Berechtigungen (Datenbank-Engine)Permissions (Database Engine)

Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) JaAzure SQL-DatenbankAzure SQL DatabaseYesAzure SQL-DatenbankAzure SQL Database JaVerwaltete Azure SQL-InstanzAzure SQL Managed InstanceYesVerwaltete Azure SQL-InstanzAzure SQL Managed Instance JaAzure Synapse AnalyticsAzure Synapse AnalyticsyesAzure Synapse AnalyticsAzure Synapse Analytics JaParallel Data WarehouseParallel Data WarehouseyesParallel Data WarehouseParallel Data WarehouseAnwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) JaAzure SQL-DatenbankAzure SQL DatabaseYesAzure SQL-DatenbankAzure SQL Database JaVerwaltete Azure SQL-InstanzAzure SQL Managed InstanceYesVerwaltete Azure SQL-InstanzAzure SQL Managed Instance JaAzure Synapse AnalyticsAzure Synapse AnalyticsyesAzure Synapse AnalyticsAzure Synapse Analytics JaParallel Data WarehouseParallel Data WarehouseyesParallel Data WarehouseParallel Data Warehouse

Jedes sicherungsfähige SQL ServerSQL Server-Element hat zugeordnete Berechtigungen, die einem Prinzipal erteilt werden können.Every SQL ServerSQL Server securable has associated permissions that can be granted to a principal. Datenbank-EngineDatabase Engine -Berechtigungen im Datenbankmodul werden sowohl auf dem Serverlevel, das den Anmeldeinformationen und Serverrollen zugewiesen ist, als auch auf dem Datenbanklevel verwaltet, das den Datenbankbenutzer und Datenbankrollen zugewiesen ist.Permissions in the Datenbank-EngineDatabase Engine are managed at the server level assigned to logins and server roles, and at the database level assigned to database users and database roles. Das Model für Azure SQL-DatenbankAzure SQL Database wendet dieses System auch auf die Datenbankberechtigungen an. Die Berechtigungen auf Serverebene sind jedoch nicht verfügbar.The model for Azure SQL-DatenbankAzure SQL Database has the same system for the database permissions, but the server level permissions are not available. Dieses Thema bietet eine vollständige Liste der Berechtigungen.This topic contains the complete list of permissions. Eine typische Implementierung der Berechtigungen finden Sie unter Erste Schritte mit Berechtigungen für die Datenbank-Engine.For a typical implementation of the permissions, see Getting Started with Database Engine Permissions.

Die Gesamtzahl der Berechtigungen für SQL Server 2019 (15.x)SQL Server 2019 (15.x) beträgt 248.The total number of permissions for SQL Server 2019 (15.x)SQL Server 2019 (15.x) is 248. Azure SQL-DatenbankAzure SQL Database macht 254 Berechtigungen verfügbar.exposes 254 permissions. Die meisten Berechtigungen – jedoch nicht alle – gelten für alle Plattformen.Most permissions apply to all platforms, but some do not. Zum Beispiel können für Azure SQL-DatenbankAzure SQL Database keine Berechtigungen auf Serverebene erteilt werden, und einige Berechtigungen sind nur für Azure SQL-DatenbankAzure SQL Database sinnvoll.For example server level permissions cannot be granted on Azure SQL-DatenbankAzure SQL Database, and a few permissions only make sense on Azure SQL-DatenbankAzure SQL Database. Neue Berechtigungen werden nach und nach in neuen Releases eingeführt.New permissions are being introduced gradually with new release. SQL Server 2017 (14.x)SQL Server 2017 (14.x) macht 238 Berechtigungen verfügbar.SQL Server 2017 (14.x)SQL Server 2017 (14.x) exposed 238 permissions. SQL Server 2016 (13.x)SQL Server 2016 (13.x) macht 230 Berechtigungen verfügbar.exposed 230 permissions. SQL Server 2014 (12.x)SQL Server 2014 (12.x) macht 219 Berechtigungen verfügbar.exposed 219 permissions. SQL Server 2012 (11.x)SQL Server 2012 (11.x) macht 214 Berechtigungen verfügbar.exposed 214 permissions. SQL Server 2008 R2SQL Server 2008 R2 macht 195 Berechtigungen verfügbar.exposed 195 permissions. In dem Artikel sys.fn_builtin_permissions wird erläutert, welche Berechtigungen in aktuellen Versionen jeweils neu sind.The sys.fn_builtin_permissions topic specifies which permissions are new in recent versions.

Sobald Sie sich mit den Berechtigungen vertraut gemacht haben, verwenden Sie die Anweisungen GRANT, REVOKEund DENY, um Berechtigungen auf Serverebene auf Anmeldungen oder Serverrollen und Berechtigungen auf Datenbankebene auf Benutzer oder Datenbankrollen anzuwenden.Once you understand the permissions, apply server level permissions to logins or server roles and database level permissions users or database roles with the GRANT, REVOKE, and DENY statements. Beispiel:For Example:

GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;

Tipps zum Planen eines Berechtigungssystems finden Sie unter Erste Schritte mit Berechtigungen für die Datenbank-Engine.For tips on planning a permissions system, see Getting Started with Database Engine Permissions.

Benennungskonventionen für BerechtigungenPermissions Naming Conventions

Im Folgenden werden die allgemeinen Konventionen beschrieben, die beim Benennen von Berechtigungen befolgt werden:The following describes the general conventions that are followed for naming permissions:

  • CONTROLCONTROL

    Überträgt besitzähnliche Funktionen an den Empfänger.Confers ownership-like capabilities on the grantee. Der Empfänger verfügt über alle definierten Berechtigungen für das sicherungsfähige Element.The grantee effectively has all defined permissions on the securable. Ein Prinzipal, dem die Berechtigung CONTROL erteilt wurde, kann auch Berechtigungen für das sicherungsfähige Element erteilen.A principal that has been granted CONTROL can also grant permissions on the securable. Da es sich bei dem SQL ServerSQL Server -Sicherheitsmodell um ein hierarchisches Modell handelt, beinhaltet CONTROL für einen bestimmten Gültigkeitsbereich implizit auch CONTROL für alle sicherungsfähigen Elemente in diesem Gültigkeitsbereich.Because the SQL ServerSQL Server security model is hierarchical, CONTROL at a particular scope implicitly includes CONTROL on all the securables under that scope. CONTROL für eine Datenbank impliziert alle Berechtigungen für die Datenbank, alle Berechtigungen für alle Assemblys in der Datenbank, alle Berechtigungen für alle Schemas in der Datenbank sowie alle Berechtigungen für Objekte innerhalb aller Schemas in der Datenbank.For example, CONTROL on a database implies all permissions on the database, all permissions on all assemblies in the database, all permissions on all schemas in the database, and all permissions on objects within all schemas within the database.

