GRANT 物件權限 (Transact-SQL)
授與資料表、檢視表、資料表值函式、預存程序、擴充預存程序、純量函數、彙總函式、服務佇列或同義字的權限。
適用於:SQL Server (SQL Server 2008 透過目前版本)、Windows Azure SQL 資料庫 (初始版本,透過目前版本)。 |
語法
GRANT <permission> [ ,...n ] ON
[ OBJECT :: ][ schema_name ]. object_name [ ( column [ ,...n ] ) ]
TO <database_principal> [ ,...n ]
[ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission> ::=
ALL [ PRIVILEGES ] | permission [ ( column [ ,...n ] ) ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
引數
permission
指定可授與的結構描述所含物件之權限。 如需權限清單,請參閱這個主題稍後的<備註>一節。ALL
授與 ALL 不會授與所有可能的權限。 授與 ALL 相當於授與適用於指定之物件的所有 ANSI-92 權限。 ALL 有多種意義,如下所示:純量函數權限:EXECUTE、REFERENCES。
資料表值函式權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
預存程序權限:EXECUTE。
資料表權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
檢視權限:DELETE、INSERT、REFERENCES、SELECT、UPDATE。
PRIVILEGES
為符合 ANSI-92 而包含這個項目。 不會變更 ALL 的行為。column
在授與其權限之資料表、檢視或資料表值函式中指定資料行名稱。 它必須用括號 ( ) 括住。 只能授與資料行的 SELECT、REFERENCES 及 UPDATE 權限。 可以在權限子句中或在安全性實體名稱之後指定 column。警告
資料表層級的 DENY 不會優先於資料行層級的 GRANT。保留權限階層中這項不一致的目的,是為了與舊版相容。
ON [ OBJECT :: ] [ schema_name ] .object_name
指定正在授與權限的物件。 如果指定 schema_name,則 OBJECT 片語是選擇性的。 如果使用 OBJECT 片語,則需要範圍限定詞 (::)。 如果未指定 schema_name,則使用預設結構描述。 如果指定 schema_name,則需要結構描述範圍限定詞 (.)。TO <database_principal>
指定要對其授與權限的主體。WITH GRANT OPTION
指出主體也有權授與指定權限給其他主體。AS <database_principal>
指定主體,執行這項查詢的主體就是從這個主體衍生權限來授與權限。Database_user
指定資料庫使用者。Database_role
指定資料庫角色。Application_role
指定應用程式角色。Database_user_mapped_to_Windows_User
指定對應至 Windows 使用者的資料庫使用者。Database_user_mapped_to_Windows_Group
指定對應至 Windows 群組的資料庫使用者。Database_user_mapped_to_certificate
指定對應至憑證的資料庫使用者。Database_user_mapped_to_asymmetric_key
指定對應至非對稱金鑰的資料庫使用者。Database_user_with_no_login
指定不含對應伺服器層級主體的資料庫使用者。
備註
重要事項 |
---|
在某些情況下,ALTER 與 REFERENCE 權限的結合可允許被授與者檢視資料或執行未經授權的函數。例如:擁有資料表的 ALTER 權限和函數的 REFERENCE 權限之使用者,可以透過函數來建立計算資料行並執行它。在此情況下,使用者也需要計算資料行的 SELECT 權限。 |
可以在各種目錄檢視中看到物件的相關資訊。 如需詳細資訊,請參閱<物件目錄檢視 (Transact-SQL)>。
物件是一個由結構描述所包含的結構描述層級安全性實體,在權限階層中,此結構描述為該安全性實體的父系。 下表所列的是可以授與之最特定且最有限的物件權限,並列出利用隱含方式來併入這些權限的較通用權限。
物件權限 |
物件權限所隱含 |
結構描述權限所隱含 |
---|---|---|
ALTER |
CONTROL |
ALTER |
CONTROL |
CONTROL |
CONTROL |
DELETE |
CONTROL |
DELETE |
EXECUTE |
CONTROL |
EXECUTE |
INSERT |
CONTROL |
INSERT |
RECEIVE |
CONTROL |
CONTROL |
REFERENCES |
CONTROL |
REFERENCES |
SELECT |
RECEIVE |
SELECT |
TAKE OWNERSHIP |
CONTROL |
CONTROL |
UPDATE |
CONTROL |
UPDATE |
VIEW CHANGE TRACKING |
CONTROL |
