekt zabezpečení oprávnění s možností GRANT OPTION.
<SERVER_PRINCIPAL>
Určuje objekt zabezpečení, ke kterému je oprávnění odepřeno.
<GRANTOR_PRINCIPAL> AS
Určuje objekt zabezpečení, ze kterého objekt zabezpečení, který spouští tento dotaz, odvozuje své právo odepřít oprávnění.
Pomocí klauzule instančního objektu AS uveďte, že objekt zabezpečení zaznamenaný jako denátor oprávnění by měl být jiným objektem než osoba provádějící příkaz. Například předpokládáme, že uživatel Mary je principal_id 12 a uživatel Raul je instanční 15. Mary spustí DENY SELECT ON OBJECT::X TO Steven WITH GRANT OPTION AS Raul; Nyní tabulka sys.database_permissions bude indikovat, že grantor_principal_id příkazu odepřít bylo 15 (Raul), i když byl příkaz skutečně proveden uživatelem 13 (Mary).
Použití AS v tomto prohlášení neznamená schopnost zosobnit jiného uživatele.
SQL_Server_login
Určuje přihlášení k SQL Serveru.
SQL_Server_login_mapped_to_Windows_login
Určuje přihlášení SQL Serveru namapované na přihlášení systému Windows.
SQL_Server_login_mapped_to_Windows_group
Určuje přihlášení SQL Serveru namapované na skupinu Windows.
SQL_Server_login_mapped_to_certificate
Určuje přihlášení SQL Serveru namapované na certifikát.
SQL_Server_login_mapped_to_asymmetric_key
Určuje přihlášení SQL Serveru namapované na asymetrický klíč.
server_role
Určuje roli serveru.
Poznámky
Oprávnění v oboru serveru je možné odepřít pouze v okamžiku, kdy je aktuální databáze hlavní.
Informace o oprávněních serveru lze zobrazit v zobrazení katalogu sys.server_permissions a informace o objektech zabezpečení serveru lze zobrazit v zobrazení katalogu sys.server_principals. Informace o členství rolí serveru lze zobrazit v zobrazení katalogu sys.server_role_members.
Server je nejvyšší úroveň hierarchie oprávnění. Nejpřesnější a omezená oprávnění, která se dají na serveru odepřít, jsou uvedená v následující tabulce.
| Oprávnění serveru | Implicitní oprávnění serveru |
|---|---|
| SPRÁVA HROMADNÝCH OPERACÍ | CONTROL SERVER |
| ALTER ANY AVAILABILITY GROUP platí pro: SQL Server (SQL Server 2012 (11.x) až aktuální verze). |
CONTROL SERVER |
| ALTER ANY CONNECTION | CONTROL SERVER |
| ALTER ANY CREDENTIAL | CONTROL SERVER |
| ALTER ANY DATABASE | CONTROL SERVER |
| ALTER ANY ENDPOINT | CONTROL SERVER |
| ALTER ANY EVENT NOTIFICATION | CONTROL SERVER |
| ALTER ANY EVENT SESSION | CONTROL SERVER |
| ALTER ANY LINKED SERVER | CONTROL SERVER |
| ALTER ANY LOGIN | CONTROL SERVER |
| ALTER ANY SERVER AUDIT | CONTROL SERVER |
| ALTER ANY SERVER ROLE platí pro: SQL Server (SQL Server 2012 (11.x) až aktuální verze). |
CONTROL SERVER |
| ALTER RESOURCES | CONTROL SERVER |
| ALTER SERVER STATE | CONTROL SERVER |
| ALTER SETTINGS | CONTROL SERVER |
| ALTER TRACE | CONTROL SERVER |
| OVĚŘENÍ SERVERU | CONTROL SERVER |
| PŘIPOJENÍ JAKÉKOLI DATABÁZE platí pro: SQL Server (SQL Server 2014 (12.x) až aktuální verze). |
CONTROL SERVER |
| CONNECT SQL | CONTROL SERVER |
| CONTROL SERVER | CONTROL SERVER |
| VYTVOŘENÍ JAKÉKOLI DATABÁZE | ALTER ANY DATABASE |
