Condividi tramite


DENY - autorizzazioni per database (Transact-SQL)

Si applica a: SQL Server database SQL di Azure Istanza gestita di SQL di Azure endpoint di analisi SQL di Azure Synapse Analytics Platform System (PDW) in Microsoft Fabric Warehouse nel database SQL di Microsoft Fabric in Microsoft Fabric

Nega le autorizzazioni per un database in SQL Server.

Convenzioni relative alla sintassi Transact-SQL

Sintassi

DENY <permission> [ ,...n ]
    TO <database_principal> [ ,...n ] [ CASCADE ]
    [ AS <database_principal> ]

<permission> ::=
    permission | ALL [ PRIVILEGES ]

<database_principal> ::=
    Database_user
  | Database_role
  | Application_role
  | Database_user_mapped_to_Windows_User
  | Database_user_mapped_to_Windows_Group
  | Database_user_mapped_to_certificate
  | Database_user_mapped_to_asymmetric_key
  | Database_user_with_no_login

Argomenti

permission specifica un'autorizzazione che può essere negata per un database. Per un elenco delle autorizzazioni, vedere la sezione Osservazioni di seguito in questo argomento.

L'opzione ALL non nega tutte le autorizzazioni possibili. L'impostazione di ALL equivale a negare le autorizzazioni seguenti: BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE e CREATE VIEW.

PRIVILEGES viene incluso per la conformità allo standard ISO. Non modifica il funzionamento di ALL.

CASCADE indica che l'autorizzazione verrà negata anche alle entità di sicurezza a cui è stata concessa dall'entità di sicurezza specificata.

AS <database_principal> Specifica un'entità dalla quale l'entità che esegue la query ottiene il diritto di negare l'autorizzazione.

Database_user specifica un utente del database.

Database_role specifica un ruolo del database.

Application_role si applica a: SQL Server 2008 (10.0.x) e versioni successive, database SQL.

Specifica un ruolo applicazione.

Database_user_mapped_to_Windows_User specifica un utente del database con mapping a un utente di Windows.

Database_user_mapped_to_Windows_Group specifica un utente del database con mapping a un gruppo di Windows.

Database_user_mapped_to_certificate specifica un utente del database con mapping a un certificato.

Database_user_mapped_to_asymmetric_key specifica un utente del database con mapping a una chiave asimmetrica.

Database_user_with_no_login specifica un utente del database senza entità di livello server corrispondente.

Osservazioni:

Un database è un'entità a protezione diretta contenuta nel server padre nella gerarchia delle autorizzazioni. Nella tabella seguente sono elencate le autorizzazioni più specifiche e limitate che è possibile negare per un database, insieme alle autorizzazioni più generali che le includono in modo implicito.

