Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
SQL ServerAzure SQL DatabaseInstancia administrada de Azure SQLAzure Synapse AnalyticsAnalytics Platform System (PDW)Punto de conexión de SQL Analytics en Microsoft FabricAlmacén en Microsoft FabricBase de datos SQL en Microsoft Fabric
Deniega permisos en una base de datos de SQL Server.
Convenciones de sintaxis de Transact-SQL
Syntax
DENY <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ CASCADE ]
[ AS <database_principal> ]
<permission> ::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Arguments
permission Especifica un permiso que puede denegarse en una base de datos. Para obtener una lista de permisos, vea la sección Comentarios que se muestra posteriormente en este tema.
ALL Esta opción no deniega todos los permisos posibles. Negar TODO equivale a negar los siguientes permisos: BACKUP, LOG, CREATE DATABASE, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, , CREATE TABLE, y CREATE VIEW. BACKUPDATABASE
PRIVILEGES Incluido por compatibilidad con ISO. No cambia el comportamiento de ALL.
CASCADE Indica que el permiso también se denegará a las entidades de seguridad para las que la entidad de seguridad especificada lo concedió.
AS <database_principal> especifica una entidad de seguridad de la que la entidad de seguridad que ejecuta esta consulta deriva su derecho de denegar el permiso.
Database_user Especifica un usuario de base de datos.
Database_role Especifica un rol de la base de datos.
Application_roleSe aplica a: SQL Server 2008 (10.0.x) y versiones posteriores, y SQL Database.
Especifica un rol de aplicación.
Database_user_mapped_to_Windows_User Especifica un usuario de base de datos asignado a un usuario de Windows.
Database_user_mapped_to_Windows_Group Especifica un usuario de base de datos asignado a un grupo de Windows.
Database_user_mapped_to_certificate Especifica un usuario de base de datos asignado a un certificado.
Database_user_mapped_to_asymmetric_key Especifica un usuario de base de datos asignado a una clave asimétrica.
Database_user_with_no_login Especifica un usuario de base de datos sin entidad de seguridad de servidor correspondiente.
Remarks
Una base de datos es un elemento protegible que contiene el servidor, que es su entidad primaria en la jerarquía de permisos. La mayoría de permisos limitados y específicos que se pueden denegar en una base de datos se muestran en la siguiente tabla, junto con permisos más generales que los incluyen por implicación.
| Permiso para la base de datos | Implícito en el permiso de base de datos | Implícito en el permiso de servidor |
|---|---|---|
| ADMINISTRACIÓN DATABASE DE OPERACIONES MASIVAS Se aplica a: SQL Database. |
CONTROL | SERVIDOR DE CONTROL |
| ALTER | CONTROL | ALTERAR CUALQUIER DATABASE |
| ALTERAR CUALQUIER APPLICATION ROLE | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER ASSEMBLY | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER ASYMMETRIC KEY | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER CERTIFICATE | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER COLUMN ENCRYPTION KEY | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER COLUMN MASTER KEY DEFINICIÓN | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER CONTRACT | ALTER | SERVIDOR DE CONTROL |
| MODIFICAR CUALQUIER DATABASE AUDITORÍA | ALTER | ALTERAR CUALQUIER SERVER AUDIT |
| ALTERAR CUALQUIER DATABASE DDL TRIGGER | ALTER | SERVIDOR DE CONTROL |
| ALTERA CUALQUIER DATABASEEVENT NOTIFICATION | ALTER | ALTERAR CUALQUIER EVENT NOTIFICATION |
| ALTERA CUALQUIER DATABASEEVENT SESSION Se aplica a: Azure SQL Database. |
ALTER | ALTERAR CUALQUIER EVENT SESSION |
| ALTERAR CUALQUIER DATABASE SCOPED CONFIGURATION Se aplica a: SQL Server 2016 (13.x) y versiones posteriores, SQL Database |
CONTROL | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER ESPACIO DE DATOS | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER EXTERNAL DATA SOURCE | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER EXTERNAL FILE FORMAT | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER EXTERNAL LIBRARY Se aplica a: SQL Server 2017 (14.x). |
CONTROL | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER FULLTEXT CATALOG | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER MÁSCARA | CONTROL | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER MESSAGE TYPE | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER REMOTE SERVICE BINDING | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER ROLE | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER ROUTE | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER SECURITY POLICY Se aplica a: SQL Server 2016 (13.x) y posterior, Azure SQL Database. |
