Разрешения (ядро СУБД)
Область применения:
SQL Server База данных SQL Azure Управляемый экземпляр SQL Azure конечной точке аналитики платформы Аналитики Azure Synapse Analytics (PDW) в Microsoft Fabric Хранилище в базе данных Microsoft Fabric SQL в Microsoft Fabric
Каждая защищаемая среда SQL Server имеет связанные разрешения, которые можно предоставить субъекту. Разрешения в ядро СУБД управляются на уровне сервера, назначенном ролям входа и серверам, а также на уровне базы данных, назначенной пользователям базы данных и ролям базы данных. Модель для База данных SQL Azure имеет ту же систему для разрешений базы данных, но разрешения на уровне сервера недоступны. В этой статье содержится полный список разрешений. Советы по проектированию системы разрешений см. в статье Начало работы с разрешениями ядра СУБД.
Общее количество разрешений для SQL Server 2022 (16.x) — 292. База данных SQL Azure предоставляет 292 разрешения. Большинство разрешений применяются ко всем платформам, но некоторые не применяются. Например, большинство разрешений на уровне сервера не могут быть предоставлены в База данных SQL Azure, а для База данных SQL Azure имеет смысл только несколько разрешений. Новые разрешения вводятся постепенно с новыми выпусками. SQL Server 2019 (15.x) предоставляет 248 разрешений. SQL Server 2017 (14.x) предоставил 238 разрешений. SQL Server 2016 (13.x) предоставляет 230 разрешений. SQL Server 2014 (12.x) предоставил 219 разрешений. SQL Server 2012 (11.x) предоставляет 214 разрешений. SQL Server 2008 R2 (10.50.x) предоставляет разрешения 195. В статье sys.fn_builtin_permissions указывается, какие разрешения являются новыми в последних версиях.
В базе данных SQL в Microsoft Fabric поддерживаются только пользователи и роли уровня базы данных. Имена входа на уровне сервера, роли и учетная запись sa недоступны. В базе данных SQL в Microsoft Fabric идентификатор Microsoft Entra для пользователей базы данных является единственным поддерживаемым методом проверки подлинности. Дополнительные сведения см. в разделе "Авторизация в базе данных SQL" в Microsoft Fabric.
После понимания необходимых разрешений можно применить разрешения на уровне сервера для входа или ролей сервера, а также разрешения на уровне базы данных для пользователей или ролей базы данных с помощью инструкций GRANT, REVOKE и DENY. Например:
GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
Советы по проектированию системы разрешений см. в разделе Приступая к работе с разрешениями Database Engine.
Соглашения об именовании разрешений
Ниже описаны общие соглашения, которые соблюдаются при задании имен разрешениям.
ПРОИЗВОДИТЕЛЬНОСТИ
Предоставляет возможности, схожие с владением. Имеющий это разрешение получает все установленные разрешения на защищаемую сущность. Участник, получивший разрешение CONTROL, может также предоставлять разрешения на защищаемую сущность другим участникам. Так как модель безопасности SQL Server является иерархической, CONTROL в определенной области неявно включает CONTROL для всех защищаемых объектов в этой области. Например, разрешение CONTROL на базу данных неявно предполагает все разрешения на базу данных, все разрешения на все сборки в базе данных, все разрешения на все схемы в базе данных, а также все разрешения на объекты в пределах всех схем базы данных.
ИЗМЕНИТЬ
Предоставляет возможность изменения свойств определенной защищаемой сущности, кроме ее владельца. При предоставлении разрешения ALTER на ту или иную область также предоставляется возможность изменения, создания или удаления любой защищаемой сущности, содержащейся в пределах данной области. Например, разрешение ALTER на схему включает возможность создания, изменения и удаления объектов этой схемы.
ALTER ANY <Server Securable, где защищаемый> сервер может быть любым защищаемым сервером.
Предоставляет возможность создавать, изменять и удалять отдельные экземпляры Защищаемой сущности сервера. Например, разрешение ALTER ANY LOGIN предоставляет возможность создания, изменения и удаления любого имени входа в экземпляре.
ALTER ANY <Database Securable, где защищаемая> база данных может быть любой защищаемой на уровне базы данных.
Предоставляет возможность СОЗДАВАТЬ, ИЗМЕНЯТЬ и УДАЛЯТЬ отдельные экземпляры Защищаемой сущности базы данных. Например, разрешение ALTER ANY SCHEMA предоставляет возможность создания, изменения и удаления любой схемы в базе данных.
TAKE OWNERSHIP
Позволяет получать во владение защищаемую сущность, на которую предоставлено разрешение.
IMPERSONATE <Имя_для_входа>
Позволяет олицетворять имя входа.
IMPERSONATE <Пользователь>
Позволяет олицетворять пользователя.
CREATE <Защищаемый объект сервера>
Предоставляет возможность создавать Защищаемую сущность сервера.
CREATE <Защищаемый объект базы данных>
Предоставляет возможность создавать Защищаемую сущность базы данных.
CREATE <Защищаемый объект, содержащийся в схеме>
Предоставляет возможность создавать защищаемую сущность, содержащуюся в схеме. Однако для создания защищаемой сущности в той или иной схеме на эту схему требуется разрешение ALTER.
