適用対象:SQL Server
Azure SQL Managed Instance
SQL Server ログインに対して許可された権限を拒否します。
構文
DENY permission [ ,...n ] }
ON
{ [ LOGIN :: SQL_Server_login ]
| [ SERVER ROLE :: server_role ] }
TO <server_principal> [ ,...n ]
[ CASCADE ]
[ AS SQL_Server_login ]
<server_principal> ::=
SQL_Server_login
| SQL_Server_login_from_Windows_login
| SQL_Server_login_from_certificate
| SQL_Server_login_from_AsymKey
| server_role
引数
permission
SQL Server ログインで拒否できる権限を指定します。 権限の一覧については、後の「解説」を参照してください。
LOGIN
::SQL_Server_login
拒否される権限の対象となる SQL Server ログインを指定します。 スコープ修飾子 ( :: ) が必要です。
SERVER ROLE
::server_role
拒否される権限の対象となるサーバー ロールを指定します。 スコープ修飾子 ( :: ) が必要です。
<server_principal>
権限を許可する SQL Server ログインまたはサーバー ロールを指定します。
SQL_Server_login
権限を拒否する SQL Server ログインを指定します。
SQL_Server_login
SQL Server ログインの名前を指定します。
SQL_Server_login_from_Windows_login
Windows ログインから作成された SQL Server ログインの名前を指定します。
SQL_Server_login_from_certificate
証明書にマップされている SQL Server ログインの名前を指定します。
SQL_Server_login_from_AsymKey
非対称キーにマップされている SQL Server ログインの名前を指定します。
server_role
サーバー ロールの名前を指定します。
CASCADE
このプリンシパルによって権限が許可されている他のプリンシパルに対しても、同じ権限を拒否することを示します。
SQL_Server_login
このクエリを実行するプリンシパルが権限を拒否する権利を取得した、元の SQL Server ログインを指定します。
解説
サーバー スコープの権限を拒否できるのは、現在のデータベースが master のときだけです。
サーバー権限に関する情報は、sys.server_permissions カタログ ビューで確認できます。 サーバー プリンシパルに関する情報は、sys.server_principals カタログ ビューで確認できます。
DENY文は、CASCADEが指定されていない場合、GRANTオプションで許可を付与されたプリンシパルに許可を拒否する場合に失敗します。
SQL Server ログインおよびサーバー ロールはサーバー レベルのセキュリティ保護可能なリソースです。 次の表に、SQL Server ログインまたはサーバー ロールで拒否できる権限のうち最も限定的なものを、それらを暗黙的に含む一般的な権限と共に示します。
| SQL Server ログインまたはサーバー ロールの権限 | 権限が含まれる SQL Server ログインまたはサーバー ロールの権限 | 権限が含まれるサーバー権限 |
|---|---|---|
| CONTROL | CONTROL | 制御サーバー |
| IMPERSONATE | CONTROL | 制御サーバー |
| VIEW 定義 | CONTROL | VIEW 任意の定義 |
| ALTER | CONTROL | "任意の LOGIN を変更" "任意の SERVER ROLE を変更" |
アクセス許可
ログインの場合は、ログイン時にCONTROL権限が必要か、サーバー上の LOGIN 権限をALTERする必要があります。
サーバーロールの場合、サーバーロールに対してCONTROL権限、またはサーバー上の SERVER ROLE 権限をALTERする必要があります。
例
A. ログインの IMPERSONATE 権限を拒否する
次の例では、SQL Server ログイン IMPERSONATE の WanidaBenshoof 権限を、Windows ユーザー AdvWorks\YoonM から作成された SQL Server ログインに対して拒否します。
USE master;
DENY IMPERSONATE ON LOGIN::WanidaBenshoof TO [AdvWorks\YoonM];
GO
B. CASCADEによる VIEW 定義許可の拒否
次の例では、SQL Server ログイン VIEW DEFINITION の EricKurjan 権限を、SQL Server ログイン RMeyyappan に対して拒否します。 ここでは CASCADE オプションを使用して、VIEW DEFINITION がこの権限を許可したプリンシパルに対しても、EricKurjan の RMeyyappan 権限を拒否することを指定します。
USE master;
DENY VIEW DEFINITION ON LOGIN::EricKurjan TO RMeyyappan
CASCADE;
GO
C. サーバーロール VIEW DEFINITION権限の拒否
次の例では、VIEW DEFINITION サーバー ロールの Sales 権限を、Auditors サーバー ロールに対して拒否します。
USE master;
DENY VIEW DEFINITION ON SERVER ROLE::Sales TO Auditors ;
GO
参照
sys.server_principals(Transact-SQL)
sys.server_permissions(Transact-SQL)
GRANT サーバー プリンシパルのアクセス許可 (Transact-SQL)
REVOKE サーバー プリンシパルのアクセス許可 (Transact-SQL)
CREATE LOGIN (Transact-SQL)
プリンシパル (データベース エンジン)
権限 (データベース エンジン)
セキュリティ関数 (Transact-SQL)
セキュリティ ストアド プロシージャ (Transact-SQL)