主页 / dba / 问题 / 317844
Accepted
nam
Asked: 2022-10-05 19:13:14 +0800 CST

GRANT ALTER to role vs. GRANT ALTER ON SCHEMA

  • 772

假设您创建一个用户定义的数据库角色,如下所示:

CREATE ROLE TestRole AUTHORIZATION dbo

问题:以下两个权限中哪一个更严格?或者,这两个语句是否具有相同的目的(TestRole 的成员可以更改任何数据库对象)?

  1. GRANT ALTER ON SCHEMA :: dbo To TestRole;
  2. GRANT ALTER To TestRole;
sql-server azure-sql-database

1 个回答

  1. Best Answer
    1. 第一个仅授予对 dbo 架构的权限。
    2. 第二个授予对数据库中所有模式的权限。

    即,第一个限制性更强。

    这是一个复制品:

    USE Adventureworks
DROP TABLE IF EXISTS dbo.mytable, dbo.mytable2, Sales.mytable, Sales.mytable2
DROP USER IF EXISTS TestRole

CREATE USER TestRole WITHOUT LOGIN
GRANT CREATE TABLE to TestRole

GRANT ALTER ON SCHEMA :: dbo To TestRole;
EXECUTE AS USER = 'TestRole'
--OK
CREATE TABLE dbo.mytable(c1 int)
GO
--Fails
CREATE TABLE Sales.mytable(c1 int)
GO
REVERT
REVOKE ALTER ON SCHEMA :: dbo To TestRole;

GRANT ALTER To TestRole;
EXECUTE AS USER = 'TestRole'
--OK
CREATE TABLE dbo.mytable2(c1 int)
GO
--OK
CREATE TABLE Sales.mytable2(c1 int)
GO
REVERT
    • 3

相关问题