İzinler (Veritabanı Motoru)

Şunlar için geçerlidir:SQL ServerAzure SQL VeritabanıAzure SQL Yönetilen ÖrneğiAzure Synapse AnalyticsAnaliz Platformu Sistemi (PDW)Microsoft Fabric'teki SQL analiz uç noktasıMicrosoft Fabric'teki ambarMicrosoft Fabric'teki SQL veritabanı

Güvenliği sağlanabilir her SQL Server, sorumluya verilebilen ilişkili izinlere sahiptir. Veritabanı Altyapısı'ndaki izinler, oturum açma bilgilerine ve sunucu rollerine atanan sunucu düzeyinde ve veritabanı kullanıcılarına ve veritabanı rollerine atanan veritabanı düzeyinde yönetilir. Azure SQL Veritabanı modeli, veritabanı izinleri için aynı sisteme sahiptir, ancak sunucu düzeyi izinleri kullanılamaz. Bu makale, izinlerin tam listesini içerir. İzinlerin tipik bir uygulaması için bkz. Veritabanı Altyapısı izinlerini kullanmaya başlama.

SQL Server 2022 (16.x) için toplam izin sayısı 292'dir. Azure SQL Veritabanı 292 izni kullanıma sunar. çoğu izin tüm platformlar için geçerlidir, ancak bazıları uygulanmaz. Örneğin, sunucu düzeyindeki izinlerin çoğu Azure SQL Veritabanı'nda verilemiyor ve birkaç izin yalnızca Azure SQL Veritabanı'nda anlamlıdır. Yeni sürümlerle birlikte yeni izinler aşamalı olarak kullanıma sunuluyor. SQL Server 2019 (15.x), 248 izni kullanıma sunar. SQL Server 2017 (14.x), 238 izni kullanıma sundu. SQL Server 2016 (13.x) 230 izni açığa çıkardı. SQL Server 2014 (12.x) 219 izin sağladı. SQL Server 2012 (11.x), 214 izin sundu. SQL Server 2008 R2 (10.50.x) 195 izin kullanıma sunuldu. sys.fn_builtin_permissions makale, son sürümlerde hangi izinlerin yeni olduğunu belirtir.

Microsoft Fabric'teki SQL veritabanında yalnızca veritabanı düzeyindeki kullanıcılar ve roller desteklenir. Sunucu düzeyinde oturum açma, roller ve sa hesap kullanılamaz. Microsoft Fabric'teki SQL veritabanında, veritabanı kullanıcıları için Microsoft Entra Id desteklenen tek kimlik doğrulama yöntemidir. Daha fazla bilgi için bkz. Microsoft Fabric SQL veritabanında yetkilendirme.

Gerekli izinleri anladıktan sonra, , GRANTve REVOKE deyimlerini kullanarak DENYoturum açma bilgilerine veya sunucu rollerine sunucu düzeyinde izinler ve kullanıcılara veya veritabanı rollerine veritabanı düzeyi izinleri uygulayabilirsiniz. Örneğin:

GRANT SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;
REVOKE SELECT ON SCHEMA::HumanResources TO role_HumanResourcesDept;

İzin sistemini planlama hakkında ipuçları için bkz. Veritabanı Altyapısı izinlerini kullanmaya başlama.

İzin adlandırma kuralları

Adlandırma izinleri için izlenen genel kurallar aşağıda açıklanmaktadır:

  • CONTROL

    Sahiplik benzeri yetkileri hibe edene verir. Onaylanan, korumalı nesne üzerinde tüm tanımlı izinlere fiilen sahiptir. CONTROL yetkisi verilen bir kullanıcı, güvenlik nesneleri üzerinde izinler de verebilir. SQL Server güvenlik modeli hiyerarşik olduğundan, belirli bir kapsamdaki CONTROL, bu kapsam altındaki tüm güvenli hale getirilebilir öğelerde CONTROL'i örtük olarak içerir. Örneğin, veritabanındaKI CONTROL, veritabanındaki tüm izinleri, veritabanındaki tüm derlemelerdeki tüm izinleri, veritabanındaki tüm şemalardaki tüm izinleri ve veritabanındaki tüm şemalardaki nesneler üzerindeki tüm izinleri ifade eder.

  • ALTER

    Belirli bir güvenlik nesnesinin sahipliği haricindeki özelliklerini değiştirme yetkisi verir. Bir kapsamda verildiğinde, ALTER ayrıca o kapsamda yer alan herhangi bir güvenlik nesnesini değiştirme, oluşturma veya silme yeteneğini de sağlar. Örneğin, şemadaki ALTER izni şemadan nesne oluşturma, değiştirme ve bırakma özelliğini içerir.

  • HERHANGİ BİR <Sunucu Güvenlik Nesnesini Değiştir,> burada Sunucu Güvenlik Nesnesi herhangi bir sunucunun güvenlik nesnesi olabilir.

    Sunucu Güvenliği Sağlanabilir'in tek tek örneklerini oluşturma, değiştirme veya bırakma özelliğini sağlar. Örneğin ALTER ANY LOGIN , örnekte herhangi bir oturum açma bilgisi oluşturma, değiştirme veya bırakma olanağını ortaya atar.

  • < Veritabanı Güvenlik Nesnesi>'ni DEĞIŞTIRME, burada Veritabanı Güvenlik Nesnesi veritabanı düzeyinde herhangi bir güvenlik nesnesi olabilir.

    Veritabanı Güvenliği Öğesi'nin tek tek örneklerini OLUŞTURMA, DEĞIŞTIRME veya SILME yeteneğini sağlar. Örneğin ALTER ANY SCHEMA , veritabanında herhangi bir şema oluşturma, değiştirme veya bırakma olanağını ortaya atar.

  • Sahipliği devral

    Hibeyi verenin, kendisine verilen güvenli hale getirilebilir öğesinin sahipliğini almasını sağlar.

  • BAŞKASI ADINA GİRİŞ <Oturum Açma>

    Yetki verilen kişiyi oturum açma kimliğine bürünmesini sağlar.

  • < Kullanıcı> Kimliğine Bürün

    Verenin kullanıcının kimliğine bürünmesini sağlar.

  • CREATE <Server Securable>

    Verene Sunucu Güvenli Hale Getirilebilir oluşturma yeteneğini bahşeder.

  • CREATE <Veritabanı Güvenliği Sağlanabilir>

    Kayda, Veritabanı Güvenlik Nesnesi oluşturma yeteneği verir.

