REVOKE (Transact-SQL)

Anwendungsbereich: JaSQL Server (alle unterstützten Versionen) JaAzure SQL-Datenbank JaVerwaltete Azure SQL-Instanz JaAzure Synapse Analytics JaParallel Data Warehouse

Entfernt eine zuvor erteilte oder verweigerte Berechtigung.

Symbol für Themenlink Transact-SQL-Syntaxkonventionen

Syntax

-- Syntax for SQL Server and Azure SQL Database  
  
-- Simplified syntax for REVOKE  
REVOKE [ GRANT OPTION FOR ]  
      {   
        [ ALL [ PRIVILEGES ] ]  
        |  
                permission [ ( column [ ,...n ] ) ] [ ,...n ]  
      }  
      [ ON [ class :: ] securable ]   
      { TO | FROM } principal [ ,...n ]   
      [ CASCADE] [ AS principal ]  
-- Syntax for Azure Synapse Analytics and Parallel Data Warehouse  
  
REVOKE   
    <permission> [ ,...n ]  
    [ ON [ <class_type> :: ] securable ]   
    [ FROM | TO ] principal [ ,...n ]  
    [ CASCADE ]  
[;]  
  
<permission> ::=  
{ see the tables below }  
  
<class_type> ::=  
{  
      LOGIN  
    | DATABASE  
    | OBJECT  
    | ROLE  
    | SCHEMA  
    | USER  
}  

Hinweis

Informationen zum Anzeigen der Transact-SQL-Syntax für SQL Server 2014 oder früher finden Sie unter Dokumentation zu früheren Versionen.

Argumente

GRANT OPTION FOR
Gibt an, dass die Fähigkeit, die angegebene Berechtigung zu erteilen, aufgehoben wird. Dies ist bei Verwendung des CASCADE-Arguments erforderlich.

Wichtig

Falls der Prinzipal die angegebene Berechtigung ohne GRANT-Option besitzt, wird die Berechtigung selbst aufgehoben.

ALL
Gilt für: SQL Server 2008 und höher

Mit dieser Option werden nicht alle möglichen Berechtigungen aufgehoben. Das Aufheben mit ALL entspricht dem Aufheben der folgenden Berechtigungen.

  • Falls es sich beim sicherungsfähigen Element um eine Datenbank handelt, schließt ALL die Berechtigungen BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE und CREATE VIEW ein.

  • Falls es sich beim sicherungsfähigen Element um eine skalare Funktion handelt, schließt ALL die Berechtigungen EXECUTE und REFERENCES ein.

  • Falls es sich beim sicherungsfähigen Element um eine Tabellenwertfunktion handelt, schließt ALL die Berechtigungen DELETE, INSERT, REFERENCES, SELECT und UPDATE ein.

  • Falls es sich beim sicherungsfähigen Element um eine gespeicherte Prozedur handelt, steht ALL für EXECUTE.

  • Falls es sich beim sicherungsfähigen Element um eine Tabelle handelt, schließt ALL die Berechtigungen DELETE, INSERT, REFERENCES, SELECT und UPDATE ein.

  • Falls es sich beim sicherungsfähigen Element um eine Sicht handelt, schließt ALL die Berechtigungen DELETE, INSERT, REFERENCES, SELECT und UPDATE ein.

Hinweis

Die REVOKE ALL-Syntax ist veraltet. Dieses Feature wird in einer künftigen Version von Microsoft SQL Server entfernt. Nutzen Sie diese Funktionen bei Neuentwicklungen nicht mehr, und planen Sie die Änderung von Anwendungen, die diese Funktion zurzeit verwenden. Widerrufen Sie stattdessen einzelne Berechtigungen.

PRIVILEGES
Aus Gründen der Kompatibilität mit ISO eingeschlossen. Ändert das Verhalten von ALL nicht.

permission
Der Name einer Berechtigung. Die gültigen Zuordnungen von Berechtigungen zu sicherungsfähigen Elementen werden in den Artikeln beschrieben, die unter Für sicherungsfähige Elemente spezifische Syntax weiter unten in diesem Thema aufgelistet werden.

column
Gibt den Namen einer Spalte in einer Tabelle an, für die Berechtigungen aufgehoben werden. Die Klammern sind erforderlich.

class
Gibt die Klasse des sicherungsfähigen Elements an, für das die Berechtigung aufgehoben wird. Der Bereichsqualifizierer :: ist erforderlich.

securable
Gibt das sicherungsfähige Element an, für das die Berechtigung aufgehoben wird.

