共用方式為


GRANT 物件權限 (Transact-SQL)

授與資料表、檢視表、資料表值函式、預存程序、擴充預存程序、純量函數、彙總函式、服務佇列或同義字的權限。

適用於:SQL Server (SQL Server 2008 透過目前版本)、Windows Azure SQL 資料庫 (初始版本,透過目前版本)。

主題連結圖示 Transact-SQL 語法慣例

語法

GRANT <permission> [ ,...n ] ON 
    [ OBJECT :: ][ schema_name ]. object_name [ ( column [ ,...n ] ) ]
    TO <database_principal> [ ,...n ] 
    [ WITH GRANT OPTION ]
    [ AS <database_principal> ]

<permission> ::=
    ALL [ PRIVILEGES ] | permission [ ( column [ ,...n ] ) ]

<database_principal> ::= 
        Database_user 
    | Database_role 
    | Application_role 
    | Database_user_mapped_to_Windows_User 
    | Database_user_mapped_to_Windows_Group 
    | Database_user_mapped_to_certificate 
    | Database_user_mapped_to_asymmetric_key 
    | Database_user_with_no_login

引數

  • permission
    指定可授與的結構描述所含物件之權限。 如需權限清單,請參閱這個主題稍後的<備註>一節。

  • ALL
    授與 ALL 不會授與所有可能的權限。 授與 ALL 相當於授與適用於指定之物件的所有 ANSI-92 權限。 ALL 有多種意義,如下所示:

    純量函數權限:EXECUTE、REFERENCES。

    資料表值函式權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。

    預存程序權限:EXECUTE。

    資料表權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。

    檢視權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。

  • PRIVILEGES
    為符合 ANSI-92 而包含這個項目。 不會變更 ALL 的行為。

  • column
    在授與其權限之資料表、檢視或資料表值函式中指定資料行名稱。 它必須用括號 ( ) 括住。 只能授與資料行的 SELECT、REFERENCES 及 UPDATE 權限。 可以在權限子句中或在安全性實體名稱之後指定 column。

    警告

    資料表層級的 DENY 不會優先於資料行層級的 GRANT。保留權限階層中這項不一致的目的,是為了與舊版相容。

  • ON [ OBJECT :: ] [ schema_name ] .object_name
    指定正在授與權限的物件。 如果指定 schema_name,則 OBJECT 片語是選擇性的。 如果使用 OBJECT 片語,則需要範圍限定詞 (::)。 如果未指定 schema_name,則使用預設結構描述。 如果指定 schema_name,則需要結構描述範圍限定詞 (.)。

  • TO <database_principal>
    指定要對其授與權限的主體。

  • WITH GRANT OPTION
    指出主體也有權授與指定權限給其他主體。

  • AS <database_principal>
    指定主體,執行這項查詢的主體就是從這個主體衍生權限來授與權限。

  • Database_user
    指定資料庫使用者。

  • Database_role
    指定資料庫角色。

  • Application_role
    指定應用程式角色。

  • Database_user_mapped_to_Windows_User
    指定對應至 Windows 使用者的資料庫使用者。

  • Database_user_mapped_to_Windows_Group
    指定對應至 Windows 群組的資料庫使用者。

  • Database_user_mapped_to_certificate
    指定對應至憑證的資料庫使用者。

  • Database_user_mapped_to_asymmetric_key
    指定對應至非對稱金鑰的資料庫使用者。

  • Database_user_with_no_login
    指定不含對應伺服器層級主體的資料庫使用者。

備註

重要事項重要事項

在某些情況下,ALTER 與 REFERENCE 權限的結合可允許被授與者檢視資料或執行未經授權的函數。例如:擁有資料表的 ALTER 權限和函數的 REFERENCE 權限之使用者,可以透過函數來建立計算資料行並執行它。在此情況下,使用者也需要計算資料行的 SELECT 權限。

可以在各種目錄檢視中看到物件的相關資訊。 如需詳細資訊,請參閱<物件目錄檢視 (Transact-SQL)>。

物件是一個由結構描述所包含的結構描述層級安全性實體,在權限階層中,此結構描述為該安全性實體的父系。 下表所列的是可以授與之最特定且最有限的物件權限,並列出利用隱含方式來併入這些權限的較通用權限。

