数据库权限检查

本篇文章仅用于检查主体所拥有的权限。我们可以按照实例->数据库->数据库对象逐一检查。

--实例级别
select * from sys.server_principals --服务器主体
select * from sys.server_role_members --服务器角色成员
select * from sys.server_permissions --权限分配
--数据库级别
select * from sys.database_principals --数据库主体
select * from sys.database_role_members --数据库角色成员
select * from sys.database_permissions --权限分配

综合上面各系统视图

/*************检查权限步骤*************/
--Step1 服务器角色中的登录名
SELECT SrvRole = g.name
      ,MemberName = u.name
      ,MemberSID = u.sid
FROM   sys.server_principals       u
      ,sys.server_principals       g
      ,sys.server_role_members     m
WHERE  g.principal_id = m.role_principal_id
       AND u.principal_id = m.member_principal_id
       and u.name not in(select name from master.sys.sql_logins where is_disabled=1)
ORDER BY 1,2
--Step2 数据库角色中的用户
SELECT DbRole = g.name
      ,MemberName = u.name
      ,MemberSID = u.sid
FROM   sys.database_principals       u
      ,sys.database_principals       g
      ,sys.database_role_members     m
WHERE  g.principal_id = m.role_principal_id
       AND u.principal_id = m.member_principal_id
ORDER BY 1,2
--Step3 服务器安全主体权限
SELECT spc.name ToObject
      ,spc.type_desc
      ,spm.class_desc
      ,spm.permission_name
      ,spm.state_desc
      ,spc1.name OnObject
FROM   sys.server_permissions spm
       INNER JOIN sys.server_principals spc
            ON  spm.grantee_principal_id = spc.principal_id
       LEFT JOIN sys.server_principals spc1
            ON  spm.major_id = spc1.principal_id
WHERE  spc.principal_id>265 --排除部分登录名
--Step4 数据库安全主体权限
SELECT dpc.name granteename
      ,OBJECT_NAME(dpm.major_id ,DB_ID()) AS objectname
      ,COL_NAME(dpm.major_id ,dpm.minor_id) AS columnname
      ,dpm.class_desc
      ,dpm.permission_name
      ,dpm.state_desc
FROM   sys.database_permissions (NOLOCK) dpm
       INNER JOIN sys.database_principals (NOLOCK) dpc
            ON  dpm.grantee_principal_id = dpc.principal_id
WHERE  dpm.grantee_principal_id >= 5 --排除public、dbo、guest、INFORMATION_SCHEMA、sys
--AND dpc.type='S'  --R角色、S用户
ORDER BY
       dpc.type,dpc.name,objectname
--Step5 查看角色(用户)被赋予的权限(数据库下)
EXEC sp_helprotect @username='DBAMonitor_ETL_V1'--username|dbrolename
EXEC sp_helprotect @name='Info_Cpu_UseLog'--tablename

我们可以针对哪些permission_name进行grant/revoke/deny

--罗列所有内置permissions
SELECT *
FROM   sys.fn_builtin_permissions(DEFAULT)
ORDER BY class_desc,permission_name;
--罗列能在object上设置的permissions
SELECT *
FROM   sys.fn_builtin_permissions('OBJECT')
ORDER BY class_desc,permission_name;

上面罗列的permission_name，都可以在实例、数据库、数据库对象右击属性的权限或安全对象页找到。

posted @ 2016-03-23 08:23 Uest 阅读(1999) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

阅读排行：
· 周边上新：园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源！
· 分享 3 个 .NET 开源的文件压缩处理库，助力快速实现文件压缩解压功能！
· Ollama——大语言模型本地部署的极速利器
· DeepSeek如何颠覆传统软件测试？测试工程师会被淘汰吗？

公告

您的浏览器不支持html5的canvas

关注技术：MySQL、Go
联系方式：UestMail@163.com

随笔、评论滚动鼠标查看更多

昵称： Uest
园龄： 11年3个月
粉丝： 47
关注： 23

+加关注

数据库权限检查

公告

搜索

随笔分类 (155)

随笔档案 (186)

推荐链接

最新评论

大神，为什么我拖入XML没有生成CHM文件啊？

	【作者】：醒嘞
	【出处】： http://www.cnblogs.com/Uest/
	【声明】：本文内容仅代表个人观点。如需转载请保留此段声明，且在文章页面明显位置给出原文链接！