VIEW DEFINITION
Разрешает доступ к метаданным.
ССЫЛКИ
Разрешение REFERENCES для таблицы необходимо для создания ограничения FOREIGN KEY, которое ссылается на эту таблицу.
Разрешение REFERENCES для объекта необходимо для создания FUNCTION или VIEW с предложением 2
WITH SCHEMABINDING, которое ссылается на этот объект.
Диаграмма разрешений SQL Server
На следующем рисунке показаны разрешения и их связи друг с другом. Некоторые из разрешений более высокого уровня (например, CONTROL SERVER) указаны несколько раз. Рисунок в этой статье слишком мал для чтения. Вы можете скачать полноразмерный ядро СУБД плакат разрешений в формате PDF.
Разрешения, применимые к определенным защищаемым компонентам
В следующей таблице перечислены основные классы разрешений и типы защищаемых объектов, к которым они могут применяться.
| Разрешение | Применяется к |
|---|---|
| ИЗМЕНИТЬ | Все классы объектов, кроме TYPE. |
| ПРОИЗВОДИТЕЛЬНОСТИ | Все классы объектов: AGGREGATE, APPLICATION ROLE, ASSEMBLY, ASYMMETRIC KEY, AVAILABILITY GROUP, CERTIFICATE, CONTRACT, ВЕРИТЕЛЬНЫЕ ГРАМОТЫ DATABASE, DATABASE SCOPED CREDENTIAL, DEFAULT, ENDPOINT, FULLTEXT CATALOG, FULLTEXT STOPLIST, FUNCTION, LOGIN, MESSAGE TYPE, PROCEDURE, QUEUE, REMOTE SERVICE BINDING, ROLE, ROUTE, RULE, SCHEMA, SEARCH PROPERTY LIST, SERVER, SERVER ROLE, SERVICE, SYMMETRIC KEY, SYNONYM, TABLE, TYPE, USER, VIEW и XML SCHEMA COLLECTION |
| DELETE | Все классы объектов, кроме DATABASE SCOPED CONFIGURATION, SERVER и TYPE. |
| Выполнение | Типы СРЕДЫ CLR, внешние скрипты, процедуры (Transact-SQL и CLR), скалярные и агрегатные функции (Transact-SQL и CLR) и синонимы |
| IMPERSONATE | Имена входа и пользователи |
| ВСТАВИТЬ | Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов. |
| ПРИЕМ | Очереди Service Broker |
| ССЫЛКИ | AGGREGATE, ASSEMBLY, ASYMMETRIC KEY, CERTIFICATE, CONTRACT, CREDENTIAL (относится к SQL Server 2022 (16.x) и более поздним версиям); DATABASE, DATABASE SCOPED CREDENTIAL, FULLTEXT CATALOG, FULLTEXT STOPLIST, FUNCTION, MESSAGE TYPE, PROCEDURE, QUEUE, RULE, SCHEMA, SEARCH PROPERTY LIST, SEQUENCE OBJECT, SYMMETRIC KEY, TABLE, TYPE, VIEW и XML SCHEMA COLLECTION |
| SELECT | Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов. |
| TAKE OWNERSHIP | Все классы объектов, кроме DATABASE SCOPED CONFIGURATION, LOGIN, SERVER и USER. |
| UPDATE | Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов. |
| VIEW CHANGE TRACKING | Схемы и таблицы |
| VIEW DEFINITION | Все классы объектов, кроме DATABASE SCOPED CONFIGURATION и SERVER. |
Внимание
Разрешения по умолчанию, предоставляемые системным объектам во время установки, тщательно оцениваются по возможным угрозам и не должны быть изменены в рамках защиты установки SQL Server. Любые изменения разрешений для системных объектов могут ограничить или нарушить функциональные возможности и потенциально оставить установку SQL Server в неподдерживаемом состоянии.
Разрешения SQL Server
В следующей таблице приведен полный список разрешений SQL Server. База данных SQL Azure разрешения доступны только для поддерживаемых базовых защищаемых объектов. Разрешения на уровне сервера не могут быть предоставлены в База данных SQL Azure, однако в некоторых случаях разрешения базы данных доступны вместо этого.