  • ALTERALTER

    Überträgt die Berechtigung, die Eigenschaften, mit Ausnahme des Besitzes, eines bestimmten sicherungsfähigen Elements zu ändern.Confers the ability to change the properties, except ownership, of a particular securable. Wenn ALTER für einen Gültigkeitsbereich erteilt wird, wird damit auch die Berechtigung zum Ändern, Erstellen oder Löschen eines sicherungsfähigen Elements erteilt, das in diesen Bereich fällt.When granted on a scope, ALTER also bestows the ability to alter, create, or drop any securable that is contained within that scope. So beinhaltet die Berechtigung ALTER für ein Schema auch die Berechtigung zum Erstellen, Ändern und Löschen von Objekten aus dem Schema.For example, ALTER permission on a schema includes the ability to create, alter, and drop objects from the schema.

  • ALTER ANY <Server Securable>, wobei es sich bei Server Securable um einen beliebigen sicherungsfähigen Server handeln kann.ALTER ANY <Server Securable>, where Server Securable can be any server securable.

    Überträgt die Berechtigung zum Erstellen, Ändern oder Löschen einzelner Instanzen des Server Securable.Confers the ability to create, alter, or drop individual instances of the Server Securable. So überträgt z. B. ALTER ANY LOGIN die Berechtigung zum Erstellen, Ändern oder Löschen einer beliebigen Anmeldung in der Instanz.For example, ALTER ANY LOGIN confers the ability to create, alter, or drop any login in the instance.

  • ALTER ANY <Database Securable>, wobei Database Securable ein beliebiges sicherungsfähiges Element auf Datenbankebene sein kann.ALTER ANY <Database Securable>, where Database Securable can be any securable at the database level.

    Überträgt die Berechtigung zum Erstellen, Ändern oder Löschen (CREATE, ALTER oder DROP) einzelner Instanzen des Database Securable.Confers the ability to CREATE, ALTER, or DROP individual instances of the Database Securable. So überträgt z. B. ALTER ANY SCHEMA die Berechtigung zum Erstellen, Ändern oder Löschen eines beliebigen Schemas in der Datenbank.For example, ALTER ANY SCHEMA confers the ability to create, alter, or drop any schema in the database.

  • TAKE OWNERSHIPTAKE OWNERSHIP

    Ermöglicht dem Empfänger, Besitzer des sicherungsfähigen Elements zu werden, für das die Berechtigung erteilt wird.Enables the grantee to take ownership of the securable on which it is granted.

  • IMPERSONATE <Login>IMPERSONATE <Login>

    Ermöglicht dem Empfänger, die Identität des Anmeldenamens anzunehmen.Enables the grantee to impersonate the login.

  • IMPERSONATE <User>IMPERSONATE <User>

    Ermöglicht dem Empfänger, die Identität des Benutzers anzunehmen.Enables the grantee to impersonate the user.

  • CREATE <Server Securable>CREATE <Server Securable>

    Überträgt dem Empfänger die Berechtigung zum Erstellen des Server Securable.Confers to the grantee the ability to create the Server Securable.

  • CREATE <Database Securable>CREATE <Database Securable>

    Überträgt dem Berechtigten die Berechtigung zum Erstellen des Database Securable.Confers to the grantee the ability to create the Database Securable.

  • CREATE <Schema-contained Securable>CREATE <Schema-contained Securable>

    Überträgt die Berechtigung zum Erstellen des im Schema enthaltenen sicherungsfähigen Elements.Confers the ability to create the schema-contained securable. Es wird jedoch die Berechtigung ALTER für das Schema benötigt, um das sicherungsfähige Element in einem bestimmten Schema zu erstellen.However, ALTER permission on the schema is required to create the securable in a particular schema.

  • VIEW DEFINITIONVIEW DEFINITION

    Gewährt dem Empfänger Zugriff auf Metadaten.Enables the grantee to access metadata.

  • REFERENCESREFERENCES

    Die REFERENCES-Berechtigung für eine Tabelle ist erforderlich, um eine FOREIGN KEY-Einschränkung zu erstellen, die auf die betreffende Tabelle verweist.The REFERENCES permission on a table is needed to create a FOREIGN KEY constraint that references that table.

    Die REFERENCES-Berechtigung ist für ein Objekt erforderlich, um eine FUNCTION oder VIEW mit der WITH SCHEMABINDING -Klausel zu erstellen, die auf das betreffende Objekt verweist.The REFERENCES permission is needed on an object to create a FUNCTION or VIEW with the WITH SCHEMABINDING clause that references that object.

Diagramm der SQL Server-BerechtigungenChart of SQL Server Permissions

Die folgende Grafik zeigt die Berechtigungen und ihre Beziehungen zueinander.The following graphic shows the permissions and their relationships to each other. Einige der Berechtigungen auf höherer Ebene (z.B. CONTROL SERVER) sind mehrmals aufgeführt.Some of the higher level permissions (such as CONTROL SERVER) are listed many times. In diesem Artikel ist nicht ausreichend Platz, um das Poster entsprechend darzustellen.In this article, the poster is far too small to read. Klicken Sie auf das Bild, um das Poster zu den Datenbank-Engine-Berechtigungen im PDF-Format herunterzuladen.Click the image to download the Database Engine Permissions Poster in pdf format.

DatenbankmodulberechtigungenDatabase Engine Permissions

Berechtigungen anwendbar für bestimmte sicherungsfähige ElementePermissions Applicable to Specific Securables

Die folgende Tabelle enthält eine Liste der wichtigsten Berechtigungsklassen und der sicherungsfähigen Elemente, für die sie erteilt werden können.The following table lists major classes of permissions and the kinds of securables to which they may be applied.

