Engedélyek (adatbázismotor)

A következőkre vonatkozik:SQL ServerAzure SQL DatabaseFelügyelt Azure SQL-példányAzure Synapse AnalyticsElemzési platformrendszer (PDW)SQL Analytics-végpont a Microsoft FabricbenRaktár a Microsoft FabricbenSQL-adatbázis a Microsoft Fabricben

Minden biztonságos SQL Server rendelkezik olyan engedélyekkel, amelyek egy egyszerű felhasználónak adhatóak. Az adatbázismotor engedélyeit a bejelentkezésekhez és a kiszolgálói szerepkörökhöz rendelt kiszolgálói szinten, valamint az adatbázis-felhasználókhoz és adatbázis-szerepkörökhöz rendelt adatbázisszinten kezelik. Az Azure SQL Database modellje ugyanazzal a rendszerrel rendelkezik az adatbázis-engedélyekhez, de a kiszolgálószintű engedélyek nem érhetők el. Ez a cikk az engedélyek teljes listáját tartalmazza. Az engedélyek tipikus implementációjához tekintse meg az adatbázismotor-engedélyek használatának első lépéseit.

Az SQL Server 2022 (16.x) engedélyeinek teljes száma 292. Az Azure SQL Database 292 engedélyt tesz elérhetővé. A legtöbb engedély az összes platformra vonatkozik, néhány azonban nem. A legtöbb kiszolgálószintű engedély például nem adható meg az Azure SQL Database-ben, és néhány engedélynek csak az Azure SQL Database-en van értelme. Az új engedélyeket fokozatosan vezetjük be új kiadásokkal. Az SQL Server 2019 (15.x) 248 engedélyt tesz elérhetővé. Az SQL Server 2017 (14.x) 238 engedélyt adott ki. Az SQL Server 2016 (13.x) 230 engedélyt adott ki. Az SQL Server 2014 (12.x) 219 engedélyt adott ki. Az SQL Server 2012 (11.x) 214 engedélyt adott ki. Az SQL Server 2008 R2 (10.50.x) 195 engedélyt adott ki. A sys.fn_builtin_permissions cikk meghatározza, hogy mely engedélyek újak a legutóbbi verziókban.

A Microsoft Fabric SQL-adatbázisában csak az adatbázisszintű felhasználók és szerepkörök támogatottak. A kiszolgálószintű bejelentkezések, a szerepkörök és a sa fiók nem érhetők el. A Microsoft Fabric SQL-adatbázisában az adatbázis-felhasználók microsoft entra azonosítója az egyetlen támogatott hitelesítési módszer. További információért tekintse meg: Engedélyezés az SQL-adatbázisban a Microsoft Fabric.

Miután megismerte a szükséges engedélyeket, kiszolgálószintű engedélyeket alkalmazhat bejelentkezésekre vagy kiszolgálói szerepkörökre, valamint adatbázisszintű engedélyeket a felhasználókra vagy adatbázis-szerepkörökre a , GRANTés REVOKE utasítások DENYhasználatával. Például:

GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;

Az engedélyrendszer tervezésével kapcsolatos tippekért tekintse meg az adatbázismotor-engedélyek használatának első lépéseit.

Engedélyek elnevezési szabályai

Az alábbiakban az elnevezési engedélyekre vonatkozó általános konvenciók szerepelnek:

  • CONTROL

    Tulajdonosi jellegű képességeket biztosít a kedvezményezettnek. A jogosult gyakorlatilag az összes meghatározott engedéllyel rendelkezik a védhető objektumon. Az a személy, akinek megadták a CONTROL jogosultságot, engedélyeket is adhat a védett elemre. Mivel az SQL Server biztonsági modellje hierarchikus, a control egy adott hatókörben implicit módon tartalmazza a CONTROL-t az adott hatókörben lévő összes biztonságos adatra. Az adatbázis CONTROL parancsa például magában foglalja az adatbázis összes engedélyét, az adatbázis összes szerelvényére vonatkozó összes engedélyt, az adatbázis összes sémájára vonatkozó összes engedélyt, valamint az adatbázis összes sémáján belüli objektumokra vonatkozó összes engedélyt.

  • ALTER

    Képessé tesz egy adott védhető erőforrás tulajdonságainak megváltoztatására, a tulajdonjog kivételével. Ha egy hatókörön engedélyezett, az ALTER lehetővé teszi az adott hatókörben található bármely biztonsági objektum módosítását, létrehozását vagy elvetését is. A sémák ALTER-engedélye például magában foglalja az objektumok létrehozásának, módosításának és elvetésének lehetőségét a sémából.

  • ALTER ANY <Server Securable>, ahol a Kiszolgáló biztonságossá tétele bármely biztonságos kiszolgáló lehet.

    Lehetővé teszi a Server Securable egyes példányainak létrehozását, módosítását vagy elvetését. Az ALTER ANY LOGIN például lehetővé teszi a példányban bármely bejelentkezési név létrehozását, módosítását vagy törlését.

  • ALTER ANY <Database Securable>, ahol a Database Securable bármilyen biztonságos lehet az adatbázis szintjén.

    Lehetővé teszi a biztonságos adatbázis egyedi példányainak létrehozását, MÓDOSÍTÁSÁT vagy DROP-ét. Az ALTER ANY SCHEMA például lehetővé teszi, hogy bármilyen sémát hozzon létre, módosíthasson vagy elvetjen az adatbázisban.

  • VEGYÉK ÁT A TULAJDONJOGOT

    Lehetővé teszi a kedvezményezett számára annak a biztonságossá tételnek a tulajdonjogát, amelyre a támogatást nyújtják.

  • MEGSZEMÉLYESÍTÉSI <bejelentkezés>

    Lehetővé teszi, hogy a kedvezményezett megszemélyesítse a bejelentkezést.

  • MEGSZEMÉLYESÍTÉS <Felhasználó>

    Lehetővé teszi, hogy a kedvezményezett megszemélyesítse a felhasználót.

  • A CREATE-kiszolgáló <biztonságossá tétele>

    Biztosítja a kedvezményezettnek a kiszolgáló biztonságossá tételének lehetőségét.

  • CREATE-adatbázis <biztonságossá tétele>

    Biztosítja a kedvezményezettnek az adatbázis biztonságossá tételének lehetőségét.

  • Create <Schema-contained Securable>

    Lehetővé teszi a séma által tartalmazott biztonsági objektum létrehozását. Az ALTER engedély azonban szükséges a séma módosításához, hogy létrehozjunk egy biztonsági objektumot egy adott sémában.

