Поделиться через


DENY, запрет разрешений на сервере (Transact-SQL)

Отзывает разрешения на сервере.

Значок ссылки на разделСинтаксические обозначения в Transact-SQL

Синтаксис

DENY permission [ ,...n ] 
    TO <grantee_principal> [ ,...n ]
    [ CASCADE ]
    [ AS <grantor_principal> ] 

<grantee_principal> ::= SQL_Server_login 
    | SQL_Server_login_mapped_to_Windows_login
    | SQL_Server_login_mapped_to_Windows_group
    | SQL_Server_login_mapped_to_certificate
    | SQL_Server_login_mapped_to_asymmetric_key

<grantor_principal> ::= SQL_Server_login 
    | SQL_Server_login_mapped_to_Windows_login
    | SQL_Server_login_mapped_to_Windows_group
    | SQL_Server_login_mapped_to_certificate
    | SQL_Server_login_mapped_to_asymmetric_key

Аргументы

  • permission
    Указывает разрешение, которое может быть запрещено на сервере. Список разрешений см. в подразделе «Примечания» далее в этом разделе.

  • CASCADE
    Показывает, что запрещаемое разрешение также запрещается для других участников, которым оно было предоставлено данным участником.

  • TO <server_principal>
    Указывает участника, для которого запрещается разрешение.

  • AS <grantor_principal>
    Указывает участника, от которого участник, выполняющий данный запрос, получает право на запрещение разрешения.

  • SQL_Server_login
    Указывает имя входа SQL Server.

  • SQL_Server_login_mapped_to_Windows_login
    Указывает имя входа SQL Server, сопоставленное с именем входа Windows.

  • SQL_Server_login_mapped_to_Windows_group
    Указывает имя входа SQL Server, сопоставленное с группой Windows.

  • SQL_Server_login_mapped_to_certificate
    Указывает имя входа SQL Server, сопоставленное с сертификатом.

  • SQL_Server_login_mapped_to_asymmetric_key
    Указывает имя входа SQL Server, сопоставленное ассиметричному ключу.

Замечания

Разрешения в области сервера могут запрещаться только в том случае, если текущей базой данных является master.

Сведения о серверных разрешениях находятся в представлении каталога sys.server_permissions, а сведения о серверах-участниках — в представлении каталога sys.server_principals. Сведения о членстве ролей сервера видимы в представлении каталога sys.server_role_members.

Сервер является наивысшим уровнем в иерархии разрешений. Наиболее часто указываемые и ограниченные разрешения, которые могут быть запрещены на сервере, перечислены в следующей таблице.

Разрешение сервера

Содержится в разрешении сервера

ADMINISTER BULK OPERATIONS

CONTROL SERVER

ALTER ANY CONNECTION

CONTROL SERVER

ALTER ANY CREDENTIAL

CONTROL SERVER

ALTER ANY DATABASE

CONTROL SERVER

ALTER ANY ENDPOINT

CONTROL SERVER

ALTER ANY EVENT NOTIFICATION

CONTROL SERVER

ALTER ANY LINKED SERVER

CONTROL SERVER

ALTER ANY LOGIN

CONTROL SERVER

ALTER ANY SERVER AUDIT

CONTROL SERVER

ALTER RESOURCES

CONTROL SERVER

ALTER SERVER STATE

CONTROL SERVER

ALTER SETTINGS

CONTROL SERVER

ALTER TRACE

CONTROL SERVER

AUTHENTICATE SERVER

CONTROL SERVER

CONNECT SQL

CONTROL SERVER

CONTROL SERVER

CONTROL SERVER

CREATE ANY DATABASE

ALTER ANY DATABASE

CREATE DDL EVENT NOTIFICATION

ALTER ANY EVENT NOTIFICATION

CREATE ENDPOINT

ALTER ANY ENDPOINT

CREATE TRACE EVENT NOTIFICATION

ALTER ANY EVENT NOTIFICATION

EXTERNAL ACCESS ASSEMBLY

CONTROL SERVER

SHUTDOWN

CONTROL SERVER

UNSAFE ASSEMBLY

CONTROL SERVER

VIEW ANY DATABASE

VIEW ANY DEFINITION

VIEW ANY DEFINITION

CONTROL SERVER

VIEW SERVER STATE

ALTER SERVER STATE

Разрешения

Необходимо иметь разрешение CONTROL SERVER или быть владельцем защищаемого объекта. При использовании предложения AS указанный участник должен быть владельцем защищаемого объекта, разрешения на который у него запрещены.

Примеры

А. Запрет разрешения CONNECT SQL для пользователя SQL Server с указанным именем входа и участников, которым этот пользователь его предоставил

В следующем примере разрешение CONNECT SQL запрещается для пользователя SQL Server с именем входа Annika и для участников, которым он предоставил это разрешение.

USE master;
DENY CONNECT SQL TO Annika CASCADE;
GO

Б. Запрет разрешения CREATE ENDPOINT для пользователя SQL Server с помощью параметра AS

В следующем примере разрешение CREATE ENDPOINT запрещается для пользователя ArifS. Пример использует параметр AS для указания пользователя MandarP в качестве участника, от которого текущий участник получает права для выполнения.

USE master;
DENY CREATE ENDPOINT TO ArifS AS MandarP;
GO

Журнал изменений

Обновленное содержимое

Добавлено разрешение ALTER ANY SERVER AUDIT.