Разрешения (ядро СУБД)

Применимо: SQL Server База данных SQL Azure Управляемый экземпляр SQL Azure azure Synapse Analytics Analytics Platform System (PDW)

Каждая защищаемая среда SQL Server имеет связанные разрешения, которые можно предоставить субъекту. Разрешения в ядро СУБД управляются на уровне сервера, назначенном ролям входа и серверам, а также на уровне базы данных, назначенной пользователям базы данных и ролям базы данных. Модель для База данных SQL Azure имеет ту же систему для разрешений базы данных, но разрешения на уровне сервера недоступны. В этой статье содержится полный список разрешений. Советы по проектированию системы разрешений см. в статье Начало работы с разрешениями ядра СУБД.

Общее количество разрешений для SQL Server 2022 (16.x) — 292. База данных SQL Azure предоставляет 292 разрешения. Большинство разрешений применяются ко всем платформам, но некоторые не применяются. Например, большинство разрешений на уровне сервера не могут быть предоставлены в База данных SQL Azure, а для База данных SQL Azure имеет смысл только несколько разрешений. Новые разрешения вводятся постепенно с новыми выпусками. SQL Server 2019 (15.x) предоставляет 248 разрешений. SQL Server 2017 (14.x) предоставил 238 разрешений. SQL Server 2016 (13.x) предоставляет 230 разрешений. SQL Server 2014 (12.x) предоставил 219 разрешений. SQL Server 2012 (11.x) предоставляет 214 разрешений. SQL Server 2008 R2 (10.50.x) предоставляет разрешения 195. В статье sys.fn_builtin_permissions указывается, какие разрешения являются новыми в последних версиях.

После понимания необходимых разрешений можно применить разрешения на уровне сервера для входа или ролей сервера, а также разрешения на уровне базы данных для пользователей или ролей базы данных с помощью инструкций GRANT, REVOKE и DENY. Например:

GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;

Советы по проектированию системы разрешений см. в разделе Приступая к работе с разрешениями Database Engine.

Соглашения об именовании разрешений

Ниже описаны общие соглашения, которые соблюдаются при задании имен разрешениям.

  • ПРОИЗВОДИТЕЛЬНОСТИ

    Предоставляет возможности, схожие с владением. Имеющий это разрешение получает все установленные разрешения на защищаемую сущность. Участник, получивший разрешение CONTROL, может также предоставлять разрешения на защищаемую сущность другим участникам. Так как модель безопасности SQL Server является иерархической, CONTROL в определенной области неявно включает CONTROL для всех защищаемых объектов в этой области. Например, разрешение CONTROL на базу данных неявно предполагает все разрешения на базу данных, все разрешения на все сборки в базе данных, все разрешения на все схемы в базе данных, а также все разрешения на объекты в пределах всех схем базы данных.

  • ИЗМЕНИТЬ

    Предоставляет возможность изменения свойств определенной защищаемой сущности, кроме ее владельца. При предоставлении разрешения ALTER на ту или иную область также предоставляется возможность изменения, создания или удаления любой защищаемой сущности, содержащейся в пределах данной области. Например, разрешение ALTER на схему включает возможность создания, изменения и удаления объектов этой схемы.

  • ALTER ANY <Server Securable, где защищаемый> сервер может быть любым защищаемым сервером.

    Предоставляет возможность создавать, изменять и удалять отдельные экземпляры Защищаемой сущности сервера. Например, разрешение ALTER ANY LOGIN предоставляет возможность создания, изменения и удаления любого имени входа в экземпляре.

  • ALTER ANY <Database Securable, где защищаемая> база данных может быть любой защищаемой на уровне базы данных.

    Предоставляет возможность СОЗДАВАТЬ, ИЗМЕНЯТЬ и УДАЛЯТЬ отдельные экземпляры Защищаемой сущности базы данных. Например, разрешение ALTER ANY SCHEMA предоставляет возможность создания, изменения и удаления любой схемы в базе данных.

  • TAKE OWNERSHIP

    Позволяет получать во владение защищаемую сущность, на которую предоставлено разрешение.

  • IMPERSONATE <Имя_для_входа>

    Позволяет олицетворять имя входа.

  • IMPERSONATE <Пользователь>

    Позволяет олицетворять пользователя.

  • CREATE <Защищаемый объект сервера>

    Предоставляет возможность создавать Защищаемую сущность сервера.

  • CREATE <Защищаемый объект базы данных>

    Предоставляет возможность создавать Защищаемую сущность базы данных.

  • CREATE <Защищаемый объект, содержащийся в схеме>

    Предоставляет возможность создавать защищаемую сущность, содержащуюся в схеме. Однако для создания защищаемой сущности в той или иной схеме на эту схему требуется разрешение ALTER.

  • VIEW DEFINITION

    Разрешает доступ к метаданным.

  • ССЫЛКИ

    Разрешение REFERENCES для таблицы необходимо для создания ограничения FOREIGN KEY, которое ссылается на эту таблицу.

    Разрешение REFERENCES для объекта необходимо для создания FUNCTION или VIEW с предложением 2 WITH SCHEMABINDING , которое ссылается на этот объект.

Диаграмма разрешений SQL Server

На следующем рисунке показаны разрешения и их связи друг с другом. Некоторые из разрешений более высокого уровня (например, CONTROL SERVER) указаны несколько раз. Рисунок в этой статье слишком мал для чтения. Вы можете скачать полноразмерный ядро СУБД плакат разрешений в формате PDF.

Снимок экрана: PDF-файл разрешений ядро СУБД.

Разрешения, применимые к определенным защищаемым компонентам

В следующей таблице перечислены основные классы разрешений и типы защищаемых объектов, к которым они могут применяться.

