Permissões de banco de dados GRANT (Transact-SQL)

2025-07-29

Aplica-se a:SQL Server Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure Azure Synapse Analytics Analytics Platform System (PDW)Ponto de extremidade de análise de SQL no Microsoft Fabric Armazém no Microsoft Fabric Banco de dados SQL no Microsoft Fabric Preview

Concede permissões em um banco de dados no SQL Server.

Convenções de sintaxe de Transact-SQL

Syntax


GRANT <permission> [ ,...n ]
    TO <database_principal> [ ,...n ] [ WITH GRANT OPTION ]
    [ AS <database_principal> ]

<permission>::=
permission | ALL [ PRIVILEGES ]

<database_principal> ::=
    Database_user
  | Database_role
  | Application_role
  | Database_user_mapped_to_Windows_User
  | Database_user_mapped_to_Windows_Group
  | Database_user_mapped_to_certificate
  | Database_user_mapped_to_asymmetric_key
  | Database_user_with_no_login

Arguments

permission Especifica uma permissão que pode ser concedida em um banco de dados. Para obter uma lista de permissões, consulte a seção Comentários mais adiante neste tópico.

ALL Esta opção não concede todas as permissões possíveis. A concessão ALL é equivalente a conceder as seguintes permissões: BACKUP DATABASE, BACKUP LOG, CREATE DEFAULT, CREATE FUNCTION, CREATE PROCEDURE, CREATE RULE, CREATE TABLE e CREATE VIEW.

PRIVILEGES Incluídos para conformidade com ANSI-92. Não altera o comportamento de ALL.

WITH GRANT OPTION Indica que a entidade de segurança também terá a capacidade de conceder a permissão especificada a outros principais.

AS <database_principal> Especifica uma entidade de segurança por meio da qual a entidade de segurança que executa essa consulta obtém seu direito de conceder a permissão.

Database_user Especifica um usuário de banco de dados.

Database_role Especifica uma função de banco de dados.

Application_roleAplica-se a: SQL Server 2008 (10.0.x) e posterior e Banco de Dados SQL do Azure

Especifica uma função de aplicativo.

Database_user_mapped_to_Windows_UserAplica-se a: SQL Server 2008 (10.0.x) e posterior

Especifica um usuário do banco de dados mapeado para um usuário do Windows.

Database_user_mapped_to_Windows_GroupAplica-se a: SQL Server 2008 (10.0.x) e posterior

Especifica um usuário do banco de dados mapeado para um grupo do Windows.

Database_user_mapped_to_certificateAplica-se a: SQL Server 2008 (10.0.x) e posterior

Especifica um usuário do banco de dados mapeado para um certificado.

Database_user_mapped_to_asymmetric_keyAplica-se a: SQL Server 2008 (10.0.x) e posterior

Especifica um usuário do banco de dados mapeado para uma chave assimétrica.

Database_user_with_no_login Especifica um usuário de banco de dados sem entidade de segurança no nível do servidor correspondente.

Remarks

Important

Uma combinação das permissões ALTER e REFERENCE em alguns casos pode permitir ao usuário autorizado exibir dados ou executar funções não autorizadas. Por exemplo: Um usuário com a permissão ALTER em uma tabela e a permissão REFERENCE em uma função pode criar uma coluna computada em uma função e fazer com que ela seja executada. Nesse caso, o usuário também precisará da permissão SELECT na coluna computada.

Um banco de dados é um protegível contido no servidor pai na hierarquia de permissões. As permissões mais específicas e limitadas que podem ser concedidas em um banco de dados são listadas na tabela a seguir, junto com as permissões mais gerais que as incluem implicitamente.