  • CREATE Şema İçeren Güvenlik Öğesi <>

    Şemayla kapsanan güvenli hale getirilebilir öğeyi oluşturma olanağını gösterir. Ancak, belirli bir şemada güvenlik nesnesi oluşturmak için şema üzerinde ALTER izni gereklidir.

  • VIEW TANIMI

    Onay verenin meta verilere erişmesini sağlar.

  • REFERENCES

    Bir tablodaki REFERANS izni, o tabloyu referans alan bir FOREIGN KEY kısıtlaması oluşturmak için gereklidir.

    Bu nesneye başvuran WITH SCHEMABINDING ifadesiyle bir FUNCTION veya VIEW oluşturmak için, nesne üzerinde REFERENCES izni gerekir.

SQL Server izinlerinin grafiği

Aşağıdaki görüntüde izinler ve birbirleriyle ilişkileri gösterilmektedir. Üst düzey izinlerden bazıları (CONTROL SERVERgibi) birçok kez listelenir. Bu makalede poster okunamayacak kadar küçük. Tam boyutlu Veritabanı Altyapısı İzinleri Posteri PDF biçiminde indirebilirsiniz.

Veritabanı Altyapısı izinleri PDF'sinin ekran görüntüsü.

Belirli güvenli hale getirilebilir öğeler için geçerli izinler

Aşağıdaki tabloda, ana izin sınıfları ve uygulanabilecekleri güvenlik nesneleri listelenmiştir.

Permission Şunlar için geçerlidir:
ALTER TYPE dışındaki tüm nesne sınıfları.
CONTROL Tüm nesne sınıfları:

AGGREGATE,
APPLICATION ROLE,
ASSEMBLY,
ASYMMETRIC KEY,
AVAILABILITY GROUP,
CERTIFICATE,
CONTRACT,
CREDENTIALS,
DATABASE,
DATABASE SCOPED CREDENTIAL,
DEFAULT,
ENDPOINT,
FULLTEXT CATALOG,
FULLTEXT STOPLIST,
FUNCTION,
LOGIN,
MESSAGE TYPE,
PROCEDURE,
QUEUE,
REMOTE SERVICE BINDING,
ROLE,
ROUTE,
RULE,
SCHEMA,
SEARCH PROPERTY LIST,
SERVER,
SERVER ROLE,
SERVICE,
SYMMETRIC KEY,
SYNONYM,
TABLE,
TYPE,
USER,
VIEW ve
XML SCHEMA COLLECTION
DELETE DATABASE SCOPED CONFIGURATION, SERVER ve TYPE dışındaki tüm nesne sınıfları.
EXECUTE CLR türleri, dış betikler, yordamlar (Transact-SQL ve CLR), skaler ve toplama işlevleri (Transact-SQL ve CLR) ve eş anlamlılar
IMPERSONATE Oturum açma bilgileri ve kullanıcılar
INSERT Eş anlamlılar, tablolar ve sütunlar, görünümler ve sütunlar. veritabanı, şema veya nesne düzeyinde izin verilebilir.
RECEIVE Hizmet Aracısı kuyrukları
REFERENCES AGGREGATE,
ASSEMBLY,
ASYMMETRIC KEY,
CERTIFICATE,
CONTRACT,
CREDENTIAL(SQL Server 2022 (16.x) ve üzeri için geçerlidir),
DATABASE,
DATABASE SCOPED CREDENTIAL,
FULLTEXT CATALOG,
FULLTEXT STOPLIST,
FUNCTION,
MESSAGE TYPE,
PROCEDURE,
QUEUE,
RULE,
SCHEMA,
SEARCH PROPERTY LIST,
SEQUENCE NESNE,
SYMMETRIC KEY,
TABLE,
TYPE,
VIEW ve
XML SCHEMA COLLECTION
SELECT Eş anlamlılar, tablolar ve sütunlar, görünümler ve sütunlar. veritabanı, şema veya nesne düzeyinde izin verilebilir.
SAHIPLENMEK DATABASE SCOPED CONFIGURATION, LOGIN, SERVER ve USER dışındaki tüm nesne sınıfları.
UPDATE Eş anlamlılar, tablolar ve sütunlar, görünümler ve sütunlar. veritabanı, şema veya nesne düzeyinde izin verilebilir.
VIEW DEĞIŞIKLIK IZLEME Şemalar ve tablolar
VIEW TANIMI DATABASE SCOPED CONFIGURATION ve SERVER hariç tüm nesne sınıfları.

Caution

Kurulum sırasında sistem nesnelerine verilen varsayılan izinler olası tehditlere karşı dikkatle değerlendirilir ve SQL Server yüklemesini sağlamlaştırmanın bir parçası olarak değiştirilmez. Sistem nesneleri üzerindeki izinlerde yapılan tüm değişiklikler işlevselliği sınırlayabilir veya bozabilir ve SQL Server yüklemenizi desteklenmeyen bir durumda bırakabilir.

SQL Server izinleri

Aşağıdaki tabloda SQL Server izinlerinin tam listesi sağlanmaktadır. Azure SQL Veritabanı izinleri yalnızca desteklenen temel güvenli hale getirilebilir öğeler için kullanılabilir. Azure SQL Veritabanı'nda sunucu düzeyinde izinler verilemiyor, ancak bazı durumlarda bunun yerine veritabanı izinleri kullanılabilir.