BerechtigungPermission AnwendungsbereichApplies to
ALTERALTER Alle Objektklassen außer TYPE.All classes of objects except TYPE.
CONTROLCONTROL Alle Objektklassen:All classes of objects:
AGGREGATE,AGGREGATE,
APPLICATION ROLE,APPLICATION ROLE,
ASSEMBLY,ASSEMBLY,
ASYMMETRIC KEY,ASYMMETRIC KEY,
AVAILABILITY GROUP,AVAILABILITY GROUP,
CERTIFICATE,CERTIFICATE,
CONTRACT,CONTRACT,
CREDENTIALS, DATABASE,CREDENTIALS, DATABASE,
DATABASE SCOPED CREDENTIAL,DATABASE SCOPED CREDENTIAL,
DEFAULT,DEFAULT,
ENDPOINT,ENDPOINT,
FULLTEXT CATALOG,FULLTEXT CATALOG,
FULLTEXT STOPLIST,FULLTEXT STOPLIST,
FUNCTION,FUNCTION,
LOGIN,LOGIN,
MESSAGE TYPE,MESSAGE TYPE,
PROCEDURE,PROCEDURE,
QUEUE,QUEUE,
REMOTE SERVICE BINDING,REMOTE SERVICE BINDING,
ROLE,ROLE,
ROUTE,ROUTE,
RULE,RULE,
SCHEMA,SCHEMA,
SEARCH PROPERTY LIST,SEARCH PROPERTY LIST,
SERVER,SERVER,
SERVER ROLE,SERVER ROLE,
SERVICE,SERVICE,
SYMMETRIC KEY,SYMMETRIC KEY,
SYNONYM,SYNONYM,
TABLE,TABLE,
TYPE,TYPE,
USER,USER,
VIEW undVIEW, and
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION
DeleteDELETE Alle Objektklassen außer DATABASE SCOPED CONFIGURATION, SERVER und TYPE.All classes of objects except DATABASE SCOPED CONFIGURATION, SERVER, and TYPE.
Führen SieEXECUTE CLR-Typen, externe Skripts, Prozeduren (Transact-SQLTransact-SQL und CLR), Skalar- und Aggregatfunktionen (Transact-SQLTransact-SQL und CLR) und SynonymeCLR types, external scripts, procedures (Transact-SQLTransact-SQL and CLR), scalar and aggregate functions (Transact-SQLTransact-SQL and CLR), and synonyms
IMPERSONATEIMPERSONATE Anmeldungen und BenutzerLogins and users
INSERTINSERT Synonyme, Tabellen und Spalten, Ansichten und Spalten.Synonyms, tables and columns, views and columns. Eine Berechtigung kann auf Datenbank-, Schema- oder Objektebene erteilt werden.Permission can be granted at the database, schema, or object level.
RECEIVERECEIVE Service BrokerService Broker -Warteschlangenqueues
REFERENCESREFERENCES AGGREGATE,AGGREGATE,
ASSEMBLY,ASSEMBLY,
ASYMMETRIC KEY,ASYMMETRIC KEY,
CERTIFICATE,CERTIFICATE,
CONTRACT,CONTRACT,
DATABASE,DATABASE,
DATABASE SCOPED CREDENTIAL,DATABASE SCOPED CREDENTIAL,
FULLTEXT CATALOG,FULLTEXT CATALOG,
FULLTEXT STOPLIST,FULLTEXT STOPLIST,
FUNCTION,FUNCTION,
MESSAGE TYPE,MESSAGE TYPE,
PROCEDURE,PROCEDURE,
QUEUE,QUEUE,
RULE,RULE,
SCHEMA,SCHEMA,
SEARCH PROPERTY LIST,SEARCH PROPERTY LIST,
SEQUENCE OBJECT,SEQUENCE OBJECT,
SYMMETRIC KEY,SYMMETRIC KEY,
TABLE,TABLE,
TYPE,TYPE,
VIEW undVIEW, and
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION
SELECTSELECT Synonyme, Tabellen und Spalten, Ansichten und Spalten.Synonyms, tables and columns, views and columns. Eine Berechtigung kann auf Datenbank-, Schema- oder Objektebene erteilt werden.Permission can be granted at the database, schema, or object level.
TAKE OWNERSHIPTAKE OWNERSHIP Alle Objektklassen außer DATABASE SCOPED CONFIGURATION, LOGIN, SERVER und USER.All classes of objects except DATABASE SCOPED CONFIGURATION, LOGIN, SERVER, and USER.
UPDATEUPDATE Synonyme, Tabellen und Spalten, Ansichten und Spalten.Synonyms, tables and columns, views and columns. Eine Berechtigung kann auf Datenbank-, Schema- oder Objektebene erteilt werden.Permission can be granted at the database, schema, or object level.
VIEW CHANGE TRACKINGVIEW CHANGE TRACKING Schemata und TabellenSchemas and tables
VIEW DEFINITIONVIEW DEFINITION Alle Objektklassen außer DATABASE SCOPED CONFIGURATION und SERVER.All classes of objects except DATABASE SCOPED CONFIGURATION, and SERVER.

Achtung

Die Standardberechtigungen, die Systemobjekten zum Zeitpunkt der Installation erteilt wurden, werden sorgfältig bezüglich möglicher Bedrohungen ausgewertet und müssen nicht im Rahmen der Härtung der SQL ServerSQL Server -Installation geändert werden.The default permissions that are granted to system objects at the time of setup are carefully evaluated against possible threats and need not be altered as part of hardening the SQL ServerSQL Server installation. Alle Änderungen an den Berechtigungen für Systemobjekte können die Funktionalität einschränken oder unterbrechen und potenziell dazu führen, dass Ihre SQL ServerSQL Server -Installation einen nicht unterstützten Zustand aufweist.Any changes to the permissions on the system objects could limit or break the functionality and could potentially leave your SQL ServerSQL Server installation in an unsupported state.

SQL Server-BerechtigungenSQL Server Permissions

Die folgende Tabelle enthält eine vollständige Liste der SQL ServerSQL Server -Berechtigungen.The following table provides a complete list of SQL ServerSQL Server permissions. Azure SQL-DatenbankAzure SQL Database -Berechtigungen sind nur für unterstützte sicherungsfähige Basiselemente verfügbar.permissions are only available for base securables that are supported. Berechtigungen auf Serverebene können in Azure SQL-DatenbankAzure SQL Databasenicht gewährt werden, in einigen Fällen sind jedoch stattdessen Datenbankberechtigungen verfügbar.Server level permissions cannot be granted in Azure SQL-DatenbankAzure SQL Database, however in some cases database permissions are available instead.

Sicherungsfähiges BasiselementBase securable Spezifische Berechtigungen für sicherungsfähiges BasiselementGranular permissions on base securable BerechtigungstypcodePermission type code Sicherungsfähiges Element, das sicherungsfähiges Basiselement enthältSecurable that contains base securable Berechtigung für sicherungsfähiges Containerelement mit spezifischer Berechtigung für sicherungsfähiges BasiselementPermission on container securable that implies granular permission on base securable
APPLICATION ROLEAPPLICATION ROLE ALTERALTER ALAL DATABASEDATABASE ALTER ANY APPLICATION ROLEALTER ANY APPLICATION ROLE
APPLICATION ROLEAPPLICATION ROLE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
APPLICATION ROLEAPPLICATION ROLE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ASSEMBLYASSEMBLY ALTERALTER ALAL DATABASEDATABASE ALTER ANY ASSEMBLYALTER ANY ASSEMBLY
ASSEMBLYASSEMBLY CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
ASSEMBLYASSEMBLY REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
ASSEMBLYASSEMBLY TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
ASSEMBLYASSEMBLY VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ASYMMETRIC KEYASYMMETRIC KEY ALTERALTER ALAL DATABASEDATABASE ALTER ANY ASYMMETRIC KEYALTER ANY ASYMMETRIC KEY
ASYMMETRIC KEYASYMMETRIC KEY CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
ASYMMETRIC KEYASYMMETRIC KEY REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
ASYMMETRIC KEYASYMMETRIC KEY TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
ASYMMETRIC KEYASYMMETRIC KEY VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
AVAILABILITY GROUPAVAILABILITY GROUP ALTERALTER ALAL SERVERSERVER ALTER ANY AVAILABILITY GROUPALTER ANY AVAILABILITY GROUP
AVAILABILITY GROUPAVAILABILITY GROUP CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
AVAILABILITY GROUPAVAILABILITY GROUP TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROL SERVERCONTROL SERVER
AVAILABILITY GROUPAVAILABILITY GROUP VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
CERTIFICATECERTIFICATE ALTERALTER ALAL DATABASEDATABASE ALTER ANY CERTIFICATEALTER ANY CERTIFICATE
CERTIFICATECERTIFICATE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
CERTIFICATECERTIFICATE REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
CERTIFICATECERTIFICATE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
CERTIFICATECERTIFICATE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
CONTRACTCONTRACT ALTERALTER ALAL DATABASEDATABASE ALTER ANY CONTRACTALTER ANY CONTRACT
CONTRACTCONTRACT CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
CONTRACTCONTRACT REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
CONTRACTCONTRACT TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
CONTRACTCONTRACT VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
DATABASEDATABASE ADMINISTER DATABASE BULK OPERATIONSADMINISTER DATABASE BULK OPERATIONS DABODABO SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTERALTER ALAL SERVERSERVER ALTER ANY DATABASEALTER ANY DATABASE
DATABASEDATABASE ALTER ANY APPLICATION ROLEALTER ANY APPLICATION ROLE ALARALAR SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY ASSEMBLYALTER ANY ASSEMBLY ALASALAS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY ASYMMETRIC KEYALTER ANY ASYMMETRIC KEY ALAKALAK SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY CERTIFICATEALTER ANY CERTIFICATE ALCFALCF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY COLUMN ENCRYPTION KEYALTER ANY COLUMN ENCRYPTION KEY ALCKALCK