| Базовая защищаемая сущность | Гранулярные разрешения на базовую защищаемую сущность | Код типа разрешения | Защищаемая сущность, содержащая базовую сущность | Разрешение на защищаемую сущность контейнера, неявно предоставляющее гранулярное разрешение на базовую сущность |
|---|---|---|---|---|
| APPLICATION ROLE | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY APPLICATION ROLE |
| APPLICATION ROLE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| APPLICATION ROLE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ASSEMBLY | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY ASSEMBLY |
| ASSEMBLY | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ASSEMBLY | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| ASSEMBLY | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ASSEMBLY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ASYMMETRIC KEY | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY ASYMMETRIC KEY |
| ASYMMETRIC KEY | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ASYMMETRIC KEY | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| ASYMMETRIC KEY | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ASYMMETRIC KEY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| AVAILABILITY GROUP | ИЗМЕНИТЬ | AL | SERVER | ALTER ANY AVAILABILITY GROUP |
| AVAILABILITY GROUP | ПРОИЗВОДИТЕЛЬНОСТИ | CL | SERVER | CONTROL SERVER |
| AVAILABILITY GROUP | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| AVAILABILITY GROUP | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| СЕРТИФИКАТ | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY CERTIFICATE |
| СЕРТИФИКАТ | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СЕРТИФИКАТ | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| СЕРТИФИКАТ | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СЕРТИФИКАТ | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| CONTRACT | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY CONTRACT |
| CONTRACT | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| CONTRACT | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| CONTRACT | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| CONTRACT | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| CREDENTIAL | ПРОИЗВОДИТЕЛЬНОСТИ | CL | SERVER | CONTROL SERVER |
| CREDENTIAL | ССЫЛКИ | RF | SERVER | ALTER ANY CREDENTIAL |
| DATABASE | ADMINISTER DATABASE BULK OPERATIONS | DABO | SERVER | CONTROL SERVER |
| DATABASE | ИЗМЕНИТЬ | AL | SERVER | ALTER ANY DATABASE |
| DATABASE | ALTER ANY APPLICATION ROLE | ALAR | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ASSEMBLY | ALAS | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ASYMMETRIC KEY | ALAK | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY CERTIFICATE | ALCF | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY COLUMN ENCRYPTION KEY | ALCK Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY COLUMN MASTER KEY | ALCM Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY CONTRACT | ALSC | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY DATABASE AUDIT | ALDA | SERVER | ALTER ANY SERVER AUDIT |
| DATABASE | ALTER ANY DATABASE DDL TRIGGER | ALTG | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY DATABASE EVENT NOTIFICATION | ALED | SERVER | ALTER ANY EVENT NOTIFICATION |
| DATABASE | ALTER ANY DATABASE EVENT SESSION | AADS | SERVER | ALTER ANY EVENT SESSION |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ADD EVENT | LDAE | SERVER | ALTER ANY EVENT SESSION ADD EVENT |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ADD TARGET | LDAT | SERVER | ALTER ANY EVENT SESSION ADD TARGET |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DISABLE | DDES | SERVER | ALTER ANY EVENT SESSION DISABLE |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DROP EVENT | LDDE | SERVER | ALTER ANY EVENT SESSION DROP EVENT |
| DATABASE | ALTER ANY DATABASE EVENT SESSION DROP TARGET | LDDT | SERVER | ALTER ANY EVENT SESSION DROP TARGET |
| DATABASE | ALTER ANY DATABASE EVENT SESSION ENABLE | EDES | SERVER | ALTER ANY EVENT SESSION ENABLE |
| DATABASE | ALTER ANY DATABASE EVENT SESSION OPTION | LDSO | SERVER | ALTER ANY EVENT SESSION OPTION |
| DATABASE | ALTER ANY DATABASE SCOPED CONFIGURATION | ALDC Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY DATASPACE | ALDS | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL DATA SOURCE | AEDS | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL FILE FORMAT | AEFF | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL JOB | AESJ | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL LANGUAGE | АЛЛА | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL LIBRARY | АЛЕЛЬ | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY EXTERNAL STREAM | AEST | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY FULLTEXT CATALOG | ALFT | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY MASK | AAMK Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY MESSAGE TYPE | ALMT | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY REMOTE SERVICE BINDING | ALSB | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ROLE | ALRL | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY ROUTE | ALRT | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SCHEMA | ALSM | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SECURITY POLICY | ALSP Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SENSITIVITY CLASSIFICATION | AASC Применяется к SQL Server (SQL Server 2019 (15.x) до текущего), База данных SQL Azure. |
SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SERVICE | ALSV | SERVER | CONTROL SERVER |
| DATABASE | ALTER ANY SYMMETRIC KEY | ALSK | SERVER | CONTROL SERVER |
| DATABASE | ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ | ALUS | SERVER | CONTROL SERVER |
| DATABASE | ALTER LEDGER | ALR | SERVER | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE | ALTER LEDGER CONFIGURATION | ALC | SERVER | CONTROL SERVER |
| DATABASE | AUTHENTICATE | АУТЕНТИФИКАЦИЯ | SERVER | AUTHENTICATE SERVER |
| DATABASE | BACKUP DATABASE | BADB | SERVER | CONTROL SERVER |
| DATABASE | BACKUP LOG | BALO | SERVER | CONTROL SERVER |
| DATABASE | CHECKPOINT | CP | SERVER | CONTROL SERVER |
| DATABASE | ПОДКЛЮЧЕНИЕ | CO | SERVER | CONTROL SERVER |
| DATABASE | CONNECT REPLICATION | CORP | SERVER | CONTROL SERVER |
| DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | SERVER | CONTROL SERVER |
| DATABASE | CREATE AGGREGATE | CRAG | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ | CRDS | SERVER | СОЗДАНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ |
| DATABASE | CREATE ASSEMBLY | CRAS | SERVER | CONTROL SERVER |
| DATABASE | CREATE ASYMMETRIC KEY | CRAK | SERVER | CONTROL SERVER |
| DATABASE | CREATE CERTIFICATE | CRCF | SERVER | CONTROL SERVER |
| DATABASE | CREATE CONTRACT | CRSC | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАТЬ БАЗУ ДАННЫХ | CRDB | SERVER | CREATE ANY DATABASE |
| DATABASE | CREATE DATABASE DDL EVENT NOTIFICATION | CRED | SERVER | CREATE DDL EVENT NOTIFICATION |
| DATABASE | CREATE DEFAULT | CRDF | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАНИЕ ВНЕШНЕГО ЯЗЫКА | CRLA | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАНИЕ ВНЕШНЕЙ БИБЛИОТЕКИ | CREL | SERVER | CONTROL SERVER |
| DATABASE | CREATE FULLTEXT CATALOG | CRFT | SERVER | CONTROL SERVER |
| DATABASE | CREATE FUNCTION | CRFN | SERVER | CONTROL SERVER |
| DATABASE | CREATE MESSAGE TYPE | CRMT | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАТЬ ПРОЦЕДУРУ | CRPR | SERVER | CONTROL SERVER |
| DATABASE | CREATE QUEUE | CRQU | SERVER | CONTROL SERVER |
| DATABASE | CREATE REMOTE SERVICE BINDING | CRSB | SERVER | CONTROL SERVER |
| DATABASE | CREATE ROLE | CRRL | SERVER | CONTROL SERVER |
| DATABASE | CREATE ROUTE | CRRT | SERVER | CONTROL SERVER |
| DATABASE | CREATE RULE | CRRU | SERVER | CONTROL SERVER |
| DATABASE | CREATE SCHEMA | CRSM | SERVER | CONTROL SERVER |
| DATABASE | CREATE SERVICE | CRSV | SERVER | CONTROL SERVER |
| DATABASE | CREATE SYMMETRIC KEY | CRSK | SERVER | CONTROL SERVER |
| DATABASE | CREATE SYNONYM | CRSN | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАТЬ ТАБЛИЦУ | CRTB | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАТЬ ТИП | CRTY | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАНИЕ ПОЛЬЗОВАТЕЛЯ | CUSR | SERVER | CONTROL SERVER |
| DATABASE | СОЗДАТЬ ПРЕДСТАВЛЕНИЕ | CRVW | SERVER | CONTROL SERVER |
| DATABASE | CREATE XML SCHEMA COLLECTION | CRXS | SERVER | CONTROL SERVER |
| DATABASE | DELETE | DL | SERVER | CONTROL SERVER |
| DATABASE | УДАЛЕНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ | DRDS | SERVER | УДАЛЕНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ |
| DATABASE | ENABLE LEDGER | EL | SERVER | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE | Выполнение | EX | SERVER | CONTROL SERVER |
| DATABASE | ВЫПОЛНЕНИЕ ЛЮБОЙ ВНЕШНЕЙ КОНЕЧНОЙ ТОЧКИ | EAEE | SERVER | CONTROL SERVER |
| DATABASE | EXECUTE ANY EXTERNAL SCRIPT | EAES Применяется к SQL Server (SQL Server 2016 (13.x) через текущий момент. |
SERVER | CONTROL SERVER |
| DATABASE | ВСТАВИТЬ | В | SERVER | CONTROL SERVER |
| DATABASE | KILL DATABASE CONNECTION | KIDC Применяется только к База данных SQL Azure. Используйте ALTER ANY CONNECTION в SQL Server. |
SERVER | ALTER ANY CONNECTION |
| DATABASE | ССЫЛКИ | RF | SERVER | CONTROL SERVER |
| DATABASE | SELECT | SL | SERVER | CONTROL SERVER |
| DATABASE | SHOWPLAN | SPLN | SERVER | ALTER TRACE |
| DATABASE | SUBSCRIBE QUERY NOTIFICATIONS | SUQN | SERVER | CONTROL SERVER |
| DATABASE | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| DATABASE | UNMASK | UMSK Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
SERVER | CONTROL SERVER |
| DATABASE | UPDATE | UP | SERVER | CONTROL SERVER |
| DATABASE | VIEW ANY COLUMN ENCRYPTION KEY DEFINITION | VWCK Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
SERVER | VIEW SERVER STATE |
| DATABASE | VIEW ANY COLUMN MASTER KEY DEFINITION | VWCM Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure. |
SERVER | VIEW SERVER STATE |
| DATABASE | ПРОСМОТР ЛЮБОЙ КЛАССИФИКАЦИИ КОНФИДЕНЦИАЛЬНОСТИ | VASC | SERVER | CONTROL SERVER |
| DATABASE | ПРОСМОТР КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ | VCD | SERVER | ПРОСМОТР ЛЮБОГО КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ |
| DATABASE | ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ БАЗЫ ДАННЫХ | VDP | SERVER | ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ СЕРВЕРА |
| DATABASE | ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ | VDSA | SERVER | CONTROL SERVER |