Temel güvenli hale getirilebilir Temel güvenlik unsuru üzerinde ayrıntılı izinler İzin türü kodu Temel güvenlik öğesini içeren güvenlik öğesi Baz güvenlik nesnesi üzerinde ayrıntılı izinleri ima eden kapsayıcı güvenlik nesnesi izni
APPLICATION ROLE ALTER AL DATABASE HERHANGI BIR APPLICATION ROLE DEĞIŞTIRME
APPLICATION ROLE CONTROL CL DATABASE CONTROL
APPLICATION ROLE VIEW TANIMI VW DATABASE VIEW TANIMI
ASSEMBLY ALTER AL DATABASE HERHANGI BIR ASSEMBLY DEĞIŞTIRME
ASSEMBLY CONTROL CL DATABASE CONTROL
ASSEMBLY REFERENCES RF DATABASE REFERENCES
ASSEMBLY Sahiplenin TO DATABASE CONTROL
ASSEMBLY VIEW TANIMI VW DATABASE VIEW TANIMI
ASYMMETRIC KEY ALTER AL DATABASE HERHANGI BIR ASYMMETRIC KEY DEĞIŞTIRME
ASYMMETRIC KEY CONTROL CL DATABASE CONTROL
ASYMMETRIC KEY REFERENCES RF DATABASE REFERENCES
ASYMMETRIC KEY SORUMLULUK AL TO DATABASE CONTROL
ASYMMETRIC KEY VIEW TANIMI VW DATABASE VIEW TANIMI
AVAILABILITY GROUP ALTER AL SERVER HERHANGI BIR AVAILABILITY GROUP DEĞIŞTIRME
AVAILABILITY GROUP CONTROL CL SERVER KONTROL SUNUCUSU
AVAILABILITY GROUP SAHIPLENMEK TO SERVER KONTROL SUNUCUSU
AVAILABILITY GROUP VIEW TANIMI VW SERVER VIEW HERHANGİ BİR TANIM
CERTIFICATE ALTER AL DATABASE HERHANGI BIR CERTIFICATE DEĞIŞTIRME
CERTIFICATE CONTROL CL DATABASE CONTROL
CERTIFICATE REFERENCES RF DATABASE REFERENCES
CERTIFICATE SAHIPLENMEK TO DATABASE CONTROL
CERTIFICATE VIEW TANIMI VW DATABASE VIEW TANIMI
CONTRACT ALTER AL DATABASE HERHANGI BIR CONTRACT DEĞIŞTIRME
CONTRACT CONTROL CL DATABASE CONTROL
CONTRACT REFERENCES RF DATABASE REFERENCES
CONTRACT Sahipliği devral TO DATABASE CONTROL
CONTRACT VIEW TANIMI VW DATABASE VIEW TANIMI
CREDENTIAL CONTROL CL SERVER KONTROL SUNUCUSU
CREDENTIAL REFERENCES RF SERVER HERHANGI BIR CREDENTIAL DEĞIŞTIRME
DATABASE TOPLU İŞLEMLERI YÖNETME DATABASE DABO SERVER KONTROL SUNUCUSU
DATABASE ALTER AL SERVER HERHANGI BIR DATABASE DEĞIŞTIRME
DATABASE HERHANGI BIR APPLICATION ROLE DEĞIŞTIRME ALAR SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR ASSEMBLY DEĞIŞTIRME ALAS SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR ASYMMETRIC KEY DEĞIŞTIRME ALAK SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR CERTIFICATE DEĞIŞTIRME ALCF SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR COLUMN ENCRYPTION KEY DEĞIŞTIRME ALCK

SQL Server (SQL Server 2016 (13.x) ve sonrası), Azure SQL Veritabanı için geçerlidir.
SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR COLUMN MASTER KEY DEĞIŞTIRME ALCM

SQL Server (SQL Server 2016 (13.x) ve sonrası), Azure SQL Veritabanı için geçerlidir.
SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR CONTRACT DEĞIŞTIRME ALSC SERVER KONTROL SUNUCUSU
DATABASE HER TÜRLÜ DATABASE DENETIMI DEĞIŞTIRME ALDA SERVER HERHANGI BIR SERVER AUDIT DEĞIŞTIRME
DATABASE HERHANGİ BİR DATABASE DDL’Yİ TRIGGER DEĞİŞTİRME ALTG SERVER KONTROL SUNUCUSU
DATABASE HERHANGİ BİRİNİ DEĞİŞTİR DATABASEEVENT NOTIFICATION ALED SERVER HERHANGI BIR EVENT NOTIFICATION DEĞIŞTIRME
DATABASE HERHANGİ BİRİNİ DEĞİŞTİR DATABASEEVENT SESSION AADS SERVER HERHANGI BIR EVENT SESSION DEĞIŞTIRME
DATABASE HERHANGİ BİR DATABASEEVENT SESSION EKLE OLAYINI DEĞİŞTİR LDAE SERVER HERHANGİ BİR EVENT SESSION EKLEME OLAYINI DEĞİŞTİR
DATABASE HERHANGİ BİR DATABASEEVENT SESSION HEDEF EKLEMEYİ DEĞİŞTİRME LDAT SERVER HERHANGİ BİR EVENT SESSION EKLEME HEDEFİNİ DEĞİŞTİRME
DATABASE HERHANGİ Bİr DATABASEEVENT SESSION DEVRE DIŞINI DEĞIŞTIRME DDES SERVER HERHANGİ Bİr EVENT SESSION DEVRE DIŞINI DEĞIŞTIRME
DATABASE HERHANGİ BİR DATABASEEVENT SESSION DROP EVENT’İ DEĞİŞTİR LDDE SERVER HERHANGİ BİR EVENT SESSION DROP EVENT DEĞİŞTİRME
DATABASE Herhangi bir DATABASEEVENT SESSION bırakma hedefini değiştir LDDT SERVER HERHANGİ BİR EVENT SESSION BIRAKMA HEDEFİNİ DEĞİŞTİR
DATABASE HERHANGİ BİR DATABASEEVENT SESSION DEĞİŞTİR ETKİNLEŞTİR EDES SERVER HERHANGİ Bİr EVENT SESSION ETKİnLEŞTİr
DATABASE HERHANGI BIR DATABASEEVENT SESSION SEÇENEĞI DEĞIŞTIRME LDSO SERVER HERHANGI BIR EVENT SESSION SEÇENEĞI DEĞIŞTIRME
DATABASE HERHANGI BIR DATABASE SCOPED CONFIGURATION DEĞIŞTIRME ALDC

SQL Server (SQL Server 2016 (13.x) ve sonrası), Azure SQL Veritabanı için geçerlidir.
SERVER KONTROL SUNUCUSU
DATABASE TÜM DATASPACE'LERI DEĞIŞTIRME ALDS SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR EXTERNAL DATA SOURCE DEĞIŞTIRME AEDS SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR EXTERNAL FILE FORMAT DEĞIŞTIRME AEFF SERVER KONTROL SUNUCUSU
DATABASE HARICI HERHANGİ BİR GÖREVİ DEĞİŞTİR AESJ SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR EXTERNAL LANGUAGE DEĞIŞTIRME ALLA SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR EXTERNAL LIBRARY DEĞIŞTIRME ALEL SERVER KONTROL SUNUCUSU
DATABASE TÜM DıŞ AKıŞLARı DEĞIŞTIRME AEST SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR FULLTEXT CATALOG DEĞIŞTIRME ALFT SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR MASKEYI DEĞIŞTIRME AAMK

SQL Server (SQL Server 2016 (13.x) ve sonrası), Azure SQL Veritabanı için geçerlidir.
SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR MESSAGE TYPE DEĞIŞTIRME ALMT SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR REMOTE SERVICE BINDING DEĞIŞTIRME ALSB SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR ROLE DEĞIŞTIRME ALRL SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR ROUTE DEĞIŞTIRME ALRT SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR SCHEMA DEĞIŞTIRME ALSM SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR SECURITY POLICY DEĞIŞTIRME ALSP

