モデル権限とメンバー権限の重複 (Master Data Services)

適用対象: はいSQL Server (サポートされているすべてのバージョン) - Windows のみ はいAzure SQL Managed Instance

メンバーに割り当てられている権限は、モデル オブジェクトに割り当てられている権限と重複している可能性があります。 重複が発生すると、より制限の厳しい権限が有効になります。

メンバーに割り当てられている権限が、対応するモデル オブジェクトの権限とは異なる場合、次のルールが適用されます。

  • 拒否 が他のどの権限をオーバーライドします。

  • モデル レベルの 管理者 権限はすべての権限をオーバーライドし、サブ レベルで ALL (CRUD) アクセス権限に変更されます。

  • 有効なアクセス権限は、メンバーと属性のアクセス権限と交差します。

    たとえば、メンバーの権限に 作成更新 が含まれる場合、属性の権限は 更新 になります。 有効な権限は 更新 です。

次の図は、属性の権限がメンバーの権限とは異なる場合に、個々の属性値に対して有効な権限を示しています。

mds_conc_security_member_overlap_table

例 1

mds_conc_overlap_model_1

[モデル] タブで、Product エンティティに 更新 権限が割り当てられています。 エンティティのすべての属性がこの権限を継承しています。

[階層メンバー] タブで、派生階層の Mountain Bikes サブカテゴリ ノードに 更新 権限が割り当てられています。

結果: [エクスプローラー] で、Mountain Bikes ノード内のすべてのメンバーについて、すべての属性値に対する 更新 権限がユーザーに与えられます。 その他のメンバーと属性は、すべて非表示になります。

mds_conc_overlap_model_example_1

例 2

mds_conc_overlap_model_2

[モデル] タブで、Subcategory 属性に 更新 権限が割り当てられています。

[階層メンバー] タブで、派生階層の Mountain Bikes サブカテゴリ ノードに 読み取り 権限が明示的に割り当てられています。

結果: [エクスプローラー] で、Mountain Bikes ノード内のメンバーについて、Subcategory 属性値に対する 読み取り 権限がユーザーに与えられます。 その他のメンバーと属性は、すべて非表示になります。

mds_conc_overlap_model_example_2

例 3

mds_conc_overlap_model_3

[モデル] タブで、Subcategory 属性に 読み取り 権限が割り当てられています。

[階層メンバー] タブで、派生階層の Mountain Bikes サブカテゴリに 更新 権限が明示的に割り当てられています。

結果: [エクスプローラー] で、属性値に対する 読み取り 権限がユーザーに与えられます。 その他のメンバーと属性は、すべて非表示になります。

mds_conc_overlap_model_example_2

参照

アクセス許可の決定方法 (マスターデータサービス)
ユーザー権限とグループ権限の重複 (マスター データ サービス)