Database permission	Implícito na permissão de banco de dados	Implícito na permissão de servidor
ADMINISTRAR OPERAÇÕES EM LOTE DO BANCO DE DADOS Aplica-se a: Banco de Dados SQL.	CONTROL	CONTROL SERVER
ALTER	CONTROL	ALTERAR QUALQUER BANCO DE DADOS
ALTERAR QUALQUER FUNÇÃO DE APLICAÇÃO	ALTER	CONTROL SERVER
ALTERAR QUALQUER ASSEMBLAGEM	ALTER	CONTROL SERVER
ALTER ANY CHAVE ASSIMÉTRICA	ALTER	CONTROL SERVER
ALTERAR QUALQUER CERTIFICADO	ALTER	CONTROL SERVER
ALTERAR QUALQUER CHAVE DE ENCRIPTAÇÃO DE COLUNA	ALTER	CONTROL SERVER
ALTERAR QUALQUER DEFINIÇÃO DE CHAVE MESTRA DE COLUNA	ALTER	CONTROL SERVER
ALTERAR QUALQUER CONTRATO	ALTER	CONTROL SERVER
ALTERAR QUALQUER AUDITORIA DE BANCO DE DADOS	ALTER	ALTERAR QUALQUER AUDITORIA DO SERVIDOR
ALTER TRIGGER DDL EM QUALQUER BANCO DE DADOS	ALTER	CONTROL SERVER
ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO DE BANCO DE DADOS	ALTER	ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO
ALTERAR QUALQUER SESSÃO DE EVENTO DE BANCO DE DADOS Aplica-se a: Banco de Dados SQL.	ALTER	ALTERAR QUALQUER SESSÃO DE EVENTO
ALTERAR QUALQUER CONFIGURAÇÃO DE ESCOPO DE BANCO DE DADOS Aplica-se a: SQL Server 2016 (13.x) e posterior, Banco de Dados SQL.	CONTROL	CONTROL SERVER
ALTERAR QUALQUER ESPAÇO DE DADOS	ALTER	CONTROL SERVER
ALTERAR QUALQUER FONTE DE DADOS EXTERNA	ALTER	CONTROL SERVER
ALTERAR QUALQUER FORMATO DE ARQUIVO EXTERNO	ALTER	CONTROL SERVER
ALTERAR QUALQUER BIBLIOTECA EXTERNA Aplica-se a: SQL Server 2017 (14.x).	CONTROL	CONTROL SERVER
ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO	ALTER	CONTROL SERVER
ALTERAR QUALQUER MÁSCARA	CONTROL	CONTROL SERVER
ALTERAR QUALQUER TIPO DE MENSAGEM	ALTER	CONTROL SERVER
ALTERAR QUALQUER VINCULAÇÃO DE SERVIÇO REMOTO	ALTER	CONTROL SERVER
ALTERAR QUALQUER FUNÇÃO	ALTER	CONTROL SERVER
ALTERAR QUALQUER ROTA	ALTER	CONTROL SERVER
ALTER ANY SCHEMA (Modificar qualquer esquema)	ALTER	CONTROL SERVER
ALTERAR QUALQUER POLÍTICA DE SEGURANÇA Aplica-se a: Banco de Dados SQL do Azure.	CONTROL	CONTROL SERVER
ALTERAR QUALQUER CLASSIFICAÇÃO DE SENSIBILIDADE Aplica-se a: SQL Server (SQL Server 2019 e posterior), Banco de Dados SQL do Azure.	CONTROL	CONTROL SERVER
ALTERAR QUALQUER SERVIÇO	ALTER	CONTROL SERVER
ALTERAR QUALQUER CHAVE SIMÉTRICA	ALTER	CONTROL SERVER
ALTERAR QUALQUER USUÁRIO	ALTER	CONTROL SERVER
AUTHENTICATE	CONTROL	AUTHENTICATE SERVER
BACKUP DATABASE	CONTROL	CONTROL SERVER
BACKUP LOG	CONTROL	CONTROL SERVER
CHECKPOINT	CONTROL	CONTROL SERVER
CONNECT	CONNECT REPLICATION	CONTROL SERVER
CONNECT REPLICATION	CONTROL	CONTROL SERVER
CONTROL	CONTROL	CONTROL SERVER
CREATE AGGREGATE	ALTER	CONTROL SERVER
CREATE ANY EXTERNAL LIBRARY Aplica-se a: SQL Server 2017 (14.x).	CONTROL	CONTROL SERVER
CREATE ASSEMBLY	ALTERAR QUALQUER ASSEMBLAGEM	CONTROL SERVER
CRIAR CHAVE ASSIMÉTRICA	ALTER ANY CHAVE ASSIMÉTRICA	CONTROL SERVER
CREATE CERTIFICATE	ALTERAR QUALQUER CERTIFICADO	CONTROL SERVER
CREATE CONTRACT	ALTERAR QUALQUER CONTRATO	CONTROL SERVER
CREATE DATABASE	CONTROL	CRIAR QUALQUER BANCO DE DADOS
CRIAR NOTIFICAÇÃO DE EVENTO DDL DE BANCO DE DADOS	ALTERAR QUALQUER NOTIFICAÇÃO DE EVENTO DE BANCO DE DADOS	CRIAR NOTIFICAÇÃO DE EVENTO DDL
CREATE DEFAULT	ALTER	CONTROL SERVER
CRIAR CATÁLOGO DE TEXTO COMPLETO	ALTERAR QUALQUER CATÁLOGO DE TEXTO COMPLETO	CONTROL SERVER
CREATE FUNCTION	ALTER	CONTROL SERVER
CRIAR TIPO DE MENSAGEM	ALTERAR QUALQUER TIPO DE MENSAGEM	CONTROL SERVER
CREATE PROCEDURE	ALTER	CONTROL SERVER
CREATE QUEUE	ALTER	CONTROL SERVER
CRIAR VINCULAÇÃO DE SERVIÇO REMOTO	ALTERAR QUALQUER VINCULAÇÃO DE SERVIÇO REMOTO	CONTROL SERVER
CREATE ROLE	ALTERAR QUALQUER FUNÇÃO	CONTROL SERVER
CREATE ROUTE	ALTERAR QUALQUER ROTA	CONTROL SERVER
CREATE RULE	ALTER	CONTROL SERVER
CREATE SCHEMA	ALTER ANY SCHEMA (Modificar qualquer esquema)	CONTROL SERVER
CREATE SERVICE	ALTERAR QUALQUER SERVIÇO	CONTROL SERVER
CRIAR CHAVE SIMÉTRICA	ALTERAR QUALQUER CHAVE SIMÉTRICA	CONTROL SERVER
CREATE SYNONYM	ALTER	CONTROL SERVER
CREATE TABLE	ALTER	CONTROL SERVER
CREATE TYPE	ALTER	CONTROL SERVER
CREATE VIEW	ALTER	CONTROL SERVER
CRIAR COLEÇÃO DE ESQUEMA XML	ALTER	CONTROL SERVER
DELETE	CONTROL	CONTROL SERVER
EXECUTE	CONTROL	CONTROL SERVER
EXECUTE ANY EXTERNAL ENDPOINT Aplica-se a: Banco de Dados SQL do Azure.	CONTROL	CONTROL SERVER
EXECUTE ANY EXTERNAL SCRIPT Aplica-se a: SQL Server 2016 (13.x).	CONTROL	CONTROL SERVER
EXECUTE EXTERNAL SCRIPT Aplica-se a: SQL Server 2019 (15.x).	EXECUTAR QUALQUER SCRIPT EXTERNO	CONTROL SERVER
INSERT	CONTROL	CONTROL SERVER
ENCERRAR CONEXÃO DE BANCO DE DADOS Aplica-se a: Banco de Dados SQL do Azure.	CONTROL	Alterar Qualquer Conexão
REFERENCES	CONTROL	CONTROL SERVER
SELECT	CONTROL	CONTROL SERVER
SHOWPLAN	CONTROL	ALTER TRACE
ASSINAR NOTIFICAÇÕES DE CONSULTA	CONTROL	CONTROL SERVER
TAKE OWNERSHIP	CONTROL	CONTROL SERVER
UNMASK	CONTROL	CONTROL SERVER
UPDATE	CONTROL	CONTROL SERVER
EXIBIR QUALQUER DEFINIÇÃO DE CHAVE DE CRIPTOGRAFIA DE COLUNA	CONTROL	VISUALIZAR QUALQUER DEFINIÇÃO
EXIBIR QUALQUER DEFINIÇÃO DE CHAVE MESTRA DE COLUNA	CONTROL	VISUALIZAR QUALQUER DEFINIÇÃO
EXIBIR ESTADO DO BANCO DE DADOS	CONTROL	Visualizar Estado do Servidor
VIEW DEFINITION	CONTROL	VISUALIZAR QUALQUER DEFINIÇÃO