SQL Server (SQL Server 2016 (13.x) ve sonrası), Azure SQL Veritabanı için geçerlidir.
SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR SENSITIVITY CLASSIFICATION DEĞIŞTIRME AASC
SQL Server (SQL Server 2019 (15.x) ve üzeri), Azure SQL Veritabanı için geçerlidir.
SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR SERVICE DEĞIŞTIRME ALSV SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR SYMMETRIC KEY DEĞIŞTIRME ALSK SERVER KONTROL SUNUCUSU
DATABASE HERHANGI BIR USER DEĞIŞTIRME ALUS SERVER KONTROL SUNUCUSU
DATABASE DEFTERİ DEĞİŞTİR ALR SERVER CONTROL
DATABASE KAYıT DEFTERI YAPıLANDıRMASıNı DEĞIŞTIRME ALC SERVER KONTROL SUNUCUSU
DATABASE AUTHENTICATE AUTH SERVER KIMLIK DOĞRULAMA SUNUCU
DATABASE BACKUP DATABASE BADB SERVER KONTROL SUNUCUSU
DATABASE BACKUP GÜNLÜK BALO SERVER KONTROL SUNUCUSU
DATABASE CHECKPOINT CP SERVER KONTROL SUNUCUSU
DATABASE CONNECT CO SERVER KONTROL SUNUCUSU
DATABASE ÇOĞALTMA BAĞLANTI CORP SERVER KONTROL SUNUCUSU
DATABASE CONTROL CL SERVER KONTROL SUNUCUSU
DATABASE CREATE AGGREGATE CRAG SERVER KONTROL SUNUCUSU
DATABASE HERHANGİ Bİrİ OLUŞTURUN DATABASEEVENT SESSION CRDS SERVER HERHANGİ Bİrİ OLUŞTURUN EVENT SESSION
DATABASE CREATE ASSEMBLY CRAS SERVER KONTROL SUNUCUSU
DATABASE CREATE ASYMMETRIC KEY CRAK SERVER KONTROL SUNUCUSU
DATABASE CREATE CERTIFICATE CRCF SERVER KONTROL SUNUCUSU
DATABASE CREATE CONTRACT CRSC SERVER KONTROL SUNUCUSU
DATABASE CREATE DATABASE CRDB SERVER HERHANGİ Bİrİ OLUŞTURUN DATABASE
DATABASE CREATE DATABASE DDL EVENT NOTIFICATION CRED SERVER DDL Oluştur EVENT NOTIFICATION
DATABASE CREATE DEFAULT CRDF SERVER KONTROL SUNUCUSU
DATABASE CREATE EXTERNAL LANGUAGE CRLA SERVER KONTROL SUNUCUSU
DATABASE CREATE EXTERNAL LIBRARY CREL SERVER KONTROL SUNUCUSU
DATABASE CREATE FULLTEXT CATALOG CRFT SERVER KONTROL SUNUCUSU
DATABASE CREATE FUNCTION CRFN SERVER KONTROL SUNUCUSU
DATABASE CREATE MESSAGE TYPE CRMT SERVER KONTROL SUNUCUSU
DATABASE CREATE PROCEDURE CRPR SERVER KONTROL SUNUCUSU
DATABASE CREATE QUEUE CRQU SERVER KONTROL SUNUCUSU
DATABASE CREATE REMOTE SERVICE BINDING CRSB SERVER KONTROL SUNUCUSU
DATABASE CREATE ROLE CRRL SERVER KONTROL SUNUCUSU
DATABASE CREATE ROUTE CRRT SERVER KONTROL SUNUCUSU
DATABASE CREATE RULE CRRU SERVER KONTROL SUNUCUSU
DATABASE CREATE SCHEMA CRSM SERVER KONTROL SUNUCUSU
DATABASE CREATE SERVICE CRSV SERVER KONTROL SUNUCUSU
DATABASE CREATE SYMMETRIC KEY CRSK SERVER KONTROL SUNUCUSU
DATABASE CREATE SYNONYM CRSN SERVER KONTROL SUNUCUSU
DATABASE CREATE TABLE CRTB SERVER KONTROL SUNUCUSU
DATABASE CREATE TYPE CRTY SERVER KONTROL SUNUCUSU
DATABASE CREATE USER CUSR SERVER KONTROL SUNUCUSU
DATABASE CREATE VIEW CRVW SERVER KONTROL SUNUCUSU
DATABASE CREATE XML SCHEMA COLLECTION CRXS SERVER KONTROL SUNUCUSU
DATABASE DELETE DL SERVER KONTROL SUNUCUSU
DATABASE HERHANGİ BİRİNİ BIRAKIN DATABASEEVENT SESSION DRDS SERVER HERHANGİ BİRİNİ BIRAKIN EVENT SESSION
DATABASE DEFTERİ ETKİNLEŞTİR EL SERVER CONTROL
DATABASE EXECUTE EX SERVER KONTROL SUNUCUSU
DATABASE HERHANGİ BİR HARİCİ ENDPOINT ÇALIŞTIR EAEE SERVER KONTROL SUNUCUSU
DATABASE HERHANGİ BİR DIŞ BETİĞİ ÇALIŞTIRMA EAES

Geçerli olan SQL Server (SQL Server 2016 (13.x) ve sonraki sürümler için geçerlidir).
SERVER KONTROL SUNUCUSU
DATABASE INSERT IN SERVER KONTROL SUNUCUSU
DATABASE BAĞLANTIYI DATABASE KES KIDC

Yalnızca Azure SQL Veritabanı için geçerlidir. SQL Server'da ALTER ANY CONNECTION komutunu kullanın.
SERVER TÜM BAĞLANTıLARı DEĞIŞTIRME
DATABASE REFERENCES RF SERVER KONTROL SUNUCUSU
DATABASE SELECT SL SERVER KONTROL SUNUCUSU
DATABASE SHOWPLAN SPLN SERVER ALTER İZİ
DATABASE Sorgu Bildirimlerine Abone Ol SUQN SERVER KONTROL SUNUCUSU
DATABASE Sahipliği devral TO SERVER KONTROL SUNUCUSU
DATABASE UNMASK UMSK

SQL Server (SQL Server 2016 (13.x) ve sonrası), Azure SQL Veritabanı için geçerlidir.
SERVER KONTROL SUNUCUSU
DATABASE UPDATE UP SERVER KONTROL SUNUCUSU
DATABASE VIEWTÜM TANIMLAR COLUMN ENCRYPTION KEY VWCK

