DENY (Transact-SQL)
拒绝为主体授予权限。 防止该主体通过组或角色成员身份继承权限。
语法
Simplified syntax for DENY
DENY { ALL [ PRIVILEGES ] }
| permission [ ( column [ ,...n ] ) ] [ ,...n ]
[ ON [ class :: ] securable ] TO principal [ ,...n ]
[ CASCADE] [ AS principal ]
参数
ALL
该选项不拒绝所有可能权限。 拒绝 ALL 相当于拒绝下列权限。如果安全对象是数据库,则 ALL 对应 BACKUP DATABASE、BACKUP LOG、CREATE DATABASE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE 和 CREATE VIEW。
如果安全对象是标量函数,则 ALL 对应 EXECUTE 和 REFERENCES。
如果安全对象是表值函数,则 ALL 对应 DELETE、INSERT、REFERENCES、SELECT 和 UPDATE。
如果安全对象是存储过程,则 ALL 表示 EXECUTE。
如果安全对象是表,则 ALL 对应 DELETE、INSERT、REFERENCES、SELECT 和 UPDATE。
如果安全对象是视图,则 ALL 对应 DELETE、INSERT、REFERENCES、SELECT 和 UPDATE。
注意 不推荐使用 DENY ALL 语法。 后续版本的 Microsoft SQL Server 将删除该功能。请避免在新的开发工作中使用该功能,并着手修改当前还在使用该功能的应用程序。应改为拒绝特定权限。
PRIVILEGES
包含此参数是为了符合 ISO 标准。 请不要更改 ALL 的行为。permission
权限的名称。 下面列出的子主题介绍了不同权限与安全对象之间的有效映射。column
指定表中拒绝授予其权限的列名。 需要使用圆括号 ()。class
指定拒绝授予其权限的安全对象的类。 需要使用作用域限定符 ::。securable
指定拒绝授予其权限的安全对象。TO principal
主体的名称。 可以对其拒绝安全对象权限的主体随安全对象而异。 有关有效的组合,请参阅下面列出的特定于安全对象的主题。CASCADE
指示拒绝授予指定主体该权限,同时,对该主体授予了该权限的所有其他主体,也拒绝授予该权限。 当主体具有带 GRANT OPTION 的权限时,为必选项。作为 principal
指定一个主体,执行该语句的主体从该主体获得拒绝授予该权限的权限。
注释
DENY 语句的完整语法很复杂。 上面的语法关系图进行了简化以突出其结构。 下列主题说明了用于拒绝授予特定安全对象的权限的完整语法。
如果在拒绝为主体授予某种权限时未指定 CASCADE,而之前为该主体授予此权限时指定了 GRANT OPTION,则 DENY 将失败。
sp_helprotect 系统存储过程报告数据库级安全对象的权限。
注意 |
---|
表级 DENY 并不优先于列级 GRANT。 保留了权限层次结构中这种不一致性以保持向后兼容。 未来的版本会将其删除。 |
注意 |
---|
拒绝授予数据库 CONTROL 权限将隐式拒绝授予该数据库 CONNECT 权限。 如果拒绝授予某一主体对某一数据库的 CONTROL 权限,该主体将无法连接到该数据库。 |
注意 |
---|
拒绝授予 CONTROL SERVER 权限将隐式拒绝授予对服务器的 CONNECT SQL 权限。 如果拒绝授予某一主体对某一服务器的 CONTROL SERVER 权限,该主体将无法连接到该服务器。 |
权限
调用方(或使用 AS 选项指定的主体)必须对安全对象具有 CONTROL 权限,或对该安全对象具有隐含 CONTROL 权限的更高权限。 如果使用 AS 选项,那么指定主体必须拥有其权限被拒绝授予的安全对象。
被授予 CONTROL SERVER 权限的用户(如 sysadmin 固定服务器角色的成员)可以拒绝授予服务器中的任何安全对象的任意权限。 被授予数据库的 CONTROL 权限的用户(如 db_owner 固定数据库角色的成员)可以拒绝授予数据库中的任何安全对象的任意权限。 被授予架构 CONTROL 权限的用户可以拒绝对架构中任何对象授予权限。 如果使用 AS 子句,那么指定主体必须拥有其权限被拒绝授予的安全对象。
示例
下表列出了安全对象以及描述特定于安全对象的语法的主题。
应用程序角色 |
|
程序集 |
|
非对称密钥 |
|
可用性组 |
|
证书 |
|
约定 |
|
数据库 |
|
端点 |
|
全文目录 |
|
全文非索引字表 |
|
函数 |
|
登录 |
|
消息类型 |
|
对象 |
|
队列 |
|
远程服务绑定 |
|
角色 |
|
路由 |
|
架构 |
|
搜索属性列表 |
|
服务器 |
|
服务 |
|
存储过程 |
|
对称密钥 |
|
同义词 |
|
系统对象 |
|
表 |
|
类型 |
|
用户 |
|
视图 |
|
XML 架构集合 |