CONTROL | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER SCHEMA | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER SERVICE | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER SYMMETRIC KEY | ALTER | SERVIDOR DE CONTROL |
| ALTERAR CUALQUIER USER | ALTER | SERVIDOR DE CONTROL |
| AUTHENTICATE | CONTROL | AUTENTICAR SERVIDOR |
| BACKUP DATABASE | CONTROL | SERVIDOR DE CONTROL |
| BACKUP LOG | CONTROL | SERVIDOR DE CONTROL |
| CHECKPOINT | CONTROL | SERVIDOR DE CONTROL |
| CONNECT | REPLICACIÓN DE CONNECT | SERVIDOR DE CONTROL |
| REPLICACIÓN DE CONNECT | CONTROL | SERVIDOR DE CONTROL |
| CONTROL | CONTROL | SERVIDOR DE CONTROL |
| CREATE AGGREGATE | ALTER | SERVIDOR DE CONTROL |
| CREATE ASSEMBLY | ALTERAR CUALQUIER ASSEMBLY | SERVIDOR DE CONTROL |
| CREATE ASYMMETRIC KEY | ALTERAR CUALQUIER ASYMMETRIC KEY | SERVIDOR DE CONTROL |
| CREATE CERTIFICATE | ALTERAR CUALQUIER CERTIFICATE | SERVIDOR DE CONTROL |
| CREATE CONTRACT | ALTERAR CUALQUIER CONTRACT | SERVIDOR DE CONTROL |
| CREATE DATABASE | CONTROL | CREA CUALQUIERA DATABASE |
| CREATE DATABASE DDL EVENT NOTIFICATION | ALTERA CUALQUIER DATABASEEVENT NOTIFICATION | CREAR DDL EVENT NOTIFICATION |
| CREATE DEFAULT | ALTER | SERVIDOR DE CONTROL |
| CREATE FULLTEXT CATALOG | ALTERAR CUALQUIER FULLTEXT CATALOG | SERVIDOR DE CONTROL |
| CREATE FUNCTION | ALTER | SERVIDOR DE CONTROL |
| CREATE MESSAGE TYPE | ALTERAR CUALQUIER MESSAGE TYPE | SERVIDOR DE CONTROL |
| CREATE PROCEDURE | ALTER | SERVIDOR DE CONTROL |
| CREATE QUEUE | ALTER | SERVIDOR DE CONTROL |
| CREATE REMOTE SERVICE BINDING | ALTERAR CUALQUIER REMOTE SERVICE BINDING | SERVIDOR DE CONTROL |
| CREATE ROLE | ALTERAR CUALQUIER ROLE | SERVIDOR DE CONTROL |
| CREATE ROUTE | ALTERAR CUALQUIER ROUTE | SERVIDOR DE CONTROL |
| CREATE RULE | ALTER | SERVIDOR DE CONTROL |
| CREATE SCHEMA | ALTERAR CUALQUIER SCHEMA | SERVIDOR DE CONTROL |
| CREATE SERVICE | ALTERAR CUALQUIER SERVICE | SERVIDOR DE CONTROL |
| CREATE SYMMETRIC KEY | ALTERAR CUALQUIER SYMMETRIC KEY | SERVIDOR DE CONTROL |
| CREATE SYNONYM | ALTER | SERVIDOR DE CONTROL |
| CREATE TABLE | ALTER | SERVIDOR DE CONTROL |
| CREATE TYPE | ALTER | SERVIDOR DE CONTROL |
| CREATE VIEW | ALTER | SERVIDOR DE CONTROL |
| CREATE XML SCHEMA COLLECTION | ALTER | SERVIDOR DE CONTROL |
| DELETE | CONTROL | SERVIDOR DE CONTROL |
| EXECUTE | CONTROL | SERVIDOR DE CONTROL |
| EXECUTE ANY EXTERNAL SCRIPT Se aplica a: SQL Server 2016 (13.x). |
CONTROL | SERVIDOR DE CONTROL |
| INSERT | CONTROL | SERVIDOR DE CONTROL |
| KILL DATABASE CONNECTION Se aplica a: Azure SQL Database. |
CONTROL | ALTERAR CUALQUIER CONEXIÓN |
| REFERENCES | CONTROL | SERVIDOR DE CONTROL |
| SELECT | CONTROL | SERVIDOR DE CONTROL |
| SHOWPLAN | CONTROL | ALTER TRACE |
| SUSCRÍBETE A LAS NOTIFICACIONES DE CONSULTA | CONTROL | SERVIDOR DE CONTROL |
| TOMAR POSESIÓN | CONTROL | SERVIDOR DE CONTROL |
| UNMASK | CONTROL | SERVIDOR DE CONTROL |
| UPDATE | CONTROL | SERVIDOR DE CONTROL |
| VIEW CUALQUIERA COLUMN ENCRYPTION KEY | CONTROL | VIEW CUALQUIER DEFINICIÓN |
| VIEW CUALQUIER MASTER KEY DEFINICIÓN | CONTROL | VIEW CUALQUIER DEFINICIÓN |
| VIEW DATABASE ESTADO | CONTROL | VIEW ESTADO DEL SERVIDOR |
| VIEW DEFINICIÓN | CONTROL | VIEW CUALQUIER DEFINICIÓN |
Permissions
La entidad de seguridad que ejecuta esta instrucción (o la entidad de seguridad especificada con la opción AS) debe disponer del permiso CONTROL en la base de datos o un permiso superior que implique el permiso CONTROL en la base de datos.
Si utiliza la opción AS, la entidad de seguridad especificada debe ser propietaria de la base de datos.
Examples
A. Denegar el permiso para crear certificados
En el siguiente ejemplo se deniega el permiso CREATE CERTIFICATE para la base de datos AdventureWorks2025 al usuario MelanieK.
USE AdventureWorks2022;
DENY CREATE CERTIFICATE TO MelanieK;
GO
B. Denegar el permiso REFERENCES para un rol de aplicación
En el siguiente ejemplo se deniega el permiso REFERENCES para la base de datos AdventureWorks2025 al rol de aplicación AuditMonitor.
Se aplica a: SQL Server 2008 (10.0.x) y versiones posteriores, y SQL Database.
USE AdventureWorks2022;
DENY REFERENCES TO AuditMonitor;
GO
C. Negando VIEW DEFINICIÓN con CASCADA
En el siguiente ejemplo se deniega el permiso VIEW DEFINITION para la base de datos AdventureWorks2025 al usuario CarmineEs y a todas las entidades de seguridad a las que CarmineEs concedió el permiso VIEW DEFINITION.
USE AdventureWorks2022;
DENY VIEW DEFINITION TO CarmineEs CASCADE;
GO