GRANT 資料庫主體權限 (Transact-SQL)

授與 SQL Server 中資料庫使用者、資料庫角色或應用程式角色的權限。

Transact-SQL 語法慣例

語法

GRANT permission [ ,...n ]  
    ON 
    {  [ USER :: database_user ]
     | [ ROLE :: database_role ]
     | [ APPLICATION ROLE :: application_role ]
    }
    TO <database_principal> [ ,...n ]
       [ WITH GRANT OPTION ]
       [ AS <database_principal> ]

<database_principal> ::=
    Database_user 
  | Database_role 
  | Application_role 
  | Database_user_mapped_to_Windows_User 
  | Database_user_mapped_to_Windows_Group 
  | Database_user_mapped_to_certificate 
  | Database_user_mapped_to_asymmetric_key 
  | Database_user_with_no_login

引數

• permission
  指定可授予的資料庫主體權限。 如需權限清單，請參閱這個主題稍後的「備註」一節。

• USER ::database_user
  指定授與其權限之使用者的類別和名稱。 需要範圍限定詞 (::)。

• ROLE ::database_role
  指定獲得權限授與之角色的類別和名稱。 需要範圍限定詞 (::)。

• APPLICATION ROLE ::application_role

  適用於：SQL Server 2008 至 SQL Server 2014。

  指定授與其權限之應用程式角色的類別和名稱。 需要範圍限定詞 (::)。

• WITH GRANT OPTION
  指出主體也有權授與指定權限給其他主體。

• AS <database_principal>
  指定主體，執行這項查詢的主體就是從這個主體衍生權限來授與權限。

• Database_user
  指定資料庫使用者。

• Database_role
  指定資料庫角色。

• Application_role

  適用於：SQL Server 2008 至 SQL Server 2014。

  指定應用程式角色。

• Database_user_mapped_to_Windows_User

  適用於：SQL Server 2008 至 SQL Server 2014。

  指定對應至 Windows 使用者的資料庫使用者。

• Database_user_mapped_to_Windows_Group

  適用於：SQL Server 2008 至 SQL Server 2014。

  指定對應至 Windows 群組的資料庫使用者。

• Database_user_mapped_to_certificate

  適用於：SQL Server 2008 至 SQL Server 2014。

  指定對應至憑證的資料庫使用者。

• Database_user_mapped_to_asymmetric_key

  適用於：SQL Server 2008 至 SQL Server 2014。

  指定對應至非對稱金鑰的資料庫使用者。

• Database_user_with_no_login
  指定不含對應伺服器層級主體的資料庫使用者。

備註

您可以在 sys.database_principals 目錄檢視中，看到有關資料庫主體的資訊。 您可以在 sys.database_permissions 目錄檢視中，看到有關資料庫層級權限的資訊。

資料庫使用者權限

應用程式角色是一個由資料庫所包含的資料庫層級安全性實體，在權限階層中，此資料庫為該安全性實體的父系。 下表所列為可授與資料庫使用者之最特別和最有限的權限，以及利用隱含方式包含前述權限的較通用權限。

資料庫角色權限

資料庫角色是一個由資料庫所包含的資料庫層級安全性實體，在權限階層中，此資料庫為該安全性實體的父系。 下表所列的是可以授與之最特定和最有限的資料庫角色權限，並列出利用隱含方式來併入這些權限的較通用權限。

應用程式角色權限

應用程式角色是一個由資料庫所包含的資料庫層級安全性實體，在權限階層中，此資料庫為該安全性實體的父系。 下面所列的是可以授與之最特定和最有限的應用程式角色權限，並列出利用隱含方式來併入這些權限的較通用權限。

權限

同意授權者 (或是指定了 AS 選項的主體) 必須具有指定了 GRANT OPTION 的權限本身，或是具有隱含目前正在授與權限的更高權限。

如果是使用 AS 選項，就必須套用下列其他需求。

具有安全性實體之 CONTROL 權限的主體可以授與該安全性實體的權限。

資料庫之 CONTROL 權限的被授與者 (例如 db_owner 固定資料庫角色的成員) 可以授與資料庫中任何安全性實體的任何權限。

範例

A.將一個使用者的 CONTROL 權限授與另一個使用者

下列範例會將 AdventureWorks2012 使用者 Wanida 的 CONTROL 權限授與使用者 RolandX。

USE AdventureWorks2012;
GRANT CONTROL ON USER::Wanida TO RolandX;
GO

B.將角色的 VIEW DEFINITION 權限授與具有 GRANT OPTION 的使用者

下列範例將 AdventureWorks2012 角色 SammamishParking 的 VIEW DEFINITION 權限連同 GRANT OPTION 授與資料庫使用者 JinghaoLiu。

USE AdventureWorks2012;
GRANT VIEW DEFINITION ON ROLE::SammamishParking 
    TO JinghaoLiu WITH GRANT OPTION;
GO

C.將使用者的 IMPERSONATE 權限授與應用程式角色

下列範例對 AdventureWorks2012 應用程式角色 AccountsPayable17 授與使用者 HamithaL 的 IMPERSONATE 權限。

USE AdventureWorks2012;
GRANT IMPERSONATE ON USER::HamithaL TO AccountsPayable17;
GO  

請參閱

參考

DENY 資料庫主體權限 (Transact-SQL)

REVOKE 資料庫主體權限 (Transact-SQL)

sys.database_principals (Transact-SQL)

sys.database_permissions (Transact-SQL)

CREATE USER (Transact-SQL)

CREATE APPLICATION ROLE (Transact-SQL)

CREATE ROLE (Transact-SQL)

GRANT (Transact-SQL)

概念

權限 (Database Engine)

主體 (Database Engine)