Разрешение Применяется к
ИЗМЕНИТЬ Все классы объектов, кроме TYPE.
ПРОИЗВОДИТЕЛЬНОСТИ Все классы объектов:

AGGREGATE,
APPLICATION ROLE,
ASSEMBLY,
ASYMMETRIC KEY,
AVAILABILITY GROUP,
CERTIFICATE,
CONTRACT,
ВЕРИТЕЛЬНЫЕ ГРАМОТЫ
DATABASE,
DATABASE SCOPED CREDENTIAL,
DEFAULT,
ENDPOINT,
FULLTEXT CATALOG,
FULLTEXT STOPLIST,
FUNCTION,
LOGIN,
MESSAGE TYPE,
PROCEDURE,
QUEUE,
REMOTE SERVICE BINDING,
ROLE,
ROUTE,
RULE,
SCHEMA,
SEARCH PROPERTY LIST,
SERVER,
SERVER ROLE,
SERVICE,
SYMMETRIC KEY,
SYNONYM,
TABLE,
TYPE,
USER,
VIEW и
XML SCHEMA COLLECTION
DELETE Все классы объектов, кроме DATABASE SCOPED CONFIGURATION, SERVER и TYPE.
Выполнение  Типы СРЕДЫ CLR, внешние скрипты, процедуры (Transact-SQL и CLR), скалярные и агрегатные функции (Transact-SQL и CLR) и синонимы
IMPERSONATE Имена входа и пользователи
ВСТАВИТЬ Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов.
ПРИЕМ Очереди Service Broker
ССЫЛКИ AGGREGATE,
ASSEMBLY,
ASYMMETRIC KEY,
CERTIFICATE,
CONTRACT,
CREDENTIAL (относится к SQL Server 2022 (16.x) и более поздним версиям);
DATABASE,
DATABASE SCOPED CREDENTIAL,
FULLTEXT CATALOG,
FULLTEXT STOPLIST,
FUNCTION,
MESSAGE TYPE,
PROCEDURE,
QUEUE,
RULE,
SCHEMA,
SEARCH PROPERTY LIST,
SEQUENCE OBJECT,
SYMMETRIC KEY,
TABLE,
TYPE,
VIEW и
XML SCHEMA COLLECTION
SELECT Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов.
TAKE OWNERSHIP Все классы объектов, кроме DATABASE SCOPED CONFIGURATION, LOGIN, SERVER и USER.
UPDATE Синонимы, таблицы и столбцы, а также представления и столбцы. Разрешение можно предоставить на уровне базы данных, схемы или объектов.
VIEW CHANGE TRACKING Схемы и таблицы
VIEW DEFINITION Все классы объектов, кроме DATABASE SCOPED CONFIGURATION и SERVER.

Внимание

Разрешения по умолчанию, предоставляемые системным объектам во время установки, тщательно оцениваются по возможным угрозам и не должны быть изменены в рамках защиты установки SQL Server. Любые изменения разрешений для системных объектов могут ограничить или нарушить функциональные возможности и потенциально оставить установку SQL Server в неподдерживаемом состоянии.

Разрешения SQL Server

В следующей таблице приведен полный список разрешений SQL Server. База данных SQL Azure разрешения доступны только для поддерживаемых базовых защищаемых объектов. Разрешения на уровне сервера не могут быть предоставлены в База данных SQL Azure, однако в некоторых случаях разрешения базы данных доступны вместо этого.

Базовая защищаемая сущность Гранулярные разрешения на базовую защищаемую сущность Код типа разрешения Защищаемая сущность, содержащая базовую сущность Разрешение на защищаемую сущность контейнера, неявно предоставляющее гранулярное разрешение на базовую сущность
APPLICATION ROLE ИЗМЕНИТЬ AL DATABASE ALTER ANY APPLICATION ROLE
APPLICATION ROLE ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
APPLICATION ROLE VIEW DEFINITION VW DATABASE VIEW DEFINITION
ASSEMBLY ИЗМЕНИТЬ AL DATABASE ALTER ANY ASSEMBLY
ASSEMBLY ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
ASSEMBLY ССЫЛКИ RF DATABASE ССЫЛКИ
ASSEMBLY TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
ASSEMBLY VIEW DEFINITION VW DATABASE VIEW DEFINITION
ASYMMETRIC KEY ИЗМЕНИТЬ AL DATABASE ALTER ANY ASYMMETRIC KEY
ASYMMETRIC KEY ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
ASYMMETRIC KEY ССЫЛКИ RF DATABASE ССЫЛКИ
ASYMMETRIC KEY TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
ASYMMETRIC KEY VIEW DEFINITION VW DATABASE VIEW DEFINITION
AVAILABILITY GROUP ИЗМЕНИТЬ AL СЕРВЕР ALTER ANY AVAILABILITY GROUP
AVAILABILITY GROUP ПРОИЗВОДИТЕЛЬНОСТИ CL СЕРВЕР CONTROL SERVER
AVAILABILITY GROUP TAKE OWNERSHIP TO СЕРВЕР CONTROL SERVER
AVAILABILITY GROUP VIEW DEFINITION VW СЕРВЕР VIEW ANY DEFINITION
СЕРТИФИКАТ ИЗМЕНИТЬ AL DATABASE ALTER ANY CERTIFICATE
СЕРТИФИКАТ ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
СЕРТИФИКАТ ССЫЛКИ RF DATABASE ССЫЛКИ
СЕРТИФИКАТ TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
СЕРТИФИКАТ VIEW DEFINITION VW DATABASE VIEW DEFINITION
CONTRACT ИЗМЕНИТЬ AL DATABASE ALTER ANY CONTRACT
CONTRACT ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
CONTRACT ССЫЛКИ RF DATABASE ССЫЛКИ
CONTRACT TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
CONTRACT VIEW DEFINITION VW DATABASE VIEW DEFINITION
CREDENTIAL ПРОИЗВОДИТЕЛЬНОСТИ CL СЕРВЕР CONTROL SERVER
CREDENTIAL ССЫЛКИ RF СЕРВЕР ALTER ANY CREDENTIAL
DATABASE ADMINISTER DATABASE BULK OPERATIONS DABO СЕРВЕР CONTROL SERVER
DATABASE ИЗМЕНИТЬ AL СЕРВЕР ALTER ANY DATABASE
DATABASE ALTER ANY APPLICATION ROLE ALAR СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY ASSEMBLY ALAS СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY ASYMMETRIC KEY ALAK СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY CERTIFICATE ALCF СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY COLUMN ENCRYPTION KEY ALCK

Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure.
СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY COLUMN MASTER KEY ALCM

Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure.
СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY CONTRACT ALSC СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY DATABASE AUDIT ALDA СЕРВЕР ALTER ANY SERVER AUDIT
DATABASE ALTER ANY DATABASE DDL TRIGGER ALTG СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY DATABASE EVENT NOTIFICATION ALED СЕРВЕР ALTER ANY EVENT NOTIFICATION
DATABASE ALTER ANY DATABASE EVENT SESSION AADS СЕРВЕР ALTER ANY EVENT SESSION
DATABASE ALTER ANY DATABASE EVENT SESSION ADD EVENT LDAE СЕРВЕР ALTER ANY EVENT SESSION ADD EVENT
DATABASE ALTER ANY DATABASE EVENT SESSION ADD TARGET LDAT СЕРВЕР ALTER ANY EVENT SESSION ADD TARGET
DATABASE ALTER ANY DATABASE EVENT SESSION DISABLE DDES СЕРВЕР ALTER ANY EVENT SESSION DISABLE
DATABASE ALTER ANY DATABASE EVENT SESSION DROP EVENT LDDE СЕРВЕР ALTER ANY EVENT SESSION DROP EVENT
DATABASE ALTER ANY DATABASE EVENT SESSION DROP TARGET LDDT СЕРВЕР ALTER ANY EVENT SESSION DROP TARGET
DATABASE ALTER ANY DATABASE EVENT SESSION ENABLE EDES СЕРВЕР ALTER ANY EVENT SESSION ENABLE
DATABASE ALTER ANY DATABASE EVENT SESSION OPTION LDSO СЕРВЕР ALTER ANY EVENT SESSION OPTION
DATABASE ALTER ANY DATABASE SCOPED CONFIGURATION ALDC

Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure.
СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY DATASPACE ALDS СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY EXTERNAL DATA SOURCE AEDS СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY EXTERNAL FILE FORMAT AEFF СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY EXTERNAL JOB AESJ СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY EXTERNAL LANGUAGE АЛЛА СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY EXTERNAL LIBRARY АЛЕЛЬ СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY EXTERNAL STREAM AEST СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY FULLTEXT CATALOG ALFT СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY MASK AAMK

Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure.
СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY MESSAGE TYPE ALMT СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY REMOTE SERVICE BINDING ALSB СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY ROLE ALRL СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY ROUTE ALRT СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY SCHEMA ALSM СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY SECURITY POLICY ALSP

Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure.
СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY SENSITIVITY CLASSIFICATION AASC
Применяется к SQL Server (SQL Server 2019 (15.x) до текущего), База данных SQL Azure.
СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY SERVICE ALSV СЕРВЕР CONTROL SERVER
DATABASE ALTER ANY SYMMETRIC KEY ALSK СЕРВЕР CONTROL SERVER
DATABASE ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ ALUS СЕРВЕР CONTROL SERVER
DATABASE ALTER LEDGER ALR СЕРВЕР ПРОИЗВОДИТЕЛЬНОСТИ
DATABASE ALTER LEDGER CONFIGURATION ALC СЕРВЕР CONTROL SERVER
DATABASE AUTHENTICATE АУТЕНТИФИКАЦИЯ СЕРВЕР AUTHENTICATE SERVER
DATABASE BACKUP DATABASE BADB СЕРВЕР CONTROL SERVER
DATABASE BACKUP LOG BALO СЕРВЕР CONTROL SERVER
DATABASE CHECKPOINT CP СЕРВЕР CONTROL SERVER
DATABASE ПОДКЛЮЧЕНИЕ CO СЕРВЕР CONTROL SERVER
DATABASE CONNECT REPLICATION CORP СЕРВЕР CONTROL SERVER
DATABASE ПРОИЗВОДИТЕЛЬНОСТИ CL СЕРВЕР CONTROL SERVER
DATABASE CREATE AGGREGATE CRAG СЕРВЕР CONTROL SERVER
DATABASE СОЗДАНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ CRDS СЕРВЕР СОЗДАНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ
DATABASE CREATE ASSEMBLY CRAS СЕРВЕР CONTROL SERVER
DATABASE CREATE ASYMMETRIC KEY CRAK СЕРВЕР CONTROL SERVER
DATABASE CREATE CERTIFICATE CRCF СЕРВЕР CONTROL SERVER
DATABASE CREATE CONTRACT CRSC СЕРВЕР CONTROL SERVER
DATABASE СОЗДАТЬ БАЗУ ДАННЫХ CRDB СЕРВЕР CREATE ANY DATABASE
DATABASE CREATE DATABASE DDL EVENT NOTIFICATION CRED СЕРВЕР CREATE DDL EVENT NOTIFICATION
DATABASE CREATE DEFAULT CRDF СЕРВЕР CONTROL SERVER
DATABASE СОЗДАНИЕ ВНЕШНЕГО ЯЗЫКА CRLA СЕРВЕР CONTROL SERVER
DATABASE СОЗДАНИЕ ВНЕШНЕЙ БИБЛИОТЕКИ CREL СЕРВЕР CONTROL SERVER
DATABASE CREATE FULLTEXT CATALOG CRFT СЕРВЕР CONTROL SERVER
DATABASE CREATE FUNCTION CRFN СЕРВЕР CONTROL SERVER
DATABASE CREATE MESSAGE TYPE CRMT СЕРВЕР CONTROL SERVER
DATABASE СОЗДАТЬ ПРОЦЕДУРУ CRPR СЕРВЕР CONTROL SERVER
DATABASE CREATE QUEUE CRQU СЕРВЕР CONTROL SERVER
DATABASE CREATE REMOTE SERVICE BINDING CRSB СЕРВЕР CONTROL SERVER
DATABASE CREATE ROLE CRRL СЕРВЕР CONTROL SERVER
DATABASE CREATE ROUTE CRRT СЕРВЕР CONTROL SERVER
DATABASE CREATE RULE CRRU СЕРВЕР CONTROL SERVER
DATABASE CREATE SCHEMA CRSM СЕРВЕР CONTROL SERVER
DATABASE CREATE SERVICE CRSV СЕРВЕР CONTROL SERVER
DATABASE CREATE SYMMETRIC KEY CRSK СЕРВЕР CONTROL SERVER
DATABASE CREATE SYNONYM CRSN СЕРВЕР CONTROL SERVER
DATABASE СОЗДАТЬ ТАБЛИЦУ CRTB СЕРВЕР CONTROL SERVER
DATABASE СОЗДАТЬ ТИП CRTY СЕРВЕР CONTROL SERVER
DATABASE СОЗДАНИЕ ПОЛЬЗОВАТЕЛЯ CUSR СЕРВЕР CONTROL SERVER
DATABASE СОЗДАТЬ ПРЕДСТАВЛЕНИЕ CRVW СЕРВЕР CONTROL SERVER
DATABASE CREATE XML SCHEMA COLLECTION CRXS СЕРВЕР CONTROL SERVER
DATABASE DELETE DL СЕРВЕР CONTROL SERVER
DATABASE УДАЛЕНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ DRDS СЕРВЕР УДАЛЕНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ
DATABASE ENABLE LEDGER EL СЕРВЕР ПРОИЗВОДИТЕЛЬНОСТИ
DATABASE Выполнение  EX СЕРВЕР CONTROL SERVER
DATABASE ВЫПОЛНЕНИЕ ЛЮБОЙ ВНЕШНЕЙ КОНЕЧНОЙ ТОЧКИ EAEE СЕРВЕР CONTROL SERVER
DATABASE EXECUTE ANY EXTERNAL SCRIPT EAES

Применяется к SQL Server (SQL Server 2016 (13.x) через текущий момент.
СЕРВЕР CONTROL SERVER
DATABASE ВСТАВИТЬ В СЕРВЕР CONTROL SERVER
DATABASE KILL DATABASE CONNECTION KIDC

Применяется только к База данных SQL Azure. Используйте ALTER ANY CONNECTION в SQL Server.
СЕРВЕР ALTER ANY CONNECTION
DATABASE ССЫЛКИ RF СЕРВЕР CONTROL SERVER
DATABASE SELECT SL СЕРВЕР CONTROL SERVER
DATABASE SHOWPLAN SPLN СЕРВЕР ALTER TRACE
DATABASE SUBSCRIBE QUERY NOTIFICATIONS SUQN СЕРВЕР CONTROL SERVER
DATABASE TAKE OWNERSHIP TO СЕРВЕР CONTROL SERVER
DATABASE UNMASK UMSK

Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure.
СЕРВЕР CONTROL SERVER
DATABASE UPDATE UP СЕРВЕР CONTROL SERVER
DATABASE VIEW ANY COLUMN ENCRYPTION KEY DEFINITION VWCK

Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure.
СЕРВЕР VIEW SERVER STATE
DATABASE VIEW ANY COLUMN MASTER KEY DEFINITION VWCM

