Кесарь,
вы сначала определитесь с тем какие именно права вам нужны.
у вас ситуации при которых sys.privs может содержать много строк может быть только две:
а) у вас в базе дофигища отдельно взятых пользователей которым раздаются персональные права на объекты
б) у вас в базе сравнительно мало пользователей, но зато дофигища объектов на которые выданы права (таблицы, колонки, процедуры, etc)
вот в варианте а) имеет смысл рассматривать модель выдачи прав через роли
в варианте б) превалирующую роль всегда играют записи с типом class = 1 (то есть OBJECT_OR_COLUMN)
в этом случае, если вы хотите к примеру контролировать своим скриптом права только на процедуры а таблицы и колонки вас не сильно интересуют то явно указывайте это в предикате запроса
к примеру такой запрос даст в оценке меньше строк потому что учтет условие позволяющее отобрать строки более точно
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
declare @UserId int = (
select user_id(convert(sysname, Obj.[SysName]))
from dbo.[Object] Obj
where Obj.ID = 11212425230450 );
select
DBPerms.major_id
from sys.database_permissions DbPerms
where DBPerms.grantee_principal_id = @UserId
and class = 1
and minor_id = 0
и да для варианта б) опять же можно гранулировать выдачу прав:
если вы к примеру в обычном кейсе выдаете чето типа
1.
2.
3.
4.
GRANT EXECUTE ON [dbo].[proc1] TO [user1]
GRANT EXECUTE ON [dbo].[proc2] TO [user1]
...
GRANT EXECUTE ON [dbo].[procN] TO [user1]
воозможно имеет смысл дать EXECUTE на всю схему а не на отдельные объекты, а тем кому надо запрещать давать явный DENY смотрите всегда каких прав вы выдаете больше, тогда возможно надо идти не от схемы "запретить всем, выдавать кому надо", а наоборот "разрешить всем, запрещать кому не надо". но это опять же требует тщательного анализа.
