授予所有表（除了 1）对某个角色的读取权限，但不知道每天都有哪些表

Question

在我们的数据仓库（将动态变化）中，每天都会删除和重建表。我们组织中的某些开发人员也有可能在该数据库中创建更多表。 因此，我无法授予持久数据库的权限。

问题： 我想做某种每天运行的工作，列出数据库中的所有表名（当时存在的），如“Select * FROM sys.tables” 然后我希望表名作为脚本的输入值，该脚本通过所有表名运行并将它们放置在如下脚本中：

GRANT SELECT TO [Tablename1] TO [ROLE_READALLTABLES Except 1 table],
GRANT SELECT TO [Tablenaam2] TO [ROLE_READALLTABLES Except 1 table] 

如此循环，直到所有现有表都可读。 所以整个数据库中的所有表（除了1个表）都应该得到GRANT SELECT的权限。

我已经查看了所有相关的答案，但我似乎不知道如何让它发挥作用。 我希望有人可以帮助我。

更新 我使用 Microsoft SQL Server 2014，并通过 SQL Management Studio 2014 工作 更新 2： 有一个例外。该表具有架构 [dbo]。像所有其他表格一样

Answer 1

您通常可以使用 db_datareader 角色授予对所有表的访问权限，然后使用具有 DENY 规则的特定角色来排除对作为例外的一个表的访问权限。

步骤大概是这样的：

1) 创建您的“阅读所有内容，除了 1 个角色”：

CREATE ROLE [ROLE_READALLEXCEPT1]

2) 像这样创建您的“拒绝”角色：

CREATE ROLE [ROLE_DENY]
GO
DENY SELECT, INSERT, UPDATE, DELETE ON myTable TO [ROLE_DENY]
GO

3) 然后将您的“除外 1”角色添加到其中：

EXEC sp_addrolemember @rolename = 'ROLE_DENY', @membername = 'ROLE_READALLEXCEPT1'

4) 将您的角色添加到 db_datareader：

EXEC sp_addrolemember @rolename = 'db_datareader', @membername = 'ROLE_READALLEXCEPT1'

deny 角色应该覆盖 db_datareader，最终结果是您的角色现在可以访问所有表（包括新表），但明确拒绝的除外。

然后您可以将您的用户添加到“ROLE_READALLEXCEPT1”，他们将可以访问除了一个例外表之外的所有内容。

Answer 2

没有关于排除表的信息，所以我假设总是相同的。
我还假设所有其他表都在架构 dbo 上；这不是一个相关的约束或限制，因为该逻辑可以很容易地应用于多个模式。

最简单的解决方案是授予permission at the schema level。
将单个表移动到具有受限权限的单独架构上，并授予对用户表所在的整个架构的完全读取权限：

GRANT SELECT ON SCHEMA::dbo TO [relevant role/user];

现在开发人员可以在架构dbo 上创建他们喜欢的所有表，并且权限由架构继承。
如果您需要授予对多个架构的访问权限，则可以轻松应用一次权限，然后每个新表都将获得适当的权限。

这个解决方案的最大优点是它是一劳永逸的：一旦到位，就没有维护，没有工作，没有每天/每周/任何运行的脚本。

这个优势是针对排除表的移动进行评估和加权的（或相反：移动用户表）：可能仅由几个内部应用程序使用，因此它是一个快速补丁或被使用而是通过全球范围内可访问的一大堆服务，这将是一场噩梦。