Condividi tramite


DENY (Transact-SQL)

Nega un'autorizzazione a un'entità. Impedisce a tale entità di ereditare l'autorizzazione tramite l'appartenenza al ruolo o al gruppo.

Icona di collegamento a un argomentoConvenzioni della sintassi Transact-SQL

Sintassi

Simplified syntax for DENY
DENY { ALL [ PRIVILEGES ] }
      | permission [ ( column [ ,...n ] ) ] [ ,...n ]
      [ ON [ class :: ] securable ] TO principal [ ,...n ] 
      [ CASCADE] [ AS principal ]

Argomenti

  • ALL
    Questa opzione non nega tutte le autorizzazioni possibili. Negare ALL equivale a negare le autorizzazioni seguenti.

    • Se l'entità a protezione diretta è un database, ALL corrisponde a BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE e CREATE VIEW.

    • Se l'entità a protezione diretta è una funzione scalare, ALL corrisponde a EXECUTE e REFERENCES.

    • Se l'entità a protezione diretta è una funzione con valori di tabella, ALL corrisponde a DELETE, INSERT, REFERENCES, SELECT e UPDATE.

    • Se l'entità a protezione diretta è una stored procedure, ALL corrisponde a EXECUTE.

    • Se l'entità a protezione diretta è una tabella, ALL corrisponde a DELETE, INSERT, REFERENCES, SELECT e UPDATE.

    • Se l'entità a protezione diretta è una vista, "ALL" significa DELETE, INSERT, REFERENCES, SELECT e UPDATE.

    [!NOTA]

    La sintassi DENY ALL è obsoleta. Questa caratteristica verrà rimossa a partire da una delle prossime versioni di Microsoft SQL Server. Evitare di utilizzare questa funzionalità in un nuovo progetto di sviluppo e prevedere interventi di modifica nelle applicazioni in cui è attualmente implementata.Negare invece autorizzazioni specifiche.

  • PRIVILEGES
    Opzione inclusa per compatibilità con lo standard ISO. Non modifica il funzionamento di ALL.

  • permission
    Nome dell'autorizzazione. I mapping validi tra le autorizzazioni e le entità a protezione diretta sono descritti negli argomenti correlati elencati di seguito.

  • column
    Specifica il nome di una colonna in una tabella per la quale vengono negate le autorizzazioni. Le parentesi "()" sono necessarie.

  • class
    Specifica la classe dell'entità a protezione diretta per la quale viene negata l'autorizzazione. Il qualificatore di ambito "::" è obbligatorio.

  • securable
    Specifica l'entità a protezione diretta per cui viene negata l'autorizzazione.

  • TO principal
    Nome di un'entità. Le entità alle quali possono essere negate le autorizzazioni per un'entità a protezione diretta variano in base all'entità a protezione diretta. Per le combinazioni valide, vedere gli argomenti relativi alle entità a protezione diretta elencati di seguito.

  • CASCADE
    Indica che l'autorizzazione viene negata all'entità specificata e a tutte le entità alle quali l'entità ha concesso l'autorizzazione. Obbligatorio quando l'entità dispone dell'autorizzazione con GRANT OPTION.

  • AS principal
    Specifica un'entità dalla quale l'entità che esegue questa istruzione deriva il proprio diritto di negare l'autorizzazione.

Osservazioni

La sintassi completa dell'istruzione DENY è complessa. Il diagramma in alto è stato semplificato per richiamare l'attenzione sulla struttura. La sintassi completa per negare le autorizzazioni su entità a protezione diretta specifiche è descritta negli argomenti elencati di seguito.

DENY ha esito negativo se l'argomento CASCADE viene omesso quando si nega un'autorizzazione a un'entità a cui è stata concessa tale autorizzazione con l'opzione GRANT OPTION specificata.

La stored procedure di sistema sp_helprotect visualizza le autorizzazioni per un'entità a protezione diretta a livello di database.

Nota di attenzioneAttenzione

Un'istruzione DENY a livello di tabella non ha la precedenza rispetto a un'istruzione GRANT a livello di colonna. Questa incongruenza nella gerarchia di autorizzazioni è stata mantenuta per garantire la compatibilità con le versioni precedenti e verrà rimossa a partire da una delle prossime versioni.