TO | FROM principal
Der Name eines Prinzipals. Die Prinzipale, für die Berechtigungen für ein sicherungsfähiges Element aufgehoben werden können, sind abhängig vom jeweiligen sicherungsfähigen Element unterschiedlich. Weitere Informationen zu gültigen Kombinationen finden Sie in den Themen, die unter Für sicherungsfähige Elemente spezifische Syntax weiter unten in diesem Artikel aufgelistet werden.

CASCADE
Gibt an, dass die aufgehobene Berechtigung auch für andere Prinzipale aufgehoben wird, denen sie von diesem Prinzipal erteilt wurde. Bei Verwendung des CASCADE-Arguments müssen Sie auch das GRANT OPTION FOR-Argument einschließen.

Achtung

Durch ein kaskadiertes Aufheben einer Berechtigung, die mit WITH GRANT OPTION erteilt wurde, werden sowohl GRANT als auch DENY für diese Berechtigung aufgehoben.

AS principal
Verwenden Sie die Prinzipalklausel AS, um anzugeben, dass Sie eine Berechtigung aufheben, die von einem anderen Prinzipal erteilt wurde. Nehmen Sie beispielsweise an, dass die Benutzerin Mary der principal_id 12 und der Benutzer Raul der principal_id 15 entspricht. Die Benutzer Mary und Raul erteilen dem Benutzer Steven die gleiche Berechtigung. Dann gibt die Tabelle „sys.database_permissions“ die Berechtigungen zweimal an, jedoch mit einem jeweils anderen Wert für „grantor_principal_id“. Mary könnte in diesem Fall die Klausel AS RAUL verwenden, um die von Raul erteilten Berechtigungen zu entfernen.

In dieser Anweisung impliziert die Verwendung von AS nicht die Fähigkeit, die Identität eines anderen Benutzers anzunehmen.

Bemerkungen

Die vollständige Syntax der REVOKE-Anweisung ist sehr komplex. Das Syntaxdiagramm oben wurde vereinfacht, um die Struktur hervorzuheben. Die vollständige Syntax zum Aufheben von Berechtigungen für bestimmte sicherungsfähige Elemente wird in den Artikeln beschrieben, die unter Für sicherungsfähige Elemente spezifische Syntax weiter unten in diesem Artikel aufgelistet werden.

Die REVOKE-Anweisung kann zum Entfernen von erteilten Berechtigungen verwendet werden, und mit der DENY-Anweisung kann verhindert werden, dass einem Prinzipal eine spezifische Berechtigung durch eine GRANT-Anweisung erteilt wird.

Durch das Erteilen einer Berechtigung wird DENY oder REVOKE für diese Berechtigung aus dem angegebenen sicherungsfähigen Element entfernt. Falls dieselbe Berechtigung aus einem höheren Bereich als dem des sicherungsfähigen Elements verweigert wird, hat DENY Vorrang. Das Aufheben der erteilten Berechtigung in einem höheren Bereich hat dagegen keinen Vorrang.

Achtung

Eine DENY-Anweisung auf Tabellenebene hat keinen Vorrang vor einer GRANT-Anweisung auf Spaltenebene. Diese Inkonsistenz in der Berechtigungshierarchie wurde aus Gründen der Abwärtskompatibilität beibehalten. Dieses Element wird in einer späteren Version entfernt.

Die gespeicherte Systemprozedur sp_helprotect gibt Informationen zu Berechtigungen für ein sicherungsfähiges Element auf Datenbankebene zurück.

Die REVOKE-Anweisung erzeugt einen Fehler, wenn CASCADE beim Aufheben einer Berechtigung für einen Prinzipal nicht angegeben ist, dem diese Berechtigung mit GRANT OPTION erteilt wurde.

Berechtigungen

Prinzipale mit CONTROL-Berechtigung für ein sicherungsfähiges Element können die Berechtigung für dieses sicherungsfähige Element aufheben. Objektbesitzer können Berechtigungen für die Objekte aufheben, die sie besitzen.

Empfänger der CONTROL SERVER-Berechtigung, z. B. Mitglieder der festen Serverrolle sysadmin, können jede Berechtigung für ein beliebiges sicherungsfähiges Element auf dem Server aufheben. Empfänger der CONTROL SERVER-Berechtigung in einer Datenbank, z. B. Mitglieder der festen Datenbankrolle db_owner, können jede Berechtigung für ein beliebiges sicherungsfähiges Element in der Datenbank aufheben. Empfänger der CONTROL-Berechtigung in einem Schema können jede Berechtigung für jedes Objekt im Schema aufheben.