SQL Server (SQL Server 2016 (13.x) ve sonrası), Azure SQL Veritabanı için geçerlidir.
SERVER VIEW SUNUCU DURUMU
DATABASE VIEWTÜM TANIMLAR COLUMN MASTER KEY VWCM

SQL Server (SQL Server 2016 (13.x) ve sonrası), Azure SQL Veritabanı için geçerlidir.
SERVER VIEW SUNUCU DURUMU
DATABASE VIEW HERHANGİ SENSITIVITY CLASSIFICATION VASC SERVER KONTROL SUNUCUSU
DATABASE VIEW KRIPTOGRAFIK OLARAK GÜVENLI TANıM VCD SERVER VIEW KRIPTOGRAFIK OLARAK GÜVENLI HERHANGI BIR TANıM
DATABASE VIEW DATABASE PERFORMANS DURUMU VDP SERVER VIEW SUNUCU PERFORMANS DURUMU
DATABASE VIEW DATABASE GÜVENLIK DENETIMI VDSA SERVER KONTROL SUNUCUSU
DATABASE VIEW DATABASE GÜVENLIK DURUMU VDS SERVER VIEW SUNUCU GÜVENLIK DURUMU
DATABASE VIEW DATABASE DURUM VWDS SERVER VIEW SUNUCU DURUMU
DATABASE VIEW TANIMI VW SERVER VIEW HERHANGİ BİR TANIM
DATABASE VIEW DEFTER İÇERİĞİ VLC SERVER CONTROL
DATABASE VIEW GÜVENLIK TANıMı VWS SERVER VIEW TÜM GÜVENLIK TANıMLARı
DATABASE VIEW PERFORMANS TANıMı VWP SERVER VIEW TÜM PERFORMANS TANıMLARı
DATABASE SCOPED CREDENTIAL ALTER AL DATABASE CONTROL
DATABASE SCOPED CREDENTIAL CONTROL CL DATABASE CONTROL
DATABASE SCOPED CREDENTIAL REFERENCES RF DATABASE REFERENCES
DATABASE SCOPED CREDENTIAL Sahipliği devral TO DATABASE CONTROL
DATABASE SCOPED CREDENTIAL VIEW TANIMI VW DATABASE VIEW TANIMI
ENDPOINT ALTER AL SERVER HERHANGI BIR ENDPOINT DEĞIŞTIRME
ENDPOINT CONNECT CO SERVER KONTROL SUNUCUSU
ENDPOINT CONTROL CL SERVER KONTROL SUNUCUSU
ENDPOINT Sahipliği devral TO SERVER KONTROL SUNUCUSU
ENDPOINT VIEW TANIMI VW SERVER VIEW HERHANGİ BİR TANIM
FULLTEXT CATALOG ALTER AL DATABASE HERHANGI BIR FULLTEXT CATALOG DEĞIŞTIRME
FULLTEXT CATALOG CONTROL CL DATABASE CONTROL
FULLTEXT CATALOG REFERENCES RF DATABASE REFERENCES
FULLTEXT CATALOG Sahipliği devral TO DATABASE CONTROL
FULLTEXT CATALOG VIEW TANIMI VW DATABASE VIEW TANIMI
FULLTEXT STOPLIST ALTER AL DATABASE HERHANGI BIR FULLTEXT CATALOG DEĞIŞTIRME
FULLTEXT STOPLIST CONTROL CL DATABASE CONTROL
FULLTEXT STOPLIST REFERENCES RF DATABASE REFERENCES
FULLTEXT STOPLIST Sahipliği devral TO DATABASE CONTROL
FULLTEXT STOPLIST VIEW TANIMI VW DATABASE VIEW TANIMI
LOGIN ALTER AL SERVER HERHANGI BIR LOGIN DEĞIŞTIRME
LOGIN CONTROL CL SERVER KONTROL SUNUCUSU
LOGIN IMPERSONATE IM SERVER KONTROL SUNUCUSU
LOGIN VIEW TANIMI VW SERVER VIEW HERHANGİ BİR TANIM
MESSAGE TYPE ALTER AL DATABASE HERHANGI BIR MESSAGE TYPE DEĞIŞTIRME
MESSAGE TYPE CONTROL CL DATABASE CONTROL
MESSAGE TYPE REFERENCES RF DATABASE REFERENCES
MESSAGE TYPE Sahipliği devral TO DATABASE CONTROL
MESSAGE TYPE VIEW TANIMI VW DATABASE VIEW TANIMI
OBJECT ALTER AL SCHEMA ALTER
OBJECT CONTROL CL SCHEMA CONTROL
OBJECT DELETE DL SCHEMA DELETE
OBJECT EXECUTE EX SCHEMA EXECUTE
OBJECT INSERT IN SCHEMA INSERT
OBJECT RECEIVE RC SCHEMA CONTROL
OBJECT REFERENCES RF SCHEMA REFERENCES
OBJECT SELECT SL SCHEMA SELECT
OBJECT Sahipliği devral TO SCHEMA CONTROL
OBJECT UNMASK UMSK SCHEMA UNMASK
OBJECT UPDATE UP SCHEMA UPDATE
OBJECT VIEW DEĞIŞIKLIK IZLEME VWCT SCHEMA VIEW DEĞIŞIKLIK IZLEME
OBJECT VIEW TANIMI VW SCHEMA VIEW TANIMI
REMOTE SERVICE BINDING ALTER AL DATABASE HERHANGI BIR REMOTE SERVICE BINDING DEĞIŞTIRME
REMOTE SERVICE BINDING CONTROL CL DATABASE CONTROL
REMOTE SERVICE BINDING Sahipliği devral TO DATABASE CONTROL
REMOTE SERVICE BINDING VIEW TANIMI VW DATABASE VIEW TANIMI
ROLE ALTER AL DATABASE HERHANGI BIR ROLE DEĞIŞTIRME
ROLE CONTROL CL DATABASE CONTROL
ROLE Sahipliği devral TO DATABASE CONTROL
ROLE VIEW TANIMI VW DATABASE VIEW TANIMI
ROUTE ALTER AL DATABASE HERHANGI BIR ROUTE DEĞIŞTIRME
ROUTE CONTROL CL DATABASE CONTROL
ROUTE Sahipliği devral TO DATABASE CONTROL
ROUTE VIEW TANIMI VW DATABASE VIEW TANIMI
SCHEMA ALTER AL DATABASE HERHANGI BIR SCHEMA DEĞIŞTIRME
SCHEMA CONTROL CL DATABASE CONTROL
SCHEMA CREATE SEQUENCE CRSO DATABASE CONTROL
SCHEMA DELETE DL DATABASE DELETE
SCHEMA EXECUTE EX DATABASE EXECUTE
SCHEMA INSERT IN DATABASE INSERT
SCHEMA REFERENCES RF DATABASE REFERENCES
SCHEMA SELECT SL DATABASE SELECT
SCHEMA Sahipliği devral TO DATABASE CONTROL
SCHEMA UNMASK UMSK DATABASE UNMASK
SCHEMA UPDATE UP DATABASE UPDATE
SCHEMA VIEW DEĞIŞIKLIK IZLEME VWCT DATABASE VIEW DEĞIŞIKLIK IZLEME
SCHEMA VIEW TANIMI VW DATABASE VIEW TANIMI
SEARCH PROPERTY LIST ALTER AL SERVER HERHANGI BIR FULLTEXT CATALOG DEĞIŞTIRME
SEARCH PROPERTY LIST CONTROL CL SERVER CONTROL