| DATABASE | ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ | VDS | SERVER | ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ СЕРВЕРА |
| DATABASE | ПРОСМОТР СОСТОЯНИЯ БАЗЫ ДАННЫХ | VWDS | SERVER | VIEW SERVER STATE |
| DATABASE | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| DATABASE | VIEW LEDGER CONTENT | VLC | SERVER | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE | ПРОСМОТР ОПРЕДЕЛЕНИЯ БЕЗОПАСНОСТИ | VWS | SERVER | ПРОСМОТР ВСЕХ ОПРЕДЕЛЕНИЙ БЕЗОПАСНОСТИ |
| DATABASE | ПРОСМОТР ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ | VWP | SERVER | ПРОСМОТР ЛЮБОГО ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE SCOPED CREDENTIAL | ИЗМЕНИТЬ | AL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE SCOPED CREDENTIAL | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE SCOPED CREDENTIAL | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| DATABASE SCOPED CREDENTIAL | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| DATABASE SCOPED CREDENTIAL | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| КОНЕЧНАЯ ТОЧКА | ИЗМЕНИТЬ | AL | SERVER | ALTER ANY ENDPOINT |
| КОНЕЧНАЯ ТОЧКА | ПОДКЛЮЧЕНИЕ | CO | SERVER | CONTROL SERVER |
| КОНЕЧНАЯ ТОЧКА | ПРОИЗВОДИТЕЛЬНОСТИ | CL | SERVER | CONTROL SERVER |
| КОНЕЧНАЯ ТОЧКА | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| КОНЕЧНАЯ ТОЧКА | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| FULLTEXT CATALOG | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY FULLTEXT CATALOG |
| FULLTEXT CATALOG | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| FULLTEXT CATALOG | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| FULLTEXT CATALOG | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| FULLTEXT CATALOG | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| FULLTEXT STOPLIST | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY FULLTEXT CATALOG |
| FULLTEXT STOPLIST | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| FULLTEXT STOPLIST | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| FULLTEXT STOPLIST | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| FULLTEXT STOPLIST | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ВХОД | ИЗМЕНИТЬ | AL | SERVER | ALTER ANY LOGIN |
| ВХОД | ПРОИЗВОДИТЕЛЬНОСТИ | CL | SERVER | CONTROL SERVER |
| ВХОД | IMPERSONATE | "IM" (Обмен мгновенными сообщениями); | SERVER | CONTROL SERVER |
| ВХОД | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| MESSAGE TYPE | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY MESSAGE TYPE |
| MESSAGE TYPE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| MESSAGE TYPE | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| MESSAGE TYPE | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| MESSAGE TYPE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| OBJECT | ИЗМЕНИТЬ | AL | СХЕМА | ИЗМЕНИТЬ |
| OBJECT | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| OBJECT | DELETE | DL | СХЕМА | DELETE |
| OBJECT | Выполнение | EX | СХЕМА | Выполнение |
| OBJECT | ВСТАВИТЬ | В | СХЕМА | ВСТАВИТЬ |
| OBJECT | ПРИЕМ | Ролевой центр | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| OBJECT | ССЫЛКИ | RF | СХЕМА | ССЫЛКИ |
| OBJECT | SELECT | SL | СХЕМА | SELECT |
| OBJECT | TAKE OWNERSHIP | TO | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| OBJECT | UNMASK | UMSK | СХЕМА | UNMASK |
| OBJECT | UPDATE | UP | СХЕМА | UPDATE |
| OBJECT | VIEW CHANGE TRACKING | VWCT | СХЕМА | VIEW CHANGE TRACKING |
| OBJECT | VIEW DEFINITION | VW | СХЕМА | VIEW DEFINITION |
| REMOTE SERVICE BINDING | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY REMOTE SERVICE BINDING |
| REMOTE SERVICE BINDING | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| REMOTE SERVICE BINDING | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| REMOTE SERVICE BINDING | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| РОЛЬ | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY ROLE |
| РОЛЬ | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| РОЛЬ | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| РОЛЬ | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ROUTE | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY ROUTE |
| ROUTE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ROUTE | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| ROUTE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| СХЕМА | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY SCHEMA |
| СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СХЕМА | CREATE SEQUENCE | CRSO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СХЕМА | DELETE | DL | DATABASE | DELETE |
| СХЕМА | Выполнение | EX | DATABASE | Выполнение |
| СХЕМА | ВСТАВИТЬ | В | DATABASE | ВСТАВИТЬ |
| СХЕМА | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| СХЕМА | SELECT | SL | DATABASE | SELECT |
| СХЕМА | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| СХЕМА | UNMASK | UMSK | DATABASE | UNMASK |
| СХЕМА | UPDATE | UP | DATABASE | UPDATE |
| СХЕМА | VIEW CHANGE TRACKING | VWCT | DATABASE | VIEW CHANGE TRACKING |
| СХЕМА | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SEARCH PROPERTY LIST | ИЗМЕНИТЬ | AL | SERVER | ALTER ANY FULLTEXT CATALOG |
| SEARCH PROPERTY LIST | ПРОИЗВОДИТЕЛЬНОСТИ | CL | SERVER | ПРОИЗВОДИТЕЛЬНОСТИ |
| SEARCH PROPERTY LIST | ССЫЛКИ | RF | SERVER | ССЫЛКИ |