  • VIEW MEGHATÁROZÁS

    Engedélyezi a kedvezményezett számára a metaadatok elérését.

  • REFERENCES

    Egy táblára vonatkozó hivatkozási jog szükséges ahhoz, hogy létrehozzunk egy idegen kulcs korlátozást, amely hivatkozik az adott táblára.

    A REFERENCES engedélyre van szükség egy objektumhoz ahhoz, hogy az adott objektumra hivatkozó WITH SCHEMABINDING záradékkal létre lehessen hozni egy FUNCTION vagy VIEW elemet.

SQL Server-engedélyek diagramja

Az alábbi képen az engedélyek és azok egymáshoz való viszonya látható. A magasabb szintű engedélyek némelyike (például CONTROL SERVER) sokszor szerepel a listán. Ebben a cikkben a plakát túl kicsi ahhoz, hogy elolvassa. Letöltheti a teljes méretű Adatbázis-motor jogosultságok plakátját PDF formátumban .

Képernyőkép az adatbázismotor engedélyeinek PDF-fájljáról.

Adott biztonsági objektumokra vonatkozó engedélyek

Az alábbi táblázat felsorolja az engedélyek fő osztályait és azokat a biztonságossági típusokat, amelyekre alkalmazhatók.

Permission A következőkre vonatkozik:
ALTER Az objektumok összes osztálya, kivéve TYPEa .
CONTROL Minden objektumosztály:

AGGREGATE,
APPLICATION ROLE,
ASSEMBLY,
ASYMMETRIC KEY,
AVAILABILITY GROUP,
CERTIFICATE,
CONTRACT,
CREDENTIALS,
DATABASE,
DATABASE SCOPED CREDENTIAL,
DEFAULT,
ENDPOINT,
FULLTEXT CATALOG,
FULLTEXT STOPLIST,
FUNCTION,
LOGIN,
MESSAGE TYPE,
PROCEDURE,
QUEUE,
REMOTE SERVICE BINDING,
ROLE,
ROUTE,
RULE,
SCHEMA,
SEARCH PROPERTY LIST,
SERVER,
SERVER ROLE,
SERVICE,
SYMMETRIC KEY,
SYNONYM,
TABLE,
TYPE,
USER,
VIEW és
XML SCHEMA COLLECTION
DELETE Az objektumok összes osztálya, kivéve a DATABASE SCOPED CONFIGURATIONSERVER és a TYPE osztályt.
EXECUTE CLR-típusok, külső szkriptek, eljárások (Transact-SQL és CLR), skaláris és összesítő függvények (Transact-SQL és CLR) és szinonimák
IMPERSONATE Bejelentkezések és felhasználók
INSERT Szinonimák, táblák és oszlopok, nézetek és oszlopok. Az engedély az adatbázis, a séma vagy az objektum szintjén adható meg.
RECEIVE Service Broker-üzenetsorok
REFERENCES AGGREGATE,
ASSEMBLY,
ASYMMETRIC KEY,
CERTIFICATE,
CONTRACT,
CREDENTIAL (az SQL Server 2022 (16.x) és újabb verzióira vonatkozik),
DATABASE,
DATABASE SCOPED CREDENTIAL,
FULLTEXT CATALOG,
FULLTEXT STOPLIST,
FUNCTION,
MESSAGE TYPE,
PROCEDURE,
QUEUE,
RULE,
SCHEMA,
SEARCH PROPERTY LIST,
SEQUENCE OBJEKTUM
SYMMETRIC KEY,
TABLE,
TYPE,
VIEW és
XML SCHEMA COLLECTION
SELECT Szinonimák, táblák és oszlopok, nézetek és oszlopok. Az engedély az adatbázis, a séma vagy az objektum szintjén adható meg.
VEGYÉK ÁT A TULAJDONJOGOT Az objektumok minden osztálya, kivéve a DATABASE SCOPED CONFIGURATION, a LOGIN, a SERVER és a USER.
UPDATE Szinonimák, táblák és oszlopok, nézetek és oszlopok. Az engedély az adatbázis, a séma vagy az objektum szintjén adható meg.
VIEW VÁLTOZÁSKÖVETÉS Sémák és táblák
VIEW MEGHATÁROZÁS Az objektumok minden osztálya, kivéve a DATABASE SCOPED CONFIGURATION és a SERVER osztályt.

Caution

A rendszerobjektumoknak a telepítéskor megadott alapértelmezett engedélyeket gondosan kiértékeljük a lehetséges fenyegetések ellen, és nem kell módosítani az SQL Server telepítésének megkeményedésének részeként. A rendszerobjektumok engedélyeinek bármilyen módosítása korlátozhatja vagy megszakíthatja a funkciót, és esetleg nem támogatott állapotban hagyhatja az SQL Server telepítését.

SQL Server-engedélyek

Az alábbi táblázat az SQL Server-engedélyek teljes listáját tartalmazza. Az Azure SQL Database-engedélyek csak támogatott alapszintű biztonságos objektumokhoz érhetők el. A kiszolgálószintű engedélyek nem adhatóak meg az Azure SQL Database-ben, de bizonyos esetekben az adatbázis-engedélyek is elérhetők.