SEARCH PROPERTY LIST REFERENCES RF SERVER REFERENCES
SEARCH PROPERTY LIST Sahipliği devral TO SERVER CONTROL
SEARCH PROPERTY LIST VIEW TANIMI VW SERVER VIEW TANIMI
SERVER TOPLU İŞLEMLERI YÖNETME ADBO Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR AVAILABILITY GROUP DEĞIŞTIRME ALAG Uygulanamaz Uygulanamaz
SERVER TÜM BAĞLANTıLARı DEĞIŞTIRME ALCO Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR CREDENTIAL DEĞIŞTIRME ALCD Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR DATABASE DEĞIŞTIRME ALDB Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR ENDPOINT DEĞIŞTIRME ALHE Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR EVENT NOTIFICATION DEĞIŞTIRME ALES Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR EVENT SESSION DEĞIŞTIRME AAES Uygulanamaz Uygulanamaz
SERVER HERHANGİ BİR EVENT SESSION EKLEME OLAYINI DEĞİŞTİR LSAE Uygulanamaz Uygulanamaz
SERVER HERHANGİ BİR EVENT SESSION EKLEME HEDEFİNİ DEĞİŞTİRME LSAT Uygulanamaz Uygulanamaz
SERVER HERHANGİ Bİr EVENT SESSION DEVRE DIŞINI DEĞIŞTIRME DES Uygulanamaz Uygulanamaz
SERVER HERHANGİ BİR EVENT SESSION DROP EVENT DEĞİŞTİRME LSDE Uygulanamaz Uygulanamaz
SERVER HERHANGİ BİR EVENT SESSION BIRAKMA HEDEFİNİ DEĞİŞTİR LSDT Uygulanamaz Uygulanamaz
SERVER HERHANGİ Bİr EVENT SESSION ETKİnLEŞTİr EES Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR EVENT SESSION SEÇENEĞI DEĞIŞTIRME LESO Uygulanamaz Uygulanamaz
SERVER HERHANGİ BİR BAĞLI SUNUCUYU DEĞİŞTİRME ALLS Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR LOGIN DEĞIŞTIRME ALLG Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR SERVER AUDIT DEĞIŞTIRME ALAA Uygulanamaz Uygulanamaz
SERVER HERHANGI BIR SERVER ROLE DEĞIŞTIRME ALSR Uygulanamaz Uygulanamaz
SERVER KAYNAKLARI DEĞİŞTİRİN ALRS Uygulanamaz Uygulanamaz
SERVER SUNUCU DURUMUNU DEĞİŞTİR ALSS Uygulanamaz Uygulanamaz
SERVER AYARLARI DEĞIŞTIR ALST Uygulanamaz Uygulanamaz
SERVER ALTER İZİ ALTR Uygulanamaz Uygulanamaz
SERVER KIMLIK DOĞRULAMA SUNUCU AUTH Uygulanamaz Uygulanamaz
SERVER HERHANGİ BİrİNE BAĞLANIN DATABASE CADB Uygulanamaz Uygulanamaz
SERVER SQL'I BAĞLAMA COSQ Uygulanamaz Uygulanamaz
SERVER KONTROL SUNUCUSU CL Uygulanamaz Uygulanamaz
SERVER HERHANGİ Bİrİ OLUŞTURUN DATABASE CRDB Uygulanamaz Uygulanamaz
SERVER CREATE AVAILABILITY GROUP CRAC Uygulanamaz Uygulanamaz
SERVER DDL Oluştur EVENT NOTIFICATION CRDE Uygulanamaz Uygulanamaz
SERVER CREATE ENDPOINT CRHE Uygulanamaz Uygulanamaz
SERVER CREATE SERVER ROLE CRSR Uygulanamaz Uygulanamaz
SERVER İZ OLUŞTUR EVENT NOTIFICATION CRTE Uygulanamaz Uygulanamaz
SERVER DıŞ ERIŞIM ASSEMBLY XA Uygulanamaz Uygulanamaz
SERVER HERHANGİ BİR KİMLİĞE BÜRÜN LOGIN IAL Uygulanamaz Uygulanamaz
SERVER TÜM USER KORUNABİLİR ÖĞELERİ SEÇİN SUS Uygulanamaz Uygulanamaz
SERVER SHUTDOWN SHDN Uygulanamaz Uygulanamaz
SERVER GÜVENSİz ASSEMBLY XU Uygulanamaz Uygulanamaz
SERVER VIEW HERHANGİ DATABASE VWDB Uygulanamaz Uygulanamaz
SERVER VIEW HERHANGİ BİR TANIM VWAD Uygulanamaz Uygulanamaz
SERVER VIEW SUNUCU DURUMU VWSS Uygulanamaz Uygulanamaz
SERVER ROLE ALTER AL SERVER HERHANGI BIR SERVER ROLE DEĞIŞTIRME
SERVER ROLE CONTROL CL SERVER KONTROL SUNUCUSU
SERVER ROLE Sahipliği devral TO SERVER KONTROL SUNUCUSU
SERVER ROLE VIEW TANIMI VW SERVER VIEW HERHANGİ BİR TANIM
SERVICE ALTER AL DATABASE HERHANGI BIR SERVICE DEĞIŞTIRME
SERVICE CONTROL CL DATABASE CONTROL
SERVICE SEND SN DATABASE CONTROL
SERVICE Sahipliği devral TO DATABASE CONTROL
SERVICE VIEW TANIMI VW DATABASE VIEW TANIMI
SYMMETRIC KEY ALTER AL DATABASE HERHANGI BIR SYMMETRIC KEY DEĞIŞTIRME
SYMMETRIC KEY CONTROL CL DATABASE CONTROL
SYMMETRIC KEY REFERENCES RF DATABASE REFERENCES
SYMMETRIC KEY Sahipliği devral TO DATABASE CONTROL
SYMMETRIC KEY VIEW TANIMI VW DATABASE VIEW TANIMI
TYPE CONTROL CL SCHEMA CONTROL
TYPE EXECUTE EX SCHEMA EXECUTE
TYPE REFERENCES RF SCHEMA REFERENCES
TYPE Sahipliği devral TO SCHEMA CONTROL
TYPE VIEW TANIMI VW SCHEMA VIEW TANIMI
USER ALTER AL DATABASE HERHANGI BIR USER DEĞIŞTIRME
USER CONTROL CL DATABASE CONTROL
USER IMPERSONATE IM DATABASE CONTROL
USER VIEW TANIMI VW DATABASE VIEW TANIMI
XML SCHEMA COLLECTION ALTER AL SCHEMA ALTER
XML SCHEMA COLLECTION CONTROL CL SCHEMA CONTROL
XML SCHEMA COLLECTION EXECUTE EX SCHEMA EXECUTE
XML SCHEMA COLLECTION REFERENCES RF SCHEMA REFERENCES
XML SCHEMA COLLECTION Sahipliği devral TO SCHEMA CONTROL
XML SCHEMA COLLECTION VIEW TANIMI VW SCHEMA VIEW TANIMI