Gilt für SQL ServerSQL Server (vonSQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY COLUMN MASTER KEYALTER ANY COLUMN MASTER KEY ALCMALCM

Gilt für SQL ServerSQL Server (vonSQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY CONTRACTALTER ANY CONTRACT ALSCALSC SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY DATABASE AUDITALTER ANY DATABASE AUDIT ALDAALDA SERVERSERVER ALTER ANY SERVER AUDITALTER ANY SERVER AUDIT
DATABASEDATABASE ALTER ANY DATABASE DDL TRIGGERALTER ANY DATABASE DDL TRIGGER ALTGALTG SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY DATABASE EVENT NOTIFICATIONALTER ANY DATABASE EVENT NOTIFICATION ALEDALED SERVERSERVER ALTER ANY EVENT NOTIFICATIONALTER ANY EVENT NOTIFICATION
DATABASEDATABASE ALTER ANY DATABASE EVENT SESSIONALTER ANY DATABASE EVENT SESSION AADSAADS

Gilt für Azure SQL-DatenbankAzure SQL Database.Applies to Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER ALTER ANY EVENT SESSIONALTER ANY EVENT SESSION
DATABASEDATABASE ALTER ANY DATABASE SCOPED CONFIGURATIONALTER ANY DATABASE SCOPED CONFIGURATION ALDCALDC

Gilt für SQL ServerSQL Server (vonSQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY DATASPACEALTER ANY DATASPACE ALDSALDS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY EXTERNAL DATA SOURCEALTER ANY EXTERNAL DATA SOURCE AEDSAEDS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY EXTERNAL FILE FORMATALTER ANY EXTERNAL FILE FORMAT AEFFAEFF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY FULLTEXT CATALOGALTER ANY FULLTEXT CATALOG ALFTALFT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY MASKALTER ANY MASK AAMKAAMK

Gilt für SQL ServerSQL Server (vonSQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY MESSAGE TYPEALTER ANY MESSAGE TYPE ALMTALMT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY REMOTE SERVICE BINDINGALTER ANY REMOTE SERVICE BINDING ALSBALSB SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY ROLEALTER ANY ROLE ALRLALRL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY ROUTEALTER ANY ROUTE ALRTALRT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SCHEMAALTER ANY SCHEMA ALSMALSM SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SECURITY POLICYALTER ANY SECURITY POLICY ALSPALSP

Gilt für SQL ServerSQL Server (vonSQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SENSITIVITY CLASSIFICATIONALTER ANY SENSITIVITY CLASSIFICATION ALSPALSP
Gilt für SQL ServerSQL Server (SQL Server 2019 (15.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2019 (15.x) through current), Azure SQL-DatenbankAzure SQL Database.
DATABASEDATABASE CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SERVICEALTER ANY SERVICE ALSVALSV SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY SYMMETRIC KEYALTER ANY SYMMETRIC KEY ALSKALSK SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE ALTER ANY USERALTER ANY USER ALUSALUS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE AUTHENTICATEAUTHENTICATE AUTHAUTH SERVERSERVER AUTHENTICATE SERVERAUTHENTICATE SERVER
DATABASEDATABASE BACKUP DATABASEBACKUP DATABASE BADBBADB SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE BACKUP LOGBACKUP LOG BALOBALO SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CHECKPOINTCHECKPOINT CPCP SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CONNECTCONNECT COCO SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CONNECT REPLICATIONCONNECT REPLICATION CORPCORP SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE AGGREGATECREATE AGGREGATE CRAGCRAG SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE ASSEMBLYCREATE ASSEMBLY CRASCRAS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE ASYMMETRIC KEYCREATE ASYMMETRIC KEY CRAKCRAK SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE CERTIFICATECREATE CERTIFICATE CRCFCRCF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE CONTRACTCREATE CONTRACT CRSCCRSC SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE DATABASECREATE DATABASE CRDBCRDB SERVERSERVER CREATE ANY DATABASECREATE ANY DATABASE
DATABASEDATABASE CREATE DATABASE DDL EVENT NOTIFICATIONCREATE DATABASE DDL EVENT NOTIFICATION CREDCRED SERVERSERVER CREATE DDL EVENT NOTIFICATIONCREATE DDL EVENT NOTIFICATION
DATABASEDATABASE CREATE DEFAULTCREATE DEFAULT CRDFCRDF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE FULLTEXT CATALOGCREATE FULLTEXT CATALOG CRFTCRFT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE FUNCTIONCREATE FUNCTION CRFNCRFN SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE MESSAGE TYPECREATE MESSAGE TYPE CRMTCRMT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE PROCEDURECREATE PROCEDURE CRPRCRPR SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE QUEUECREATE QUEUE CRQUCRQU SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE REMOTE SERVICE BINDINGCREATE REMOTE SERVICE BINDING CRSBCRSB SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE ROLECREATE ROLE CRRLCRRL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE ROUTECREATE ROUTE CRRTCRRT SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE RULECREATE RULE CRRUCRRU SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE SCHEMACREATE SCHEMA CRSMCRSM SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE SERVICECREATE SERVICE CRSVCRSV SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE SYMMETRIC KEYCREATE SYMMETRIC KEY CRSKCRSK SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE SYNONYMCREATE SYNONYM CRSNCRSN SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE TABLECREATE TABLE CRTBCRTB SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE TYPECREATE TYPE CRTYCRTY SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE VIEWCREATE VIEW CRVWCRVW SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE CREATE XML SCHEMA COLLECTIONCREATE XML SCHEMA COLLECTION CRXSCRXS SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE DeleteDELETE DLDL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE Führen SieEXECUTE EXEX SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE EXECUTE ANY EXTERNAL SCRIPTEXECUTE ANY EXTERNAL SCRIPT EAESEAES

