SQL Server REVOKE requer CASCADE

Quando você concede permissões a um usuário usando a WITH GRANT OPTIONcláusula e subsequentemente revoga essa permissão, o SQL Server impedirá a revogação, a menos que você adicione explicitamente a CASCADEopção à REVOKE ...instrução.

Isso evita um risco de segurança pelo qual você concede WITH GRANT OPTIONa um usuário, que subseqüentemente concede direitos a outros sem o seu conhecimento. Você então revoga os direitos desse usuário, mas o estrago já foi feito. Esta mensagem de erro é lançada quando você tenta revogar as permissões que foram atribuídas com a opção de concessão, a menos que você use a CASCADEopção:

Msg 4611, Nível 16, Estado 1, Linha 44

Para revogar ou negar privilégios concedíveis, especifique a opção CASCADE.

Para revogar as permissões que foram concedidas usando a WITH GRANT OPTIONcláusula, você deve revogar a permissão usando a CASCADEopção. Isso também remove os direitos revogados de todos os usuários que receberam os direitos do usuário com o GRANT OPTION. Se você deseja que esses outros usuários mantenham os direitos concedidos pelo usuário com o GRANT OPTION, você deve atribuir manualmente esses direitos explicitamente a esses outros usuários.

Este código abaixo é uma reprodução simples que mostra os sintomas e como lidar com isso.

Primeiro, crie um objeto ao qual possamos atribuir direitos:

IF OBJECT_ID('dbo.TestSelect') IS NULL
CREATE TABLE dbo.TestSelect
(
    t INT
);

Crie três usuários:

IF NOT EXISTS (
    SELECT 1 
    FROM sys.database_principals dp 
    WHERE dp.name = 'u1')
CREATE USER u1 WITHOUT LOGIN;

IF NOT EXISTS (
    SELECT 1 
    FROM sys.database_principals dp 
    WHERE dp.name = 'u2')
CREATE USER u2 WITHOUT LOGIN;

IF NOT EXISTS (
    SELECT 1 
    FROM sys.database_principals dp 
    WHERE dp.name = 'u3')
CREATE USER u3 WITHOUT LOGIN;

Conceder SELECT WITH GRANT OPTIONao usuário u1:

GRANT SELECT ON dbo.TestSelect TO u1 WITH GRANT OPTION;

Conceda SELECT WITH GRANT OPTIONao usuário u2como usuário 'u1':

EXECUTE AS USER = 'u1';

GRANT SELECT ON dbo.TestSelect TO u2 WITH GRANT OPTION;

REVERT

Conceda SELECT WITH GRANT OPTIONao usuário u3como usuário 'u2':

EXECUTE AS USER = 'u2';

GRANT SELECT ON dbo.TestSelect TO u3 WITH GRANT OPTION;

REVERT

Certifique-se de que estamos executando como o usuário inicial (no meu caso, dbo)

SELECT USER_NAME();

Tente remover os SELECTdireitos do usuário u1sem usar a CASCADEopção, o que falhará:

REVOKE SELECT ON dbo.TestSelect FROM u1;
--Msg 4611, Level 16, State 1, Line 44
--To revoke or deny grantable privileges, specify the CASCADE option.

Adicione a CASCADEopção, que funciona:

REVOKE SELECT ON dbo.TestSelect FROM u1 CASCADE;

Veja se os outros usuários têm acesso à tabela de teste (eles não têm, pois revogamos o acesso usando a CASCADEopção):

EXECUTE AS USER = 'u2';

SELECT *
FROM dbo.TestSelect;
--Msg 229, Level 14, State 5, Line 51
--The SELECT permission was denied on the object 'TestSelect', database 'Test', schema 'dbo'.

Volte para o usuário 'dbo', para que possamos conceder SELECTno objeto de teste aos usuários restantes:

REVERT -- back to 'dbo'

GRANT SELECT ON dbo.TestSelect TO U2;
GRANT SELECT ON dbo.TestSelect TO U3;

Confirme se os outros usuários têm acesso ao objeto de teste:

EXECUTE AS USER = 'u2';

SELECT *
FROM dbo.TestSelect;

REVERT -- back to 'dbo'

EXECUTE AS USER = 'u3';

SELECT *
FROM dbo.TestSelect;

REVERT -- back to 'dbo'

Limpe o objeto de teste e os usuários:

DROP TABLE dbo.TestSelect
DROP USER u3;
DROP USER u2;
DROP USER u1;

Parece ser algo a ser corrigido pela Microsoft. A única maneira que vejo é descartar os usuários afetados e recriá-los com as permissões necessárias ...

@++ ;)