物件權限

物件權限所隱含

結構描述權限所隱含

ALTER

CONTROL

ALTER

CONTROL

CONTROL

CONTROL

DELETE

CONTROL

DELETE

EXECUTE

CONTROL

EXECUTE

INSERT

CONTROL

INSERT

RECEIVE

CONTROL

CONTROL

REFERENCES

CONTROL

REFERENCES

SELECT

RECEIVE

SELECT

TAKE OWNERSHIP

CONTROL

CONTROL

UPDATE

CONTROL

UPDATE

VIEW CHANGE TRACKING

CONTROL

VIEW CHANGE TRACKING

VIEW DEFINITION

CONTROL

VIEW DEFINITION

權限

同意授權者 (或是指定了 AS 選項的主體) 必須具有指定了 GRANT OPTION 的權限本身,或是具有隱含目前正在授與權限的更高權限。

如果是使用 AS 選項,就必須套用下列其他需求。

AS

其他必要的權限

資料庫使用者

使用者的 IMPERSONATE 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。

對應至 Windows 登入的資料庫使用者

使用者的 IMPERSONATE 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。

對應至 Windows 群組的資料庫使用者

Windows 群組中的成員資格、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。

對應至憑證的資料庫使用者

db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或 sysadmin (系統管理員) 固定伺服器角色中的成員資格。

對應至非對稱金鑰的資料庫使用者

db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或 sysadmin 固定伺服器角色中的成員資格。

未對應至任何伺服器主體的資料庫使用者

使用者的 IMPERSONATE 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或 sysadmin (系統管理員) 固定伺服器角色中的成員資格。

資料庫角色

角色中的 ALTER 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。

應用程式角色

角色中的 ALTER 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。

範例

A.授與資料表的 SELECT 權限

下列範例會將 AdventureWorks2012 資料庫中之資料表 Person.Address 的 SELECT 權限,授與使用者 RosaQdM。

USE AdventureWorks2012;
GRANT SELECT ON OBJECT::Person.Address TO RosaQdM;
GO

B.授與預存程序的 EXECUTE 權限

下列範例會將預存程序 HumanResources.uspUpdateEmployeeHireInfo 的 EXECUTE 權限,授與一個稱為 Recruiting11 的應用程式角色。

USE AdventureWorks2012; 
GRANT EXECUTE ON OBJECT::HumanResources.uspUpdateEmployeeHireInfo
    TO Recruiting11;
GO 

C.授與具有 GRANT OPTION 之檢視的 REFERENCES 權限

下列範例會將檢視 HumanResources.vEmployee 中之資料行 BusinessEntityID 的 REFERENCES 權限,授與具有 GRANT OPTION 的使用者 Wanida。

USE AdventureWorks2012;
GRANT REFERENCES (BusinessEntityID) ON OBJECT::HumanResources.vEmployee 
    TO Wanida WITH GRANT OPTION;
GO

D.授與資料表的 SELECT 權限,但不使用 OBJECT 片語

下列範例會將 AdventureWorks2012 資料庫中之資料表 Person.Address 的 SELECT 權限,授與使用者 RosaQdM。

USE AdventureWorks2012;
GRANT SELECT ON Person.Address TO RosaQdM;
GO

E.將資料表的 SELECT 權限授與網域帳戶

下列範例會將 AdventureWorks2012 資料庫中之資料表 Person.Address 的 SELECT 權限,授與使用者 AdventureWorks2012\RosaQdM。

USE AdventureWorks2012;
GRANT SELECT ON Person.Address TO [AdventureWorks2012\RosaQdM];
GO

F.將程序的 EXECUTE 權限授與角色

下列範例會建立一個角色,然後將 AdventureWorks2012 資料庫中 uspGetBillOfMaterials 程序的 EXECUTE 權限授與該角色。

USE AdventureWorks2012;
CREATE ROLE newrole ;
GRANT EXECUTE ON dbo.uspGetBillOfMaterials TO newrole ;
GO

請參閱

參考

DENY 物件權限 (Transact-SQL)

REVOKE 物件權限 (Transact-SQL)

物件目錄檢視 (Transact-SQL)

sys.fn_builtin_permissions (Transact-SQL)

HAS_PERMS_BY_NAME (Transact-SQL)

sys.fn_my_permissions (Transact-SQL)

概念

權限 (Database Engine)

主體 (Database Engine)

安全性實體