SQL Server：テーブルではなくビューでユーザーに選択アクセスを許可する

ユーザーがビューから選択できるようにする場合、なぜテーブルに付与するのですか？ 「取り消す」とは、明示的に取り消す/拒否することを意味しますか？ Denyはgrantをオーバーライドするので、問題があります... grant ビューにを追加して、テーブルに対して何もしないことでこれを実現できるはずです。

以下は、SELECTがテーブルに明示的に付与されていないが、ビューにはある簡単な例です。ユーザーはビューから選択できますが、テーブルからは選択できません。

CREATE USER foo WITHOUT LOGIN;
GO
CREATE TABLE dbo.a(id INT);
CREATE TABLE dbo.b(id INT);
GO
CREATE VIEW dbo.v 
AS 
  SELECT a.id FROM a INNER JOIN b ON a.id = b.id;
GO
GRANT SELECT ON dbo.v TO foo;
GO
EXECUTE AS USER = N'foo';
GO
-- works:
SELECT id FROM dbo.v;
GO
-- Msg 229, SELECT denied:
SELECT id FROM dbo.a;
GO
REVERT;

これは、fooに、スキーマまたはデータベースに対する明示的な権限、またはロールまたはグループメンバーシップによる昇格された権限が付与されていないことを前提としています。

複数のデータベースでテーブルを使用しているため（最初に最初の文の終わりを逃してしまい申し訳ありません）、ビューが存在しないデータベース内のテーブルに対する明示的な付与も必要になる場合があります。テーブルへの選択の許可を回避するために、各データベースでビューを作成してから、ビューを結合することができます。

2つのデータベースと1つのログインを作成します。

CREATE DATABASE d1;
GO
CREATE DATABASE d2;
GO
USE [master];
GO
CREATE LOGIN blat WITH PASSWORD = 'x', CHECK_POLICY = OFF;
GO

データベースd1でユーザーを作成し、次にテーブルとそのテーブルに対する単純なビューを作成します。ビューに対して選択をユーザーのみに付与します。

USE d1;
GO
CREATE USER blat FROM LOGIN blat;
GO
CREATE TABLE dbo.t1(id INT);
GO
CREATE VIEW dbo.v1
AS
  SELECT id FROM dbo.t1;
GO
GRANT SELECT ON dbo.v1 TO blat;
GO

次に、2番目のデータベースでユーザーを作成してから、別のテーブルと、そのテーブルをd1のビューに結合するビューを作成します。ビューにのみ選択を許可します。

USE d2;
GO
CREATE USER blat FROM LOGIN blat;
GO
CREATE TABLE dbo.t2(id INT);
GO
CREATE VIEW dbo.v2
AS
  SELECT v1.id FROM dbo.t2 
    INNER JOIN d1.dbo.v1 AS v1
    ON t2.id = v1.id;
GO
GRANT SELECT ON dbo.v2 TO blat;
GO

ここで、新しいクエリウィンドウを起動し、資格情報をログイン用に変更しますblat（EXECUTE ASはここでは機能しません）。次に、いずれかのデータベースのコンテキストから次のコマンドを実行すると、正常に機能するはずです。

SELECT id FROM d1.dbo.v2;

これらはどちらもMsg 229エラーを生成するはずです。

SELECT id FROM d1.dbo.t1;
GO
SELECT id FROM d2.dbo.t2;

結果：

メッセージ229、レベル14、状態5、行1
オブジェクト 't1'、データベース 'd1'、スキーマ 'dbo'に対するSELECT権限が拒否されました。
メッセージ229、レベル14、状態5、行3
オブジェクト 't2'、データベース 'd2'、スキーマ 'dbo'に対するSELECT権限が拒否されました。