Применяется к SQL Server (SQL Server 2016 (13.x) до текущего), База данных SQL Azure.
СЕРВЕР VIEW SERVER STATE
DATABASE ПРОСМОТР ЛЮБОЙ КЛАССИФИКАЦИИ КОНФИДЕНЦИАЛЬНОСТИ VASC СЕРВЕР CONTROL SERVER
DATABASE ПРОСМОТР КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ VCD СЕРВЕР ПРОСМОТР ЛЮБОГО КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ
DATABASE ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ БАЗЫ ДАННЫХ VDP СЕРВЕР ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ СЕРВЕРА
DATABASE ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ VDSA СЕРВЕР CONTROL SERVER
DATABASE ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ VDS СЕРВЕР ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ СЕРВЕРА
DATABASE ПРОСМОТР СОСТОЯНИЯ БАЗЫ ДАННЫХ VWDS СЕРВЕР VIEW SERVER STATE
DATABASE VIEW DEFINITION VW СЕРВЕР VIEW ANY DEFINITION
DATABASE VIEW LEDGER CONTENT VLC СЕРВЕР ПРОИЗВОДИТЕЛЬНОСТИ
DATABASE ПРОСМОТР ОПРЕДЕЛЕНИЯ БЕЗОПАСНОСТИ VWS СЕРВЕР ПРОСМОТР ВСЕХ ОПРЕДЕЛЕНИЙ БЕЗОПАСНОСТИ
DATABASE ПРОСМОТР ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ VWP СЕРВЕР ПРОСМОТР ЛЮБОГО ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ
DATABASE SCOPED CREDENTIAL ИЗМЕНИТЬ AL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
DATABASE SCOPED CREDENTIAL ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
DATABASE SCOPED CREDENTIAL ССЫЛКИ RF DATABASE ССЫЛКИ
DATABASE SCOPED CREDENTIAL TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
DATABASE SCOPED CREDENTIAL VIEW DEFINITION VW DATABASE VIEW DEFINITION
КОНЕЧНАЯ ТОЧКА ИЗМЕНИТЬ AL СЕРВЕР ALTER ANY ENDPOINT
КОНЕЧНАЯ ТОЧКА ПОДКЛЮЧЕНИЕ CO СЕРВЕР CONTROL SERVER
КОНЕЧНАЯ ТОЧКА ПРОИЗВОДИТЕЛЬНОСТИ CL СЕРВЕР CONTROL SERVER
КОНЕЧНАЯ ТОЧКА TAKE OWNERSHIP TO СЕРВЕР CONTROL SERVER
КОНЕЧНАЯ ТОЧКА VIEW DEFINITION VW СЕРВЕР VIEW ANY DEFINITION
FULLTEXT CATALOG ИЗМЕНИТЬ AL DATABASE ALTER ANY FULLTEXT CATALOG
FULLTEXT CATALOG ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
FULLTEXT CATALOG ССЫЛКИ RF DATABASE ССЫЛКИ
FULLTEXT CATALOG TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
FULLTEXT CATALOG VIEW DEFINITION VW DATABASE VIEW DEFINITION
FULLTEXT STOPLIST ИЗМЕНИТЬ AL DATABASE ALTER ANY FULLTEXT CATALOG
FULLTEXT STOPLIST ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
FULLTEXT STOPLIST ССЫЛКИ RF DATABASE ССЫЛКИ
FULLTEXT STOPLIST TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
FULLTEXT STOPLIST VIEW DEFINITION VW DATABASE VIEW DEFINITION
ВХОД ИЗМЕНИТЬ AL СЕРВЕР ALTER ANY LOGIN
ВХОД ПРОИЗВОДИТЕЛЬНОСТИ CL СЕРВЕР CONTROL SERVER
ВХОД IMPERSONATE "IM" (Обмен мгновенными сообщениями); СЕРВЕР CONTROL SERVER
ВХОД VIEW DEFINITION VW СЕРВЕР VIEW ANY DEFINITION
MESSAGE TYPE ИЗМЕНИТЬ AL DATABASE ALTER ANY MESSAGE TYPE
MESSAGE TYPE ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
MESSAGE TYPE ССЫЛКИ RF DATABASE ССЫЛКИ
MESSAGE TYPE TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
MESSAGE TYPE VIEW DEFINITION VW DATABASE VIEW DEFINITION
OBJECT ИЗМЕНИТЬ AL СХЕМА ИЗМЕНИТЬ
OBJECT ПРОИЗВОДИТЕЛЬНОСТИ CL СХЕМА ПРОИЗВОДИТЕЛЬНОСТИ
OBJECT DELETE DL СХЕМА DELETE
OBJECT Выполнение  EX СХЕМА Выполнение 
OBJECT ВСТАВИТЬ В СХЕМА ВСТАВИТЬ
OBJECT ПРИЕМ Ролевой центр СХЕМА ПРОИЗВОДИТЕЛЬНОСТИ
OBJECT ССЫЛКИ RF СХЕМА ССЫЛКИ
OBJECT SELECT SL СХЕМА SELECT
OBJECT TAKE OWNERSHIP TO СХЕМА ПРОИЗВОДИТЕЛЬНОСТИ
OBJECT UNMASK UMSK СХЕМА UNMASK
OBJECT UPDATE UP СХЕМА UPDATE
OBJECT VIEW CHANGE TRACKING VWCT СХЕМА VIEW CHANGE TRACKING
OBJECT VIEW DEFINITION VW СХЕМА VIEW DEFINITION
REMOTE SERVICE BINDING ИЗМЕНИТЬ AL DATABASE ALTER ANY REMOTE SERVICE BINDING
REMOTE SERVICE BINDING ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
REMOTE SERVICE BINDING TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
REMOTE SERVICE BINDING VIEW DEFINITION VW DATABASE VIEW DEFINITION
РОЛЬ ИЗМЕНИТЬ AL DATABASE ALTER ANY ROLE
РОЛЬ ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
РОЛЬ TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
РОЛЬ VIEW DEFINITION VW DATABASE VIEW DEFINITION
ROUTE ИЗМЕНИТЬ AL DATABASE ALTER ANY ROUTE
ROUTE ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
ROUTE TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
ROUTE VIEW DEFINITION VW DATABASE VIEW DEFINITION
СХЕМА ИЗМЕНИТЬ AL DATABASE ALTER ANY SCHEMA
СХЕМА ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
СХЕМА CREATE SEQUENCE CRSO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
СХЕМА DELETE DL DATABASE DELETE
СХЕМА Выполнение  EX DATABASE Выполнение 
СХЕМА ВСТАВИТЬ В DATABASE ВСТАВИТЬ
СХЕМА ССЫЛКИ RF DATABASE ССЫЛКИ
СХЕМА SELECT SL DATABASE SELECT
СХЕМА TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
СХЕМА UNMASK UMSK DATABASE UNMASK