Nota di attenzioneAttenzione

Negando l'autorizzazione CONTROL per un database viene negata implicitamente anche l'autorizzazione CONNECT per il database. Un'entità a cui viene negata l'autorizzazione CONTROL per un database non può connettersi a tale database.

Nota di attenzioneAttenzione

Se si nega l'autorizzazione CONTROL SERVER, viene implicitamente negata anche l'autorizzazione CONNECT SQL per il server. Un'entità a cui viene negata l'autorizzazione CONTROL SERVER per un server non può connettersi a tale server.

Autorizzazioni

Il chiamante (o l'entità specificata con l'opzione AS) deve disporre dell'autorizzazione CONTROL per un'entità a protezione diretta o di un'autorizzazione di livello superiore che implichi l'autorizzazione CONTROL per tale entità a protezione diretta. Se si utilizza l'opzione AS, l'entità specificata deve essere proprietaria dell'entità a protezione diretta per la quale viene negata un'autorizzazione.

Gli utenti che dispongono dell'autorizzazione CONTROL SERVER, ad esempio i membri del ruolo predefinito del server sysadmin, possono negare qualsiasi autorizzazione per qualsiasi entità a protezione diretta nel server. Gli utenti che dispongono dell'autorizzazione CONTROL per il database, ad esempio i membri del ruolo predefinito del database db_owner, possono negare qualsiasi autorizzazione per ogni entità a protezione diretta nel database. Gli utenti che dispongono dell'autorizzazione CONTROL per uno schema possono negare qualsiasi autorizzazione per qualsiasi oggetto nello schema. Se si utilizza la clausola AS, l'entità specificata deve essere proprietaria dell'entità a protezione diretta per cui vengono negate le autorizzazioni.

Esempi

Per la sintassi relativa alle entità a protezione diretta vedere gli argomenti seguenti.

Ruolo dell'applicazione

DENY - autorizzazioni per entità di database (Transact-SQL)

Assembly

DENY - autorizzazioni per assembly Transact-SQL)

Chiave asimmetrica

DENY - autorizzazioni per chiavi asimmetriche (Transact-SQL)

Certificato

DENY (autorizzazioni per certificati) (Transact-SQL)

Contratto

DENY (autorizzazioni di Service Broker) (Transact-SQL)

Database

DENY - autorizzazioni per database (Transact-SQL)

Endpoint

DENY - autorizzazioni per endpoint (Transact-SQL)

Catalogo full-text

DENY - autorizzazioni per il catalogo full-text (Transact-SQL)

Elenco di parole non significative full-text

DENY - autorizzazioni per il catalogo full-text (Transact-SQL)

Funzione

DENY - autorizzazioni per oggetti (Transact-SQL)

Account di accesso

DENY - autorizzazioni per entità server (Transact-SQL)

Tipo di messaggio

DENY (autorizzazioni di Service Broker) (Transact-SQL)

Oggetto

DENY - autorizzazioni per oggetti (Transact-SQL)

Coda

DENY - autorizzazioni per oggetti (Transact-SQL)

Associazione al servizio remoto

DENY (autorizzazioni di Service Broker) (Transact-SQL)

Ruolo

DENY - autorizzazioni per entità di database (Transact-SQL)

Route

DENY (autorizzazioni di Service Broker) (Transact-SQL)

Schema

DENY (autorizzazioni per schemi) (Transact-SQL)

Server

DENY - autorizzazioni per server (Transact-SQL)

Servizio

DENY (autorizzazioni di Service Broker) (Transact-SQL)

Stored procedure

DENY - autorizzazioni per oggetti (Transact-SQL)

Chiave simmetrica

DENY - autorizzazioni per chiavi simmetriche (Transact-SQL)

Sinonimo

DENY - autorizzazioni per oggetti (Transact-SQL)

Oggetti di sistema

DENY - autorizzazioni per oggetti di sistema (Transact-SQL)

Tabella

DENY - autorizzazioni per oggetti (Transact-SQL)

Tipo

DENY - autorizzazioni per tipi (Transact-SQL)

Utente

DENY - autorizzazioni per entità di database (Transact-SQL)

Vista

DENY - autorizzazioni per oggetti (Transact-SQL)

Raccolta di schemi XML

DENY - autorizzazioni per raccolte di schemi XML (Transact-SQL)