Alap biztonságos Részletes engedélyek alapvető biztosítható elemeken Engedély típusának kódja Biztonságos, amely tartalmazza az alapszintű biztonságossá tételt A tároló biztonságossá tételére vonatkozó engedély, amely részletes engedélyt jelent az alapszintű biztonságossá tételhez
APPLICATION ROLE ALTER AL DATABASE BÁRMELY APPLICATION ROLE MÓDOSÍTÁSA
APPLICATION ROLE CONTROL CL DATABASE CONTROL
APPLICATION ROLE VIEW MEGHATÁROZÁS VW DATABASE VIEW MEGHATÁROZÁS
ASSEMBLY ALTER AL DATABASE BÁRMELY ASSEMBLY MÓDOSÍTÁSA
ASSEMBLY CONTROL CL DATABASE CONTROL
ASSEMBLY REFERENCES RF DATABASE REFERENCES
ASSEMBLY VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
ASSEMBLY VIEW DEFINÍCIÓ VW DATABASE VIEW MEGHATÁROZÁS
ASYMMETRIC KEY ALTER AL DATABASE BÁRMELY ASYMMETRIC KEY MÓDOSÍTÁSA
ASYMMETRIC KEY CONTROL CL DATABASE CONTROL
ASYMMETRIC KEY REFERENCES RF DATABASE REFERENCES
ASYMMETRIC KEY VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
ASYMMETRIC KEY VIEW MEGHATÁROZÁS VW DATABASE VIEW MEGHATÁROZÁS
AVAILABILITY GROUP ALTER AL SERVER BÁRMELY AVAILABILITY GROUP MÓDOSÍTÁSA
AVAILABILITY GROUP CONTROL CL SERVER VEZÉRLŐKISZOLGÁLÓ
AVAILABILITY GROUP VEGYÉK ÁT A TULAJDONJOGOT TO SERVER VEZÉRLŐKISZOLGÁLÓ
AVAILABILITY GROUP VIEW MEGHATÁROZÁS VW SERVER VIEW TETSZŐLEGES DEFINÍCIÓ
CERTIFICATE ALTER AL DATABASE BÁRMELY CERTIFICATE MÓDOSÍTÁSA
CERTIFICATE CONTROL CL DATABASE CONTROL
CERTIFICATE REFERENCES RF DATABASE REFERENCES
CERTIFICATE VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
CERTIFICATE VIEW DEFINÍCIÓ VW DATABASE VIEW MEGHATÁROZÁS
CONTRACT ALTER AL DATABASE BÁRMELY CONTRACT MÓDOSÍTÁSA
CONTRACT CONTROL CL DATABASE CONTROL
CONTRACT REFERENCES RF DATABASE REFERENCES
CONTRACT VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
CONTRACT VIEW MEGHATÁROZÁS VW DATABASE VIEW MEGHATÁROZÁS
CREDENTIAL CONTROL CL SERVER VEZÉRLŐKISZOLGÁLÓ
CREDENTIAL REFERENCES RF SERVER BÁRMELY CREDENTIAL MÓDOSÍTÁSA
DATABASE TÖMEGES DATABASE MŰVELETEK KEZELÉSE DABO SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE ALTER AL SERVER BÁRMELY DATABASE MÓDOSÍTÁSA
DATABASE BÁRMELY APPLICATION ROLE MÓDOSÍTÁSA ALAR SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY ASSEMBLY MÓDOSÍTÁSA ALAS SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY ASYMMETRIC KEY MÓDOSÍTÁSA ALAK SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY CERTIFICATE MÓDOSÍTÁSA ALCF SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY COLUMN ENCRYPTION KEY MÓDOSÍTÁSA ALCK

Az SQL Serverre (SQL Server 2016 (13.x) és a legújabb verziók), valamint az Azure SQL Database-re vonatkozik.
SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY COLUMN MASTER KEY MÓDOSÍTÁSA ALCM

Az SQL Serverre (SQL Server 2016 (13.x) és a legújabb verziók), valamint az Azure SQL Database-re vonatkozik.
SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY CONTRACT MÓDOSÍTÁSA ALSC SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY DATABASE AUDIT MÓDOSÍTÁSA ALDA SERVER BÁRMELY SERVER AUDIT MÓDOSÍTÁSA
DATABASE BÁRMELY DATABASE DDL MÓDOSÍTÁSA TRIGGER ALTG SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE MÓDOSÍTSON BÁRMELY DATABASEEVENT NOTIFICATION ALED SERVER BÁRMELY EVENT NOTIFICATION MÓDOSÍTÁSA
DATABASE BÁRMELY MÓDOSÍTÁSA DATABASEEVENT SESSION AADS SERVER BÁRMELY EVENT SESSION MÓDOSÍTÁSA
DATABASE BÁRMELY HOZZÁADÁSI DATABASEEVENT SESSION ESEMÉNY MÓDOSÍTÁSA LDAE SERVER BÁRMELY EVENT SESSION HOZZÁADÁSI ESEMÉNY MÓDOSÍTÁSA
DATABASE BÁRMELY HOZZÁADÁSI DATABASEEVENT SESSION CÉL MÓDOSÍTÁSA LDAT SERVER BÁRMELY EVENT SESSION HOZZÁADÁSI CÉL MÓDOSÍTÁSA
DATABASE BÁRMELY DATABASEEVENT SESSION LETILTÁS MÓDOSÍTÁSA DDES SERVER BÁRMELYIK EVENT SESSION LETILTÁSÁNAK MÓDOSÍTÁSA
DATABASE BÁRMELY DATABASEEVENT SESSION DROP ESEMÉNY MÓDOSÍTÁSA LDDE SERVER BÁRMELY EVENT SESSION DROP EVENT MÓDOSÍTÁSA
DATABASE BÁRMELY DATABASEEVENT SESSION DROP TARGET MÓDOSÍTÁSA LDDT SERVER BÁRMELY EVENT SESSION ELDOBÁSI CÉL MÓDOSÍTÁSA
DATABASE BÁRMELY DATABASEEVENT SESSION ENGEDÉLYEZÉS MÓDOSÍTÁSA EDES SERVER BÁRMELYIK EVENT SESSION ENGEDÉLY MÓDOSÍTÁSA
DATABASE MÓDOSÍTSA BÁRMELY DATABASEEVENT SESSION BEÁLLÍTÁST LDSO SERVER BÁRMELY EVENT SESSION BEÁLLÍTÁS MÓDOSÍTÁSA
DATABASE BÁRMELY DATABASE SCOPED CONFIGURATION MÓDOSÍTÁSA ALDC

Az SQL Serverre (SQL Server 2016 (13.x) és a legújabb verziók), valamint az Azure SQL Database-re vonatkozik.
SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY ADATTÉR MÓDOSÍTÁSA ALDS SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY EXTERNAL DATA SOURCE MÓDOSÍTÁSA AEDS SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY EXTERNAL FILE FORMAT MÓDOSÍTÁSA AEFF SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY KÜLSŐ MUNKA MEGVÁLTOZTATÁSA AESJ SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY EXTERNAL LANGUAGE MÓDOSÍTÁSA ALLA SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY EXTERNAL LIBRARY MÓDOSÍTÁSA ALEL SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY KÜLSŐ ADATFOLYAM MÓDOSÍTÁSA AEST SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY FULLTEXT CATALOG MÓDOSÍTÁSA ALFT SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY MASZK MÓDOSÍTÁSA AAMK

