Понижение прав доступа на сервер / пользователя БД для SELECT, View Definitions, Exec Stored Procs и использования функций

Question

Я работаю через изменение разрешений, так что во время работы пользователь может только просматривать определения, выбирать таблицы, выполнять хранимые процедуры и использовать функции. По существу любые изменения в объектах или данных должны быть запрещены.

В настоящее время пользователь является системным администратором с примененной ролью DENYDATAWRITER. Что еще нужно применить, чтобы соответствовать этим разрешениям?

Я довольно плохо знаком с безопасностью БД, поэтому любая помощь очень ценится. Это для SQL SERVER 2014

Answer 1

Роль системного администратора плюс DENYDATAWRITER имеет более высокие разрешения, чем те, которые вы перечислили.

Я бы предложил DATAREADER и GRANT EXECUTE.

Answer 2

Решением было создание новой роли, которая давала разрешение на выбор, подключение, выполнение и просмотр определения, а также назначала ему пользователя в сочетании с db_denydatawriter.

Спасибо всем за помощь:)

Answer 3

Уровень приоритета DENY выше, чем обычно, поэтому я думаю, что вы можете дать авторизацию db_OWNER и db_DENYDATAWRITER вместе.