Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytický platformový systém (PDW)SQL databáze v Microsoft Fabric
Hlavní uživatelé jsou entity, které mohou požadovat prostředky SQL Serveru. Stejně jako ostatní komponenty autorizačního modelu SQL Serveru je možné principály uspořádat v hierarchii. Rozsah vlivu objektu zabezpečení závisí na rozsahu definice objektu zabezpečení: Windows, server, databáze; a zda je objekt zabezpečení nedělitelný nebo kolekce. Přihlášení systému Windows je příkladem neviditelného objektu zabezpečení a skupina Windows je příkladem objektu zabezpečení, který je kolekcí. Každý subjekt má identifikátor zabezpečení (SID). Toto téma se týká všech verzí SQL Serveru, ale existují určitá omezení pro objekty zabezpečení na úrovni serveru ve službě SQL Database nebo Azure Synapse Analytics.
Objekty zabezpečení na úrovni SQL Serveru
- Přihlášení k ověřování SQL Serveru
- Přihlášení k ověřování systému Windows pro uživatele Windows
- Přihlášení k ověřování systému Windows pro skupinu Windows
- Přihlášení k ověřování Microsoft Entra pro uživatele Microsoft Entra
- "Ověřovací přihlášení Microsoft Entra pro skupinu Microsoft Entra"
- Role serveru
Principály na úrovni databáze
- Uživatel databáze (existují 12 typů uživatelů. Další informace naleznete v tématu CREATE USER (Transact-SQL).)
- Role databáze
- Role aplikace
Přihlášení sa
Přihlášení k SQL Serveru sa je hlavní účet na úrovni serveru. Ve výchozím nastavení se vytvoří při instalaci instance. Počínaje SQL Serverem 2005 (9.x) je výchozí databáze sa hlavní. Jedná se o změnu chování ze starších verzí SQL Serveru. Přihlášení sa je členem pevné role serverové úrovně sysadmin. Přihlášení sa má všechna oprávnění na serveru a nelze ho omezit. Přihlášení sa nelze vynechat, ale dá se zakázat, aby ho nikdo nemohl používat.
dbo Uživatel and dbo Schéma
dbo uživatel je speciální zabezpečovací entita v každé databázi. Všichni správci SQL Serveru, členové pevné role serveru sysadmin, uživatelé s přístupovými údaji sa, a vlastníci databáze používají databáze jako uživatelé dbo. Uživatel dbo má všechna oprávnění v databázi a nelze je omezit ani vynechat.
dbo je zkratka pro vlastníka databáze, ale dbo uživatelský účet není stejný jako db_owner pevná role databáze a db_owner pevná role databáze není stejná jako uživatelský účet, který je zaznamenán jako vlastník databáze.
Uživatel dbo vlastní dbo schéma. Schéma dbo je výchozím schématem pro všechny uživatele, pokud není zadáno jiné schéma. Schéma dbo nelze vynechat.
Role veřejného serveru a role databáze
Každé přihlášení patří do public pevné role serveru a každý uživatel databáze patří do public databázové role. Pokud přihlášení nebo uživatel nebylo uděleno ani odepřeno konkrétní práva nebo oprávnění na zabezpečitelný objekt, přihlašovací jméno nebo uživatel dědí práva udělená veřejnosti na tomto objektu. Pevnou public roli serveru a pevnou public databázi nelze vynechat. Oprávnění ale můžete odvolat z public rolí. Ve výchozím nastavení je k rolím přiřazeno public mnoho oprávnění. Většina těchto oprávnění je potřebná pro rutinní operace v databázi; typ věcí, které by měli všichni dělat. Při odvolání oprávnění z veřejného přihlášení nebo uživatele buďte opatrní, protože to ovlivní všechna přihlášení nebo uživatele. Obecně byste neměli zamítnout oprávnění veřejnosti, protože příkaz zamítnutí přepisuje veškeré příkazy udělení, které můžete udělat jednotlivcům.
INFORMATION_SCHEMA a sys Uživatelé a schémata
Každá databáze obsahuje dvě entity, které se v zobrazení katalogu zobrazují jako uživatelé: INFORMATION_SCHEMA a sys. Tyto entity jsou vyžadovány pro interní použití databázovým strojem. Nelze je upravit ani vynechat.
Přihlášení SQL Serveru založená na certifikátech
Serverové identity s názvy uzavřené dvojitými křížky (##) jsou určené pouze pro interní systémové použití. Následující objekty zabezpečení jsou vytvořeny z certifikátů při instalaci SQL Serveru a neměly by být odstraněny.
- ##MS_SQLResourceSigningCertificate##
- ##MS_SQLReplicationSigningCertificate##
- ##MS_SQLAuthenticatorCertificate##
- ##MS_AgentSigningCertificate##
- ##MS_PolicyEventProcessingLogin##
- Certifikát pro podepisování politiky MS
- ##MS_PolicyTsqlExecutionLogin##
Tyto hlavní účty nemají hesla, která můžou měnit správci, protože jsou založeny na certifikátech vydaných Microsoftem.
Hostující uživatel
Každá databáze obsahuje guest. Oprávnění udělená guest uživateli jsou zděděna uživateli, kteří mají přístup k databázi, ale kteří nemají uživatelský účet v databázi. Uživatel guest nemůže být vyřazen, ale může být zakázán odvoláním jeho oprávnění CONNECT. Oprávnění CONNECT lze odvolat spuštěním REVOKE CONNECT FROM GUEST; v jakékoli jiné databázi než master nebo tempdb.
Omezení
- V databázi SQL v Microsoft Fabric jsou podporováni pouze uživatelé a role na úrovni databáze. Přihlášení, role a účet sa na úrovni serveru nejsou k dispozici. V databázi SQL v Microsoft Fabric je id Microsoft Entra pro uživatele databáze jedinou podporovanou metodou ověřování. Další informace naleznete v tématu Autorizace v databázi SQL v Microsoft Fabric.
Související úkoly
Informace o návrhu systému oprávnění naleznete v tématu Začínáme s oprávněními databázového stroje.
Následující témata jsou zahrnuta v této části sql Server Books Online:
Související obsah
- Zabezpečení SQL Serveru
-
sys.database_principals (Transact-SQL) - sys.server_principals (Transact-SQL)
- sys.sql_logins (Transact-SQL)
- sys.database_role_members (Transact-SQL)
- Role na úrovni serveru
- Role na úrovni databáze