Az SQL Serverre (SQL Server 2016 (13.x) és a legújabb verziók), valamint az Azure SQL Database-re vonatkozik.
SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY MESSAGE TYPE MÓDOSÍTÁSA ALMT SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY REMOTE SERVICE BINDING MÓDOSÍTÁSA ALSB SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY ROLE MÓDOSÍTÁSA ALRL SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY ROUTE MÓDOSÍTÁSA ALRT SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY SCHEMA MÓDOSÍTÁSA ALSM SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY SECURITY POLICY MÓDOSÍTÁSA ALSP

Az SQL Serverre (SQL Server 2016 (13.x) és a legújabb verziók), valamint az Azure SQL Database-re vonatkozik.
SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY SENSITIVITY CLASSIFICATION MÓDOSÍTÁSA AASC
Az SQL Serverre (SQL Server 2019 (15.x) a legfrissebb verzióig), valamint az Azure SQL Database vonatkozik.
SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY SERVICE MÓDOSÍTÁSA ALSV SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY SYMMETRIC KEY MÓDOSÍTÁSA ALSK SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY USER MÓDOSÍTÁSA ALUS SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE ALTER LEDGER ALR SERVER CONTROL
DATABASE A FŐKÖNYV KONFIGURÁCIÓJÁNAK MÓDOSÍTÁSA ALC SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE AUTHENTICATE AUTH SERVER HITELESÍTÉSKISZOLGÁLÓ
DATABASE BACKUP DATABASE BADB SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BACKUP NAPLÓ BALO SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CHECKPOINT CP SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CONNECT CO SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE KAPCSOLÓDJ REPLIKÁCIÓ CORP SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CONTROL CL SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE AGGREGATE CRAG SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE HOZZON LÉTRE BÁRMILYET DATABASEEVENT SESSION CRDS SERVER HOZZON LÉTRE BÁRMIT EVENT SESSION
DATABASE CREATE ASSEMBLY CRAS SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE ASYMMETRIC KEY CRAK SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE CERTIFICATE CRCF SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE CONTRACT CRSC SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE DATABASE CRDB SERVER HOZZON LÉTRE BÁRMIT DATABASE
DATABASE CREATE DATABASE DDL EVENT NOTIFICATION CRED SERVER DDL LÉTREHOZÁSA EVENT NOTIFICATION
DATABASE CREATE DEFAULT CRDF SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE EXTERNAL LANGUAGE CRLA SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE EXTERNAL LIBRARY CREL SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE FULLTEXT CATALOG CRFT SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE FUNCTION CRFN SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE MESSAGE TYPE CRMT SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE PROCEDURE CRPR SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE QUEUE CRQU SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE REMOTE SERVICE BINDING CRSB SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE ROLE CRRL SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE ROUTE CRRT SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE RULE CRRU SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE SCHEMA CRSM SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE SERVICE CRSV SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE SYMMETRIC KEY CRSK SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE SYNONYM CRSN SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE TABLE CRTB SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE TYPE CRTY SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE USER CUSR SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE VIEW CRVW SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE CREATE XML SCHEMA COLLECTION CRXS SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE DELETE DL SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE EJTSEN IDE BÁRMIT DATABASEEVENT SESSION DRDS SERVER Húzzon ide bármit EVENT SESSION
DATABASE FŐKÖNYV ENGEDÉLYEZÉSE EL SERVER CONTROL
DATABASE EXECUTE EX SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY KÜLSŐ MŰVELET VÉGREHAJTÁSA ENDPOINT EAEE SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE BÁRMELY KÜLSŐ SZKRIPT VÉGREHAJTÁSA EAES

Az SQL Serverre vonatkozik (SQL Server 2016 (13.x) és az összes későbbi verzió).
SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE INSERT IN SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE KAPCSOLAT DATABASE MEGSZAKÍTÁSA KIDC

Csak az Azure SQL Database-re vonatkozik. Használja az ALTER ANY KAPCSOLATOT az SQL Serveren.
SERVER BÁRMELY KAPCSOLAT MÓDOSÍTÁSA
DATABASE REFERENCES RF SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE SELECT SL SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE SHOWPLAN SPLN SERVER VÁLTOZÁSKÖVETÉS
DATABASE Feliratkozási lekérdezések értesítései SUQN SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE VEGYÉK ÁT A TULAJDONJOGOT TO SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE UNMASK UMSK

Az SQL Serverre (SQL Server 2016 (13.x) és a legújabb verziók), valamint az Azure SQL Database-re vonatkozik.
SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE UPDATE UP SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE VIEW BÁRMELYIK COLUMN ENCRYPTION KEY DEFINÍCIÓ VWCK

Az SQL Serverre (SQL Server 2016 (13.x) és a legújabb verziók), valamint az Azure SQL Database-re vonatkozik.
SERVER VIEW KISZOLGÁLÓ ÁLLAPOTA
DATABASE VIEW BÁRMELYIK COLUMN MASTER KEY DEFINÍCIÓ VWCM

