SQL-GRANT详解

1、Transact-SQL 参考 GRANT 在安全系统中创建项目，使当前数据库中的用户得以处理当前数据库中的数据或 执行特定的Transact-SQL语句。 语法 语句权限： GRANT ALL | statement , . n TO security_account ,. n 对象权限： GRANT ALL PRIVILEGES | permission ，n |ON (column , . n ) table | view ON table | view (column , . n ) | exte nded_procedure | ON | ON stored_procedure us

2、er defined function TO security_account ,. n WITH GRANT OPTION AS group | role 参数 ALL 表示授予所有可用的权限。对于语句权限，只有 sysadmin角色成员可以使 用ALL。对于对象权限，sysadmin和db_owner角色成员和数据库对象所有 者都可以使用ALL。 stateme nt 是被授予权限的语句。语句列表可以包括： ? CREATE DATABASE ? CREATE DEFAULT ? CREATE FUNCTION ? CREATE PROCEDURE ? CREATE RULE ? CREA

3、TE TABLE ? CREATE VIEW ? BACKUP DATABASE ? BACKUP LOG n 一个占位符，表示此项可在逗号分隔的列表中重复 TO 指定安全帐户列表。 security_acco unt 是权限将应用的安全帐户。安全帐户可以是： ? Microsoft? SQL Server? 用户。 ? SQL Server 角色。 ? Microsoft Win dows NT? 用户。 ? Win dows NT 组。 当权限被授予一个SQL Server用户或Windows NT用户帐户，指定的 security_accou nt 是权限能影响到的唯一帐户。若权限被授予

4、SQL Server 角色或Win dows NT组，权限可影响到当前数据库中该组或该角色成员的所 有用户。若组或角色和它们的成员之间存在权限冲突，最严格的权限(DENY) 优先起作用。security_account必须在当前数据库中存在；不可将权限授予 其它数据库中的用户、角色或组，除非已为该用户在当前数据库中创建或给 予了访问权限。 两个特殊的安全帐户可用于 GRANT语句。授予public角色的权限可应用于 数据库中的所有用户。授予guest用户的权限可为所有在数据库中没有用户 帐户的用户使用。 当授予某个Windows NT本地组或全局组权限时，请指定在其上定义该组的 域名或计算机名

5、，然后依次输入反斜线和组名。但是，若要授予访问Windows NT内置本地组的权限，请指定BUILTIN而不是域名或计算机名。 PRIVILEGES 是可以包含在符合SQL-92标准的语句中的可选关键字。 permissi on 是当前授予的对象权限。当在表、表值函数或视图上授予对象权限时，权限 列表可以包括这些权限中的一个或多个：SELECTINSERTDELETEREFENENCES 或UPDATE列列表可以与SELECT和UPDATE权限一起提供。如果列列表未 与SELECT和UPDATE权限一起提供，那么该权限应用于表、视图或表值函 数中的所有列。 在存储过程上授予的对象权限只可以包括

6、 EXECUTE在标量值函数上授予的 对象权限可以包括EXECUTE和REFERENCES 为在SELECT语句中访问某个列，该列上需要有 SELECT权限。为使用 UPDATE语句更新某个列，该列上需要有 UPDATE权限。 为创建引用某个表的FOREIGN KEY约束，该表上需要有REFERENCE权限 为使用引用某个对象的 WITH SCHEMABINDIN子句创建FUNCTION或VIEW, 该对象上需要有REFERENCE权限。 colum n 是当前数据库中授予权限的列名。 table 是当前数据库中授予权限的表名。 view 是当前数据库中被授予权限的视图名。 stored_pr

7、ocedure 是当前数据库中授予权限的存储过程名。 exte nded_procedure 是当前数据库中授予权限的扩展存储过程名。 user_defi ned_f unction 是当前数据库中授予权限的用户定义函数名。 WITH GRANT OPTION 表示给予了 security_accou nt将指定的对象权限授予其它安全帐户的能 力。WITH GRANT OPTIO子句仅对对象权限有效。 AS group | role 指当前数据库中有执行GRANT语句权力的安全帐户的可选名。当对象上的权 限被授予一个组或角色时使用 AS,对象权限需要进一步授予不是组或角色的 成员的用户。因为只

8、有用户（而不是组或角色）可执行GRANT语句，组或角 色的特定成员授予组或角色权力之下的对象的权限。 注释 不允许有跨数据库权限；只能将当前数据库中的对象和语句的权限授予当前数据 库中的用户。如果用户需要另一个数据库中的对象的权限，请在该数据库中创建 用户帐户，或者授权用户帐户访问该数据库以及当前数据库。 说明 系统存储过程是例外，因为EXECUTE权限已经授予public角色，允许任 何人去执行。但是在执行系统存储过程后，将检查用户的角色成员资格。如果此 用户不是运行此存储过程所需要的适当的固定服务器或数据库角色的成员，则此 存储过程不会继续执行。 REVOKED句可用于删除已授予的权限，D