СХЕМА UPDATE UP DATABASE UPDATE
СХЕМА VIEW CHANGE TRACKING VWCT DATABASE VIEW CHANGE TRACKING
СХЕМА VIEW DEFINITION VW DATABASE VIEW DEFINITION
SEARCH PROPERTY LIST ИЗМЕНИТЬ AL СЕРВЕР ALTER ANY FULLTEXT CATALOG
SEARCH PROPERTY LIST ПРОИЗВОДИТЕЛЬНОСТИ CL СЕРВЕР ПРОИЗВОДИТЕЛЬНОСТИ
SEARCH PROPERTY LIST ССЫЛКИ RF СЕРВЕР ССЫЛКИ
SEARCH PROPERTY LIST TAKE OWNERSHIP TO СЕРВЕР ПРОИЗВОДИТЕЛЬНОСТИ
SEARCH PROPERTY LIST VIEW DEFINITION VW СЕРВЕР VIEW DEFINITION
СЕРВЕР ADMINISTER BULK OPERATIONS ADBO Неприменимо Неприменимо
СЕРВЕР ALTER ANY AVAILABILITY GROUP ALAG Неприменимо Неприменимо
СЕРВЕР ALTER ANY CONNECTION ALCO Неприменимо Неприменимо
СЕРВЕР ALTER ANY CREDENTIAL ALCD Неприменимо Неприменимо
СЕРВЕР ALTER ANY DATABASE ALDB Неприменимо Неприменимо
СЕРВЕР ALTER ANY ENDPOINT ALHE Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT NOTIFICATION ALES Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT SESSION AAES Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT SESSION ADD EVENT LSAE Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT SESSION ADD TARGET LSAT Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT SESSION DISABLE DES Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT SESSION DROP EVENT LSDE Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT SESSION DROP TARGET LSDT Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT SESSION ENABLE EES Неприменимо Неприменимо
СЕРВЕР ALTER ANY EVENT SESSION OPTION LESO Неприменимо Неприменимо
СЕРВЕР ALTER ANY LINKED SERVER ALLS Неприменимо Неприменимо
СЕРВЕР ALTER ANY LOGIN ALLG Неприменимо Неприменимо
СЕРВЕР ALTER ANY SERVER AUDIT ALAA Неприменимо Неприменимо
СЕРВЕР ALTER ANY SERVER ROLE ALSR Неприменимо Неприменимо
СЕРВЕР ALTER RESOURCES ALRS Неприменимо Неприменимо
СЕРВЕР ALTER SERVER STATE ALSS Неприменимо Неприменимо
СЕРВЕР ALTER SETTINGS ALST Неприменимо Неприменимо
СЕРВЕР ALTER TRACE ALTR Неприменимо Неприменимо
СЕРВЕР AUTHENTICATE SERVER АУТЕНТИФИКАЦИЯ Неприменимо Неприменимо
СЕРВЕР CONNECT ANY DATABASE CADB Неприменимо Неприменимо
СЕРВЕР CONNECT SQL COSQ Неприменимо Неприменимо
СЕРВЕР CONTROL SERVER CL Неприменимо Неприменимо
СЕРВЕР CREATE ANY DATABASE CRDB Неприменимо Неприменимо
СЕРВЕР CREATE AVAILABILITY GROUP CRAC Неприменимо Неприменимо
СЕРВЕР CREATE DDL EVENT NOTIFICATION CRDE Неприменимо Неприменимо
СЕРВЕР CREATE ENDPOINT … CRHE Неприменимо Неприменимо
СЕРВЕР CREATE SERVER ROLE CRSR Неприменимо Неприменимо
СЕРВЕР CREATE TRACE EVENT NOTIFICATION CRTE Неприменимо Неприменимо
СЕРВЕР EXTERNAL ACCESS ASSEMBLY XA Неприменимо Неприменимо
СЕРВЕР IMPERSONATE ANY LOGIN IAL Неприменимо Неприменимо
СЕРВЕР SELECT ALL USER SECURABLES SUS Неприменимо Неприменимо
СЕРВЕР SHUTDOWN SHDN Неприменимо Неприменимо
СЕРВЕР UNSAFE ASSEMBLY XU Неприменимо Неприменимо
СЕРВЕР VIEW ANY DATABASE VWDB Неприменимо Неприменимо
СЕРВЕР VIEW ANY DEFINITION VWAD Неприменимо Неприменимо
СЕРВЕР VIEW SERVER STATE VWSS Неприменимо Неприменимо
РОЛЬ СЕРВЕРА ИЗМЕНИТЬ AL СЕРВЕР ALTER ANY SERVER ROLE
РОЛЬ СЕРВЕРА ПРОИЗВОДИТЕЛЬНОСТИ CL СЕРВЕР CONTROL SERVER
РОЛЬ СЕРВЕРА TAKE OWNERSHIP TO СЕРВЕР CONTROL SERVER
РОЛЬ СЕРВЕРА VIEW DEFINITION VW СЕРВЕР VIEW ANY DEFINITION
СЛУЖБА ИЗМЕНИТЬ AL DATABASE ALTER ANY SERVICE
СЛУЖБА ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
СЛУЖБА SEND SN DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
СЛУЖБА TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
СЛУЖБА VIEW DEFINITION VW DATABASE VIEW DEFINITION
SYMMETRIC KEY ИЗМЕНИТЬ AL DATABASE ALTER ANY SYMMETRIC KEY
SYMMETRIC KEY ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
SYMMETRIC KEY ССЫЛКИ RF DATABASE ССЫЛКИ
SYMMETRIC KEY TAKE OWNERSHIP TO DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
SYMMETRIC KEY VIEW DEFINITION VW DATABASE VIEW DEFINITION
ТИП ПРОИЗВОДИТЕЛЬНОСТИ CL СХЕМА ПРОИЗВОДИТЕЛЬНОСТИ
ТИП Выполнение  EX СХЕМА Выполнение 
ТИП ССЫЛКИ RF СХЕМА ССЫЛКИ
ТИП TAKE OWNERSHIP TO СХЕМА ПРОИЗВОДИТЕЛЬНОСТИ
ТИП VIEW DEFINITION VW СХЕМА VIEW DEFINITION
Пользователь ИЗМЕНИТЬ AL DATABASE ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ
Пользователь ПРОИЗВОДИТЕЛЬНОСТИ CL DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
Пользователь IMPERSONATE "IM" (Обмен мгновенными сообщениями); DATABASE ПРОИЗВОДИТЕЛЬНОСТИ
Пользователь VIEW DEFINITION VW DATABASE VIEW DEFINITION
XML SCHEMA COLLECTION ИЗМЕНИТЬ AL СХЕМА ИЗМЕНИТЬ
XML SCHEMA COLLECTION ПРОИЗВОДИТЕЛЬНОСТИ CL СХЕМА ПРОИЗВОДИТЕЛЬНОСТИ
XML SCHEMA COLLECTION Выполнение  EX СХЕМА Выполнение 
XML SCHEMA COLLECTION ССЫЛКИ RF СХЕМА ССЫЛКИ
XML SCHEMA COLLECTION TAKE OWNERSHIP TO СХЕМА ПРОИЗВОДИТЕЛЬНОСТИ
XML SCHEMA COLLECTION VIEW DEFINITION VW СХЕМА VIEW DEFINITION