VIEW CHANGE TRACKING |
VIEW DEFINITION |
CONTROL |
VIEW DEFINITION |
權限
同意授權者 (或是指定了 AS 選項的主體) 必須具有指定了 GRANT OPTION 的權限本身,或是具有隱含目前正在授與權限的更高權限。
如果是使用 AS 選項,就必須套用下列其他需求。
AS |
其他必要的權限 |
---|---|
資料庫使用者 |
使用者的 IMPERSONATE 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。 |
對應至 Windows 登入的資料庫使用者 |
使用者的 IMPERSONATE 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。 |
對應至 Windows 群組的資料庫使用者 |
Windows 群組中的成員資格、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。 |
對應至憑證的資料庫使用者 |
db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或 sysadmin (系統管理員) 固定伺服器角色中的成員資格。 |
對應至非對稱金鑰的資料庫使用者 |
db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或 sysadmin 固定伺服器角色中的成員資格。 |
未對應至任何伺服器主體的資料庫使用者 |
使用者的 IMPERSONATE 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或 sysadmin (系統管理員) 固定伺服器角色中的成員資格。 |
資料庫角色 |
角色中的 ALTER 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。 |
應用程式角色 |
角色中的 ALTER 權限、db_securityadmin 固定資料庫角色中的成員資格、db_owner 固定資料庫角色中的成員資格,或系統管理員 (sysadmin) 固定伺服器角色中的成員資格。 |
範例
A.授與資料表的 SELECT 權限
下列範例會將 AdventureWorks2012 資料庫中之資料表 Person.Address 的 SELECT 權限,授與使用者 RosaQdM。
USE AdventureWorks2012;
GRANT SELECT ON OBJECT::Person.Address TO RosaQdM;
GO
B.授與預存程序的 EXECUTE 權限
下列範例會將預存程序 HumanResources.uspUpdateEmployeeHireInfo 的 EXECUTE 權限,授與一個稱為 Recruiting11 的應用程式角色。
USE AdventureWorks2012;
GRANT EXECUTE ON OBJECT::HumanResources.uspUpdateEmployeeHireInfo
TO Recruiting11;
GO
C.授與具有 GRANT OPTION 之檢視的 REFERENCES 權限
下列範例會將檢視 HumanResources.vEmployee 中之資料行 BusinessEntityID 的 REFERENCES 權限,授與具有 GRANT OPTION 的使用者 Wanida。
USE AdventureWorks2012;
GRANT REFERENCES (BusinessEntityID) ON OBJECT::HumanResources.vEmployee
TO Wanida WITH GRANT OPTION;
GO
D.授與資料表的 SELECT 權限,但不使用 OBJECT 片語
下列範例會將 AdventureWorks2012 資料庫中之資料表 Person.Address 的 SELECT 權限,授與使用者 RosaQdM。
USE AdventureWorks2012;
GRANT SELECT ON Person.Address TO RosaQdM;
GO
E.將資料表的 SELECT 權限授與網域帳戶
下列範例會將 AdventureWorks2012 資料庫中之資料表 Person.Address 的 SELECT 權限,授與使用者 AdventureWorks2012\RosaQdM。
USE AdventureWorks2012;
GRANT SELECT ON Person.Address TO [AdventureWorks2012\RosaQdM];
GO
F.將程序的 EXECUTE 權限授與角色
下列範例會建立一個角色,然後將 AdventureWorks2012 資料庫中 uspGetBillOfMaterials 程序的 EXECUTE 權限授與該角色。
USE AdventureWorks2012;
CREATE ROLE newrole ;
GRANT EXECUTE ON dbo.uspGetBillOfMaterials TO newrole ;
GO
請參閱
參考
sys.fn_builtin_permissions (Transact-SQL)
HAS_PERMS_BY_NAME (Transact-SQL)
sys.fn_my_permissions (Transact-SQL)