| VYTVOŘENÍ SKUPINY DOSTUPNOSTI platí pro: SQL Server (SQL Server 2012 (11.x) až aktuální verze). |
ALTER ANY AVAILABILITY GROUP |
| VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI DDL | ALTER ANY EVENT NOTIFICATION |
| VYTVOŘIT KONCOVÝ BOD | ALTER ANY ENDPOINT |
| VYTVOŘENÍ ROLE SERVERU platí pro: SQL Server (SQL Server 2012 (11.x) až aktuální verze). |
ALTER ANY SERVER ROLE |
| VYTVOŘENÍ OZNÁMENÍ UDÁLOSTI TRASOVÁNÍ | ALTER ANY EVENT NOTIFICATION |
| SESTAVENÍ EXTERNÍHO PŘÍSTUPU | CONTROL SERVER |
| ZOSOBNIT JAKÉKOLI PŘIHLÁŠENÍ platí pro: SQL Server (SQL Server 2014 (12.x) až aktuální verze). |
CONTROL SERVER |
| VYBRAT VŠECHNY ZABEZPEČITELNÉ UŽIVATELE platí pro: SQL Server (SQL Server 2014 (12.x) až aktuální verze). |
CONTROL SERVER |
| VYPNUTÍ | CONTROL SERVER |
| NEBEZPEČNÉ SESTAVENÍ | CONTROL SERVER |
| ZOBRAZIT LIBOVOLNOU DATABÁZI | ZOBRAZIT JAKOUKOLI DEFINICI |
| ZOBRAZIT JAKOUKOLI DEFINICI | CONTROL SERVER |
| ZOBRAZIT STAV SERVERU | ALTER SERVER STATE |
V SQL Serveru 2014 (12.x) byly přidána následující tři oprávnění serveru.
připojit jakékoli oprávnění k databázi
Udělte PŘIPOJIT LIBOVOLNOU DATABÁZI k přihlášení, které se musí připojit ke všem databázím, které aktuálně existují, a ke všem novým databázím, které by mohly být vytvořeny v budoucnu. Neuděluje žádné oprávnění v žádné databázi nad rámec připojení. Kombinovat s SELECT ALL USER SECURABLES nebo VIEW SERVER STATE, aby proces auditování mohl zobrazit všechna data nebo všechny stavy databáze v instanci SQL Serveru.
zosobnit jakékoli oprávnění k přihlášení
Pokud je to uděleno, umožňuje proces střední vrstvy zosobnit účet klientů, kteří se k němu připojují, protože se připojuje k databázím. Pokud je odepřeno, může být zablokované zosobnění jiných přihlášení s vysokou úrovní oprávnění. Například přihlášení s oprávněním CONTROL SERVER může být zablokováno zosobnění jiných přihlášení.
VYBRAT OPRÁVNĚNÍ VŠECHNY UŽIVATELE
Po udělení může přihlášení, jako je auditor, zobrazit data ve všech databázích, ke kterým se uživatel může připojit. Pokud je odepřen, zabráníte přístupu k objektům, pokud nejsou ve schématu sys.
Dovolení
Vyžaduje oprávnění CONTROL SERVERU nebo vlastnictví zabezpečitelného serveru. Pokud použijete klauzuli AS, musí zadaný objekt zabezpečení vlastnit zabezpečitelné, na kterém jsou oprávnění odepřena.
Příklady
A. Odepření oprávnění CONNECT SQL pro přihlášení a objekty zabezpečení SQL Serveru, ke kterým se přihlašovací jméno zaregistrovalo
Následující příklad odepře CONNECT SQL oprávnění k přihlášení k SQL Serveru Annika a objektům zabezpečení, kterým udělila oprávnění.
USE master;
DENY CONNECT SQL TO Annika CASCADE;
GO
B. Odepření oprávnění CREATE ENDPOINT pro přihlášení k SQL Serveru pomocí možnosti AS
Následující příklad odmítne CREATE ENDPOINT oprávnění k uživateli ArifS. Příklad používá možnost AS k určení MandarP jako objektu zabezpečení, ze kterého exekuční objekt odvozuje autoritu k tomu.
USE master;
DENY CREATE ENDPOINT TO ArifS AS MandarP;
GO
Viz také
ODVOLÁNÍ oprávnění serveru (Transact-SQL)
sys.fn_builtin_permissions (Transact-SQL)