Az SQL Serverre (SQL Server 2016 (13.x) és a legújabb verziók), valamint az Azure SQL Database-re vonatkozik.
SERVER VIEW KISZOLGÁLÓ ÁLLAPOTA
DATABASE VIEW BÁRMELYIK SENSITIVITY CLASSIFICATION VASC SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE VIEW KRIPTOGRÁFIAILAG BIZTONSÁGOS DEFINÍCIÓ VCD SERVER VIEW BÁRMELY KRIPTOGRÁFIAILAG BIZTONSÁGOS DEFINÍCIÓ
DATABASE VIEW DATABASE TELJESÍTMÉNYÁLLAPOT VDP SERVER VIEW KISZOLGÁLÓ TELJESÍTMÉNYÁLLAPOTA
DATABASE VIEW DATABASE BIZTONSÁGI AUDIT VDSA SERVER VEZÉRLŐKISZOLGÁLÓ
DATABASE VIEW DATABASE BIZTONSÁGI ÁLLAPOT VDS SERVER VIEW KISZOLGÁLÓ BIZTONSÁGI ÁLLAPOTA
DATABASE VIEW DATABASE ÁLLAPOT VWDS SERVER VIEW KISZOLGÁLÓ ÁLLAPOTA
DATABASE VIEW DEFINÍCIÓ VW SERVER VIEW TETSZŐLEGES DEFINÍCIÓ
DATABASE VIEW FŐKÖNYV TARTALMA VLC SERVER CONTROL
DATABASE VIEW BIZTONSÁGI DEFINÍCIÓ VWS SERVER VIEW BÁRMELY BIZTONSÁGI DEFINÍCIÓ
DATABASE VIEW TELJESÍTMÉNYDEFINÍCIÓ VWP SERVER VIEW BÁRMELY TELJESÍTMÉNYDEFINÍCIÓ
DATABASE SCOPED CREDENTIAL ALTER AL DATABASE CONTROL
DATABASE SCOPED CREDENTIAL CONTROL CL DATABASE CONTROL
DATABASE SCOPED CREDENTIAL REFERENCES RF DATABASE REFERENCES
DATABASE SCOPED CREDENTIAL VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
DATABASE SCOPED CREDENTIAL VIEW MEGHATÁROZÁS VW DATABASE VIEW MEGHATÁROZÁS
ENDPOINT ALTER AL SERVER BÁRMELY ENDPOINT MÓDOSÍTÁSA
ENDPOINT CONNECT CO SERVER VEZÉRLŐKISZOLGÁLÓ
ENDPOINT CONTROL CL SERVER VEZÉRLŐKISZOLGÁLÓ
ENDPOINT VEGYÉK ÁT A TULAJDONJOGOT TO SERVER VEZÉRLŐKISZOLGÁLÓ
ENDPOINT VIEW MEGHATÁROZÁS VW SERVER VIEW TETSZŐLEGES DEFINÍCIÓ
FULLTEXT CATALOG ALTER AL DATABASE BÁRMELY FULLTEXT CATALOG MÓDOSÍTÁSA
FULLTEXT CATALOG CONTROL CL DATABASE CONTROL
FULLTEXT CATALOG REFERENCES RF DATABASE REFERENCES
FULLTEXT CATALOG VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
FULLTEXT CATALOG VIEW MEGHATÁROZÁS VW DATABASE VIEW DEFINÍCIÓ
FULLTEXT STOPLIST ALTER AL DATABASE BÁRMELY FULLTEXT CATALOG MÓDOSÍTÁSA
FULLTEXT STOPLIST CONTROL CL DATABASE CONTROL
FULLTEXT STOPLIST REFERENCES RF DATABASE REFERENCES
FULLTEXT STOPLIST VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
FULLTEXT STOPLIST VIEW MEGHATÁROZÁS VW DATABASE VIEW MEGHATÁROZÁS
LOGIN ALTER AL SERVER BÁRMELY LOGIN MÓDOSÍTÁSA
LOGIN CONTROL CL SERVER VEZÉRLŐKISZOLGÁLÓ
LOGIN IMPERSONATE IM SERVER VEZÉRLŐKISZOLGÁLÓ
LOGIN VIEW MEGHATÁROZÁS VW SERVER VIEW TETSZŐLEGES DEFINÍCIÓ
MESSAGE TYPE ALTER AL DATABASE BÁRMELY MESSAGE TYPE MÓDOSÍTÁSA
MESSAGE TYPE CONTROL CL DATABASE CONTROL
MESSAGE TYPE REFERENCES RF DATABASE REFERENCES
MESSAGE TYPE VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
MESSAGE TYPE VIEW MEGHATÁROZÁS VW DATABASE VIEW DEFINÍCIÓ
OBJECT ALTER AL SCHEMA ALTER
OBJECT CONTROL CL SCHEMA CONTROL
OBJECT DELETE DL SCHEMA DELETE
OBJECT EXECUTE EX SCHEMA EXECUTE
OBJECT INSERT IN SCHEMA INSERT
OBJECT RECEIVE RC SCHEMA CONTROL
OBJECT REFERENCES RF SCHEMA REFERENCES
OBJECT SELECT SL SCHEMA SELECT
OBJECT VEGYÉK ÁT A TULAJDONJOGOT TO SCHEMA CONTROL
OBJECT UNMASK UMSK SCHEMA UNMASK
OBJECT UPDATE UP SCHEMA UPDATE
OBJECT VIEW VÁLTOZÁSKÖVETÉS VWCT SCHEMA VIEW VÁLTOZÁSKÖVETÉS
OBJECT VIEW MEGHATÁROZÁS VW SCHEMA VIEW MEGHATÁROZÁS
REMOTE SERVICE BINDING ALTER AL DATABASE BÁRMELY REMOTE SERVICE BINDING MÓDOSÍTÁSA
REMOTE SERVICE BINDING CONTROL CL DATABASE CONTROL
REMOTE SERVICE BINDING VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
REMOTE SERVICE BINDING VIEW MEGHATÁROZÁS VW DATABASE VIEW MEGHATÁROZÁS
ROLE ALTER AL DATABASE BÁRMELY ROLE MÓDOSÍTÁSA
ROLE CONTROL CL DATABASE CONTROL
ROLE VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
ROLE VIEW MEGHATÁROZÁS VW DATABASE VIEW MEGHATÁROZÁS
ROUTE ALTER AL DATABASE BÁRMELY ROUTE MÓDOSÍTÁSA
ROUTE CONTROL CL DATABASE CONTROL
ROUTE VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
ROUTE VIEW DEFINÍCIÓ VW DATABASE VIEW MEGHATÁROZÁS
SCHEMA ALTER AL DATABASE BÁRMELY SCHEMA MÓDOSÍTÁSA
SCHEMA CONTROL CL DATABASE CONTROL
SCHEMA CREATE SEQUENCE CRSO DATABASE CONTROL
SCHEMA DELETE DL DATABASE DELETE
SCHEMA EXECUTE EX DATABASE EXECUTE
SCHEMA INSERT IN DATABASE INSERT
SCHEMA REFERENCES RF DATABASE REFERENCES
SCHEMA SELECT SL DATABASE SELECT
SCHEMA VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
SCHEMA UNMASK UMSK DATABASE UNMASK
SCHEMA UPDATE UP DATABASE UPDATE
SCHEMA VIEW VÁLTOZÁSKÖVETÉS VWCT DATABASE VIEW VÁLTOZÁSKÖVETÉS
SCHEMA VIEW MEGHATÁROZÁS VW DATABASE VIEW DEFINÍCIÓ
SEARCH PROPERTY LIST ALTER AL SERVER BÁRMELY FULLTEXT CATALOG MÓDOSÍTÁSA
SEARCH PROPERTY LIST CONTROL CL SERVER CONTROL
SEARCH PROPERTY LIST REFERENCES RF SERVER REFERENCES
SEARCH PROPERTY LIST VEGYÉK ÁT A TULAJDONJOGOT TO SERVER CONTROL
SEARCH PROPERTY LIST VIEW MEGHATÁROZÁS VW SERVER VIEW MEGHATÁROZÁS