Gilt für SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version).Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current).
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE INSERTINSERT ININ SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE KILL DATABASE CONNECTIONKILL DATABASE CONNECTION KIDCKIDC

Gilt nur für Azure SQL-DatenbankAzure SQL Database.Only applies to Azure SQL-DatenbankAzure SQL Database. Verwenden Sie ALTER ANY CONNECTION in SQL ServerSQL Server.Use ALTER ANY CONNECTION in SQL ServerSQL Server.
SERVERSERVER ALTER ANY CONNECTIONALTER ANY CONNECTION
DATABASEDATABASE REFERENCESREFERENCES RFRF SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE SELECTSELECT SLSL SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE SHOWPLANSHOWPLAN SPLNSPLN SERVERSERVER ALTER TRACEALTER TRACE
DATABASEDATABASE SUBSCRIBE QUERY NOTIFICATIONSSUBSCRIBE QUERY NOTIFICATIONS SUQNSUQN SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE UNMASKUNMASK UMSKUMSK

Gilt für SQL ServerSQL Server (vonSQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE UPDATEUPDATE UPUP SERVERSERVER CONTROL SERVERCONTROL SERVER
DATABASEDATABASE VIEW ANY COLUMN ENCRYPTION KEY DEFINITIONVIEW ANY COLUMN ENCRYPTION KEY DEFINITION VWCKVWCK

Gilt für SQL ServerSQL Server (vonSQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER VIEW SERVER STATEVIEW SERVER STATE
DATABASEDATABASE VIEW ANY COLUMN MASTER KEY DEFINITIONVIEW ANY COLUMN MASTER KEY DEFINITION vWCMvWCM

