SQL Server – acordarea permisiunilor pentru o întreagă schemă vs. obiect?

Puteți GRANT permisiuni de schemă care sunt eficiente pentru tot ceea ce există și pentru tot ce va exista în schema respectivă.

Acordați permisiuni de schemă

GRANT SELECT, INSERT, UPDATE, DELETE ON SCHEMA :: <schema> TO <user>; 

Mai mult decât atât, dacă doriți să refuzați permisiunile pentru o anumită obiect în schema respectivă, puteți face.

Refuzarea permisiunilor obiectului

DENY INSERT ON OBJECT::<schema>.<object> TO <user>; 

Comentarii

• De asemenea, utilizați paranteze pătrate dacă schema sau numele de utilizator are caractere speciale. de ex. .... SCHEMA :: [schema] TO [company-name/joshua.duxbury]
• ' nu funcționează în Azure, vreo idee de ce? (comenzile funcționează, dar SSMS apare și spune " nu sunteți proprietarul Db .. bla bla bla. Este posibil să nu puteți salva tabelul " și destul de sigur, poți ' t (a acordat o DATE TOATE bazei de date (afișează permisiuni ' Baza de date ', ' < nume db > ', TheUserId, ' Creați tabel ' și state_desc din ' GRANT ') Există vreo altă magie care este necesară? Sau Azure este utilizabil numai de Dbo?

Pentru a simplifica puțin mai mult, puteți utiliza rolurile pentru a face treaba pe care o căutați.

Odată ce ați atribuit permisiuni pentru rol, puteți doar să adăugați utilizatori la rol. Astfel, nu trebuie să gestionați permisiunile pentru utilizatori individuali. Utilizatorii moștenesc permisiunile acordate rolului.

Mai jos este un exemplu pentru a începe:

 -- Create the database role CREATE ROLE TableSelector AUTHORIZATION [dbo] GO ---- Grant access rights to a specific schema in the database GRANT SELECT, INSERT, UPDATE, DELETE, ALTER ON SCHEMA::dbo TO TableSelector GO -- Add an existing user to the new role created EXEC sp_addrolemember "TableSelector", "MyDBUser" GO -- Revoke access rights on a schema from a role DENY ALTER -- you can customize here ... ON SCHEMA::dbo TO TableSelector