| SEARCH PROPERTY LIST | TAKE OWNERSHIP | TO | SERVER | ПРОИЗВОДИТЕЛЬНОСТИ |
| SEARCH PROPERTY LIST | VIEW DEFINITION | VW | SERVER | VIEW DEFINITION |
| SERVER | ADMINISTER BULK OPERATIONS | ADBO | Неприменимо | Неприменимо |
| SERVER | ALTER ANY AVAILABILITY GROUP | ALAG | Неприменимо | Неприменимо |
| SERVER | ALTER ANY CONNECTION | ALCO | Неприменимо | Неприменимо |
| SERVER | ALTER ANY CREDENTIAL | ALCD | Неприменимо | Неприменимо |
| SERVER | ALTER ANY DATABASE | ALDB | Неприменимо | Неприменимо |
| SERVER | ALTER ANY ENDPOINT | ALHE | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT NOTIFICATION | ALES | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT SESSION | AAES | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT SESSION ADD EVENT | LSAE | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT SESSION ADD TARGET | LSAT | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT SESSION DISABLE | DES | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT SESSION DROP EVENT | LSDE | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT SESSION DROP TARGET | LSDT | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT SESSION ENABLE | EES | Неприменимо | Неприменимо |
| SERVER | ALTER ANY EVENT SESSION OPTION | LESO | Неприменимо | Неприменимо |
| SERVER | ALTER ANY LINKED SERVER | ALLS | Неприменимо | Неприменимо |
| SERVER | ALTER ANY LOGIN | ALLG | Неприменимо | Неприменимо |
| SERVER | ALTER ANY SERVER AUDIT | ALAA | Неприменимо | Неприменимо |
| SERVER | ALTER ANY SERVER ROLE | ALSR | Неприменимо | Неприменимо |
| SERVER | ALTER RESOURCES | ALRS | Неприменимо | Неприменимо |
| SERVER | ALTER SERVER STATE | ALSS | Неприменимо | Неприменимо |
| SERVER | ALTER SETTINGS | ALST | Неприменимо | Неприменимо |
| SERVER | ALTER TRACE | ALTR | Неприменимо | Неприменимо |
| SERVER | AUTHENTICATE SERVER | АУТЕНТИФИКАЦИЯ | Неприменимо | Неприменимо |
| SERVER | CONNECT ANY DATABASE | CADB | Неприменимо | Неприменимо |
| SERVER | CONNECT SQL | COSQ | Неприменимо | Неприменимо |
| SERVER | CONTROL SERVER | CL | Неприменимо | Неприменимо |
| SERVER | CREATE ANY DATABASE | CRDB | Неприменимо | Неприменимо |
| SERVER | CREATE AVAILABILITY GROUP | CRAC | Неприменимо | Неприменимо |
| SERVER | CREATE DDL EVENT NOTIFICATION | CRDE | Неприменимо | Неприменимо |
| SERVER | CREATE ENDPOINT … | CRHE | Неприменимо | Неприменимо |
| SERVER | CREATE SERVER ROLE | CRSR | Неприменимо | Неприменимо |
| SERVER | CREATE TRACE EVENT NOTIFICATION | CRTE | Неприменимо | Неприменимо |
| SERVER | EXTERNAL ACCESS ASSEMBLY | XA | Неприменимо | Неприменимо |
| SERVER | IMPERSONATE ANY LOGIN | IAL | Неприменимо | Неприменимо |
| SERVER | SELECT ALL USER SECURABLES | SUS | Неприменимо | Неприменимо |
| SERVER | SHUTDOWN | SHDN | Неприменимо | Неприменимо |
| SERVER | UNSAFE ASSEMBLY | XU | Неприменимо | Неприменимо |
| SERVER | VIEW ANY DATABASE | VWDB | Неприменимо | Неприменимо |
| SERVER | VIEW ANY DEFINITION | VWAD | Неприменимо | Неприменимо |
| SERVER | VIEW SERVER STATE | VWSS | Неприменимо | Неприменимо |
| РОЛЬ СЕРВЕРА | ИЗМЕНИТЬ | AL | SERVER | ALTER ANY SERVER ROLE |
| РОЛЬ СЕРВЕРА | ПРОИЗВОДИТЕЛЬНОСТИ | CL | SERVER | CONTROL SERVER |
| РОЛЬ СЕРВЕРА | TAKE OWNERSHIP | TO | SERVER | CONTROL SERVER |
| РОЛЬ СЕРВЕРА | VIEW DEFINITION | VW | SERVER | VIEW ANY DEFINITION |
| SERVICE | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY SERVICE |
| SERVICE | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| SERVICE | SEND | SN | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| SERVICE | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| SERVICE | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| SYMMETRIC KEY | ИЗМЕНИТЬ | AL | DATABASE | ALTER ANY SYMMETRIC KEY |
| SYMMETRIC KEY | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| SYMMETRIC KEY | ССЫЛКИ | RF | DATABASE | ССЫЛКИ |
| SYMMETRIC KEY | TAKE OWNERSHIP | TO | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| SYMMETRIC KEY | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| ТИП | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| ТИП | Выполнение | EX | СХЕМА | Выполнение |
| ТИП | ССЫЛКИ | RF | СХЕМА | ССЫЛКИ |
| ТИП | TAKE OWNERSHIP | TO | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| ТИП | VIEW DEFINITION | VW | СХЕМА | VIEW DEFINITION |
| Пользователь | ИЗМЕНИТЬ | AL | DATABASE | ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ |
| Пользователь | ПРОИЗВОДИТЕЛЬНОСТИ | CL | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| Пользователь | IMPERSONATE | "IM" (Обмен мгновенными сообщениями); | DATABASE | ПРОИЗВОДИТЕЛЬНОСТИ |
| Пользователь | VIEW DEFINITION | VW | DATABASE | VIEW DEFINITION |
| XML SCHEMA COLLECTION | ИЗМЕНИТЬ | AL | СХЕМА | ИЗМЕНИТЬ |
| XML SCHEMA COLLECTION | ПРОИЗВОДИТЕЛЬНОСТИ | CL | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| XML SCHEMA COLLECTION | Выполнение | EX | СХЕМА | Выполнение |
| XML SCHEMA COLLECTION | ССЫЛКИ | RF | СХЕМА | ССЫЛКИ |
| XML SCHEMA COLLECTION | TAKE OWNERSHIP | TO | СХЕМА | ПРОИЗВОДИТЕЛЬНОСТИ |
| XML SCHEMA COLLECTION | VIEW DEFINITION | VW | СХЕМА | VIEW DEFINITION |
Новые детализированные разрешения, добавленные в SQL Server 2022
В SQL Server 2022 добавляются следующие разрешения:
Добавлены 10 новых разрешений, чтобы разрешить доступ к системным метаданным.