Gilt für SQL ServerSQL Server (vonSQL Server 2016 (13.x)SQL Server 2016 (13.x) bis einschließlich der aktuellen Version) und für Azure SQL-DatenbankAzure SQL Database.Applies to SQL ServerSQL Server (SQL Server 2016 (13.x)SQL Server 2016 (13.x) through current), Azure SQL-DatenbankAzure SQL Database.
SERVERSERVER VIEW SERVER STATEVIEW SERVER STATE
DATABASEDATABASE VIEW DATABASE STATEVIEW DATABASE STATE VWDSVWDS SERVERSERVER VIEW SERVER STATEVIEW SERVER STATE
DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL ALTERALTER ALAL DATABASEDATABASE CONTROLCONTROL
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
DATABASE SCOPED CREDENTIALDATABASE SCOPED CREDENTIAL VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ENDPOINTENDPOINT ALTERALTER ALAL SERVERSERVER ALTER ANY ENDPOINTALTER ANY ENDPOINT
ENDPOINTENDPOINT CONNECTCONNECT COCO SERVERSERVER CONTROL SERVERCONTROL SERVER
ENDPOINTENDPOINT CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
ENDPOINTENDPOINT TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROL SERVERCONTROL SERVER
ENDPOINTENDPOINT VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
FULLTEXT CATALOGFULLTEXT CATALOG ALTERALTER ALAL DATABASEDATABASE ALTER ANY FULLTEXT CATALOGALTER ANY FULLTEXT CATALOG
FULLTEXT CATALOGFULLTEXT CATALOG CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
FULLTEXT CATALOGFULLTEXT CATALOG REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
FULLTEXT CATALOGFULLTEXT CATALOG TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
FULLTEXT CATALOGFULLTEXT CATALOG VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
FULLTEXT STOPLISTFULLTEXT STOPLIST ALTERALTER ALAL DATABASEDATABASE ALTER ANY FULLTEXT CATALOGALTER ANY FULLTEXT CATALOG
FULLTEXT STOPLISTFULLTEXT STOPLIST CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
FULLTEXT STOPLISTFULLTEXT STOPLIST REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
FULLTEXT STOPLISTFULLTEXT STOPLIST TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
FULLTEXT STOPLISTFULLTEXT STOPLIST VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
LOGINLOGIN ALTERALTER ALAL SERVERSERVER ALTER ANY LOGINALTER ANY LOGIN
LOGINLOGIN CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
LOGINLOGIN IMPERSONATEIMPERSONATE IMIM SERVERSERVER CONTROL SERVERCONTROL SERVER
LOGINLOGIN VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
MESSAGE TYPEMESSAGE TYPE ALTERALTER ALAL DATABASEDATABASE ALTER ANY MESSAGE TYPEALTER ANY MESSAGE TYPE
MESSAGE TYPEMESSAGE TYPE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
MESSAGE TYPEMESSAGE TYPE REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
MESSAGE TYPEMESSAGE TYPE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
MESSAGE TYPEMESSAGE TYPE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
OBJECTOBJECT ALTERALTER ALAL SCHEMASCHEMA ALTERALTER
OBJECTOBJECT CONTROLCONTROL CLCL SCHEMASCHEMA CONTROLCONTROL
OBJECTOBJECT DeleteDELETE DLDL SCHEMASCHEMA DeleteDELETE
OBJECTOBJECT Führen SieEXECUTE EXEX SCHEMASCHEMA Führen SieEXECUTE
OBJECTOBJECT INSERTINSERT ININ SCHEMASCHEMA INSERTINSERT
OBJECTOBJECT RECEIVERECEIVE RCRC SCHEMASCHEMA CONTROLCONTROL
OBJECTOBJECT REFERENCESREFERENCES RFRF SCHEMASCHEMA REFERENCESREFERENCES
OBJECTOBJECT SELECTSELECT SLSL SCHEMASCHEMA SELECTSELECT
OBJECTOBJECT TAKE OWNERSHIPTAKE OWNERSHIP TOTO SCHEMASCHEMA CONTROLCONTROL
OBJECTOBJECT UPDATEUPDATE UPUP SCHEMASCHEMA UPDATEUPDATE
OBJECTOBJECT VIEW CHANGE TRACKINGVIEW CHANGE TRACKING VWCTVWCT SCHEMASCHEMA VIEW CHANGE TRACKINGVIEW CHANGE TRACKING
OBJECTOBJECT VIEW DEFINITIONVIEW DEFINITION VWVW SCHEMASCHEMA VIEW DEFINITIONVIEW DEFINITION
REMOTE SERVICE BINDINGREMOTE SERVICE BINDING ALTERALTER ALAL DATABASEDATABASE ALTER ANY REMOTE SERVICE BINDINGALTER ANY REMOTE SERVICE BINDING
REMOTE SERVICE BINDINGREMOTE SERVICE BINDING CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
REMOTE SERVICE BINDINGREMOTE SERVICE BINDING TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
REMOTE SERVICE BINDINGREMOTE SERVICE BINDING VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ROLEROLE ALTERALTER ALAL DATABASEDATABASE ALTER ANY ROLEALTER ANY ROLE
ROLEROLE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
ROLEROLE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
ROLEROLE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
ROUTEROUTE ALTERALTER ALAL DATABASEDATABASE ALTER ANY ROUTEALTER ANY ROUTE
ROUTEROUTE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
ROUTEROUTE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
ROUTEROUTE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
SEARCH PROPERTY LISTSEARCH PROPERTY LIST ALTERALTER ALAL SERVERSERVER ALTER ANY FULLTEXT CATALOGALTER ANY FULLTEXT CATALOG
SEARCH PROPERTY LISTSEARCH PROPERTY LIST CONTROLCONTROL CLCL SERVERSERVER CONTROLCONTROL
SEARCH PROPERTY LISTSEARCH PROPERTY LIST REFERENCESREFERENCES RFRF SERVERSERVER REFERENCESREFERENCES
SEARCH PROPERTY LISTSEARCH PROPERTY LIST TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROLCONTROL
SEARCH PROPERTY LISTSEARCH PROPERTY LIST VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW DEFINITIONVIEW DEFINITION
SCHEMASCHEMA ALTERALTER ALAL DATABASEDATABASE ALTER ANY SCHEMAALTER ANY SCHEMA
SCHEMASCHEMA CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
SCHEMASCHEMA CREATE SEQUENCECREATE SEQUENCE CRSOCRSO DATABASEDATABASE CONTROLCONTROL
SCHEMASCHEMA DeleteDELETE DLDL DATABASEDATABASE DeleteDELETE
SCHEMASCHEMA Führen SieEXECUTE EXEX DATABASEDATABASE Führen SieEXECUTE
SCHEMASCHEMA INSERTINSERT ININ DATABASEDATABASE INSERTINSERT
SCHEMASCHEMA REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
SCHEMASCHEMA SELECTSELECT SLSL DATABASEDATABASE SELECTSELECT
SCHEMASCHEMA TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
SCHEMASCHEMA UPDATEUPDATE UPUP DATABASEDATABASE UPDATEUPDATE
SCHEMASCHEMA VIEW CHANGE TRACKINGVIEW CHANGE TRACKING VWCTVWCT DATABASEDATABASE VIEW CHANGE TRACKINGVIEW CHANGE TRACKING
SCHEMASCHEMA VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
SERVERSERVER ADMINISTER BULK OPERATIONSADMINISTER BULK OPERATIONS ADBOADBO Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY AVAILABILITY GROUPALTER ANY AVAILABILITY GROUP ALAGALAG Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY CONNECTIONALTER ANY CONNECTION ALCOALCO Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY CREDENTIALALTER ANY CREDENTIAL ALCDALCD Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY DATABASEALTER ANY DATABASE ALDBALDB Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY ENDPOINTALTER ANY ENDPOINT ALHEALHE Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY EVENT NOTIFICATIONALTER ANY EVENT NOTIFICATION ALESALES Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY EVENT SESSIONALTER ANY EVENT SESSION AAESAAES Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY LINKED SERVERALTER ANY LINKED SERVER ALLSALLS Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY LOGINALTER ANY LOGIN ALLGALLG Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY SERVER AUDITALTER ANY SERVER AUDIT ALAAALAA Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER ANY SERVER ROLEALTER ANY SERVER ROLE ALSRALSR Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER RESOURCESALTER RESOURCES ALRSALRS Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER SERVER STATEALTER SERVER STATE ALSSALSS Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER SETTINGSALTER SETTINGS ALSTALST Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER ALTER TRACEALTER TRACE ALTRALTR Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER AUTHENTICATE SERVERAUTHENTICATE SERVER AUTHAUTH Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CONNECT ANY DATABASECONNECT ANY DATABASE CADBCADB Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CONNECT SQLCONNECT SQL COSQCOSQ Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CONTROL SERVERCONTROL SERVER CLCL Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CREATE ANY DATABASECREATE ANY DATABASE CRDBCRDB Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CREATE AVAILABILITY GROUPCREATE AVAILABILITY GROUP CRACCRAC Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CREATE DDL EVENT NOTIFICATIONCREATE DDL EVENT NOTIFICATION CRDECRDE Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CREATE ENDPOINTCREATE ENDPOINT CRHECRHE Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CREATE SERVER ROLECREATE SERVER ROLE CRSRCRSR Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER CREATE TRACE EVENT NOTIFICATIONCREATE TRACE EVENT NOTIFICATION CRTECRTE Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER EXTERNAL ACCESS ASSEMBLYEXTERNAL ACCESS ASSEMBLY XAXA Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER IMPERSONATE ANY LOGINIMPERSONATE ANY LOGIN IALIAL Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER SELECT ALL USER SECURABLESSELECT ALL USER SECURABLES SUSSUS Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER SHUTDOWNSHUTDOWN SHDNSHDN Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER UNSAFE ASSEMBLYUNSAFE ASSEMBLY XUXU Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER VIEW ANY DATABASEVIEW ANY DATABASE VWDBVWDB Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION VWADVWAD Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVERSERVER VIEW SERVER STATEVIEW SERVER STATE VWSSVWSS Nicht verfügbarNot applicable Nicht verfügbarNot applicable
SERVER ROLESERVER ROLE ALTERALTER ALAL SERVERSERVER ALTER ANY SERVER ROLEALTER ANY SERVER ROLE
SERVER ROLESERVER ROLE CONTROLCONTROL CLCL SERVERSERVER CONTROL SERVERCONTROL SERVER
SERVER ROLESERVER ROLE TAKE OWNERSHIPTAKE OWNERSHIP TOTO SERVERSERVER CONTROL SERVERCONTROL SERVER
SERVER ROLESERVER ROLE VIEW DEFINITIONVIEW DEFINITION VWVW SERVERSERVER VIEW ANY DEFINITIONVIEW ANY DEFINITION
SERVICESERVICE ALTERALTER ALAL DATABASEDATABASE ALTER ANY SERVICEALTER ANY SERVICE
SERVICESERVICE CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
SERVICESERVICE SENDSEND SNSN DATABASEDATABASE CONTROLCONTROL
SERVICESERVICE TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
SERVICESERVICE VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
SYMMETRIC KEYSYMMETRIC KEY ALTERALTER ALAL DATABASEDATABASE ALTER ANY SYMMETRIC KEYALTER ANY SYMMETRIC KEY
SYMMETRIC KEYSYMMETRIC KEY CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
SYMMETRIC KEYSYMMETRIC KEY REFERENCESREFERENCES RFRF DATABASEDATABASE REFERENCESREFERENCES
SYMMETRIC KEYSYMMETRIC KEY TAKE OWNERSHIPTAKE OWNERSHIP TOTO DATABASEDATABASE CONTROLCONTROL
SYMMETRIC KEYSYMMETRIC KEY VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
TYPETYPE CONTROLCONTROL CLCL SCHEMASCHEMA CONTROLCONTROL
TYPETYPE Führen SieEXECUTE EXEX SCHEMASCHEMA Führen SieEXECUTE
TYPETYPE REFERENCESREFERENCES RFRF SCHEMASCHEMA REFERENCESREFERENCES
TYPETYPE TAKE OWNERSHIPTAKE OWNERSHIP TOTO SCHEMASCHEMA CONTROLCONTROL
TYPETYPE VIEW DEFINITIONVIEW DEFINITION VWVW SCHEMASCHEMA VIEW DEFINITIONVIEW DEFINITION
USERUSER ALTERALTER ALAL DATABASEDATABASE ALTER ANY USERALTER ANY USER
USERUSER CONTROLCONTROL CLCL DATABASEDATABASE CONTROLCONTROL
USERUSER IMPERSONATEIMPERSONATE IMIM DATABASEDATABASE CONTROLCONTROL
USERUSER VIEW DEFINITIONVIEW DEFINITION VWVW DATABASEDATABASE VIEW DEFINITIONVIEW DEFINITION
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION ALTERALTER ALAL SCHEMASCHEMA ALTERALTER
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION CONTROLCONTROL CLCL SCHEMASCHEMA CONTROLCONTROL
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION Führen SieEXECUTE EXEX SCHEMASCHEMA Führen SieEXECUTE
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION REFERENCESREFERENCES RFRF SCHEMASCHEMA REFERENCESREFERENCES
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION TAKE OWNERSHIPTAKE OWNERSHIP TOTO SCHEMASCHEMA CONTROLCONTROL
XML SCHEMA COLLECTIONXML SCHEMA COLLECTION VIEW DEFINITIONVIEW DEFINITION VWVW SCHEMASCHEMA VIEW DEFINITIONVIEW DEFINITION

