我必须建立一个UserA几乎完全控制数据库(而不是服务器)的系统,除了 所使用的一个表,sa因此sa总是需要访问该表。
到目前为止我有:
-- executing as sa
CREATE SCHEMA [sa_schema];
CREATE TABLE [sa_schema].[table1] ( ... );
GRANT SELECT , REFERENCES ON OBJECT::[sa_schema].[table1] TO PUBLIC
CREATE USER [UserA] WITHOUT LOGIN;
GRANT CONTROL TO [UserA] WITH GRANT OPTION;
DENY ALTER , DELETE , INSERT , TAKE OWNERSHIP , VIEW CHANGE TRACKING , UPDATE
ON SCHEMA::[sa_schema] TO [UserA];
DENY ALTER ON USER::[sa] TO [UserA];
我认为这就足够了,但事实证明并非如此。运行是完全合法的UserA:
-- executing as UserA
CREATE ROLE [Denied]
DENY SELECT ON OBJECT::[sa_schema].[table1] TO [Denied]
ALTER ROLE [Denied] ADD MEMBER [sa]
现在sa不能再从这张表中读取。
-- executing as sa
SELECT * FROM [sa_schema].[table1]
消息 229,级别 14,状态 5,第 2 行
对对象“table1”、数据库“mydb”、架构“sa_schema”的 SELECT 权限被拒绝。
当然,sa可以查询数据库以找出它已添加到的角色并将其自身从角色中删除,但这似乎只是为了执行选择而进行的大量工作。我想我可以通过确保UserA没有能力添加sa到任何数据库角色或通过确保UserA不能修改该对象的权限来避免这个问题,所以无论sa添加什么角色都永远不会DENY在这个目的。
是否有人对如何确保无论其他更改如何始终都可以访问此表sa有任何UserA想法?