Permissions

O concessor (ou a entidade de segurança especificada com a opção AS) deve ter a própria permissão com GRANT OPTION ou uma permissão superior que tenha a permissão que está sendo concedida implícita.

Se você estiver usando a opção AS, os requisitos adicionais a seguir serão aplicáveis.

AS granting_principal	Permissão adicional necessária
Database user	Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados mapeado para um logon do Windows	Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados mapeado para um grupo do Windows	Associação no grupo do Windows, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados mapeado para um certificado	Associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados mapeado para uma chave assimétrica	Associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Usuário de banco de dados não mapeado para nenhuma entidade de segurança de servidor	Permissão IMPERSONATE no usuário, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Database role	Permissão ALTER na função, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.
Application role	Permissão ALTER na função, associação na função de banco de dados fixa db_securityadmin, associação na função de banco de dados fixa db_owner ou associação na função de servidor fixa sysadmin.

Os proprietários de objetos podem conceder permissões nos objetos de sua propriedade. As entidades que têm a permissão CONTROL em um protegível podem conceder a permissão nesse protegível.

Os usuários autorizados da permissão CONTROL SERVER, como os membros da função de servidor fixa sysadmin, podem conceder qualquer permissão em qualquer protegível do servidor.

Examples

A. Concedendo permissão para criar tabelas

O exemplo a seguir concede a permissão CREATE TABLE no banco de dados AdventureWorks ao usuário MelanieK.

USE AdventureWorks;
GRANT CREATE TABLE TO MelanieK;
GO

B. Concedendo a permissão SHOWPLAN a uma função de aplicativo

O exemplo a seguir concede a permissão SHOWPLAN no banco de dados AdventureWorks2022 à função de aplicativo AuditMonitor.

Aplica-se a: SQL Server 2008 (10.0.x) e posterior e Banco de Dados SQL

USE AdventureWorks2022;
GRANT SHOWPLAN TO AuditMonitor;
GO

C. Concedendo CREATE VIEW com GRANT OPTION

O exemplo a seguir concede a permissão CREATE VIEW no banco de dados AdventureWorks2022 ao usuário CarmineEs com o direito de conceder CREATE VIEW a outras entidades.

USE AdventureWorks2022;
GRANT CREATE VIEW TO CarmineEs WITH GRANT OPTION;
GO

D. Concedendo a permissão CONTROL a um usuário de banco de dados

O exemplo a seguir concede a permissão CONTROL no banco de dados AdventureWorks2022 ao usuário do banco de dados Sarah. O usuário deve existir no banco de dados, e o contexto deve ser definido como o banco de dados.

USE AdventureWorks2022;
GRANT CONTROL ON DATABASE::AdventureWorks2022 TO Sarah;
GO