Freigeben über


DENY (Endpunktberechtigungen) (Transact-SQL)

Verweigert Berechtigungen für einen Endpunkt.

Themenlink (Symbol)Transact-SQL-Syntaxkonventionen

Syntax

DENY permission  [ ,...n ] ON ENDPOINT :: endpoint_name
    TO < server_principal >  [ ,...n ]
    [ CASCADE ]
    [ AS SQL_Server_login ] 

<server_principal> ::= 
        SQL_Server_login
    | SQL_Server_login_from_Windows_login 
    | SQL_Server_login_from_certificate 
    | SQL_Server_login_from_AsymKey

Argumente

  • permission
    Gibt eine Berechtigung an, die für einen Endpunkt verweigert werden kann. Eine Liste der Berechtigungen finden Sie im Abschnitt zu den Hinweisen weiter unten in diesem Thema.

  • ON ENDPOINT ::endpoint_name
    Gibt den Endpunkt an, für den die Berechtigung verweigert wird. Der Bereichsqualifizierer (
    ::
    ) ist erforderlich.

  • TO <server_principal>
    Gibt den SQL Server-Anmeldenamen an, für den die Berechtigung verweigert wird.

  • SQL_Server_login
    Gibt einen SQL Server-Anmeldenamen an.

  • SQL_Server_login_from_Windows_login
    Gibt einen aus einem Windows-Anmeldenamen erstellten SQL Server-Anmeldenamen an.

  • SQL_Server_login_from_certificate
    Gibt einen einem Zertifikat zugeordneten SQL Server-Anmeldenamen an.

  • SQL_Server_login_from_AsymKey
    Gibt einen einem asymmetrischen Schlüssel zugeordneten SQL Server-Anmeldenamen an.

  • CASCADE
    Gibt an, dass die verweigerte Berechtigung auch anderen Prinzipalen verweigert wird, denen sie von diesem Prinzipal erteilt wurde.

  • AS SQL_Server_login
    Gibt einen SQL Server-Anmeldenamen an, von dem der Prinzipal, der diese Abfrage ausführt, sein Recht zum Verweigern der Berechtigung ableitet.

Hinweise

Berechtigungen im Serverbereich können nur verweigert werden, wenn master als aktuelle Datenbank verwendet wird.

Informationen zu Endpunkten werden in der sys.endpoints-Katalogsicht angezeigt. Informationen zu Serverberechtigungen werden in der sys.server_permissions-Katalogsicht und Informationen zu Serverprinzipalen in der sys.server_principals-Katalogsicht angezeigt.

Ein Endpunkt ist ein sicherungsfähiges Element auf Serverebene. Die spezifischsten und restriktivsten Berechtigungen, die für einen Endpunkt verweigert werden können, sind unten aufgeführt. Auch die allgemeineren Berechtigungen sind aufgeführt, die diese implizit enthalten.

Endpunktberechtigung

Impliziert durch die Endpunktberechtigung

Impliziert durch die Serverberechtigung

ALTER

CONTROL

ALTER ANY ENDPOINT

CONNECT

CONTROL

CONTROL SERVER

CONTROL

CONTROL

CONTROL SERVER

TAKE OWNERSHIP

CONTROL

CONTROL SERVER

VIEW DEFINITION

CONTROL

VIEW ANY DEFINITION

Berechtigungen

Erfordert die CONTROL-Berechtigung für den Endpunkt oder die ALTER ANY ENDPOINT-Berechtigung für den Server.

Beispiele

A. Verweigern der VIEW DEFINITION-Berechtigung für einen Endpunkt

Im folgenden Beispiel wird die VIEW DEFINITION-Berechtigung für den Endpunkt Mirror7 für den SQL Server-Anmeldenamen ZArifin verweigert.

USE master;
DENY VIEW DEFINITION ON ENDPOINT::Mirror7 TO ZArifin;
GO

B. Verweigern der TAKE OWNERSHIP-Berechtigung mit der CASCADE-Option

Im folgenden Beispiel wird die TAKE OWNERSHIP-Berechtigung für den Endpunkt Shipping83 für den SQL Server-Benutzer PKomosinski und für alle Prinzipale verweigert, denen von PKomosinski die TAKE OWNERSHIP-Berechtigung erteilt wurde.

USE master;
DENY TAKE OWNERSHIP ON ENDPOINT::Shipping83 TO PKomosinski 
    CASCADE;
GO