如何授予用户权限以在自定义架构中创建存储过程

您无法通过仅授予架构权限来将创建过程的能力更改为仅一种架构。（假设用户没有其他权限。）

为什么？

用户仍然需要在数据库中创建对象的权限，在这种情况下是过程。

您可以做的是授予用户CREATE PROCEDURE权限，然后将架构的所有者更改为该用户（更安全，请参阅下文了解更多信息）或授予该用户对 'IC' 的权限SCHEMA。

仅授予CREATE PROCEDURE不允许用户在 dbo 等模式上创建过程。

创建登录名、对应的用户和 IC 架构

USE [master]
GO
CREATE LOGIN [TestIC] WITH PASSWORD=N'Test', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF;
GO
USE [test]
GO
CREATE USER [TestIC] FOR LOGIN [TestIC];
GO
CREATE SCHEMA IC;

授予用户创建过程

GRANT CREATE PROCEDURE TO [TestIC];

更改架构的所有者（更安全的选项）

ALTER AUTHORIZATION ON SCHEMA::IC TO [TestIC];

或授予用户访问架构的权限

GRANT 
     ALTER

ON SCHEMA::IC


      TO [TestIC] ;

授予架构权限所涉及的风险

授予用户更改另一个用户架构的能力使该用户能够在该架构所有者拥有的任何表中选择、插入、更新和删除行。这称为“所有权链接”，它使视图和存储过程成为控制安全性的真正简单方法，因为对视图或存储过程具有权限的用户不需要被授予对基础表的权限，只要View/Proc 与 Table 具有相同的所有者。

资源

查看@DavidBrowne-Microsoft 对引用来源的回答，并在授予更改架构权限时获取有关“所有权链接”安全风险的更多信息。

测试

EXECUTE AS LOGIN  = 'TestIC';

CREATE PROCEDURE IC.test
as
select * from sys.databases; 

结果：

命令成功完成。

这失败了

CREATE PROCEDURE dbo.test
as
select * from sys.databases; 

消息 2760，级别 16，状态 1，过程测试，第 1 行 [批处理开始第 35 行] 指定的模式名称“dbo”要么不存在，要么您没有使用它的权限。

撤消模拟

REVERT;

您可以尝试授予 ALTER 权限：

GRANT ALTER ON SCHEMA::IC TO [username];

文档

从文档：

对架构具有 ALTER 权限的用户可以使用所有权链接来访问其他架构中的安全对象，包括该用户被明确拒绝访问的安全对象。这是因为当引用对象由拥有引用它们的对象的主体所拥有时，所有权链接会绕过对引用对象的权限检查。对架构具有 ALTER 权限的用户可以创建架构所有者拥有的过程、同义词和视图。这些对象将有权（通过所有权链接）访问模式所有者拥有的其他模式中的信息。如果架构的所有者还拥有其他架构，则应尽可能避免授予架构的 ALTER 权限。