9、ENY语句可用于防止用户通过GRANT 语句获得权限给他们的用户帐户。 授予权限删除所授予级别（用户、组或角色）上的已拒绝权限或已废除权限。在 另一级别（诸如包含此用户的组或角色）上被拒绝的同一权限优先起作用。但是， 虽然在另一级别上所废除的同一权限仍然适用，但它并不阻止用户访问该对象。 如果用户激活应用程序角色，对此用户通过该应用程序角色访问的任何对象， GRANT的作用为空。因此，尽管一个用户可能被授予了对当前数据库中的指定对 象的访问权限，但是如果此用户使用对此对象无访问权限的应用程序角色，则在 应用程序角色激活期间，此用户也没有此对象的访问权限。 sp_helprotect 系统存储过

10、程报告在数据库对象或用户上的权限。 权限 GRANTS限依赖于所授予的语句权限和权限中涉及的对象。sysadmin角色中的 成员可在任何数据库中授予任何权限。对象所有者可为他们所拥有的对象授予权 限。db_owner或db_securityadmin 角色的成员可授予其数据库中任何语句或 对象上的任何权限。 需要权限的语句是那些在数据库中增加对象，或对数据库执行管理活动的语句。 每条需要权限的语句都有一个特定的角色集，自动有权限执行此语句。例如， sysadmin、db_owner 和 db_ddladmin 角色的成员默认有 CREATE TABLED限。 sysadmin和db_owner

11、角色以及表的所有者默认有对表执行 SELECT语句的权 限。 有一些Transact-SQL语句不能被授予权限；执行这些语句要求有固定角色中的 成员资格，此角色有默示执行特殊语句的权限。例如，若要执行SHUTDOW语句, 用户必须添加为serveradmin角色中的成员。 dbcreator、processadmin、securityadmin 和 serveradmin 固定服务器角色 的成员仅有权执行以下Tran sact-SQL语句。 语句 dbcreato r processadmi n securityadmi n serveradmi n bulkadmi n ALTER DATA

12、BASE X CREATE DATABASE X BULK INSER - X DBCC X (1) DENY X (2) GRANT X (2) KILL X RECONFIGU E R X RESTORE X REVOKE X (2) SHUTDOWN X (1) 有关更多信息，请参见 DBCC语句 (2) 仅适用于 CREATE DATABASES句。 说明diskadmin和setupadmin固定服务器角色的成员没有权限执行任何 Transact-SQL语句，他们只能执行特定的系统存储过程。 但是，sysadmin固定 服务器角色的成员有权限执行所有的 Transact-SQL语句。

13、 F面的固定数据库角色的成员有权限执行指定的Transact-SQL语句 语句 db_ow ner db_datare ader db_datawr iter db_ddla dmin db_backupope rator db_security admin ALTER DATABA； E X S X ALTER FUNCTIC N X ) X ALTER PROCED RE X U X ALTER TABLE X X ALTER TRIGGEF X I X ALTER VIEW X X BACKUP X X CHECKP INT O X CREATE DEFAUL X X CREATE X

14、X FUNCTIC N CREATE INDEX X X CREATE PROCED RE X U X CREATE RULE X X CREATE TABLE X X CREATE TRIGGEF X I X CREATE VIEW X X DBCC X X DELETE X X DENY X X DENY on object X DROP X X EXECUT E X GRANT X X GRANT on object X INSERT X X READTE： X X T REFERE CES 滋(1) X RESTOR E X REVOKE X X REVOKE on object X

15、(1) SELECT X (1) X SETUSEI R X TRUNCA E TABLE T (1) X UPDATE X (1) X UPDATE STATIST ICS X (1) UPDATE EXT IX (1) X WRITETE XT 沢(1) X (1)权限也适用于对象所有者。 有关更多信息，请参见 DBCC语句。 说明db_accessadmin固定数据库角色的成员没有执行任何 Transact-SQL语 句的权限，只可执行特定的系统存储过程。 不需要权限即可执行的Transact-SQL语句有(已自动授予 public): BEGIN TRANSACTION COMMIT

16、TRANSACTION PRINT RAISERROR ROLLBACK TRANSACTION SAVE TRANSACTION SET 有关执行系统存储过程所需权限的更多信息，请参见相应的系统存储过程。 示例 A. 授予语句权限 下面的示例给用户 Mary和John以及Windows NT组CorporateBobJ 授予 多个语句权限。 GRANT CREATE DATABASE, CREATE TABLE TO Mary, Joh n, CorporateBobJ B. 在权限层次中授予对象权限 下例显示权限的优先顺序。首先，给 public角色授予SELECT权限。然后，将 特定的权

17、限授予用户 Mary、John和Tom于是这些用户就有了对 authors表 的所有权限。 USE pubs GO GRANT SELECT ON authors TO public GO GRANT INSERT, UPDATE, DELETE ON authors TO Mary, Joh n, Tom GO C. 给SQL Server角色授予权限 下面的示例将CREATE TABLE权限授予Accounting角色的所有成员。 GRANT CREATE TABLE TO Accou nting D. 用AS选项授予权限 用户Jean拥有表 Plan_Data。 Jean将表 Plan_Data的SELECT权限授予 Accounting 角色（指定 WITH GRANOPTION子句）。用户 Jill 是 Accounting 的成员，他要将表 Plan_Data上的SELECT权限授予用户 Jack，Jack不是 Acco unting 的成员。 因为对表Plan_D