Инструкция GRANT (Transact-SQL)
Предоставление разрешений участнику на защищаемый объект. Общий подход заключается в том, чтобы предоставить <некоторые разрешения> на <некоторый объект> <некоторому пользователю, имени входа или группе> (GRANT…ON…TO). Общее описание разрешений см. в разделе Разрешения (компонент Database Engine).
.gif "Значок ссылки на раздел")
Синтаксис
Simplified syntax for GRANT
GRANT { ALL [ PRIVILEGES ] }
| permission [ ( column [ ,...n ] ) ] [ ,...n ]
[ ON [ class :: ] securable ] TO principal [ ,...n ]
[ WITH GRANT OPTION ] [ AS principal ]
Аргументы
ALL
Этот параметр устарел и сохранен только для поддержки обратной совместимости. Он не предоставляет все возможные разрешения. Выдача разрешения ALL эквивалентна предоставлению следующих разрешений.Если защищаемым объектом является база данных, аргумент ALL относится к разрешениям BACKUP DATABASE, BACKUP LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE и CREATE VIEW.
Если защищаемым объектом является скалярная функция, аргумент ALL относится к разрешениям EXECUTE и REFERENCES.
Если защищаемым объектом является функция, возвращающая табличное значение, аргумент ALL относится к разрешениям DELETE, INSERT, REFERENCES, SELECT и UPDATE.
Если защищаемая сущность является хранимой процедурой, аргумент ALL подразумевает разрешение EXECUTE.
Если защищаемым объектом является таблица, аргумент ALL относится к разрешениям DELETE, INSERT, REFERENCES, SELECT и UPDATE.
Если защищаемым объектом является представление, аргумент ALL относится к разрешениям DELETE, INSERT, REFERENCES, SELECT и UPDATE.
PRIVILEGES
Включено для обеспечения совместимости с требованиями ISO. Не изменяет поведение параметра ALL.permission
Имя разрешения. Допустимые сопоставления разрешений защищаемых объектов описаны в разделах, перечисленных ниже.column
Указывает имя столбца таблицы, на который предоставляется разрешение. Требуются круглые скобки «()».class
Указывает класс защищаемого объекта, для которого предоставляется разрешение. Необходим квалификатор области «::».securable
Указывает защищаемый объект, на который предоставляется разрешение.TO principal
Имя участника. Состав участников, которым можно предоставлять разрешения, меняется в зависимости от защищаемого объекта. Допустимые сочетания описаны в разделах, перечисленных ниже.GRANT OPTION
Показывает, что получающему разрешению будет также дана возможность предоставлять указанное разрешение другим участникам.AS principal
Задает участника, от которого участник, выполняющий данный запрос, наследует право на предоставление разрешения.
Замечания
Полное описание синтаксиса инструкции GRANT сложно. Вышеприведенная синтаксическая диаграмма упрощена с целью пояснения ее структуры. Полное описание синтаксиса предоставления разрешений на конкретные защищаемые объекты приведено в разделах, перечисленных ниже.
Инструкция REVOKE может использоваться для удаления уже выданных прав доступа, а инструкция DENY может использоваться, чтобы предотвратить получение участником определенного разрешения посредством инструкции GRANT.
Предоставление разрешения удаляет DENY или REVOKE для этого разрешения на данный защищаемый объект. Если то же разрешение запрещено для более высокой области действия, которая содержит данный защищаемый объект, то DENY имеет более высокий приоритет. Но отмена разрешения, выданного в более высокой области действия, не получает такого приоритета.
Разрешения уровня базы данных выдаются в пределах области указанной базы данных. Если пользователю нужны разрешения на объекты в другой базе данных, необходимо создать для него учетную запись в этой базе данных или предоставить ему разрешение на доступ как к текущей, так и к другим базам данных.
.gif "Предупреждение") Внимание! |
|---|
Запрет (DENY) уровня таблицы имеет меньший приоритет, чем разрешение (GRANT) уровня столбца. Эта несовместимость в иерархии разрешений предусмотрена в целях гарантии обратной совместимости. В будущем выпуске это будет устранено. |
Системная хранимая процедура sp_helprotect сообщает о разрешениях на доступ к защищаемым объектам уровня базы данных.
WITH GRANT OPTION
GRANT … WITH GRANT OPTION указывает, что субъекту безопасности, получающему разрешение, предоставляется возможность выдавать заданное разрешение другим учетным записям безопасности. Если субъектом, получающим разрешение, является роль или группа Windows, при необходимости предоставить разрешение на объект другим пользователям, которые не принадлежат к этой группе или роли, следует использовать предложение AS. Поскольку выполнять инструкцию GRANT может только пользователь, а не группа или роль, при предоставлении разрешения определенный член группы или роли должен воспользоваться предложением AS, чтобы явно вызвать членство в роли или группе. В следующем примере показано, как использовать предложение WITH GRANT OPTION, предоставленное роли или группе Windows.
-- Execute the following as a database owner
GRANT EXECUTE ON TestProc TO TesterRole WITH GRANT OPTION
EXEC sp_addrolemember TesterRole, User1;
-- Execute the following as User1
-- The following fails because User1 does not have the permission as the User1
GRANT EXECUTE ON TestMe TO User2;
-- The following succeeds because User1 invokes the TesterRole membership
GRANT EXECUTE ON TestMe TO User2 AS TesterRole;
Диаграмма разрешений SQL Server
Диаграмму, содержащую все разрешения компонента Database Engine, в виде полноразмерного плаката в формате PDF см. в разделе https://go.microsoft.com/fwlink/?LinkId=229142.
Разрешения
Лицо, предоставляющее разрешение (или участник, указанный параметром AS), должно иметь либо само разрешение, предоставленное с помощью GRANT OPTION, либо разрешение более высокого уровня, которое неявно включает предоставляемое разрешение. Если используется параметр AS, налагаются дополнительные ограничения. Дополнительные сведения см. в разделах, посвященных конкретным защищаемым объектам.
Владельцы объектов могут предоставлять разрешения на объекты, которыми они владеют. Участники, имеющие разрешение CONTROL на защищаемый объект, могут предоставлять разрешение на этот защищаемый объект.
Участники, которым предоставлено разрешение CONTROL SERVER, такие как члены предопределенной роли сервера sysadmin, могут предоставлять любое разрешение на любой защищаемый объект сервера. Стороны, предоставляющие разрешение CONTROL на базу данных, такие как члены предопределенной роли базы данных db_owner, могут предоставлять любые разрешения на любой защищаемый объект в базе данных. Участники, которым предоставлено разрешение CONTROL на схему, могут предоставлять любые разрешения на любые объекты, содержащиеся в этой схеме.
Примеры
В следующей таблице перечислены защищаемые объекты и разделы, в которых описывается синтаксис инструкций по работе с ними.