回到刚才的例子,假设Linlin也是同样拥有访问Customers表权利的 Managers角色中的一员。前面的REVOKE命令就可能不足以制止他访问该数据表。通过专门对他的用户帐号使用GRANT语句能够撤销之前赋予他的权限,但是不会影响到他通过其帐号所在的Managers角色组中获得的权限。假如我们使用DENY语句,就能够阻止他从角色里承继的权限。命令如下:
| DENY DELETE ON Customers TO Linlin |
事实上,DENY命令在数据库访问控制中创建了一种“负权限”。假如我们随后又决定要赋予Linlin从Customers删除行的权限,我们就不能简单的用GRANT命令来实现了。已存在的DENY命令比GRANT命令的优先级更高。相反,我们先要用REVOKE命令来撤销已进驻的负权限,命令如下:
