2014-02-24
627
Запрещение доступа
При запрещении доступа к данным или командам Transact SQL аннулируются все разрешения на доступ пользователя на любом уровне иерархии. При этом гарантируется, что доступ останется запрещенным независимо от разрешений, предоставленных на более высоком уровне. Но иногда необходимо временно ограничивать доступ определенным пользователям к таблице. Вместо того чтобы убирать разрешение на доступ, в этом случае можно создать роль, в которой будет запрещен доступ к этой таблице, и включить пользователей в эту роль. Для запрещения пользователям доступа к объектам БД используется команда DENY.
DENY
{ALL/permissions [..n]}
{[(column [..n])] ON
{table/view}
| ON {table/view} [(column[..n])]
| ON {stored_procedure}
TO security_account [..n]
[CASCADE]
Для запрещения выполнения команд Transact SQL:
DENY {ALL/Statement [..n]}
TO security_account [...n]
Неявное отклонение доступа подобно запрещению доступа с тем отличием, что оно действует только на том уровне, на котором определено. Если пользователю на определенном уровне неявно отклонен доступ, он может получить его на другом уровне иерархии через членство в роли, имеющей право просмотра.
|
|
|
Для неявного отклонения доступа к объектам БД используется команда REVOKE.
REVOKE
{ALL/permissions [..n]}
{[(column [..n])] ON
{table/view}
| ON {table/view} [(column[..n])]
| ON {stored_procedure}
TO security_account [..n]
[CASCADE]
[AS {role/group}]
Для неявного отклонения разрешений на использование команд Transact SQL:
REVOKE {ALL/Statement [..n]}
TO security_account [...n]
Значения параметров команд:
ALL – означает, что пользователю будут предоставлены все возможные разрешения.
Permissions – список доступных операций, которые предоставляются пользователю. Можно предоставлять одновременно несколько разрешений.
Statement – предоставление разрешений на выполнение команд Transact SQL.
Security_account – указывается имя объекта системы безопасности, которую необходимо включить в роль. Это могут быть как учетные записи SQL-сервер, так и группы пользователей Windows.
With Grant Option – использование данного параметра позволяет пользователю, которому предоставляются права, назначать права на доступ к объекту для других пользователей.
As role/group – этот параметр позволяет указать участие пользователя в роли, которому предоставляется возможность предоставлять права другим пользователям.
Cascade – позволяет отзывать права не только у данного пользователя, но и у всех пользователей, которым он предоставил данные права.