Autorizzazione del database Autorizzazione del database in cui è inclusa Autorizzazione del server in cui è inclusa
ADMINISTER DATABASE BULK OPERATIONS
Si applica a: database SQL.
CONTROL CONTROL SERVER
ALTER CONTROL ALTER ANY DATABASE
ALTER ANY APPLICATION ROLE ALTER CONTROL SERVER
ALTER ANY ASSEMBLY ALTER CONTROL SERVER
ALTER ANY ASYMMETRIC KEY ALTER CONTROL SERVER
ALTER ANY CERTIFICATE ALTER CONTROL SERVER
ALTER ANY COLUMN ENCRYPTION KEY ALTER CONTROL SERVER
ALTER ANY COLUMN MASTER KEY DEFINITION ALTER CONTROL SERVER
ALTER ANY CONTRACT ALTER CONTROL SERVER
ALTER ANY DATABASE AUDIT ALTER ALTER ANY SERVER AUDIT
ALTER ANY DATABASE DDL TRIGGER ALTER CONTROL SERVER
ALTER ANY DATABASE EVENT NOTIFICATION ALTER ALTER ANY EVENT NOTIFICATION
ALTER ANY DATABASE EVENT SESSION
Si applica a: database SQL di Azure.
ALTER ALTER ANY EVENT SESSION
ALTER ANY DATABASE SCOPED CONFIGURATION
Si applica a: SQL Server 2016 (13.x) e versioni successive, Database SQL.
CONTROL CONTROL SERVER
ALTER ANY DATASPACE ALTER CONTROL SERVER
ALTER ANY EXTERNAL DATA SOURCE ALTER CONTROL SERVER
ALTER ANY EXTERNAL FILE FORMAT ALTER CONTROL SERVER
ALTER ANY EXTERNAL LIBRARY
Si applica a: SQL Server 2017 (14.x).
CONTROL CONTROL SERVER
ALTER ANY FULLTEXT CATALOG ALTER CONTROL SERVER
ALTER ANY MASK CONTROL CONTROL SERVER
ALTER ANY MESSAGE TYPE ALTER CONTROL SERVER
ALTER ANY REMOTE SERVICE BINDING ALTER CONTROL SERVER
ALTER ANY ROLE ALTER CONTROL SERVER
ALTER ANY ROUTE ALTER CONTROL SERVER
ALTER ANY SECURITY POLICY
Si applica a: SQL Server 2016 (13.x) e versioni successive, Database SQL di Azure.
CONTROL CONTROL SERVER
ALTER ANY SCHEMA ALTER CONTROL SERVER
ALTER ANY SERVICE ALTER CONTROL SERVER
ALTER ANY SYMMETRIC KEY ALTER CONTROL SERVER
ALTER ANY USER ALTER CONTROL SERVER
AUTHENTICATE CONTROL AUTHENTICATE SERVER
BACKUP DATABASE CONTROL CONTROL SERVER
BACKUP LOG CONTROL CONTROL SERVER
CHECKPOINT CONTROL CONTROL SERVER
CONNECT CONNECT REPLICATION CONTROL SERVER
CONNECT REPLICATION CONTROL CONTROL SERVER
CONTROL CONTROL CONTROL SERVER
CREATE AGGREGATE ALTER CONTROL SERVER
CREATE ASSEMBLY ALTER ANY ASSEMBLY CONTROL SERVER
CREATE ASYMMETRIC KEY ALTER ANY ASYMMETRIC KEY CONTROL SERVER
CREATE CERTIFICATE ALTER ANY CERTIFICATE CONTROL SERVER
CREATE CONTRACT ALTER ANY CONTRACT CONTROL SERVER
CREATE DATABASE CONTROL CREATE ANY DATABASE
CREATE DATABASE DDL EVENT NOTIFICATION ALTER ANY DATABASE EVENT NOTIFICATION CREATE DDL EVENT NOTIFICATION
CREATE DEFAULT ALTER CONTROL SERVER
CREATE FULLTEXT CATALOG ALTER ANY FULLTEXT CATALOG CONTROL SERVER
CREATE FUNCTION ALTER CONTROL SERVER
CREATE MESSAGE TYPE ALTER ANY MESSAGE TYPE CONTROL SERVER
CREATE PROCEDURE ALTER CONTROL SERVER
CREATE QUEUE ALTER CONTROL SERVER
CREATE REMOTE SERVICE BINDING ALTER ANY REMOTE SERVICE BINDING CONTROL SERVER
CREATE ROLE ALTER ANY ROLE CONTROL SERVER
CREATE ROUTE ALTER ANY ROUTE CONTROL SERVER
CREATE RULE ALTER CONTROL SERVER
CREATE SCHEMA ALTER ANY SCHEMA CONTROL SERVER
CREATE SERVICE ALTER ANY SERVICE CONTROL SERVER
CREATE SYMMETRIC KEY ALTER ANY SYMMETRIC KEY CONTROL SERVER
CREATE SYNONYM ALTER CONTROL SERVER
CREATE TABLE ALTER CONTROL SERVER
CREATE TYPE ALTER CONTROL SERVER
CREATE VIEW ALTER CONTROL SERVER
CREATE XML SCHEMA COLLECTION ALTER CONTROL SERVER
DELETE CONTROL CONTROL SERVER
EXECUTE CONTROL CONTROL SERVER
ESEGUIRE QUALSIASI SCRIPT ESTERNO
Si applica a: SQL Server 2016 (13.x).
CONTROL CONTROL SERVER
INSERT … CONTROL CONTROL SERVER
KILL DATABASE CONNECTION
Si applica a: database SQL di Azure.
CONTROL ALTER ANY CONNECTION
REFERENCES CONTROL CONTROL SERVER
SELECT CONTROL CONTROL SERVER
SHOWPLAN CONTROL ALTER TRACE
SUBSCRIBE QUERY NOTIFICATIONS CONTROL CONTROL SERVER
TAKE OWNERSHIP CONTROL CONTROL SERVER
UNMASK CONTROL CONTROL SERVER
UPDATE CONTROL CONTROL SERVER
VIEW ANY COLUMN ENCRYPTION KEY CONTROL VIEW ANY DEFINITION
VIEW ANY MASTER KEY DEFINITION CONTROL VIEW ANY DEFINITION
VIEW DATABASE STATE CONTROL VIEW SERVER STATE
VIEW DEFINITION CONTROL VIEW ANY DEFINITION

Autorizzazioni

L'entità che esegue l'istruzione (o l'entità specificata con l'opzione AS) deve disporre dell'autorizzazione CONTROL per il database o di un'autorizzazione di livello superiore che include l'autorizzazione CONTROL per il database.

Se si utilizza l'opzione AS, l'entità specificata deve essere proprietaria del database.

Esempi

R. Negazione dell'autorizzazione per la creazione di certificati

Nell'esempio seguente viene negata l'autorizzazione CREATE CERTIFICATE per il database AdventureWorks2022 all'utente MelanieK.

USE AdventureWorks2022;
DENY CREATE CERTIFICATE TO MelanieK;
GO

B. Negazione dell'autorizzazione REFERENCES a un ruolo applicazione

Nell'esempio seguente viene negata l'autorizzazione REFERENCES per il database AdventureWorks2022 al ruolo applicazione AuditMonitor.

Si applica a: SQL Server 2008 (10.0.x) e versioni successive, database SQL.

USE AdventureWorks2022;
DENY REFERENCES TO AuditMonitor;
GO

C. Negazione dell'autorizzazione VIEW DEFINITION con CASCADE

Nell'esempio seguente viene negata l'autorizzazione VIEW DEFINITION per il database AdventureWorks2022 all'utente CarmineEs e a tutte le entità a cui CarmineEs ha concesso l'autorizzazione VIEW DEFINITION.

USE AdventureWorks2022;
DENY VIEW DEFINITION TO CarmineEs CASCADE;
GO

Vedi anche