• Artículo

HAS_PERMS_BY_NAME (Transact-SQL)

Evalúa el permiso efectivo del usuario actual sobre un elemento protegible. Una función relacionada es fn_my_permissions.

Icono de vínculo a temasConvenciones de sintaxis de Transact-SQL

Sintaxis

HAS_PERMS_BY_NAME ( securable , securable_class , permission  
        [ , sub-securable ] [ , sub-securable_class ] )

Argumentos

  • securable
    Es el nombre del elemento protegible. Si el elemento protegible es el propio servidor, este valor debe establecerse en NULL. securable es una expresión escalar de tipo sysname. No tiene ningún valor predeterminado.

  • securable_class
    Es el nombre de la clase de elemento protegible en la que se prueba el permiso. securable_class es una expresión escalar de tipo nvarchar(60).

  • permission
    Expresión escalar no NULL de tipo sysname que representa el nombre del permiso que se va a comprobar. No tiene ningún valor predeterminado. El nombre de permiso ANY es un comodín.

  • sub-securable
    Expresión escalar opcional de tipo sysname que representa el nombre de la subentidad protegible en la que se va a probar el permiso. El valor predeterminado es NULL.

    [!NOTA]

    En las versiones de SQL Server hasta SQL Server 2008 Service Pack 2, las subentidades protegibles no pueden utilizar corchetes en la forma siguiente: '[sub name]'. En su lugar, use 'sub name'.

  • sub-securable_class
    Expresión escalar opcional de tipo nvarchar(60) que representa la clase de subentidad protegible en la que se va a probar el permiso. El valor predeterminado es NULL.

Tipos de valor devuelto

int

Devuelve NULL cuando la consulta da error.

Notas

Esta función integrada determina si la entidad de seguridad actual tiene un permiso efectivo específico sobre un elemento protegible determinado. HAS_PERMS_BY_NAME devuelve 1 cuando el usuario tiene un permiso efectivo sobre el elemento protegible, 0 cuando el usuario no tiene ningún permiso efectivo sobre el elemento protegible y cuando la clase protegible o el permiso no son válidos. Un permiso efectivo puede ser cualquiera de los siguientes:

  • Un permiso concedido directamente a la entidad de seguridad, no denegado.

  • Un permiso implícito en un permiso de nivel superior de la entidad de seguridad, no denegado.

  • Un permiso concedido a una función o grupo al que pertenece la entidad de seguridad, no denegado.

  • Un permiso de una función o grupo al que pertenece la entidad de seguridad, no denegado.

La evaluación de permisos siempre se realiza en el contexto de seguridad del autor de la llamada. Para determinar si algún otro usuario tiene un permiso efectivo, el autor de la llamada debe tener el permiso IMPERSONATE sobre ese usuario.

En el caso de entidades de esquema, se aceptan nombres no NULL de una, dos o tres partes. En el caso de entidades de base de datos, se aceptan nombres de una parte, con un valor NULL que significa "base de datos actual". En el caso del servidor, es necesario un valor NULL (que significa "servidor actual"). Esta función no puede comprobar permisos en un servidor vinculado ni en un usuario de Windows para los que no se ha creado ninguna entidad de seguridad de servidor.

La consulta siguiente devuelve una lista de clases protegibles integradas:

   SELECT class_desc FROM sys.fn_builtin_permissions(default)

Se utilizan las intercalaciones siguientes:

  • Intercalación de base de datos actual: elementos protegibles de base de datos, entre los que se incluyen los elementos protegibles no incluidos en un esquema; los elementos protegibles con ámbito de esquema de una o dos partes; la base de datos de destino cuando se utiliza un nombre de tres partes.

  • Intercalación de la base de datos maestra: elementos protegibles de servidor.

  • En las comprobaciones de columna no se admite 'ANY'. Debe especificar el permiso apropiado.

Ejemplos

A. ¿Tengo el permiso VIEW SERVER STATE en el servidor?

SELECT HAS_PERMS_BY_NAME(null, null, 'VIEW SERVER STATE');

B. ¿Puedo suplantar (IMPERSONATE) la entidad de seguridad del servidor Ps?

SELECT HAS_PERMS_BY_NAME('Ps', 'LOGIN', 'IMPERSONATE');

C. ¿Tengo algún permiso en la base de datos actual?

SELECT HAS_PERMS_BY_NAME(db_name(), 'DATABASE', 'ANY');

D. ¿Tiene la entidad de seguridad de base de datos Pd algún permiso en la base de datos actual?

Suponga que el autor de la llamada tiene el permiso IMPERSONATE sobre la entidad de seguridad Pd.

EXECUTE AS user = 'Pd'
GO
SELECT HAS_PERMS_BY_NAME(db_name(), 'DATABASE', 'ANY');
GO
REVERT;
GO

E. ¿Puedo crear procedimientos y tablas en el esquema S?

Para el ejemplo siguiente es necesario tener el permiso ALTER en S y el permiso CREATE PROCEDURE en la base de datos, y lo mismo para las tablas.

SELECT HAS_PERMS_BY_NAME(db_name(), 'DATABASE', 'CREATE PROCEDURE')
    & HAS_PERMS_BY_NAME('S', 'SCHEMA', 'ALTER') AS _can_create_procs,
    HAS_PERMS_BY_NAME(db_name(), 'DATABASE', 'CREATE TABLE') &
    HAS_PERMS_BY_NAME('S', 'SCHEMA', 'ALTER') AS _can_create_tables;

F. ¿Sobre qué tablas tengo el permiso SELECT?

SELECT HAS_PERMS_BY_NAME
(QUOTENAME(SCHEMA_NAME(schema_id)) + '.' + QUOTENAME(name), 
    'OBJECT', 'SELECT') AS have_select, * FROM sys.tables;

G. ¿Tengo el permiso INSERT sobre la tabla SalesPerson en AdventureWorks?

En el ejemplo siguiente se supone que AdventureWorks es el contexto de la base de datos actual y se utiliza un nombre de dos partes.

SELECT HAS_PERMS_BY_NAME('Sales.SalesPerson', 'OBJECT', 'INSERT');

En el ejemplo siguiente no se supone ningún contexto de la base de datos actual y se utiliza un nombre de tres partes.

SELECT HAS_PERMS_BY_NAME('AdventureWorks.Sales.SalesPerson', 
    'OBJECT', 'INSERT');

H. ¿Sobre qué columnas de la tabla T tengo el permiso SELECT?

SELECT name AS column_name, 
    HAS_PERMS_BY_NAME('T', 'OBJECT', 'SELECT', name, 'COLUMN') 
    AS can_select 
    FROM sys.columns AS c 
    WHERE c.object_id=object_id('T');