Добавлены 18 новых разрешений для расширенных событий.
Добавлены 9 новых разрешений в отношении объектов, связанных с безопасностью.
Для реестра добавлены 4 разрешения.
3 дополнительные разрешения базы данных.
Дополнительные сведения см. в статье "Новые детализированные разрешения для SQL Server 2022 и Azure SQL для улучшения соответствия с помощью PoLP".
Доступ к разрешениям системных метаданных
Уровень сервера:
- ПРОСМОТР ВСЕХ ОПРЕДЕЛЕНИЙ БЕЗОПАСНОСТИ
- ПРОСМОТР ЛЮБОГО ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ
- ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ СЕРВЕРА
- ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ СЕРВЕРА
- ПРОСМОТР ЛЮБОГО КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ
Уровень базы данных:
- ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ
- ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ БАЗЫ ДАННЫХ
- ПРОСМОТР ОПРЕДЕЛЕНИЯ БЕЗОПАСНОСТИ
- ПРОСМОТР ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ
- ПРОСМОТР КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ
Разрешения расширенных событий
Уровень сервера:
- СОЗДАНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ
- УДАЛЕНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ
- ALTER ANY EVENT SESSION OPTION
- ALTER ANY EVENT SESSION ADD EVENT
- ALTER ANY EVENT SESSION DROP EVENT
- ALTER ANY EVENT SESSION ENABLE
- ALTER ANY EVENT SESSION DISABLE
- ALTER ANY EVENT SESSION ADD TARGET
- ALTER ANY EVENT SESSION DROP TARGET
Все эти разрешения находятся под одинаковым родительским разрешением: ALTER ANY EVENT SESSION
Уровень базы данных:
- СОЗДАНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ
- УДАЛЕНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ
- ALTER ANY DATABASE EVENT SESSION OPTION
- ALTER ANY DATABASE EVENT SESSION ADD EVENT
- ALTER ANY DATABASE EVENT SESSION DROP EVENT
- ALTER ANY DATABASE EVENT SESSION ENABLE
- ALTER ANY DATABASE EVENT SESSION DISABLE
- ALTER ANY DATABASE EVENT SESSION ADD TARGET
- ALTER ANY DATABASE EVENT SESSION DROP TARGET
Все эти разрешения находятся под одинаковым родительским разрешением: ALTER ANY DATABASE EVENT SESSION
Разрешения объекта, связанные с безопасностью
- CONTROL (CREDENTIAL)
- CREATE LOGIN
- СОЗДАНИЕ ПОЛЬЗОВАТЕЛЯ
- ССЫЛКИ (УЧЕТНЫЕ ДАННЫЕ)
- UNMASK (OBJECT)
- UNMASK (SCHEMA)
- ПРОСМОТР ЛЮБОГО ЖУРНАЛА ОШИБОК
- ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ СЕРВЕРА
- ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ
Разрешения реестра
- ALTER LEDGER
- ALTER LEDGER CONFIGURATION
- ENABLE LEDGER
- VIEW LEDGER CONTENT
Другие разрешения базы данных
- ALTER ANY EXTERNAL JOB
- ALTER ANY EXTERNAL STREAM
- ВЫПОЛНЕНИЕ ЛЮБОЙ ВНЕШНЕЙ КОНЕЧНОЙ ТОЧКИ
Сводка алгоритма проверки разрешений
Проверка разрешений может оказаться сложной задачей. Алгоритм проверки разрешений учитывает перекрывающееся членство в группах и цепочки владения, явные и неявные разрешения. На его работу могут влиять разрешения на защищаемые классы, содержащие защищаемые сущности. Общая процедура алгоритма состоит в сборе всех применимых разрешений. Если не обнаружена блокирующая инструкция DENY, алгоритм выполняет поиск инструкции GRANT, которая предоставляет достаточные права доступа. Алгоритм содержит три необходимых элемента: контекст безопасности, область разрешенияи требуемое разрешение.
Примечание.
Невозможно предоставить, запретить или отменить разрешения sa, dbo, владельцу сущности, information_schema, sys или самому себе.
