那些遇到过的问题

如何向属于被明确拒绝的大型组的单个用户授予 SELECT 权限?

J.D*_*.D. 3 security sql-server permissions sql-server-2008-r2

我有一个表 SuperSecretData,当前设置为拒绝标准 Active Directory 帐户“域用户”对公司中的每个人进行 SELECT。但是一些特定的个人用户确实需要能够从中选择。实现这一目标的正确方法是什么?

表属性 - 权限

Dav*_*oft 7

DENY 会覆盖 GRANT,而继承的 DENY 甚至会覆盖直接的 GRANT。模式或数据库级别的 DENY 会覆盖对象级别的 GRANT。

因此,您将无法直接覆盖 DENY。

您可以创建与 SuperSecretData 相同的用户拥有的视图、同义词或存储过程,并授予他们访问权限。

除了我只希望某些特定用户拥有 SELECT 权限的几个表外,是否有更好的方法将 SQL 服务器上的几乎所有实体都授予“域用户”权限?

是的。永远不要使用内置角色,并始终使用模式级授权。然后,您可以创建单独的架构以提高安全性。例如

grant select on schema::dbo to ...
Run Code Online (Sandbox Code Playgroud)

而不是内置角色

alter role db_datareader add . . .
Run Code Online (Sandbox Code Playgroud)

或数据库级授权

grant select to ...
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

290 次

最近记录:

5 年,11 月 前
相关归档
为什么 SELECT 查询会导致写入? 35
如何找到未安装 SSMS 的 SQL Server 版本? 21
从 SQL Server 2005 迁移数据库时,SQL Server 2014 中的分区切换出错 7
.bak 文件是否也包含 ldf 文件的备份? 6
使用我的客户代码作为主键的利弊是什么? 5
服务代理内部 spid 占用 tempdb 5
零数据丢失的备份策略 4
从企业版还原到标准版时出错 3
主键保证:重复和无效 3
缓存中的参数嗅探和多个计划 3
难疑归档
为什么不使用表而不是物化视图? 59
无法使用 CREATE OR REPLACE 重命名 PostgreSQL 视图中的列 52
过多的排序内存授予 47
在 9.1 下仍然推荐常规的 VACUUM ANALYZE 吗? 38
字符与整数主键 31
旧数据归档 29
在许多视图上修改 DEFINER 29
在数据库中强制执行“至少一个”或“恰好一个”的约束 28
如何有效地检查多列上的 EXISTS? 26
是否可以强制优化器消除此分区视图中的不相关表? 22