ユーザー権限とグループ権限の重複 (Master Data Services)

適用対象: はいSQL Server (サポートされているすべてのバージョン) - Windows のみ はいAzure SQL Managed Instance

ユーザーの権限は、次の権限に基づきます。

  • グループのメンバーシップの権限

  • ユーザーに明示的に割り当てられた権限

ユーザーが複数のグループのメンバーであり、それらのグループが マスター データ マネージャーへのアクセス権を持っている場合、次の規則が適用されます。

  • 拒否 が他のどの権限をオーバーライドします。 あるグループでのオブジェクト権限が 拒否 の場合、適用される権限は "拒否" です。

  • アクセス権限は、グループに適用されるすべての権限の組み合わせになります。 あるグループのオブジェクト権限が 作成 であり、別のグループでは 更新 である場合、適用される権限は 作成 および 更新 になります。

上記のルールは、 [モデル] タブと [階層メンバー] タブに適用されます。 権限は、各タブで解決された後で組み合わされます。 詳細については、「 権限の決定方法 (マスター データ サービス)」を参照してください。

注意

ユーザー権限とグループ権限の重複がどのように解決されているかは、ユーザー インターフェイスに表示できます。 [モデル] タブと [階層メンバー] タブにはドロップダウン リストがあり、そこから [有効] をクリックして有効な権限を表示できます。

例 1

mds_conc_user_group_ex_1

ユーザーがグループ 1 とグループ 2 に属しています。

ユーザーには、Product エンティティに対する 読み取り 権限が与えられています。

グループ 1 には、Product エンティティに対する 更新 権限が与えられています。

グループ 2 には、Product エンティティに対する 読み取り 権限が与えられています。

結果: ユーザーの有効な権限は、Product エンティティに対する 更新 権限となります。

例 2

mds_conc_user_group_ex_2

ユーザーがグループ 1 とグループ 2 に属しています。

ユーザーには、Product エンティティに対する 読み取り 権限が与えられています。

グループ 1 には、Product エンティティに対する 更新 権限が与えられています。

グループ 2 には、Product エンティティに対する 拒否 権限が与えられています。

結果: ユーザーの有効な権限は、Product エンティティに対する 拒否 権限となります。

例 3

mds_conc_user_group_ex_3

ユーザーがグループ 1 とグループ 2 に属しています。

ユーザーには、階層ノードのメンバーのグループに対する 更新 権限が与えられています。

グループ 1 には、階層ノードのメンバーのグループに対する 読み取り 権限が与えられています。

グループ 2 には、階層ノードのメンバーのグループに対する 読み取り 権限が与えられています。

結果: ユーザーの有効な権限は、メンバーに対する 更新 権限となります。

参照

アクセス許可の決定方法(マスター データ サービス)
モデル アクセス許可とメンバー アクセス許可の重複 (マスター データ サービス)