Новые детализированные разрешения, добавленные в SQL Server 2022

В SQL Server 2022 добавляются следующие разрешения:

  • Добавлены 10 новых разрешений, чтобы разрешить доступ к системным метаданным.

  • Добавлены 18 новых разрешений для расширенных событий.

  • Добавлены 9 новых разрешений в отношении объектов, связанных с безопасностью.

  • Для реестра добавлены 4 разрешения.

  • 3 дополнительные разрешения базы данных.

Дополнительные сведения см. в статье "Новые детализированные разрешения для SQL Server 2022 и Azure SQL для улучшения соответствия с помощью PoLP".

Доступ к разрешениям системных метаданных

Уровень сервера:

  • ПРОСМОТР ВСЕХ ОПРЕДЕЛЕНИЙ БЕЗОПАСНОСТИ
  • ПРОСМОТР ЛЮБОГО ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ
  • ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ СЕРВЕРА
  • ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ СЕРВЕРА
  • ПРОСМОТР ЛЮБОГО КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ

Уровень базы данных:

  • ПРОСМОТР СОСТОЯНИЯ БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ
  • ПРОСМОТР СОСТОЯНИЯ ПРОИЗВОДИТЕЛЬНОСТИ БАЗЫ ДАННЫХ
  • ПРОСМОТР ОПРЕДЕЛЕНИЯ БЕЗОПАСНОСТИ
  • ПРОСМОТР ОПРЕДЕЛЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ
  • ПРОСМОТР КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ОПРЕДЕЛЕНИЯ

Разрешения расширенных событий

Уровень сервера:

  • СОЗДАНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ
  • УДАЛЕНИЕ ЛЮБОГО СЕАНСА СОБЫТИЙ
  • ALTER ANY EVENT SESSION OPTION
  • ALTER ANY EVENT SESSION ADD EVENT
  • ALTER ANY EVENT SESSION DROP EVENT
  • ALTER ANY EVENT SESSION ENABLE
  • ALTER ANY EVENT SESSION DISABLE
  • ALTER ANY EVENT SESSION ADD TARGET
  • ALTER ANY EVENT SESSION DROP TARGET

Все эти разрешения находятся под одинаковым родительским разрешением: ALTER ANY EVENT SESSION

Уровень базы данных:

  • СОЗДАНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ
  • УДАЛЕНИЕ СЕАНСА СОБЫТИЙ БАЗЫ ДАННЫХ
  • ALTER ANY DATABASE EVENT SESSION OPTION
  • ALTER ANY DATABASE EVENT SESSION ADD EVENT
  • ALTER ANY DATABASE EVENT SESSION DROP EVENT
  • ALTER ANY DATABASE EVENT SESSION ENABLE
  • ALTER ANY DATABASE EVENT SESSION DISABLE
  • ALTER ANY DATABASE EVENT SESSION ADD TARGET
  • ALTER ANY DATABASE EVENT SESSION DROP TARGET

Все эти разрешения находятся под одинаковым родительским разрешением: ALTER ANY DATABASE EVENT SESSION

  • CONTROL (CREDENTIAL)
  • CREATE LOGIN
  • СОЗДАНИЕ ПОЛЬЗОВАТЕЛЯ
  • ССЫЛКИ (УЧЕТНЫЕ ДАННЫЕ)
  • UNMASK (OBJECT)
  • UNMASK (SCHEMA)
  • ПРОСМОТР ЛЮБОГО ЖУРНАЛА ОШИБОК
  • ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ СЕРВЕРА
  • ПРОСМОТР АУДИТА БЕЗОПАСНОСТИ БАЗЫ ДАННЫХ

Разрешения реестра

  • ALTER LEDGER
  • ALTER LEDGER CONFIGURATION
  • ENABLE LEDGER
  • VIEW LEDGER CONTENT

Другие разрешения базы данных

  • ALTER ANY EXTERNAL JOB
  • ALTER ANY EXTERNAL STREAM
  • ВЫПОЛНЕНИЕ ЛЮБОЙ ВНЕШНЕЙ КОНЕЧНОЙ ТОЧКИ

Сводка алгоритма проверки разрешений

Проверка разрешений может оказаться сложной задачей. Алгоритм проверки разрешений учитывает перекрывающееся членство в группах и цепочки владения, явные и неявные разрешения. На его работу могут влиять разрешения на защищаемые классы, содержащие защищаемые сущности. Общая процедура алгоритма состоит в сборе всех применимых разрешений. Если не обнаружена блокирующая инструкция DENY, алгоритм выполняет поиск инструкции GRANT, которая предоставляет достаточные права доступа. Алгоритм содержит три необходимых элемента: контекст безопасности, область разрешенияи требуемое разрешение.