SERVER TÖMEGES MŰVELETEK KEZELÉSE ADBO Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY AVAILABILITY GROUP MÓDOSÍTÁSA ALAG Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY KAPCSOLAT MÓDOSÍTÁSA ALCO Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY CREDENTIAL MÓDOSÍTÁSA ALCD Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY DATABASE MÓDOSÍTÁSA ALDB Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY ENDPOINT MÓDOSÍTÁSA ALHE Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY EVENT NOTIFICATION MÓDOSÍTÁSA ALES Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY EVENT SESSION MÓDOSÍTÁSA AAES Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY EVENT SESSION HOZZÁADÁSI ESEMÉNY MÓDOSÍTÁSA LSAE Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY EVENT SESSION HOZZÁADÁSI CÉL MÓDOSÍTÁSA LSAT Nem alkalmazható Nem alkalmazható
SERVER BÁRMELYIK EVENT SESSION LETILTÁSÁNAK MÓDOSÍTÁSA DES Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY EVENT SESSION DROP EVENT MÓDOSÍTÁSA LSDE Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY EVENT SESSION ELDOBÁSI CÉL MÓDOSÍTÁSA LSDT Nem alkalmazható Nem alkalmazható
SERVER BÁRMELYIK EVENT SESSION ENGEDÉLY MÓDOSÍTÁSA EES Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY EVENT SESSION BEÁLLÍTÁS MÓDOSÍTÁSA LESO Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY KAPCSOLT KISZOLGÁLÓ MÓDOSÍTÁSA ALLS Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY LOGIN MÓDOSÍTÁSA ALLG Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY SERVER AUDIT MÓDOSÍTÁSA ALAA Nem alkalmazható Nem alkalmazható
SERVER BÁRMELY SERVER ROLE MÓDOSÍTÁSA ALSR Nem alkalmazható Nem alkalmazható
SERVER ERŐFORRÁSOK MÓDOSÍTÁSA ALRS Nem alkalmazható Nem alkalmazható
SERVER A KISZOLGÁLÓ ÁLLAPOTÁNAK MÓDOSÍTÁSA ALSS Nem alkalmazható Nem alkalmazható
SERVER BEÁLLÍTÁSOK MÓDOSÍTÁSA ALST Nem alkalmazható Nem alkalmazható
SERVER VÁLTOZÁSKÖVETÉS ALTR Nem alkalmazható Nem alkalmazható
SERVER HITELESÍTÉSKISZOLGÁLÓ AUTH Nem alkalmazható Nem alkalmazható
SERVER CSATLAKOZTASSON BÁRMILYEN DATABASE CADB Nem alkalmazható Nem alkalmazható
SERVER SQL CSATLAKOZTATÁSA COSQ Nem alkalmazható Nem alkalmazható
SERVER VEZÉRLŐKISZOLGÁLÓ CL Nem alkalmazható Nem alkalmazható
SERVER HOZZON LÉTRE BÁRMIT DATABASE CRDB Nem alkalmazható Nem alkalmazható
SERVER CREATE AVAILABILITY GROUP CRAC Nem alkalmazható Nem alkalmazható
SERVER DDL LÉTREHOZÁSA EVENT NOTIFICATION CRDE Nem alkalmazható Nem alkalmazható
SERVER CREATE ENDPOINT CRHE Nem alkalmazható Nem alkalmazható
SERVER CREATE SERVER ROLE CRSR Nem alkalmazható Nem alkalmazható
SERVER Nyomkövetés létrehozása EVENT NOTIFICATION CRTE Nem alkalmazható Nem alkalmazható
SERVER KÜLSŐ HOZZÁFÉRÉS ASSEMBLY XA Nem alkalmazható Nem alkalmazható
SERVER MEGSZEMÉLYESÍTHET BÁRMELY LOGIN IAL Nem alkalmazható Nem alkalmazható
SERVER AZ ÖSSZES USER BIZTOSÍTHATÓ ELEM KIVÁLASZTÁSA SUS Nem alkalmazható Nem alkalmazható
SERVER SHUTDOWN SHDN Nem alkalmazható Nem alkalmazható
SERVER NEM BIZTONSÁGOS ASSEMBLY XU Nem alkalmazható Nem alkalmazható
SERVER VIEW BÁRMELYIK DATABASE VWDB Nem alkalmazható Nem alkalmazható
SERVER VIEW TETSZŐLEGES DEFINÍCIÓ VWAD Nem alkalmazható Nem alkalmazható
SERVER VIEW KISZOLGÁLÓ ÁLLAPOTA VWSS Nem alkalmazható Nem alkalmazható
SERVER ROLE ALTER AL SERVER BÁRMELY SERVER ROLE MÓDOSÍTÁSA
SERVER ROLE CONTROL CL SERVER VEZÉRLŐKISZOLGÁLÓ
SERVER ROLE VEGYÉK ÁT A TULAJDONJOGOT TO SERVER VEZÉRLŐKISZOLGÁLÓ
SERVER ROLE VIEW MEGHATÁROZÁS VW SERVER VIEW TETSZŐLEGES DEFINÍCIÓ
SERVICE ALTER AL DATABASE BÁRMELY SERVICE MÓDOSÍTÁSA
SERVICE CONTROL CL DATABASE CONTROL
SERVICE SEND SN DATABASE CONTROL
SERVICE VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
SERVICE VIEW DEFINÍCIÓ VW DATABASE VIEW MEGHATÁROZÁS
SYMMETRIC KEY ALTER AL DATABASE BÁRMELY SYMMETRIC KEY MÓDOSÍTÁSA
SYMMETRIC KEY CONTROL CL DATABASE CONTROL
SYMMETRIC KEY REFERENCES RF DATABASE REFERENCES
SYMMETRIC KEY VEGYÉK ÁT A TULAJDONJOGOT TO DATABASE CONTROL
SYMMETRIC KEY VIEW MEGHATÁROZÁS VW DATABASE VIEW DEFINÍCIÓ
TYPE CONTROL CL SCHEMA CONTROL
TYPE EXECUTE EX SCHEMA EXECUTE
TYPE REFERENCES RF SCHEMA REFERENCES
TYPE VEGYÉK ÁT A TULAJDONJOGOT TO SCHEMA CONTROL
TYPE VIEW DEFINÍCIÓ VW SCHEMA VIEW MEGHATÁROZÁS
USER ALTER AL DATABASE BÁRMELY USER MÓDOSÍTÁSA
USER CONTROL CL DATABASE CONTROL
USER IMPERSONATE IM DATABASE CONTROL
USER VIEW MEGHATÁROZÁS VW DATABASE VIEW MEGHATÁROZÁS
XML SCHEMA COLLECTION ALTER AL SCHEMA ALTER
XML SCHEMA COLLECTION CONTROL CL SCHEMA CONTROL
XML SCHEMA COLLECTION EXECUTE EX SCHEMA EXECUTE
XML SCHEMA COLLECTION REFERENCES RF SCHEMA REFERENCES
XML SCHEMA COLLECTION VEGYÉK ÁT A TULAJDONJOGOT TO SCHEMA CONTROL
XML SCHEMA COLLECTION VIEW MEGHATÁROZÁS VW SCHEMA VIEW DEFINÍCIÓ

