Оператор deny не дает пользователям возможности выполнять действия. Это означает, что такой оператор удаляет существующие полномочия у учетных записей пользователей или не разрешает пользователям применять полномочия от их участия в группах/ролях, которые могут быть получены в будущем. Этот оператор имеет следующий синтаксис:

deny {all  [privileges]} I permission_list [on  [class::]  securable] to principal_list [cascade]   [ as principal ]

Все опции оператора deny имеют то же логическое значение, что и опции с теми же самыми именами в операторе grant, deny имеет дополнительную опцию cascade, которая указывает, что полномочия не будут применяться для пользователя А и для любого пользователя, которому пользователь А передаст эти полномочия. (Если опция cascade не указана в операторе deny и соответствующие полномочия к объекту задаются с with grant option, то возвращается ошибка.)

Оператор deny запрещает пользователю, группе или роли получать доступ к полномочиям, полученным через их участие в группе или роли. Это означает, что если пользователь принадлежит группе (или роли) и предоставленные группе полномочия отменяются для этого пользователя, то этот пользователь будет единственным в группе, кто не сможет использовать эти полномочия. С другой стороны, если полномочия отменяются для всей группы, то эти полномочия отменяются для всех членов этой группы.

В примерах 12.18 и 12.19 показано использование оператора deny.

 

 

Оператор deny в примере 12.18 отменяет два ранее назначенных полномочия к операторам для пользователя peter.

 

 

В примере 12.19 показана негативная авторизация для некоторых пользователей базы данных sample. Вначале предоставляется право чтения всех строк из таблицы project для всех пользователей базы данных sample. Затем это право отменяется для двух пользователей: peter и тагу.