Security9：查询Login被授予的权限

在SQL Server的安全体系中，权限分为服务器级别（Server-Level）和数据库级别（Database-Level），获得权限的途径分为两种形式：直接授予的权限，由于加入角色而获得的权限。在安全体系中，授予权限涉及到有三种对象，分别是权限（Permission）、安全主体（Principal）和安全对象（Securable），授予权限的过程，可以用一句话概括：Grants permissions on a securable to a principal。

一，查看服务器级别的权限

在服务器级别，安全主体（Principal）是指Login和Server Role，权限对应的是服务器级别的权限。

1，查看服务器级别的安全主体

系统视图：sys.server_principals 用于查看服务器级别的安全主体：

name：主体的名称
principal_id：主体ID
sid：主体的SID (Security-IDentifier)，如果主体是Windows的登陆或组，那么该字段是Winows SID
type：主体的类型，常见的主体类型是：SERVER_ROLE、SQL_LOGIN、WINDOWS_GROUP、WINDOWS_LOGIN

2，从角色而获得的权限

系统视图：sys.server_role_members 用于查看属于服务器角色（Server Role）的Login：

select r.principal_id as role_id

    ,r.name as role_name

    ,r.is_fixed_role

    ,r.type_desc as role_type

    ,m.principal_id as member_id

    ,m.name as member_name

    ,m.is_disabled

    ,m.type_desc as member_type

from sys.server_role_members srm

inner join sys.server_principals r

    on srm.role_principal_id=r.principal_id

inner join sys.server_principals m

    on srm.member_principal_id=m.principal_id

3，直接授予的权限

系统视图：sys.server_permissions，用于查看服务器级别的权限

class：权限存在的分类，常见的分类是：SERVER、SERVER_PRINCIPAL、ENDPOINT
grantee_principal_id：指定被授予权限的主体ID，grantor_principal_id 指定：授予者的主体ID。
type：服务器级别的权限类型（server permission type）；
permission_name：服务器级别的权限的名称；
state和state_desc：权限的状态，分别是DENY、REVOKE、GRANT、GRANT_WITH_GRANT_OPTION；

如果安全主体是Login，那么查看Login被直接授予的权限；如果安全主体是Role，那么查看Role被授予的权限。

select pr.principal_id

    ,pr.name as principal_name

    ,pr.type_desc as principal_type

    ,pe.class_desc as class

    ,pe.permission_name

    ,pe.state_desc as state

from sys.server_principals pr

inner join sys.server_permissions pe

    on pr.principal_id=pe.grantee_principal_id

二，查看Login和User的映射

Login和User 通过sid关联，用户是存在于特定数据库的安全主体，如果User没有映射到Login，那么该用户称作孤立用户（Orphaned User），也就是说，User的sid不能映射到Login的sid。

select sp.principal_id as login_id

    ,sp.name as login_name

    ,sp.type_desc as login_type

    ,dp.principal_id as user_id

    ,dp.name as user_name

    ,dp.type_desc as user_type

    ,dp.authentication_type_desc as authentication_type

from sys.server_principals sp

inner join sys.database_principals dp

    on dp.sid=sp.sid

三，查看数据库级别的权限

在数据库级别，安全主体是User和Role，权限对应的是数据库级别的权限，包括操作数据库对象，执行的权限等。

1，查看数据库级别的安全主体

系统视图：sys.database_principals 用于查看数据库级别的安全主体：

name：主体的名称；
principal_id：主体ID；
sid：主体的SID (Security-IDentifier)，如果主体是Windows的登陆或组，那么该字段是Winows SID；
type和type_desc：主体的类型，常见的主体类型是：SQL_USER、WINDOWS_USER、WINDOWS_GROUP、DATABASE_ROLE；
authentication_type：验证类型，常见的是DATABASE 和 WINDOWS；
owning_principal_id：安全主体（Principal）的所有者，除了数据角色之外的所有主体的所有者必须是dbo；

系统视图：sys.database_permissions 用于查看数据库级别的权限：

class：权限存在的分类，常见的分类是：DATABASE、OBJECT_OR_COLUMN、SCHEMA、DATABASE_PRINCIPAL
grantee_principal_id指定：被授予权限的主体ID，grantor_principal_id 指定：授予者的主体ID。
type：数据库级别的权限类型（server permission type）；
permission_name：数据库级别的权限的名称；
state：权限的状态，分别是DENY、REVOKE、GRANT、GRANT_WITH_GRANT_OPTION；
major_id和minor_id：

安全对象（Securable）：通过major_id 和 minor_id 指定安全对象

major_id：该字段共有3种类型的数值：

正整数，标识数据库对象，是object_id；
0，标识数据库级别的授权，class是DATABASE；
负整数，标识系统对象；

minor_id：该字段共有2种类型的数值：

正整数，标识的是数据库对象的column_id，该字段连接到sys.columns中的column_id；
0，标识的是整个数据库对象object；

系统视图：sys.database_role_members 用于查看数据库级别的角色和数据库主体的映射关系。

2，查看数据库级别的安全主体的权限

安全主体包括User和数据库级别的role，通过以下脚本查看它们的权限，这是直接授予安全主体的权限：

select pr.principal_id

    ,pr.name as principal_name

    ,pr.type_desc as principal_type

    ,pr.is_fixed_role

    ,pr.authentication_type_desc as authentication_type

    ,pe.permission_name

    ,pe.class_desc as permission_class

    ,pe.state_desc as permission_state

    ,pe.major_id

    ,pe.minor_id

from sys.database_principals as pr

inner join sys.database_permissions as pe

    on pe.grantee_principal_id = pr.principal_id

order by pr.name;

2，从数据库角色获得的权限

查询数据库Role的成员，可以查看数据库用户从数据库角色获得的权限：

select r.principal_id as role_id

    ,r.name as role_name

    ,r.type_desc as role_type

    ,r.is_fixed_role

    ,u.name as member_name

    ,u.type_desc as member_type

    ,u.authentication_type_desc as member_authentication

from sys.database_role_members rm

inner join sys.database_principals r

    on rm.role_principal_id=r.principal_id

inner join sys.database_principals u

    on rm.member_principal_id=u.principal_id

where r.type='R'    --database role

order by role_name

四，查看用户在表、view或schema上的权限

用户可以被授予数据库对象上或schema上的权限

1，查看用户在对象上的权限

select pr.principal_id

    ,pr.name

    ,pr.type_desc

    ,pr.authentication_type_desc

    ,pe.permission_name

    ,pe.class_desc

    ,pe.state_desc

    ,o.name as object_name

    ,isnull(c.name,'entire_table') as column_name

from sys.database_principals as pr

inner join sys.database_permissions as pe

    on pe.grantee_principal_id = pr.principal_id

inner join sys.objects as o

    on pe.major_id=o.object_id

left join sys.columns c

    on o.object_id=c.object_id

        and pe.minor_id=c.column_id

where pe.class=1    -- Object or Column

order by pr.name

    ,o.name

    ,c.column_id;

2，查看用户在schema上的权限

select pr.principal_id

    ,pr.name

    ,pr.type_desc

    ,pr.authentication_type_desc

    ,pe.permission_name

    ,pe.class_desc

    ,pe.state_desc

    ,s.name as schema_name

from sys.database_principals as pr

inner join sys.database_permissions as pe

    on pe.grantee_principal_id = pr.principal_id

inner join sys.schemas as s

    on pe.major_id=s.schema_id

where pe.class=3    -- Object or Column

order by pr.name;

参考文档：

Getting Started with Database Engine Permissions

Security Catalog Views (Transact-SQL)