那些遇到过的问题

这是否意味着“公共”具有完全选择、插入、更新和删除访问权限?

Pro*_*eur 3 sql-server-2008 security sql-server permissions sql-server-2008-r2

我正在尝试创建一个SQL Server 2008 R2只能从一个 SQL 视图中进行选择的新数据库用户。但是,无论我在以这个新用户身份登录时尝试什么,我都可以从任何表中进行选择。我运行了这个查询: 

select  princ.name
,       princ.type_desc
,       perm.permission_name
,       perm.state_desc
,       perm.class_desc
,       object_name(perm.major_id)
from    sys.database_principals princ
left join
        sys.database_permissions perm
on      perm.grantee_principal_id = princ.principal_id
WHERE princ.name = 'public'
AND object_name(perm.major_id) = 'User_Table'
Run Code Online (Sandbox Code Playgroud)

并得到这些结果:

name    type_desc       permission_name     state_desc  class_desc          (No column name)
public  DATABASE_ROLE   DELETE              GRANT       OBJECT_OR_COLUMN    User_Table
public  DATABASE_ROLE   INSERT              GRANT       OBJECT_OR_COLUMN    User_Table
public  DATABASE_ROLE   REFERENCES          GRANT       OBJECT_OR_COLUMN    User_Table
public  DATABASE_ROLE   SELECT              GRANT       OBJECT_OR_COLUMN    User_Table
public  DATABASE_ROLE   UPDATE              GRANT       OBJECT_OR_COLUMN    User_Table
Run Code Online (Sandbox Code Playgroud)

这是否意味着无论登录到数据库的任何人都具有基于“公共”权限的完全访问权限?

Tho*_*ger 6

这意味着如果用户没有为public具有权限的安全对象(或从显式设置的权限继承)明确设置权限,则将应用这些权限。换句话说,如果你有User1使用DELETE权限否认User_Table,那么User1将无法从该表中删除数据。

请参阅BOL 关于数据库级角色的参考

公共数据库角色
每个数据库用户都属于公共数据库角色。当用户尚未被授予或拒绝对某个安全对象的特定权限时,该用户将继承授予 public 的对该对象的权限。

例子

use TestDB;
go

create login Login1
with
    password = 'password',
    check_policy = off;
go

create user User1
for login Login1;
go

-- this will return 1 (meaning, yes it is a role member)
select is_rolemember('public', 'User1');


-- let's do a test to show the above theory
create table SomeTable
(
    id int identity(1, 1) not null,
    SomeText varchar(30) not null
        default replicate('a', 30)
);
go

insert into SomeTable
values(default);
go 10

-- give the public role permissions to SELECT on SomeTable
grant select
on SomeTable
to public;
go

-- this will be successful, because User1 is part of public
execute as user = 'User1';
go

select *
from SomeTable;

revert;
go


-- create a new role to deny SELECT on SomeTable
exec sp_addrole 'Role1';
go

deny select
on SomeTable
to Role1;
go

-- add User1 to this new role
exec sp_addrolemember 'Role1', 'User1';
go


-- this will not be successful because User1 now has been denied SELECT on SomeTable
execute as user = 'User1';
go

select *
from SomeTable;

revert;
go
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

11485 次

最近记录:

12 年,10 月 前
相关归档
了解 SQL Server 锁定和并发性的资源? 9
Always On 数据库上的 DBCC CHECKDB 6
Azure 备份服务器可以备份参与日志传送的数据库吗? 5
将表的列 ID(主键)更改为自动增量的简单方法 4
sql server 获取每个组的总数 4
SQL Server 的 CURRENT_DATE 或当前日期值函数是什么? 4
获取表中的每个状态更改 3
从同一数据库进行时间点恢复 - 这意味着什么? 2
SQL Server 查询中日期时间字符串的“dateformat”独立形式? 2
随着时间的推移,为 mysql 管理员随机生成密码? 1
难疑归档
反对或支持将应用程序逻辑置于数据库层的论据是什么? 78
如何插入包含外键的行? 77
被要求不使用事务并使用一种解决方法来模拟一个 45
为什么 SQL Server 消耗更多的服务器内存? 41
在 SSMS 2012 中格式化 T-SQL 39
从 postgres 批量删除行的最有效方法 32
复合主键是不好的做法吗? 29
要安全地重新启动托管 Microsoft SQL Server 的计算机,需要执行哪些步骤? 27
备份 MySQL 数据库的最佳实践 26
删除其他表中未引用的行 23