SQL Server 2022'ye yeni ayrıntılı izinler eklendi

SQL Server 2022'ye aşağıdaki izinler eklenir:

  • Sistem meta verilerine erişime izin vermek için 10 yeni izin eklendi.

  • Genişletilmiş olaylar için 18 yeni izin eklendi.

  • Güvenlikle ilgili nesnelerle ilgili olarak 9 yeni izin eklendi.

  • Ledger için 4 izin eklendi.

  • 3 ek veritabanı izni.

Daha fazla bilgi için bkz. PoLP ile uyumluluğu geliştirmek için SQL Server 2022 ve Azure SQL için yeni ayrıntılı izinler.

Sistem meta veri izinlerine erişim

Sunucu düzeyi:

  • VIEW TÜM GÜVENLIK TANıMLARı
  • VIEW TÜM PERFORMANS TANıMLARı
  • VIEW SUNUCU GÜVENLIK DURUMU
  • VIEW SUNUCU PERFORMANS DURUMU
  • VIEW KRIPTOGRAFIK OLARAK GÜVENLI HERHANGI BIR TANıM

Veritabanı düzeyi:

  • VIEW DATABASE GÜVENLIK DURUMU
  • VIEW DATABASE PERFORMANS DURUMU
  • VIEW GÜVENLIK TANıMı
  • VIEW PERFORMANS TANıMı
  • VIEW KRIPTOGRAFIK OLARAK GÜVENLI TANıM

Genişletilmiş olay izinleri

Sunucu düzeyi:

  • HERHANGİ Bİrİ OLUŞTURUN EVENT SESSION
  • HERHANGİ BİRİNİ BIRAKIN EVENT SESSION
  • HERHANGI BIR EVENT SESSION SEÇENEĞI DEĞIŞTIRME
  • HERHANGİ BİR EVENT SESSION EKLEME OLAYINI DEĞİŞTİR
  • HERHANGİ BİR EVENT SESSION DROP EVENT DEĞİŞTİRME
  • HERHANGİ Bİr EVENT SESSION ETKİnLEŞTİr
  • HERHANGİ Bİr EVENT SESSION DEVRE DIŞINI DEĞIŞTIRME
  • HERHANGİ BİR EVENT SESSION EKLEME HEDEFİNİ DEĞİŞTİRME
  • HERHANGİ BİR EVENT SESSION BIRAKMA HEDEFİNİ DEĞİŞTİR

Bu izinlerin tümü aynı üst izin altında: ALTER ANY EVENT SESSION

Veritabanı düzeyi:

  • HERHANGİ Bİrİ OLUŞTURUN DATABASEEVENT SESSION
  • HERHANGİ BİRİNİ BIRAKIN DATABASEEVENT SESSION
  • HERHANGI BIR DATABASEEVENT SESSION SEÇENEĞI DEĞIŞTIRME
  • HERHANGİ BİR DATABASEEVENT SESSION EKLE OLAYINI DEĞİŞTİR
  • HERHANGİ BİR DATABASEEVENT SESSION DROP EVENT’İ DEĞİŞTİR
  • HERHANGİ BİR DATABASEEVENT SESSION DEĞİŞTİR ETKİNLEŞTİR
  • HERHANGİ BİR DATABASEEVENT SESSION DEVRE DIŞI BIRAKMA
  • HERHANGİ BİR DATABASEEVENT SESSION HEDEF EKLEMEYİ DEĞİŞTİRME
  • Herhangi bir DATABASEEVENT SESSION bırakma hedefini değiştir

Tüm bu izinler aynı üst izin altındadır: ALTER ANY DATABASEEVENT SESSION

  • KONTROL (CREDENTIAL)
  • CREATE LOGIN
  • CREATE USER
  • BAŞVURULAR (CREDENTIAL)
  • MASKESİ KALDıR (NESNE)
  • MASKEYİ KALDIR (SCHEMA)
  • VIEW HERHANGİ BİR HATA GÜNLÜĞÜ
  • VIEW SUNUCU GÜVENLİĞİ DENETİmİ
  • VIEW DATABASE GÜVENLIK DENETIMI

Kayıt defteri izinleri

  • DEFTERİ DEĞİŞTİR
  • KAYıT DEFTERI YAPıLANDıRMASıNı DEĞIŞTIRME
  • DEFTERİ ETKİNLEŞTİR
  • VIEW DEFTER İÇERİĞİ

Diğer veritabanı izinleri

  • HARICI HERHANGİ BİR GÖREVİ DEĞİŞTİR
  • TÜM DıŞ AKıŞLARı DEĞIŞTIRME
  • HERHANGİ BİR HARİCİ ENDPOINT ÇALIŞTIR

İzin denetimi algoritmasının özeti

İzinleri denetlemek karmaşık olabilir. İzin denetimi algoritması, hem açık hem de örtük izinler olmak üzere çakışan grup üyeliklerini ve sahiplik zincirini içerir ve güvenli hale getirilebilir varlığı içeren güvenli hale getirilebilir sınıflardaki izinlerden etkilenebilir. Algoritmanın genel süreci, tüm ilgili izinleri toplamaktır. Engelleme DENY bulunmazsa algoritma, yeterli erişim sağlayan bir GRANT öğesini arar. Algoritma üç temel öğe içerir: güvenlik bağlamı, izin alanı ve gerekli izin.