Für sicherungsfähige Elemente spezifische Syntax

In der folgenden Tabelle sind die sicherungsfähigen Elemente und Themen aufgeführt, in denen die für ein sicherungsfähiges Element spezifische Syntax beschrieben wird.

Sicherungsfähiges Element Thema
Anwendungsrolle REVOKE (Berechtigungen für Datenbankprinzipal) (Transact-SQL)
Assembly REVOKE (Assemblyberechtigungen) (Transact-SQL)
Asymmetrischer Schlüssel REVOKE (Berechtigungen für asymmetrische Schlüssel) (Transact-SQL)
Verfügbarkeitsgruppe REVOKE (Verfügbarkeitsgruppenberechtigungen) (Transact-SQL)
Zertifikat REVOKE (Zertifikatberechtigungen) (Transact-SQL)
Vertrag REVOKE (Berechtigungen von Service Broker) (Transact-SQL)
Datenbank REVOKE (Datenbankberechtigungen) (Transact-SQL)
Endpunkt REVOKE (Endpunktberechtigungen) (Transact-SQL)
Datenbankweit gültige Anmeldeinformationen REVOKE (Datenbankweit gültige Anmeldeinformationen) (Transact-SQL)
Volltextkatalog REVOKE (Volltextberechtigungen) (Transact-SQL)
Volltext-Stoppliste REVOKE (Volltextberechtigungen) (Transact-SQL)
Funktion REVOKE (Objektberechtigungen) (Transact-SQL)
Anmelden REVOKE (Berechtigungen für Serverprinzipal) (Transact-SQL)
Nachrichtentyp REVOKE (Berechtigungen von Service Broker) (Transact-SQL)
Object REVOKE (Objektberechtigungen) (Transact-SQL)
Warteschlange REVOKE (Objektberechtigungen) (Transact-SQL)
Remotedienstbindung REVOKE (Berechtigungen von Service Broker) (Transact-SQL)
Role REVOKE (Berechtigungen für Datenbankprinzipal) (Transact-SQL)
Route REVOKE (Berechtigungen von Service Broker) (Transact-SQL)
Schema REVOKE (Schemaberechtigungen) (Transact-SQL)
Sucheigenschaftenliste REVOKE (Berechtigungen für das Durchsuchen von Eigenschaftenlisten) (Transact-SQL)
Server REVOKE (Serverberechtigungen) (Transact-SQL)
Dienst REVOKE (Berechtigungen von Service Broker) (Transact-SQL)
Gespeicherte Prozedur REVOKE (Objektberechtigungen) (Transact-SQL)
Symmetrischer Schlüssel REVOKE (Berechtigungen für symmetrische Schlüssel) (Transact-SQL)
Synonym REVOKE (Objektberechtigungen) (Transact-SQL)
Systemobjekte REVOKE (Berechtigungen für Systemobjekte) (Transact-SQL)
Tabelle REVOKE (Objektberechtigungen) (Transact-SQL)
type REVOKE (Typberechtigungen) (Transact-SQL)
Benutzer REVOKE (Berechtigungen für Datenbankprinzipal) (Transact-SQL)
Ansicht REVOKE (Objektberechtigungen) (Transact-SQL)
XML-Schemasammlung REVOKE (Berechtigungen für XML-Schemaauflistungen) (Transact-SQL)

Beispiele

A. Erteilen und Widerrufen

GILT FÜR: SQL Server, SQL-Datenbank

Im folgenden Beispiel wird ein Schema, ein eigenständiger Datenbankbenutzer sowie eine neue Rolle in einer Benutzerdatenbank erstellt. Dabei wird der Benutzer sowie die SELECT-Berechtigung im Schema der Rolle hinzugefügt, und anschließend wird diese Berechtigung für die Rolle entfernt (REVOKE).

CREATE SCHEMA Sales;  
GO
CREATE USER Joe without login;
GO
CREATE ROLE Vendors;
GO
ALTER ROLE Vendors ADD MEMBER Joe; 
GO
GRANT SELECT ON SCHEMA :: Sales TO Vendors;
GO
REVOKE SELECT ON SCHEMA :: Sales TO Vendors;
GO
 

Weitere Informationen

Berechtigungshierarchie (Datenbank-Engine )
DENY (Transact-SQL)
GRANT (Transact-SQL)
sp_addlogin (Transact-SQL)
sp_adduser (Transact-SQL)
sp_changedbowner (Transact-SQL)
sp_dropuser (Transact-SQL)
sp_helprotect (Transact-SQL)
sp_helpuser (Transact-SQL)