限制在SQL Server中删除列的权限？

Question

ALTER TABLE [dbo].[Client] ADD [Awesomness] [nvarchar](max) 
ALTER TABLE [dbo].[Client] DROP COLUMN [Awesomness] 

第二个命令我不想成功，我不希望任何DROP COLUMN成功。所以我为我的数据库创建了一个用户，只是想知道如何拒绝这个用户的许可DROP COLUMN。我设置了一个触发器，但似乎没有照顾DROP COLUMN。反正我有限制吗？

CREATE TRIGGER [TR_DB_NO_DROPPING_OBJECTS_2] 
on DATABASE 
FOR 
DROP_PROCEDURE,DROP_FUNCTION,DROP_VIEW,DROP_TABLE, DROP_DEFAULT,DROP_EXTENDED_PROPERTY 
AS 
BEGIN 
    IF --only two accounts allowed to drop stuff 
    suser_name() NOT IN('test') 

BEGIN 
--raise an error, which goes to the error log 
RAISERROR('Unauthorized use of drop object from inpermissible host.', 16, 1) 
--prevent the drop 
    ROLLBACK 
    END 
--if it got to here, it was the "right" user from the "right" machine (i hope) 
END 

我分配给我的用户的角色。

use Hasan 
go 
EXEC sp_addrolemember N'db_datareader', N'TestUser' 
go 

use Hasan 
go 
EXEC sp_addrolemember N'db_datawriter', N'TestUser' 
go 

use Hasan 
GO 
GRANT EXECUTE TO [TestUser] 
GO 

use Hasan 
GO 
GRANT INSERT TO [TestUser] 
GO 

use Hasan 
GO 
GRANT SELECT TO [TestUser] 
GO 

use Hasan 
GRANT ALTER TO [TestUser] 
GO 

use Hasan 
GO 
GRANT UPDATE TO [TestUser] 
GO 

use Hasan 
GO 
GRANT DELETE TO [TestUser] 
GO 

Answer 1

这将是一个Alter_Table DDL事件。看看是否适合你。

此外，我不确定您是否查看了角色。授予dbwriter和dbreader允许CRUD操作，但不改变DDL。

https://msdn.microsoft.com/en-us/library/ms189121.aspx

编辑： 这个例子不检查一个用户，但它的作品在我的测试表：

CREATE TRIGGER testtrig 
ON Database 
FOR alter_table 
AS 
    Declare @Msg nvarchar(max) = (SELECT EVENTDATA().value('(/EVENT_INSTANCE/TSQLCommand/CommandText)[1]','nvarchar(max)')) 
    If @Msg Like '%Drop Column ColumnA%' 
    Rollback 
GO 

有可能是一个更好的方法比分析消息文本就像在我的例子这只是一个快速测试。

还记得这只是一个安全措施，让用户知道他们不应该放弃这一栏。如果他们有DDL权限，他们可以禁用或删除触发器。