DDL 的临时权限

Asysadmin不能暂时/大部分时间/等等。你想做的是创建一个你大部分时间使用的 SQL 身份验证登录，它只有权限做你想做的有限事情。然后，当您要执行 DDL 操作时，以您的 Windows 登录身份登录。

如果您的主要登录名不是，可能有一些方法可以做到这一点sysadmin，但我认为它们会弄巧成拙。每当您想做任何事情时，您都必须以其他人的身份登录（包括您希望低权限登录能够做的事情，但在设置权限时没有预见到）。举个简单的例子，这里有两个数据库主体，其中一个可以模拟另一个：

CREATE USER blat WITHOUT LOGIN;
CREATE USER floob WITHOUT LOGIN;
GRANT IMPERSONATE ON USER::blat TO floob;

EXECUTE AS USER = 'floob';
GO
PRINT USER_NAME();
GO
EXECUTE AS USER = 'blat';
GO
PRINT USER_NAME();
GO
REVERT;
GO
PRINT USER_NAME();
GO
REVERT;

结果：

floob
blat
floob

（现在，模拟并不完美——例如，当您需要跨数据库边界访问资源时，使用它会出现问题。）

因此，假设那些是真正的用户与真实的登录挂钩，您可以只添加blat到ddl_admin角色，并在floob大多数时间登录。当你需要的时候，你可以简单地模仿blat，做你的 DDL 事情，然后恢复。我的建议是不要试图降低您的 Windows 帐户 / 的权限sysadmin，而是习惯于以不同的方式登录，这样您就可以在大多数时间成为一名苦工，并且只在需要时提升权限。不过，我要重复一遍，无论如何，这不会消除您在任何情况下都会犯的错误——它只会防止您意外运行 DDL，或运行错误的 DDL，这在您故意模仿时也可能发生。

而且，因为只有在需要时才提升自己的特权以保护自己的想法，因为你认为只有在不提升特权时才会犯错误，这对我来说很奇怪，而且我无能为力（信用xkcd，当然）：

这是一个更具体的示例，它使用了真正的 SQL 身份验证登录。

CREATE LOGIN peon WITH PASSWORD = 'peon', CHECK_POLICY = OFF;
GO

CREATE DATABASE playground;
GO

USE playground;
GO

CREATE USER peon FROM LOGIN peon;
GO
ALTER ROLE db_datareader ADD MEMBER peon;
-- of course grant all the permissions you want here
GO

CREATE USER ddldude WITHOUT LOGIN;
GO
ALTER ROLE db_owner ADD MEMBER ddldude;
-- doesn't have to be db_owner, just a valid example
GO

GRANT IMPERSONATE ON USER::ddldude TO peon;
GO

现在，创建一个新会话，直接使用peon/登录peon，然后运行以下代码：

USE playground;
GO
CREATE TABLE dbo.foo(id INT);
GO

休息，对吧？是的当然：

消息 262，级别 14，状态 1
CREATE TABLE 权限在数据库“游乐场”中被拒绝。

现在，您可以冒充另一个用户，而不是sysadmin，因此您应该针对任何文档告诉您的内容提交错误：

EXECUTE AS USER = N'ddldude';
GO
CREATE TABLE dbo.foo(id INT); -- works
GO
REVERT;

不要忘记清理：

USE master;
GO
ALTER DATABASE playground SET SINGLE_USER WITH ROLLBACK IMMEDIATE;
GO
DROP DATABASE playground;
GO
DROP LOGIN peon;
GO