GRANT – octroi d'autorisations de principal de serveur (Transact-SQL)
Permet d'accorder des autorisations sur un compte de connexion SQL Server.
Conventions de la syntaxe Transact-SQL
Syntaxe
GRANT permission [ ,...n ] }
ON
{ [ LOGIN :: SQL_Server_login ]
| [ SERVER ROLE :: server_role ] }
TO <server_principal> [ ,...n ]
[ WITH GRANT OPTION ]
[ AS SQL_Server_login ]
<server_principal> ::=
SQL_Server_login
| SQL_Server_login_from_Windows_login
| SQL_Server_login_from_certificate
| SQL_Server_login_from_AsymKey
| server_role
Arguments
permission
Spécifie une autorisation qui peut être accordée sur une connexion SQL Server. Pour obtenir la liste des autorisations, consultez la section Notes plus loin dans cette rubrique.LOGIN :: SQL_Server_login
Spécifie la connexion SQL Server sur laquelle l'autorisation est accordée. Le qualificateur d'étendue (::) est requis.SERVER ROLE :: server_role
Spécifie le rôle de serveur défini par l'utilisateur sur lequel l'autorisation est accordée. Le qualificateur d'étendue (::) est requis.TO <principal_de_serveur>
Spécifie le rôle de serveur ou le compte de connexion SQL Server pour lequel l'autorisation est accordée.SQL_Server_login
Spécifie le nom d'une connexion SQL Server.SQL_Server_login_from_Windows_login
Spécifie le nom d'une connexion SQL Server créée à partir d'une connexion Windows.SQL_Server_login_from_certificate
Spécifie le nom d'un compte de connexion SQL Server mappé à un certificat.SQL_Server_login_from_AsymKey
Spécifie le nom d'un compte de connexion SQL Server mappé à une clé asymétrique.server_role
Spécifie le nom d'un rôle de serveur défini par l'utilisateur.WITH GRANT OPTION
Indique que le principal a également la possibilité d'accorder l'autorisation spécifiée à d'autres principaux.AS SQL_Server_login
Spécifie la connexion SQL Server à partir de laquelle le principal qui exécute cette requête dérive son droit d'accorder l'autorisation.
Notes
Les autorisations dans l'étendue du serveur peuvent être accordées seulement lorsque la base de données actuelle est master.
Des informations sur les autorisations de serveur sont consultables dans l'affichage catalogue sys.server_permissions. Des informations sur les principaux de serveur sont consultables dans l'affichage catalogue sys.server_principals.
Les comptes de connexion et les rôles de serveur SQL Server sont des éléments sécurisables au niveau du serveur. Les autorisations les plus spécifiques et limitées qu'il est possible d'accorder sur un rôle de serveur ou un compte de connexion SQL Server sont répertoriées dans le tableau ci-dessous, avec les autorisations plus générales qui les incluent de manière implicite.
Compte de connexion SQL Server ou autorisation de rôle de serveur |
Déduite d'une autorisation de rôle de serveur ou de compte de connexion SQL Server |
Déduite d'une autorisation de serveur |
---|---|---|
CONTROL |
CONTROL |
CONTROL SERVER |
IMPERSONATE |
CONTROL |
CONTROL SERVER |
VIEW DEFINITION |
CONTROL |
VIEW ANY DEFINITION |
ALTER |
CONTROL |
ALTER ANY LOGIN ALTER ANY SERVER ROLE |
Autorisations
Pour les comptes de connexion, requiert l'autorisation CONTROL sur le compte de connexion ou l'autorisation ALTER ANY LOGIN sur le serveur.
Pour les rôles de serveur, requiert l'autorisation CONTROL sur le rôle de serveur ou l'autorisation ALTER ANY SERVER ROLE sur le serveur.
Exemples
A.Octroi d'une autorisation IMPERSONATE sur une connexion
Dans l'exemple ci-dessous, l'autorisation IMPERSONATE sur la connexion SQL Server WanidaBenshoof est accordée à une connexion SQL Server créée à partir de l'utilisateur Windows AdvWorks\YoonM.
USE master;
GRANT IMPERSONATE ON LOGIN::WanidaBenshoof to [AdvWorks\YoonM];
GO
B.Octroi d'une autorisation VIEW DEFINITION avec l'option GRANT OPTION
Dans l'exemple ci-dessous, l'autorisation VIEW DEFINITION sur la connexion SQL Server EricKurjan est accordée à la connexion SQL Server RMeyyappan avec l'option GRANT OPTION.
USE master;
GRANT VIEW DEFINITION ON LOGIN::EricKurjan TO RMeyyappan
WITH GRANT OPTION;
GO
C.Octroi d'une autorisation VIEW DEFINITION sur un rôle de serveur
L'exemple suivant accorde VIEW DEFINITION sur le rôle de serveur Sales au rôle de serveur Auditors.
USE master;
GRANT VIEW DEFINITION ON SERVER ROLE::Sales TO Auditors ;
GO
Voir aussi
Référence
sys.server_principals (Transact-SQL)
sys.server_permissions (Transact-SQL)
Fonctions de sécurité (Transact-SQL)
Procédures stockées liées à la sécurité (Transact-SQL)