Note

sa, dbo, varlık sahibi, information_schema, sys veya kendiniz için izin veremez, reddedemez veya iptal edemezsiniz.

  • Güvenlik bağlamı

    Bu, erişim denetimine izinler katkıda bulunan sorumlular grubudur. Bunlar, güvenlik bağlamı EXECUTE AS deyimi kullanılarak başka bir oturum açma ya da kullanıcıya değiştirilmediği sürece, geçerli oturum açma veya kullanıcıyla ilgili izinlerdir. Güvenlik bağlamı aşağıdaki ilkeleri içerir:

    • Oturum açma

    • Kullanıcı

    • Rol üyelikleri

    • Windows grup üyelikleri

    • Modül imzalama kullanılıyorsa, kullanıcının yürütmekte olduğu modülü imzalamak için kullanılan sertifika için herhangi bir oturum açma veya kullanıcı hesabı ve bu sorumlunun ilişkili rol üyelikleri.

  • İzin alanı

    Bu, güvenlik sağlanabilir varlık ve güvenlik sağlanabilir varlığı içeren herhangi bir güvenlik sağlanabilir sınıftır. Örneğin, bir tablo (güvenli hale getirilebilir varlık) şema güvenliği sağlanabilir sınıfı ve veritabanı güvenli hale getirilebilir sınıfı tarafından bulunur. Access tablo, şema, veritabanı ve sunucu düzeyinde izinlerden etkilenebilir. Daha fazla bilgi için bkz. İzin hiyerarşisi (Veritabanı Altyapısı).

  • Gerekli izin

    Gereken izin türü. Örneğin, INSERT, UPDATE, DELETE, SELECT, EXECUTE, ALTER, CONTROL vb.

    Access, aşağıdaki örneklerde olduğu gibi birden çok izin gerektirebilir:

    • Bir depolanmış yordam, hem depolanmış yordam için EXECUTE izni hem de depolanmış yordamın başvurduğu çeşitli tablolarda INSERT izni gerektirebilir.

    • Dinamik yönetim görünümü, görünümde hem SUNUCU DURUMU hem de VIEW SELECT izni gerektirebilir.

Algoritmanın genel adımları

Algoritma güvenli hale getirilebilir bir erişime izin verilip verilmeyeceğini belirlerken, kullandığı kesin adımlar sorumlulara ve ilgili güvenli hale getirilebilir öğelere bağlı olarak farklılık gösterebilir. Ancak algoritma aşağıdaki genel adımları gerçekleştirir:

  1. İzin denetimini atlayın, eğer oturum açma sysadmin sabit sunucu rolünün bir üyesiyse veya kullanıcı geçerli veritabanında dbo kullanıcısıysa.

  2. Sahiplik zinciri geçerliyse ve zincirde daha önce nesne üzerinde erişim denetimi güvenlik denetiminden geçtiyse erişime izin verin.

  3. Güvenlik bağlamını oluşturmak için çağıranla ilişkili sunucu düzeyi, veritabanı düzeyi ve imzalı modül kimliklerini toplama.

  4. Bu güvenlik bağlamı için izin alanı için verilen veya reddedilen tüm izinleri toplayın. İzin, açıkça GRANT, GRANT WITH GRANT veya DENY olarak belirtilebilir; ya da izinler, zımni veya kapsayıcı bir izin olan GRANT veya DENY olabilir. Örneğin, şemadaki CONTROL izni, tablodaki CONTROL iznini içerir. Tablodaki CONTROL ise SELECT anlamına gelir. Bu nedenle, şema üzerinde CONTROL verilmişse, tablo üzerinde SELECT de verilmiştir. Tabloda CONTROL reddedildiyse, tablodaki SELECT reddedilir.

    Note

    Sütun düzeyindeki bir iznin GRANT, nesne düzeyindeki bir DENY geçersiz kılar. Daha fazla bilgi için bkz DENY . Nesne İzinleri.

  5. Gerekli izni belirleyin.

  6. Gerekli izin, izin alanındaki nesneler için güvenlik bağlamındaki kimliklerden herhangi birine doğrudan veya dolaylı olarak reddedildiğinde, izin denetimi başarısız olur.

  7. Gerekli izin reddedilmediyse ve gerekli izin, izin alanındaki herhangi bir nesne için güvenlik bağlamındaki kimliklerden herhangi birine doğrudan veya örtük olarak bir GRANT ya da GRANT WITH GRANT izni içeriyorsa izin denetimini geçerli sayın.

Sütun düzeyindeki izinler için özel dikkate alınması gerekenler

Sütun düzeyi izinleri <table_name>(<sütun_adı>) söz dizimi ile verilir. Örneğin:

GRANT SELECT ON OBJECT::Customer(CustomerName) TO UserJoe;

Tablodaki A DENY , sütundaki bir GRANT tarafından geçersiz kılınır. Ancak, tabloda sonraki bir DENY, GRANT sütununu kaldırır.

Examples

Bu bölümdeki örneklerde izin bilgilerinin nasıl alınıyor olduğu gösterilmektedir.

A. İzin verilebilen izinlerin tam listesini döndürme

Aşağıdaki deyim, fn_builtin_permissions işlevini kullanarak tüm Veritabanı Altyapısı izinlerini getirir. Daha fazla bilgi için bkz. sys.fn_builtin_permissions.

SELECT * FROM fn_builtin_permissions(default);
GO

B. Belirli bir nesne sınıfındaki izinleri döndürme

Aşağıdaki örnek, güvenli hale getirilebilir bir kategori için kullanılabilen tüm izinleri görüntülemek amacıyla fn_builtin_permissions kullanır. Örnek, derlemelerdeki izinleri iade eder.

SELECT * FROM fn_builtin_permissions('assembly');
GO

C. Nesne üzerinde yürütme sorumlusuna verilen izinleri döndürme

Aşağıdaki örnek, fn_my_permissions çağrıyı yapan birimin belirtilen bir güvenlik nesnesi üzerinde sahip olduğu geçerli izinlerin listesini döndürmek için kullanır. Örnek, Orders55 adlı bir nesne üzerinde izinler döndürür. Daha fazla bilgi için bkz. sys.fn_my_permissions.

SELECT * FROM fn_my_permissions('Orders55', 'object');
GO

D. Belirtilen bir nesne için geçerli izinleri döndürme

Aşağıdaki örnek, adlı Yttriumbir nesne için geçerli izinleri döndürür. Yerleşik işlev OBJECT_ID , nesnesinin Yttriumkimliğini almak için kullanılır.

SELECT * FROM sys.database_permissions
    WHERE major_id = OBJECT_ID('Yttrium');
GO