Для роли db_denycustomer
я хочу, чтобы только SELECTable можно было выбрать код столбца таблицы клиента, а не все остальные. Итак, я сделал это:
DENY SELECT ON dbo.customer TO db_denycustomer
GRANT SELECT ON dbo.customer (code) TO db_denycustomer
... и работает нормально. Круто! Но почему ?
В связанных статьях я читал, что стек разрешений, но DENY
имеет приоритет. Напротив, в моем случае, кажется, что последний «запрос» разрешения имел приоритет. Конечно, если я выполню их в обратном порядке, последний также DENY
скрывает столбец кода.
Не могли бы вы уточнить это?
Я также включил настройки по умолчанию db_datawriter
и db_datareader
роли для пользователя, с которым я тестировал.
источник