Примечание.

Невозможно предоставить, запретить или отменить разрешения sa, dbo, владельцу сущности, information_schema, sys или самому себе.

  • Контекст безопасности

    Это группа участников, разрешения которых используются в проверке доступа. Сюда входят разрешения, связанные с текущим именем входа или пользователем, если контекст безопасности не изменился на другое имя входа или другого пользователя с помощью инструкции EXECUTE AS. В контекст безопасности входят следующие участники.

    • Имя входа.

    • Пользователь

    • Членство в ролях.

    • Членство в группах Windows.

    • Любое имя входа или учетная запись пользователя для сертификата, используемого для подписания модуля (если применяются подписи модулей), который выполняется пользователем в данный момент, и членство этого участника в соответствующих ролях.

  • Область разрешения

    Это защищаемая сущность и все защищаемые классы, содержащие защищаемый объект. Например, таблица (защищаемая сущность) содержится в защищаемом классе схемы и в защищаемом классе базы данных. На доступ могут влиять разрешения на уровне таблицы, схемы, базы данных и сервера. Дополнительные сведения см. в разделе "Иерархия разрешений" (ядро СУБД).

  • Требуемое разрешение

    Тип требуемого разрешения. Например, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL и т. д.

    Для доступа может требоваться несколько разрешений, как в следующих примерах.

    • Хранимой процедуре может быть необходимо разрешение EXECUTE на хранимую процедуру и разрешение INSERT на несколько таблиц, на которые ссылается хранимая процедура.

    • Для динамического административного представления могут быть одновременно необходимы разрешения VIEW SERVER STATE и SELECT на представление.

Общие шаги алгоритма

Когда алгоритм определяет, следует ли предоставлять доступ к защищаемому объекту, конкретные используемые шаги могут различаться в зависимости от того, какие участники и защищаемые объекты вовлечены в процесс. Однако в любом случае алгоритм выполняет следующие общие шаги.

  1. Пропустить проверку разрешений, если имя входа является членом предопределенной роли сервера sysadmin или если пользователь является пользователем dbo в текущей базе данных.

  2. Разрешить доступ, если применима цепочка владения и проверка доступа к объекту, расположенному ранее в цепочке, завершилась успешно.

  3. Выполнить статистическую обработку удостоверений на уровне сервера, базы данных и подписанных модулей, относящихся к вызывающей стороне, чтобы создать контекст безопасности.

  4. Собрать для полученного контекста безопасностивсе разрешения, которые предоставлены или запрещены в области разрешения. Разрешение может задаваться в явном виде в составе инструкций GRANT, GRANT WITH GRANT или DENY (либо быть неявным или покрывающим разрешением GRANT или DENY). Например, из разрешения CONTROL на схему следует разрешение CONTROL на таблицу, а из разрешения CONTROL на таблицу следует разрешение SELECT. Таким образом, если предоставлено разрешение CONTROL на схему, то неявно предоставляется разрешение SELECT на таблицу. Если разрешение CONTROL на таблицу запрещается, то неявно запрещается разрешение SELECT на таблицу.

    Примечание.

    Инструкция GRANT для разрешения на уровне столбцов имеет приоритет над инструкцией DENY на уровне объектов. Дополнительные сведения см. здесь: DENY Object Permissions (Transact-SQL).

  5. Определить требуемое разрешение.

  6. Завершить проверку разрешений с отрицательным результатом, если требуемое разрешение явно или неявно запрещено в любом из удостоверений из контекста безопасности для объектов в области разрешения.

  7. Передайте проверку разрешения, если требуемое разрешение не было отклонено, а требуемое разрешение содержит разрешение GRANT или GRANT WITH GRANT либо непосредственно, либо неявно любому из удостоверений в контексте безопасности для любого объекта в пространстве разрешений.

Особые замечания относительно разрешений на уровне столбца

Разрешения на уровне столбцов предоставляются с помощью синтаксиса table_name(столбец _name>).<>< Например:

GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;

Разрешение GRANT на столбец переопределяет разрешение DENY на таблицу. При этом последующее разрешение DENY на таблицу удалит разрешение GRANT на столбец.

Примеры

В примерах этого раздела показано, как получить сведения о разрешениях.

А. Возвращает полный список предоставленных разрешений

Следующая инструкция возвращает все разрешения ядро СУБД с помощью fn_builtin_permissions функции. Дополнительные сведения см. в разделе sys.fn_builtin_permissions (Transact-SQL).

SELECT * FROM fn_builtin_permissions(default);
GO

B. Возврат разрешений для определенного класса объектов

В следующем примере функция fn_builtin_permissions используется для просмотра всех разрешений, доступных для категории защищаемых объектов. В примере возвращаются разрешения на сборки.

SELECT * FROM fn_builtin_permissions('assembly');
GO

C. Возврат разрешений, предоставленных выполняющей субъекту объекта

В следующем примере функция fn_my_permissions возвращает список действующих разрешений вызывающего участника в отношении указанного защищаемого объекта. В примере возвращаются разрешения на объект с именем Orders55. Дополнительные сведения см. в разделе sys.fn_my_permissions (Transact-SQL).

SELECT * FROM fn_my_permissions('Orders55', 'object');
GO

D. Возврат разрешений, применимых к указанному объекту

В следующем примере возвращаются применимые разрешения на объект с именем Yttrium. Встроенная функция OBJECT_ID используется для получения идентификатора объекта Yttrium.

SELECT * FROM sys.database_permissions
    WHERE major_id = OBJECT_ID('Yttrium');
GO