Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
SQL ServerBanco de Dados SQL do AzureInstância Gerenciada de SQL do AzureAzure Synapse AnalyticsAnalytics Platform System (PDW)Ponto de extremidade de análise de SQL no Microsoft FabricDepósito no Microsoft FabricBanco de dados SQL no Microsoft Fabric
Concede permissões em um banco de dados no SQL Server.
Convenções de sintaxe de Transact-SQL
Syntax
GRANT <permission> [ ,...n ]
TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
[ AS <database_principal> ]
<permission>::=
permission | ALL [ PRIVILEGES ]
<database_principal> ::=
Database_user
| Database_role
| Application_role
| Database_user_mapped_to_Windows_User
| Database_user_mapped_to_Windows_Group
| Database_user_mapped_to_certificate
| Database_user_mapped_to_asymmetric_key
| Database_user_with_no_login
Arguments
permission Especifica uma permissão que pode ser concedida em um banco de dados. Para obter uma lista de permissões, consulte a seção Comentários mais adiante neste tópico.
ALL Esta opção não concede todas as permissões possíveis. Conceder TODOS é equivalente a conceder as seguintes permissões: BACKUP, LOG, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE, , e CREATE VIEW. BACKUPDATABASE
PRIVILEGES Incluídos para conformidade com ANSI-92. Não altera o comportamento de ALL.
COM GRANT OPÇÃO Indica que o principal também terá a capacidade de conceder a permissão especificada a outros principais.
AS <database_principal> Especifica uma entidade de segurança por meio da qual a entidade de segurança que executa essa consulta obtém seu direito de conceder a permissão.
Database_user Especifica um usuário de banco de dados.
Database_role Especifica uma função de banco de dados.
Application_roleAplica-se a: SQL Server 2008 (10.0.x) e posterior e Banco de Dados SQL do Azure
Especifica uma função de aplicativo.
Database_user_mapped_to_Windows_UserAplica-se a: SQL Server 2008 (10.0.x) e posterior
Especifica um usuário do banco de dados mapeado para um usuário do Windows.
Database_user_mapped_to_Windows_GroupAplica-se a: SQL Server 2008 (10.0.x) e posterior
Especifica um usuário do banco de dados mapeado para um grupo do Windows.
Database_user_mapped_to_certificateAplica-se a: SQL Server 2008 (10.0.x) e posterior
Especifica um usuário do banco de dados mapeado para um certificado.
Database_user_mapped_to_asymmetric_keyAplica-se a: SQL Server 2008 (10.0.x) e posterior
Especifica um usuário do banco de dados mapeado para uma chave assimétrica.
Database_user_with_no_login Especifica um usuário de banco de dados sem entidade de segurança no nível do servidor correspondente.
Remarks
Important
Uma combinação das permissões ALTER e REFERENCE em alguns casos pode permitir ao usuário autorizado exibir dados ou executar funções não autorizadas. Por exemplo: Um usuário com a permissão ALTER em uma tabela e a permissão REFERENCE em uma função pode criar uma coluna computada em uma função e fazer com que ela seja executada. Nesse caso, o usuário também precisará da permissão SELECT na coluna computada.
Um banco de dados é um protegível contido no servidor pai na hierarquia de permissões. As permissões mais específicas e limitadas que podem ser concedidas em um banco de dados são listadas na tabela a seguir, junto com as permissões mais gerais que as incluem implicitamente.
