GRANT (Transact-SQL)

项目
03/07/2014

为主体授予安全对象的权限。一般概念是 GRANT <某种权限> ON <某个对象> TO <某个用户、登录名或组>。有关权限的一般讨论，请参阅权限（数据库引擎）。

适用范围：SQL Server（SQL Server 2008 至当前版本），Windows Azure SQL Database（初始版本至当前版本）。

语法

Simplified syntax for GRANT
GRANT { ALL [ PRIVILEGES ] }
      | permission [ ( column [ ,...n ] ) ] [ ,...n ]
      [ ON [ class :: ] securable ] TO principal [ ,...n ] 
      [ WITH GRANT OPTION ] [ AS principal ]

参数

ALL
不推荐使用此选项，保留此选项仅用于向后兼容。它不会授予所有可能的权限。授予 ALL 参数相当于授予以下权限。
- 如果安全对象是数据库，则 ALL 对应 BACKUP DATABASE、BACKUP LOG、CREATE DATABASE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE 和 CREATE VIEW。
- 如果安全对象是标量函数，则 ALL 对应 EXECUTE 和 REFERENCES。
- 如果安全对象是表值函数，则 ALL 对应 DELETE、INSERT、REFERENCES、SELECT 和 UPDATE。
- 如果安全对象是存储过程，则 ALL 表示 EXECUTE。
- 如果安全对象是表，则 ALL 对应 DELETE、INSERT、REFERENCES、SELECT 和 UPDATE。
- 如果安全对象是视图，则 ALL 对应 DELETE、INSERT、REFERENCES、SELECT 和 UPDATE。
PRIVILEGES
包含此参数是为了符合 ISO 标准。请不要更改 ALL 的行为。
permission
权限的名称。下面列出的子主题介绍了不同权限与安全对象之间的有效映射。
column
指定表中将授予权限的列的名称。需要使用圆括号 ()。
class
指定将授予权限的安全对象的类。需要使用作用域限定符 ::。
securable
指定将授予权限的安全对象。
TO principal
主体的名称。可为其授予安全对象权限的主体随安全对象而异。有关有效的组合，请参阅下面列出的子主题。
GRANT OPTION
指示被授权者在获得指定权限的同时还可以将指定权限授予其他主体。
作为 principal
指定一个主体，执行该查询的主体从该主体获得授予该权限的权限。

注释

GRANT 语句的完整语法非常复杂。上面的语法关系图进行了简化以突出其结构。下面列出的主题介绍了在授予特定安全对象权限时使用的完整语法。

REVOKE 语句可用于删除已授予的权限，DENY 语句可用于防止主体通过 GRANT 获得特定权限。

授予权限将删除对所指定安全对象的相应权限的 DENY 或 REVOKE 权限。如果在包含该安全对象的更高级别拒绝了相同的权限，则 DENY 优先。但是，在更高级别撤消已授予权限的操作并不优先。

数据库级权限在指定的数据库范围内授予。如果用户需要另一个数据库中的对象的权限，请在该数据库中创建用户帐户，或者授权用户帐户访问该数据库以及当前数据库。

备注

表级 DENY 并不优先于列级 GRANT。保留了权限层次结构中这种不一致性以保持向后兼容。未来的版本会将其删除。

sp_helprotect 系统存储过程报告数据库级安全对象的权限。

WITH GRANT OPTION

GRANT … WITH GRANT OPTION 指定向接收权限的安全主体提供向其他安全帐户授予指定权限的能力。在接收权限的主体是某一角色或某一 Windows 组时，如果需要进一步将对象权限授予不是该组或角色的成员的用户，则必须使用 AS 子句。因为只有用户（而非某个组或角色）才能执行 GRANT 语句，所以，在授予权限时，该组或角色的特定成员必须使用 AS 子句显式调用该角色或组成员身份。下面的示例说明如何在授予角色或 Windows 组时使用 WITH GRANT OPTION。

-- Execute the following as a database owner
GRANT EXECUTE ON TestProc TO TesterRole WITH GRANT OPTION;
EXEC sp_addrolemember TesterRole, User1;
-- Execute the following as User1
-- The following fails because User1 does not have the permission as the User1
GRANT EXECUTE ON TestMe TO User2;
-- The following succeeds because User1 invokes the TesterRole membership
GRANT EXECUTE ON TestMe TO User2 AS TesterRole;

SQL Server 权限图

有关 pdf 格式的所有数据库引擎权限的海报大小图表，请参阅 https://go.microsoft.com/fwlink/?LinkId=229142。

权限

授权者（或用 AS 选项指定的主体）自身必须具有此权限（带 GRANT OPTION），或具有隐含所授予权限的更高权限。如果使用 AS 选项，则还应满足其他要求。有关详细信息，请参阅特定于安全对象的主题。

对象所有者可以授予对其所拥有的对象的权限。对某安全对象具有 CONTROL 权限的主体可以授予对该安全对象的权限。

被授予 CONTROL SERVER 权限的用户（例如 sysadmin 固定服务器角色的成员）可以授予对相应服务器中任一个安全对象的任意权限。被授予数据库的 CONTROL 权限的用户（例如 db_owner 固定数据库角色的成员）可以授予数据库中任何安全对象的任意权限。被授予架构的 CONTROL 权限的用户可以授予架构中任何对象的任意权限。

示例

下表列出了安全对象以及描述特定于安全对象的语法的主题。

应用程序角色	GRANT 数据库主体权限 (Transact-SQL)
程序集	GRANT 程序集权限 (Transact-SQL)
非对称密钥	GRANT 非对称密钥权限 (Transact-SQL)
可用性组	GRANT 可用性组权限 (Transact-SQL)
证书	GRANT 证书权限 (Transact-SQL)
约定	GRANT Service Broker 权限 (Transact-SQL)
数据库	GRANT 数据库权限 (Transact-SQL)
端点	GRANT 端点权限 (Transact-SQL)
全文目录	GRANT 全文权限 (Transact-SQL)
全文非索引字表	GRANT 全文权限 (Transact-SQL)
函数	GRANT 对象权限 (Transact-SQL)
登录	通过 GRANT 语句授予服务器主体权限 (Transact-SQL)
消息类型	GRANT Service Broker 权限 (Transact-SQL)
对象	GRANT 对象权限 (Transact-SQL)
队列	GRANT 对象权限 (Transact-SQL)
远程服务绑定	GRANT Service Broker 权限 (Transact-SQL)
角色	GRANT 数据库主体权限 (Transact-SQL)
路由	GRANT Service Broker 权限 (Transact-SQL)
架构	GRANT 架构权限 (Transact-SQL)
搜索属性列表	授予搜索属性列表权限 (Transact-SQL)
服务器	GRANT 服务器权限 (Transact-SQL)
服务	GRANT Service Broker 权限 (Transact-SQL)
存储过程	GRANT 对象权限 (Transact-SQL)
对称密钥	GRANT 对称密钥权限 (Transact-SQL)
同义词	GRANT 对象权限 (Transact-SQL)
系统对象	GRANT 系统对象权限 (Transact-SQL)
表	GRANT 对象权限 (Transact-SQL)
类型	GRANT 类型权限 (Transact-SQL)
用户	GRANT 数据库主体权限 (Transact-SQL)
视图	GRANT 对象权限 (Transact-SQL)
XML 架构集合	GRANT XML 架构集合权限 (Transact-SQL)