REVOKE 資料庫主體權限 (Transact-SQL)

適用範圍: 是SQL Server (所有支援的版本) 是Azure SQL Database

撤銷授與或拒絕資料庫使用者、資料庫角色或應用程式角色的權限。

主題連結圖示 Transact-SQL 語法慣例

語法

REVOKE [ GRANT OPTION FOR ] permission [ ,...n ]    
    ON   
    {  [ USER :: database_user ]  
       | [ ROLE :: database_role ]  
       | [ APPLICATION ROLE :: application_role ]  
    }  
    { FROM | TO } <database_principal> [ ,...n ]  
        [ CASCADE ]  
    [ AS <database_principal> ]  
  
<database_principal> ::=  
        Database_user   
    | Database_role   
    | Application_role   
    | Database_user_mapped_to_Windows_User   
    | Database_user_mapped_to_Windows_Group   
    | Database_user_mapped_to_certificate   
    | Database_user_mapped_to_asymmetric_key   
    | Database_user_with_no_login   

注意

若要檢視 SQL Server 2014 與更早版本的 Transact-SQL 語法,請參閱舊版文件

引數

permission
指定可以撤銷的資料庫主體權限。 如需權限清單,請參閱這個主題稍後的「備註」一節。

USER ::database_user
指定撤銷其權限之使用者的類別和名稱。 範圍限定詞 ( :: ) 是必要項。

ROLE ::database_role
指定撤銷其權限之角色的類別和名稱。 範圍限定詞 ( :: ) 是必要項。

APPLICATION ROLE ::application_role
適用於:SQL Server 2008 及更新版本、SQL Database

指定撤銷其權限之應用程式角色的類別和名稱。 範圍限定詞 ( :: ) 是必要項。

GRANT OPTION
指出會撤銷對其他主體授與指定權限的權限。 不會撤銷權限本身。

重要

如果主體有不含 GRANT 選項的指定權限,則會撤銷權限本身。

CASCADE
指出目前正在撤銷的權限,而這個權限也會被這個主體所授與或拒絕的其他主體所撤銷。

警告

獲得授與 WITH GRANT OPTION 之權限的串聯撤銷,會同時撤銷該權限的 GRANT 和 DENY。

AS <database_principal> 指定主體,執行這項查詢的主體會從這個主體衍生權利來撤銷權限。

Database_user
指定資料庫使用者。

Database_role
指定資料庫角色。

Application_role
適用於:SQL Server 2008 及更新版本、SQL Database

指定應用程式角色。

Database_user_mapped_to_Windows_User
適用於:SQL Server 2008 和更新版本

指定對應至 Windows 使用者的資料庫使用者。

Database_user_mapped_to_Windows_Group
適用於:SQL Server 2008 和更新版本

指定對應至 Windows 群組的資料庫使用者。

Database_user_mapped_to_certificate
適用於:SQL Server 2008 和更新版本

指定對應至憑證的資料庫使用者。

Database_user_mapped_to_asymmetric_key
適用於:SQL Server 2008 和更新版本

指定對應至非對稱金鑰的資料庫使用者。

Database_user_with_no_login
指定不含對應伺服器層級主體的資料庫使用者。

備註

資料庫使用者權限

資料庫使用者是一個由資料庫所包含的資料庫層級安全性實體,在權限階層中,此資料庫為該安全性實體的父系。 下表所列的是可以撤銷之最特定且最有限的資料庫使用者權限,並列出利用隱含方式來併入這些權限的較通用權限。

資料庫使用者權限 資料庫使用者權限所隱含 資料庫權限所隱含
CONTROL CONTROL CONTROL
IMPERSONATE CONTROL CONTROL
ALTER CONTROL ALTER ANY USER
VIEW DEFINITION CONTROL VIEW DEFINITION

資料庫角色權限

資料庫角色是一個由資料庫所包含的資料庫層級安全性實體,在權限階層中,此資料庫為該安全性實體的父系。 下表所列的是可以撤銷之最特定且最有限的資料庫角色權限,並列出利用隱含方式來併入這些權限的較通用權限。

資料庫角色權限 資料庫角色權限所隱含 資料庫權限所隱含
CONTROL CONTROL CONTROL
TAKE OWNERSHIP CONTROL CONTROL
ALTER CONTROL ALTER ANY ROLE
VIEW DEFINITION CONTROL VIEW DEFINITION

應用程式角色權限

應用程式角色是一個由資料庫所包含的資料庫層級安全性實體,在權限階層中,此資料庫為該安全性實體的父系。 下表所列的是可以撤銷之最特定且最有限的應用程式角色權限,並列出利用隱含方式來併入這些權限的較通用權限。

應用程式角色權限 應用程式角色權限所隱含 資料庫權限所隱含
CONTROL CONTROL CONTROL
ALTER CONTROL ALTER ANY APPLICATION ROLE
VIEW DEFINITION CONTROL VIEW DEFINITION

權限

需要指定主體的 CONTROL 權限,或需要隱含 CONTROL 權限的更高權限。

資料庫 CONTROL 權限的承授者 (例如 db_owner 固定資料庫角色的成員) 可以授與資料庫中任何安全性實體的任何權限。

範例

A. 從其他使用者撤銷使用者的 CONTROL 權限

下列範例會從使用者 CONTROL 撤銷 AdventureWorks2012 使用者 WanidaRolandX 權限。

USE AdventureWorks2012;  
REVOKE CONTROL ON USER::Wanida FROM RolandX;  
GO  

B. 從對其將 WITH GRANT OPTION 授與某角色的使用者,撤銷該角色的 VIEW DEFINITION 權限。

下列範例會從資料庫使用者 VIEW DEFINITION 撤銷 AdventureWorks2012 角色 SammamishParkingJinghaoLiu 權限。 指定 CASCADE 選項,是因為使用者 JinghaoLiu 被授與 VIEW DEFINITION 權限 WITH GRANT OPTION

USE AdventureWorks2012;  
REVOKE VIEW DEFINITION ON ROLE::SammamishParking   
    FROM JinghaoLiu CASCADE;  
GO  

C. 從應用程式角色撤銷使用者的 IMPERSONATE 權限

下列範例會從 AdventureWorks2012 應用程式角色 IMPERSONATE 撤銷使用者 HamithaLAccountsPayable17 權限。

適用於:SQL Server 2008 及更新版本、SQL Database

USE AdventureWorks2012;  
REVOKE IMPERSONATE ON USER::HamithaL FROM AccountsPayable17;  
GO    

另請參閱

GRANT 資料庫主體權限 (Transact-SQL)
DENY 資料庫主體權限 (Transact-SQL)
sys.database_principals (Transact-SQL)
sys.database_permissions (Transact-SQL)
CREATE USER (Transact-SQL)
CREATE APPLICATION ROLE (Transact-SQL)
CREATE ROLE (Transact-SQL)
GRANT (Transact-SQL)
權限 (資料庫引擎)
主體 (Database Engine)