| Permissão para banco de dados | Implícito na permissão de banco de dados | Implícito na permissão de servidor |
|---|---|---|
| ADMINISTRAR DATABASE OPERAÇÕES EM GRANDE ESCALA Aplica-se a: Banco de Dados SQL. |
CONTROL | SERVIDOR DE CONTROLE |
| ALTER | CONTROL | ALTERAR QUALQUER DATABASE |
| ALTERAR QUALQUER APPLICATION ROLE | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER ASSEMBLY | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER ASYMMETRIC KEY | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER CERTIFICATE | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER COLUMN ENCRYPTION KEY | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER COLUMN MASTER KEY DEFINIÇÃO | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER CONTRACT | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER DATABASE AUDITORIA | ALTER | ALTERAR QUALQUER SERVER AUDIT |
| ALTERAR QUALQUER DATABASE DDL TRIGGER | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER DATABASEEVENT NOTIFICATION | ALTER | ALTERAR QUALQUER EVENT NOTIFICATION |
| ALTERAR QUALQUER DATABASEEVENT SESSION Aplica-se a: Banco de Dados SQL. |
ALTER | ALTERAR QUALQUER EVENT SESSION |
| ALTERAR QUALQUER DATABASE SCOPED CONFIGURATION Aplica-se a: SQL Server 2016 (13.x) e posterior, Banco de Dados SQL. |
CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER ESPAÇO DE DADOS | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER EXTERNAL DATA SOURCE | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER EXTERNAL FILE FORMAT | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER EXTERNAL LIBRARY Aplica-se a: SQL Server 2017 (14.x). |
CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER FULLTEXT CATALOG | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER MÁSCARA | CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER MESSAGE TYPE | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER REMOTE SERVICE BINDING | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER ROLE | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER ROUTE | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER SCHEMA | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER SECURITY POLICY Aplica-se a: Banco de Dados SQL do Azure. |
CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER SENSITIVITY CLASSIFICATION Aplica-se a: SQL Server (SQL Server 2019 e posterior), Banco de Dados SQL do Azure. |
CONTROL | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER SERVICE | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER SYMMETRIC KEY | ALTER | SERVIDOR DE CONTROLE |
| ALTERAR QUALQUER USER | ALTER | SERVIDOR DE CONTROLE |
| AUTHENTICATE | CONTROL | AUTENTICAR SERVIDOR |
| BACKUP DATABASE | CONTROL | SERVIDOR DE CONTROLE |
| BACKUP LOG | CONTROL | SERVIDOR DE CONTROLE |
| CHECKPOINT | CONTROL | SERVIDOR DE CONTROLE |
| CONNECT | REPLICAÇÃO DE CONEXÃO | SERVIDOR DE CONTROLE |
| REPLICAÇÃO DE CONEXÃO | CONTROL | SERVIDOR DE CONTROLE |
| CONTROL | CONTROL | SERVIDOR DE CONTROLE |
| CREATE AGGREGATE | ALTER | SERVIDOR DE CONTROLE |
| CRIAR QUALQUER EXTERNAL LIBRARY Aplica-se a: SQL Server 2017 (14.x). |
CONTROL | SERVIDOR DE CONTROLE |
| CREATE ASSEMBLY | ALTERAR QUALQUER ASSEMBLY | SERVIDOR DE CONTROLE |
| CREATE ASYMMETRIC KEY | ALTERAR QUALQUER ASYMMETRIC KEY | SERVIDOR DE CONTROLE |
| CREATE CERTIFICATE | ALTERAR QUALQUER CERTIFICATE | SERVIDOR DE CONTROLE |
| CREATE CONTRACT | ALTERAR QUALQUER CONTRACT | SERVIDOR DE CONTROLE |
| CREATE DATABASE | CONTROL | CRIAR QUALQUER DATABASE |
| CREATE DATABASE DDL EVENT NOTIFICATION | ALTERAR QUALQUER DATABASEEVENT NOTIFICATION | CRIAR DDL EVENT NOTIFICATION |
| CREATE DEFAULT | ALTER | SERVIDOR DE CONTROLE |
| CREATE FULLTEXT CATALOG | ALTERAR QUALQUER FULLTEXT CATALOG | SERVIDOR DE CONTROLE |
| CREATE FUNCTION | ALTER | SERVIDOR DE CONTROLE |
| CREATE MESSAGE TYPE | ALTERAR QUALQUER MESSAGE TYPE | SERVIDOR DE CONTROLE |
| CREATE PROCEDURE | ALTER | SERVIDOR DE CONTROLE |
| CREATE QUEUE | ALTER | SERVIDOR DE CONTROLE |
| CREATE REMOTE SERVICE BINDING | ALTERAR QUALQUER REMOTE SERVICE BINDING | SERVIDOR DE CONTROLE |
| CREATE ROLE | ALTERAR QUALQUER ROLE | SERVIDOR DE CONTROLE |
| CREATE ROUTE | ALTERAR QUALQUER ROUTE | SERVIDOR DE CONTROLE |
| CREATE RULE | ALTER | SERVIDOR DE CONTROLE |
| CREATE SCHEMA | ALTERAR QUALQUER SCHEMA | SERVIDOR DE CONTROLE |