Új részletes engedélyek hozzáadva az SQL Server 2022-hez

Az SQL Server 2022 a következő engedélyekkel bővül:

  • 10 új engedély lett hozzáadva a rendszer metaadataihoz való hozzáférés engedélyezéséhez.

  • 18 új engedély lett hozzáadva a kiterjesztett eseményekhez.

  • 9 új engedély lett hozzáadva a biztonsággal kapcsolatos objektumokhoz.

  • 4 engedély lett hozzáadva a Ledgerhez.

  • 3 további adatbázis-engedély.

További információ: Az SQL Server 2022 és az Azure SQL új részletes engedélyei a PoLP betartásának javítása érdekében.

Hozzáférés a rendszer metaadat-engedélyéhez

Kiszolgálószint:

  • VIEW BÁRMELY BIZTONSÁGI DEFINÍCIÓ
  • VIEW BÁRMELY TELJESÍTMÉNYDEFINÍCIÓ
  • VIEW KISZOLGÁLÓ BIZTONSÁGI ÁLLAPOTA
  • VIEW KISZOLGÁLÓ TELJESÍTMÉNYÁLLAPOTA
  • VIEW BÁRMELY KRIPTOGRÁFIAILAG BIZTONSÁGOS DEFINÍCIÓ

Adatbázis szintje:

  • VIEW DATABASE BIZTONSÁGI ÁLLAPOT
  • VIEW DATABASE TELJESÍTMÉNYÁLLAPOT
  • VIEW BIZTONSÁGI DEFINÍCIÓ
  • VIEW TELJESÍTMÉNYDEFINÍCIÓ
  • VIEW KRIPTOGRÁFIAILAG BIZTONSÁGOS DEFINÍCIÓ

Bővített események engedélyei

Kiszolgálószint:

  • HOZZON LÉTRE BÁRMIT EVENT SESSION
  • Húzzon ide bármit EVENT SESSION
  • BÁRMELY EVENT SESSION BEÁLLÍTÁS MÓDOSÍTÁSA
  • BÁRMELY EVENT SESSION HOZZÁADÁSI ESEMÉNY MÓDOSÍTÁSA
  • BÁRMELY EVENT SESSION DROP EVENT MÓDOSÍTÁSA
  • BÁRMELYIK EVENT SESSION ENGEDÉLY MÓDOSÍTÁSA
  • BÁRMELYIK EVENT SESSION LETILTÁSÁNAK MÓDOSÍTÁSA
  • BÁRMELY EVENT SESSION HOZZÁADÁSI CÉL MÓDOSÍTÁSA
  • BÁRMELY EVENT SESSION ELDOBÁSI CÉL MÓDOSÍTÁSA

Mindegyik engedély ugyanazon szülő-engedély alatt áll: ALTER ANY EVENT SESSION

Adatbázis szintje:

  • HOZZON LÉTRE BÁRMILYET DATABASEEVENT SESSION
  • EJTSEN IDE BÁRMIT DATABASEEVENT SESSION
  • MÓDOSÍTSA BÁRMELY DATABASEEVENT SESSION BEÁLLÍTÁST
  • BÁRMELY HOZZÁADÁSI DATABASEEVENT SESSION ESEMÉNY MÓDOSÍTÁSA
  • BÁRMELY DATABASEEVENT SESSION DROP ESEMÉNY MÓDOSÍTÁSA
  • BÁRMELY DATABASEEVENT SESSION ENGEDÉLYEZÉS MÓDOSÍTÁSA
  • BÁRMELY DATABASEEVENT SESSION LETILTÁS MÓDOSÍTÁSA
  • BÁRMELY HOZZÁADÁSI DATABASEEVENT SESSION CÉL MÓDOSÍTÁSA
  • BÁRMELY DATABASEEVENT SESSION DROP TARGET MÓDOSÍTÁSA

Ezek az engedélyek mind azonos szülő-engedély alatt állnak: ALTER ANY DATABASEEVENT SESSION

  • VEZÉRLŐ (CREDENTIAL)
  • CREATE LOGIN
  • CREATE USER
  • HIVATKOZÁSOK (CREDENTIAL)
  • MASZK FELTÁRÁSA (OBJEKTUM)
  • UNMASK (SCHEMA)
  • VIEW BÁRMILYEN HIBANAPLÓ
  • VIEW KISZOLGÁLÓ BIZTONSÁGI AUDIT
  • VIEW DATABASE BIZTONSÁGI AUDIT

Főkönyv engedélyek

  • ALTER LEDGER
  • A FŐKÖNYV KONFIGURÁCIÓJÁNAK MÓDOSÍTÁSA
  • FŐKÖNYV ENGEDÉLYEZÉSE
  • VIEW FŐKÖNYV TARTALMA

Egyéb adatbázis-engedélyek

  • BÁRMELY KÜLSŐ MUNKA MEGVÁLTOZTATÁSA
  • BÁRMELY KÜLSŐ ADATFOLYAM MÓDOSÍTÁSA
  • BÁRMELY KÜLSŐ MŰVELET VÉGREHAJTÁSA ENDPOINT

Az engedély-ellenőrzési algoritmus összegzése

Az engedélyek ellenőrzése összetett lehet. Az engedély-ellenőrzési algoritmus magában foglalja az átfedésben lévő csoporttagságokat és a tulajdonosi láncolást, mind az explicit, mind az implicit engedélyeket, és hatással lehet a biztonságos entitást tartalmazó biztonságos osztályokra vonatkozó engedélyekre. Az algoritmus általános folyamata az összes vonatkozó engedély összegyűjtése. Ha nem található blokkolás DENY , az algoritmus megkeres egy GRANT megfelelő hozzáférést biztosítót. Az algoritmus három alapvető elemet tartalmaz, a biztonsági környezetet, az engedélyterületet és a szükséges engedélyeket.