Zusammenfassung des Algorithmus zur BerechtigungsprüfungSummary of the Permission Check Algorithm

Die Prüfung von Berechtigungen kann sehr komplex sein.Checking permissions can be complex. Der Algorithmus für die Berechtigungsprüfung umfasst überlappende Gruppenmitgliedschaften und Besitzverkettung, explizite und implizite Berechtigungen und kann von den Berechtigungen für sicherungsfähige Klassen, in denen die sicherungsfähige Entität enthalten ist, beeinflusst werden.The permission check algorithm includes overlapping group memberships and ownership chaining, both explicit and implicit permission, and can be affected by the permissions on securable classes that contain the securable entity. Die allgemeine Vorgehensweise des Algorithmus besteht darin, alle relevanten Berechtigungen zu sammeln.The general process of the algorithm is to collect all the relevant permissions. Wenn keine blockierende DENY-Anweisung gefunden wird, sucht der Algorithmus nach einer GRANT-Anweisung mit ausreichenden Zugriffsberechtigungen.If no blocking DENY is found, the algorithm searches for a GRANT that provides sufficient access. Der Algorithmus enthält drei wesentliche Elemente, den Sicherheitskontext, den Berechtigungsbereich und die erforderlichen Berechtigung.The algorithm contains three essential elements, the security context, the permission space, and the required permission.

Hinweis

Berechtigungen können nicht für sa, dbo, den Entitätsbesitzer, information_schema, sys oder für den Benutzer selbst erteilt, verweigert oder aufgehoben werden.You cannot grant, deny, or revoke permissions to sa, dbo, the entity owner, information_schema, sys, or yourself.

  • SicherheitskontextSecurity context

    Dies ist die Gruppe von Prinzipalen, die Berechtigungen für die Zugriffsüberprüfung einbringen.This is the group of principals that contribute permissions to the access check. Diese Berechtigungen beziehen sich auf den aktuellen Anmeldenamen oder Benutzer, es sei denn, der Sicherheitskontext wurde mithilfe der EXECUTE AS-Anweisung in einen anderen Anmeldenamen oder Benutzer geändert.These are permissions that are related to the current login or user, unless the security context was changed to another login or user by using the EXECUTE AS statement. Der Sicherheitskontext schließt die folgenden Prinzipale ein:The security context includes the following principals:

    • AnmeldenamenThe login

    • Der BenutzerThe user

    • RollenmitgliedschaftenRole memberships

    • Windows-GruppenmitgliedschaftenWindows group memberships

    • Bei Verwendung der Modulsignierung sind dies ein beliebiger Anmeldename oder ein beliebiges Benutzerkonto für das Zertifikat, das zum Signieren des vom Benutzer derzeit ausgeführten Moduls verwendet wird, und die zugehörigen Rollenmitgliedschaften dieses Prinzipals.If module signing is being used, any login or user account for the certificate used to sign the module that the user is currently executing, and the associated role memberships of that principal.

  • BerechtigungsbereichPermission space

    Dies sind die sicherungsfähige Entität und alle sicherungsfähigen Klassen, in denen das sicherungsfähige Element enthalten ist.This is the securable entity and any securable classes that contain the securable. Eine Tabelle (eine sicherungsfähige Entität) ist z. B. in der sicherungsfähigen Klasse des Schemas und in der sicherungsfähigen Klasse der Datenbank enthalten.For example, a table (a securable entity) is contained by the schema securable class and by the database securable class. Berechtigungen auf Tabellen-, Schema-, Datenbank- und Serverebene können sich auf den Zugriff auswirken.Access can be affected by table-, schema-, database-, and server-level permissions. Weitere Informationen finden Sie unter Berechtigungshierarchie (Datenbank-Engine).For more information, see Permissions Hierarchy (Database Engine).

  • erforderlichen BerechtigungRequired permission

    Die Art der erforderlichen Berechtigung.The kind of permission that is required. Beispielsweise INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL usw.For example, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL, and so on.

    Für den Zugriff können wie in den folgenden Beispielen mehrere Berechtigungen erforderlich sein:Access can require multiple permissions, as in the following examples:

    • Eine gespeicherte Prozedur kann sowohl die EXECUTE-Berechtigung für die gespeicherte Prozedur als auch die INSERT-Berechtigung für mehrere Tabellen erfordern, auf die von der gespeicherten Prozedur verwiesen wird.A stored procedure can require both EXECUTE permission on the stored procedure and INSERT permission on several tables that are referenced by the stored procedure.

    • Eine dynamische Verwaltungssicht kann sowohl die VIEW SERVER STATE-Berechtigung als auch SELECT-Berechtigung für die Sicht erfordern.A dynamic management view can require both VIEW SERVER STATE and SELECT permission on the view.

Allgemeine Schritte des AlgorithmusGeneral Steps of the Algorithm

Wenn der Algorithmus ermittelt, ob Zugriff auf das sicherungsfähige Element erteilt werden soll, können die in diesem Zusammenhang ausgeführten Schritte sehr unterschiedlich sein. Dies hängt von den jeweiligen Prinzipalen und sicherungsfähigen Elementen ab.When the algorithm is determining whether to allow access to a securable, the precise steps that it uses can vary, depending on the principals and the securables that are involved. Der Algorithmus führt jedoch die folgenden allgemeinen Schritte aus:However, the algorithm performs the following general steps:

  1. Umgehen der Berechtigungsprüfung, wenn der Anmeldename ein Mitglied der festen Serverrolle sysadmin oder der Benutzer der dbo-Benutzer der aktuellen Datenbank ist.Bypass the permission check if the login is a member of the sysadmin fixed server role or if the user is the dbo user in the current database.