| CREATE SERVICE | ALTERAR QUALQUER SERVICE | SERVIDOR DE CONTROLE |
| CREATE SYMMETRIC KEY | ALTERAR QUALQUER SYMMETRIC KEY | SERVIDOR DE CONTROLE |
| CREATE SYNONYM | ALTER | SERVIDOR DE CONTROLE |
| CREATE TABLE | ALTER | SERVIDOR DE CONTROLE |
| CREATE TYPE | ALTER | SERVIDOR DE CONTROLE |
| CREATE VIEW | ALTER | SERVIDOR DE CONTROLE |
| CREATE XML SCHEMA COLLECTION | ALTER | SERVIDOR DE CONTROLE |
| DELETE | CONTROL | SERVIDOR DE CONTROLE |
| EXECUTE | CONTROL | SERVIDOR DE CONTROLE |
| EXECUTAR QUALQUER EXTERNO ENDPOINT Aplica-se a: Banco de Dados SQL do Azure. |
CONTROL | SERVIDOR DE CONTROLE |
| EXECUTE ANY EXTERNAL SCRIPT Aplica-se a: SQL Server 2016 (13.x). |
CONTROL | SERVIDOR DE CONTROLE |
| EXECUTE EXTERNAL SCRIPT Aplica-se a: SQL Server 2019 (15.x). |
EXECUTAR QUALQUER SCRIPT EXTERNO | SERVIDOR DE CONTROLE |
| INSERT | CONTROL | SERVIDOR DE CONTROLE |
| CONEXÃO KILL DATABASE Aplica-se a: Banco de Dados SQL do Azure. |
CONTROL | Alterar Qualquer Conexão |
| REFERENCES | CONTROL | SERVIDOR DE CONTROLE |
| SELECT | CONTROL | SERVIDOR DE CONTROLE |
| SHOWPLAN | CONTROL | ALTER TRACE |
| ASSINAR NOTIFICAÇÕES DE CONSULTA | CONTROL | SERVIDOR DE CONTROLE |
| ASSUMA A RESPONSABILIDADE | CONTROL | SERVIDOR DE CONTROLE |
| UNMASK | CONTROL | SERVIDOR DE CONTROLE |
| UPDATE | CONTROL | SERVIDOR DE CONTROLE |
| VIEW QUALQUER COLUMN ENCRYPTION KEY DEFINIÇÃO | CONTROL | VIEW QUALQUER DEFINIÇÃO |
| VIEW QUALQUER COLUMN MASTER KEY DEFINIÇÃO | CONTROL | VIEW QUALQUER DEFINIÇÃO |
| VIEW DATABASE ESTADO | CONTROL | VIEW ESTADO DO SERVIDOR |
| VIEW DEFINIÇÃO | CONTROL | VIEW QUALQUER DEFINIÇÃO |
Permissions
O concedente (ou o principal especificado com a opção AS) deve ter ou a permissão em si com GRANT OPTION, ou uma permissão superior que implique que a permissão está sendo concedida.
Se você estiver usando a opção AS, os requisitos adicionais a seguir serão aplicáveis.
| COMO granting_principal | Permissão adicional necessária |
|---|---|
| Usuário de banco de dados | Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados mapeado para um logon do Windows | Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados mapeado para um grupo do Windows | Associação no grupo do Windows, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados mapeado para um certificado | Associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados mapeado para uma chave assimétrica | Associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Usuário de banco de dados não mapeado para nenhuma entidade de segurança de servidor | Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Função de banco de dados | Permissão ALTER na função, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
| Função de aplicativo | Permissão ALTER na função, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin. |
Os proprietários de objetos podem conceder permissões nos objetos de sua propriedade. As entidades que têm a permissão CONTROL em um protegível podem conceder a permissão nesse protegível.
Os usuários autorizados da permissão CONTROL SERVER, como os membros da função de servidor fixa sysadmin, podem conceder qualquer permissão em qualquer protegível do servidor.
Examples
A. Concedendo permissão para criar tabelas
O exemplo a seguir concede a permissão CREATE TABLE no banco de dados AdventureWorks ao usuário MelanieK.
USE AdventureWorks;
GRANT CREATE TABLE TO MelanieK;
GO
B. Concedendo a permissão SHOWPLAN a uma função de aplicativo
O exemplo a seguir concede a permissão SHOWPLAN no banco de dados AdventureWorks2025 à função de aplicativo AuditMonitor.
Aplica-se a: SQL Server 2008 (10.0.x) e posterior e Banco de Dados SQL
USE AdventureWorks2022;
GRANT SHOWPLAN TO AuditMonitor;
GO
C. Conceder CREATE VIEW com GRANT OPÇÃO
O exemplo a seguir concede a permissão CREATE VIEW no banco de dados AdventureWorks2025 ao usuário CarmineEs com o direito de conceder CREATE VIEW a outras entidades.
USE AdventureWorks2022;
GRANT CREATE VIEW TO CarmineEs WITH GRANT OPTION;
GO
D. Concedendo a permissão CONTROL a um usuário de banco de dados
O exemplo a seguir concede a permissão CONTROL no banco de dados AdventureWorks2025 ao usuário do banco de dados Sarah. O usuário deve existir no banco de dados, e o contexto deve ser definido como o banco de dados.
USE AdventureWorks2022;
GRANT CONTROL ON DATABASE::AdventureWorks2022 TO Sarah;
GO