Note

Nem adhat, tagadhat meg vagy vonhat vissza engedélyeket az saentitás tulajdonosánakdbo, information_schemasysilletve saját magának.

  • Biztonsági környezet

    Ez azoknak a tagoknak a csoportja, amelyek engedélyekkel járulnak hozzá a hozzáférés-ellenőrzéshez. Ezek az engedélyek az aktuális bejelentkezéshez vagy felhasználóhoz kapcsolódnak, kivéve, ha a biztonsági környezetet egy másik bejelentkezésre vagy felhasználóra módosították az EXECUTE AS utasítás használatával. A biztonsági környezet a következő tagokat tartalmazza:

    • A bejelentkezés

    • A felhasználó

    • Szerepkör-tagságok

    • Windows-csoporttagságok

    • Modulaláírás használata esetén a felhasználó által jelenleg futtatott modul aláírásához használt tanúsítványhoz tartozó bármely bejelentkezési vagy felhasználói fiók, valamint az adott taghoz tartozó szerepkör-tagságok.

  • Engedélyterület

    Ez a védhető entitás és minden olyan védhető osztály, amely tartalmazza azt. Egy táblát (egy biztonságos entitást) például a séma biztonságossá tételi osztálya és az adatbázis biztonságos osztálya tartalmaz. A hozzáférést tábla-, séma-, adatbázis- és kiszolgálószintű engedélyek befolyásolhatják. További információ: Engedélyhierarchia (adatbázismotor).

  • Szükséges engedély

    A szükséges engedély típusa. Például INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL és így tovább.

    A hozzáféréshez több engedélyre is szükség lehet, ahogy az alábbi példákban is látható:

    • Egy tárolt eljáráshoz szükség lehet egyrészt a tárolt eljárásra vonatkozó EXECUTE engedélyre, másrészt a tárolt eljárás által hivatkozott több táblára vonatkozó INSERT engedélyre.

    • Egy dinamikus felügyeleti nézethez a VIEW SERVER STATE és a nézetre vonatkozó SELECT engedély egyaránt szükséges lehet.

Az algoritmus általános lépései

Amikor az algoritmus meghatározza, hogy engedélyezi-e a hozzáférést egy védhető objektumhoz, az általa használt pontos lépések a résztvevő szereplőktől és a védhető objektumoktól függően változhatnak. Az algoritmus azonban a következő általános lépéseket hajtja végre:

  1. Az engedélyellenőrzés megkerülésével ellenőrizze, hogy a bejelentkezés a sysadmin rögzített kiszolgálói szerepkör tagja-e, vagy ha a felhasználó az aktuális adatbázis dbo-felhasználója.

  2. Hozzáférés engedélyezése, ha a tulajdonjogi láncolás alkalmazható, és a lánc korábbi objektumának hozzáférés-ellenőrzése megfelelt a biztonsági ellenőrzésnek.

  3. Összesíti a hívóhoz társított kiszolgálószintű, adatbázisszintű és aláírt modul-identitásokat a biztonsági környezet létrehozásához.

  4. Ehhez a biztonsági környezethez gyűjtse össze az engedélyterülethez megadott vagy elutasított engedélyeket. Az engedély kifejezetten megadható így: GRANT, GRANT VAL együtt GRANT, vagy DENY; illetve az engedély lehet hallgatólagos vagy kiterjesztő engedély: GRANT vagy DENY. Például a séma CONTROL jogosultsága azt vonja maga után, hogy egy táblán is van CONTROL jogosultság. A táblán a CONTROL pedig a SELECT elemet jelenti. Ezért ha a séma CONTROL tulajdonsága meg lett adva, a rendszer a SELECT lehetőséget adja meg a táblában. Ha a CONTROL megtagadva lett a táblában, a rendszer megtagadja a SELECT lehetőséget a táblában.

    Note

    Egy GRANT oszlopszintű engedély felülbírál egy DENY objektumszinten. További információ: DENY Objektumengedélyek.

  5. Azonosítsa a szükséges engedélyt.

  6. Sikertelen az engedélyellenőrzés, ha a szükséges engedély közvetlenül vagy implicit módon megtagadva van-e az engedélytérben lévő objektumok biztonsági környezetében lévő identitások bármelyike számára.

  7. Az engedélyellenőrzés sikeres, ha a szükséges engedélyt nem tagadták meg, és a szükséges engedély közvetlenül vagy implicit módon bármely, a biztonsági környezetben lévő identitásra bármely, a engedélytérben lévő objektum esetében tartalmaz egy GRANT vagy egy GRANT és GRANT engedélyt.

Az oszlopszintű engedélyek speciális szempontjai

Az oszlopszintű engedélyek a table_name< (>oszlop _name<) szintaxissal> vannak megadva. Például:

GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;

A táblán lévő DENY beállítást felülírja az oszlopon lévő GRANT. Azonban a táblán végrehajtott későbbi DENY eltávolítja a GRANT oszlopot.

Examples

Az ebben a szakaszban szereplő példák bemutatják, hogyan kérhetők le az engedélyekkel kapcsolatos információk.

A. Adja vissza a megadható engedélyek teljes listáját

Az alábbi utasítás az fn_builtin_permissions függvény használatával visszaadja az adatbázismotor összes engedélyét. További információ: sys.fn_builtin_permissions.

SELECT * FROM fn_builtin_permissions(default);
GO

B. Adott objektumosztály engedélyeinek visszaadása

Az alábbi példa a kategóriához tartozó biztonsági objektumokhoz elérhető összes engedély megtekintésére használja a fn_builtin_permissions-t. A példa visszaadja az assembly-k engedélyeit.

SELECT * FROM fn_builtin_permissions('assembly');
GO

C. Adja vissza a végrehajtó tagnak adott engedélyeket egy objektumon

Az alábbi példa a fn_my_permissions segítségével visszaadja a hívó szerepkör által egy adott védett objektumon birtokolt érvényes engedélyek listáját. A példa egy nevű Orders55objektum engedélyeit adja vissza. További információ: sys.fn_my_permissions.

SELECT * FROM fn_my_permissions('Orders55', 'object');
GO

D. Adott objektumra vonatkozó engedélyek visszaadása

Az alábbi példa egy úgynevezett Yttriumobjektumra vonatkozó engedélyeket ad vissza. A beépített függvény OBJECT_ID az objektum Yttriumazonosítójának lekérésére szolgál.

SELECT * FROM sys.database_permissions
    WHERE major_id = OBJECT_ID('Yttrium');
GO