显式拒绝GRANT选项

Question

据我所知，在SQL Server中，拒绝阻止权限并胜过任何现有的授权。我只是在想，是否有一种方法可以拒绝"with grant option"，即防止任何"with grant option“显式地提供给主体，而不是像here中描述的那样在GRANT语法中省略它。类似于伪代码中的"GRANT permission DENY GRANT OPTION“。

我之所以寻找这样的功能，是因为我不希望一个主体稍后被其他具有相同GRANT选项的主体授予GRANT选项。我从安全的角度来看待这个问题。

有没有办法做到这一点？

Answer 1

想一想，也许您可以使用一个存储过程来回滚这些用户授予另一个用户的权限。您可以通过使用由这些更改触发的存储过程或shell脚本来实现这一点。如果用户进行了3次以上的更改，您可能需要做的唯一一件额外的事情就是锁定用户帐户。