1

我有一个用户,我使用以下方式授予访问凭据的权限:

GRANT ALTER ANY CREDENTIAL TO userA

当我使用该用户登录时,以下内容会返回我的数据

SELECT * FROM sys.credentials

我可以看到我拥有 SERVER 级别的权限。这可以通过执行来验证

SELECT * FROM fn_my_permissions (NULL, 'SERVER')

使用另一个用户,比如 userB,我通过做给 userA 进行了模拟

GRANT IMPERSONATE ON USER::userA TO userB

在存储过程中,以 userB 身份登录时,我将上下文切换到 userA

EXECUTE AS user = 'userA'
SELECT user_name() AS ContextUserName
SELECT * FROM fn_my_permissions (NULL, 'SERVER')
SELECT * FROM sys.credentials

SELECT * FROM fn_my_permissions (NULL, 'SERVER')不会给我 ALTER ANY CREDENTIAL 许可。
SELECT * FROM sys.credentials不返回任何值。
SELECT user_name()但是返回给我 userA。

我在这里错过了什么吗?为什么我不能像 userA 那样从 sys.credentials 中获取数据?

谢谢!

4

2 回答 2

1

问题可能是,这EXECUTE AS只是授予 UserB 在您正在执行它的数据库上的 UserA 权限,而不是在服务器上授予的权限。这就是为什么SELECT user_name()显示UserA,但SELECT * FROM fn_my_permissions (NULL, 'SERVER')不是显示UserA的权限,而是显示UserB的权限。

微软文档:

EXECUTE AS (Transact-SQL) “模拟范围仅限于当前数据库。数据库用户的上下文切换不会继承该用户的服务器级权限。”

sys.fn_my_permissions "SELECT * FROM fn_my_permissions(NULL, 'SERVER');返回调用者在服务器上的有效权限列表。"

于 2020-04-03T10:01:24.150 回答
1

正如 Mathias 所提到的,我是Executing ASUSER 而不是 LOGIN。我不得不GRANT IMPERSONATE ON LOGIN::这样做。

于 2020-04-03T10:38:02.927 回答