在我的理解中,在SQL Server中,DENY阻塞权限并胜过任何适当的授予。我只是在想,如果有一种方法来拒绝"与授予选项",意思是,防止任何"与授予选项"被显式地给予一个主体,而不是通过在这里描述的grant语法中省略它。在伪代码中像"GRANT permission DENY GRANT OPTION"。
我正在寻找这样一个功能,因为我不希望一个主体被其他具有相同GRANT OPTION的主体给予GRANT OPTION。我是从安全的角度来看待这个问题的。
有办法做到这一点吗?
考虑到开箱即用,也许您可以使用一个存储过程来回滚这些用户授予给另一个用户的权限。您可以通过使用由这些更改触发的存储过程或shell脚本来完成这项工作。您可能需要做的唯一附加项是,如果用户更改超过3次,则锁定用户帐户。