Контекст безопасности
Это группа участников, разрешения которых используются в проверке доступа. Сюда входят разрешения, связанные с текущим именем входа или пользователем, если контекст безопасности не изменился на другое имя входа или другого пользователя с помощью инструкции EXECUTE AS. В контекст безопасности входят следующие участники.
Имя входа.
Пользователь
Членство в ролях.
Членство в группах Windows.
Любое имя входа или учетная запись пользователя для сертификата, используемого для подписания модуля (если применяются подписи модулей), который выполняется пользователем в данный момент, и членство этого участника в соответствующих ролях.
Область разрешения
Это защищаемая сущность и все защищаемые классы, содержащие защищаемый объект. Например, таблица (защищаемая сущность) содержится в защищаемом классе схемы и в защищаемом классе базы данных. На доступ могут влиять разрешения на уровне таблицы, схемы, базы данных и сервера. Дополнительные сведения см. в разделе "Иерархия разрешений" (ядро СУБД).
Требуемое разрешение
Тип требуемого разрешения. Например, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL и т. д.
Для доступа может требоваться несколько разрешений, как в следующих примерах.
Хранимой процедуре может быть необходимо разрешение EXECUTE на хранимую процедуру и разрешение INSERT на несколько таблиц, на которые ссылается хранимая процедура.
Для динамического административного представления могут быть одновременно необходимы разрешения VIEW SERVER STATE и SELECT на представление.
Общие шаги алгоритма
Когда алгоритм определяет, следует ли предоставлять доступ к защищаемому объекту, конкретные используемые шаги могут различаться в зависимости от того, какие участники и защищаемые объекты вовлечены в процесс. Однако в любом случае алгоритм выполняет следующие общие шаги.
Пропустить проверку разрешений, если имя входа является членом предопределенной роли сервера sysadmin или если пользователь является пользователем dbo в текущей базе данных.
Разрешить доступ, если применима цепочка владения и проверка доступа к объекту, расположенному ранее в цепочке, завершилась успешно.
Выполнить статистическую обработку удостоверений на уровне сервера, базы данных и подписанных модулей, относящихся к вызывающей стороне, чтобы создать контекст безопасности.
Собрать для полученного контекста безопасностивсе разрешения, которые предоставлены или запрещены в области разрешения. Разрешение может задаваться в явном виде в составе инструкций GRANT, GRANT WITH GRANT или DENY (либо быть неявным или покрывающим разрешением GRANT или DENY). Например, из разрешения CONTROL на схему следует разрешение CONTROL на таблицу, а из разрешения CONTROL на таблицу следует разрешение SELECT. Таким образом, если предоставлено разрешение CONTROL на схему, то неявно предоставляется разрешение SELECT на таблицу. Если разрешение CONTROL на таблицу запрещается, то неявно запрещается разрешение SELECT на таблицу.
Примечание.
Инструкция GRANT для разрешения на уровне столбцов имеет приоритет над инструкцией DENY на уровне объектов. Дополнительные сведения см. здесь: DENY Object Permissions (Transact-SQL).
Определить требуемое разрешение.
Завершить проверку разрешений с отрицательным результатом, если требуемое разрешение явно или неявно запрещено в любом из удостоверений из контекста безопасности для объектов в области разрешения.
Передайте проверку разрешения, если требуемое разрешение не было отклонено, а требуемое разрешение содержит разрешение GRANT или GRANT WITH GRANT либо непосредственно, либо неявно любому из удостоверений в контексте безопасности для любого объекта в пространстве разрешений.
Особые замечания относительно разрешений на уровне столбца
Разрешения на уровне столбцов предоставляются с помощью синтаксиса table_name(столбец _name>).<>< Например:
GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;
Разрешение GRANT на столбец переопределяет разрешение DENY на таблицу. При этом последующее разрешение DENY на таблицу удалит разрешение GRANT на столбец.
Примеры
В примерах этого раздела показано, как получить сведения о разрешениях.
А. Возвращает полный список предоставленных разрешений
Следующая инструкция возвращает все разрешения ядро СУБД с помощью fn_builtin_permissions функции. Дополнительные сведения см. в разделе sys.fn_builtin_permissions (Transact-SQL).
SELECT * FROM fn_builtin_permissions(default);
GO
B. Возврат разрешений для определенного класса объектов
В следующем примере функция fn_builtin_permissions используется для просмотра всех разрешений, доступных для категории защищаемых объектов. В примере возвращаются разрешения на сборки.
SELECT * FROM fn_builtin_permissions('assembly');
GO
В. Возврат разрешений, предоставленных выполняющей субъекту объекта
В следующем примере функция fn_my_permissions возвращает список действующих разрешений вызывающего участника в отношении указанного защищаемого объекта. В примере возвращаются разрешения на объект с именем Orders55. Дополнительные сведения см. в разделе sys.fn_my_permissions (Transact-SQL).
SELECT * FROM fn_my_permissions('Orders55', 'object');
GO
D. Возврат разрешений, применимых к указанному объекту
В следующем примере возвращаются применимые разрешения на объект с именем Yttrium. Встроенная функция OBJECT_ID используется для получения идентификатора объекта Yttrium.
SELECT * FROM sys.database_permissions
WHERE major_id = OBJECT_ID('Yttrium');
GO