  2. Erteilen des Zugriffs, wenn die Besitzverkettung anwendbar ist und die Zugriffsprüfung für das Objekt an früherer Stelle in der Kette die Sicherheitsprüfung erfolgreich war.Allow access if ownership chaining is applicable and the access check on the object earlier in the chain passed the security check.

  3. Aggregieren der Identitäten, die dem Aufrufer zum Erstellen des Sicherheitskontexts zugeordnet sind, auf Server- und Datenbankebene sowie auf Ebene des signierten Moduls.Aggregate the server-level, database-level, and signed-module identities that are associated with the caller to create the security context.

  4. Sammeln aller Berechtigungen, die für diesen Berechtigungsbereich erteilt oder verweigert wurden, in diesem Sicherheitskontext.For that security context, collect all the permissions that are granted or denied for the permission space. Die Berechtigung kann explizit als GRANT, GRANT WITH GRANT oder DENY angegeben werden; oder die Berechtigungen können als implizite oder abdeckende GRANT-Berechtigung oder DENY-Berechtigung angegeben werden.The permission can be explicitly stated as a GRANT, GRANT WITH GRANT, or DENY; or the permissions can be an implied or covering permission GRANT or DENY. Die CONTROL-Berechtigung für ein Schema impliziert z. B. CONTROL für eine Tabelle.For example, CONTROL permission on a schema implies CONTROL on a table. CONTROL für eine Tabelle impliziert SELECT.And CONTROL on a table implies SELECT. Wenn CONTROL für das Schema erteilt wurde, wird folglich SELECT für die Tabelle erteilt.Therefore, if CONTROL on the schema was granted, SELECT on the table is granted. Wenn CONTROL für die Tabelle verweigert wurde, wird SELECT für die Tabelle verweigert.If CONTROL was denied on the table, SELECT on the table is denied.

    Hinweis

    Durch eine GRANT-Berechtigung auf Spaltenebene wird eine DENY-Berechtigung auf Objektebene überschrieben.A GRANT of a column-level permission overrides a DENY at the object level. Weitere Informationen finden Sie hier: DENY-Objektberechtigung (Transact-SQL)You can read more about his here: DENY Object Permissions (Transact-SQL).

  5. Identifizieren Sie die erforderlichen Berechtigung.Identify the required permission.

  6. Die Berechtigungsprüfung ist nicht bestanden, wenn die erforderlichen Berechtigung für eine der Identitäten im Sicherheitskontext der Objekte im Berechtigungsbereich direkt oder implizit verweigert werden.Fail the permission check if the required permission is directly or implicitly denied to any of the identities in the security context for the objects in the permission space.

  7. Die Berechtigungsprüfung ist bestanden, wenn die erforderlichen Berechtigung nicht verweigert wurde, und die erforderlichen Berechtigung für eine der Identitäten im Sicherheitskontext eines beliebigen Objekts im Berechtigungsbereich direkt oder implizit eine GRANT-Berechtigung oder GRANT WITH GRANT-Berechtigung enthält.Pass the permission check if the required permission was not denied and the required permission contains a GRANT or a GRANT WITH GRANT permission either directly or implicitly to any of the identities in the security context for any object in the permission space.

Spezielle Aspekte für Berechtigungen auf SpaltenebeneSpecial considerations for column level permissions

Berechtigungen auf Spaltenebene werden mit der Syntax (<column _name>) gewährt.Column level permissions are granted with the syntax <table_name>(<column _name>). Beispiel:For example:

GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;

Ein DENY auf der Tabelle wird mit einem GRANT auf einer Spalte überschrieben.A DENY on the table is overridden by a GRANT on a column. Ein nachfolgendes DENY auf der Tabelle entfernt jedoch das GRANT auf der Spalte.However, a subsequent DENY on the table will remove the column GRANT.

BeispieleExamples

In den Beispielen dieses Abschnitts wird veranschaulicht, wie Berechtigungsinformationen abgerufen werden.The examples in this section show how to retrieve permissions information.

A.A. Zurückgeben der vollständigen Liste erteilbarer BerechtigungenReturning the complete list of grantable permissions

Die folgende Anweisung gibt mithilfe der Datenbank-EngineDatabase Engine -Funktion alle fn_builtin_permissions -Berechtigungen zurück.The following statement returns all Datenbank-EngineDatabase Engine permission by using the fn_builtin_permissions function. Weitere Informationen finden Sie unter sys.fn_builtin_permissions (Transact-SQL).For more information, see sys.fn_builtin_permissions (Transact-SQL).

SELECT * FROM fn_builtin_permissions(default);  
GO  

B.B. Zurückgeben der Berechtigungen für eine bestimmte ObjektklasseReturning the permissions on a particular class of objects

Im folgenden Beispiel wird fn_builtin_permissions verwendet, um alle Berechtigungen anzuzeigen, die für eine Kategorie des sicherungsfähigen Elements verfügbar sind.The following example uses fn_builtin_permissions to view all the permissions that are available for a category of securable. Im Beispiel werden Berechtigungen für Assemblys zurückgegeben.The example returns permissions on assemblies.

SELECT * FROM fn_builtin_permissions('assembly');  
GO    

C.C. Zurückgeben der Berechtigungen, die dem ausführenden Prinzipal für ein Objekt erteilt wurdenReturning the permissions granted to the executing principal on an object

Im folgenden Beispiel wird mithilfe von fn_my_permissions eine Liste der effektiven Berechtigungen zurückgegeben, die vom aufrufenden Prinzipal für ein bestimmtes sicherungsfähiges Element gespeichert werden.The following example uses fn_my_permissions to return a list of the effective permissions that are held by the calling principal on a specified securable. Im Beispiel werden Berechtigungen für ein Objekt mit dem Namen Orders55 zurückgegeben.The example returns permissions on an object named Orders55. Weitere Informationen finden Sie unter sys.fn_my_permissions (Transact-SQL).For more information, see sys.fn_my_permissions (Transact-SQL).

SELECT * FROM fn_my_permissions('Orders55', 'object');  
GO  

D:D. Zurückgeben von Berechtigungen, die auf ein angegebenes Objekt angewendet werden könnenReturning the permissions applicable to a specified object

Im folgenden Beispiel werden Berechtigungen für ein Objekt namens Yttriumzurückgegeben.The following example returns permissions applicable to an object called Yttrium. Beachten Sie, dass die integrierte OBJECT_ID -Funktion zum Abrufen der ID des Yttrium-Objekts verwendet wird.Notice that the built-in function OBJECT_ID is used to retrieve the ID of object Yttrium.

SELECT * FROM sys.database_permissions   
    WHERE major_id = OBJECT_ID('Yttrium');  
GO  

Weitere InformationenSee Also

Berechtigungshierarchie (Datenbank-Engine ) Permissions Hierarchy (Database Engine)
sys.database_permissions (Transact-SQL)sys.database_permissions (Transact-SQL)