Principály (databázový stroj)

Platí na:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytický platformový systém (PDW)SQL databáze v Microsoft Fabric

Hlavní uživatelé jsou entity, které mohou požadovat prostředky SQL Serveru. Stejně jako ostatní komponenty autorizačního modelu SQL Serveru je možné principály uspořádat v hierarchii. Rozsah vlivu objektu zabezpečení závisí na rozsahu definice objektu zabezpečení: Windows, server, databáze; a zda je objekt zabezpečení nedělitelný nebo kolekce. Přihlášení systému Windows je příkladem neviditelného objektu zabezpečení a skupina Windows je příkladem objektu zabezpečení, který je kolekcí. Každý bezpečnostní subjekt má identifikátor zabezpečení (SID). Toto téma se týká všech verzí SQL Serveru, ale existují určitá omezení pro objekty zabezpečení na úrovni serveru ve službě SQL Database nebo Azure Synapse Analytics.

Note

Microsoft Entra ID se dříve označovala jako Azure Active Directory (Azure AD).

Objekty zabezpečení na úrovni SQL Serveru

• Přihlášení k ověřování SQL Serveru
• Přihlášení k ověřování systému Windows pro uživatele Windows
• Přihlášení k ověřování systému Windows pro skupinu Windows
• Přihlášení k ověřování Microsoft Entra pro uživatele Microsoft Entra
• "Ověřovací přihlášení Microsoft Entra pro skupinu Microsoft Entra"
• Přihlášení k Microsoft Entra pro služební principál Microsoft Entra
• Role serveru

Principály na úrovni databáze

• Uživatel databáze (Další informace o typech uživatelů databáze naleznete v tématu CREATE USER (Transact-SQL).)
• Role databáze
• Role aplikace

sa Přihlášení do systému

Přihlášení k SQL Serveru sa je hlavní účet na úrovni serveru. Ve výchozím nastavení se vytvoří při instalaci instance. Počínaje SQL Serverem 2005 (9.x) je výchozí databáze sa. master. Jedná se o změnu chování ze starších verzí SQL Serveru. Přihlášení sa je členem pevné role serverové úrovně sysadmin. Přihlášení sa má všechna oprávnění na serveru a není možné ho omezit. Přihlášení sa nejde vynechat, ale může být zakázané, aby ho nikdo nemohl používat.

dbo Uživatel a dbo schéma

dbo uživatel je speciální zabezpečovací entita v každé databázi. Všichni správci SQL Serveru, členové pevné role serveru sysadmin, uživatelé s přístupovými údaji sa, a vlastníci databáze používají databáze jako uživatelé dbo. Uživatel dbo má všechna oprávnění v databázi a nedá se omezit ani vynechat. dbo je zkratka pro vlastníka databáze, ale dbo uživatelský účet není stejný jako db_owner pevná role databáze a db_owner pevná role databáze není stejná jako uživatelský účet, který je zaznamenán jako vlastník databáze. Uživatel dbo vlastní dbo schéma. Schéma dbo je výchozím schématem pro všechny uživatele, pokud není zadáno jiné schéma. Schéma dbo nelze vynechat.

public Role serveru a role databáze

Každé přihlášení patří do public pevné role serveru a každý uživatel databáze patří do public databázové role. Pokud uživateli nebyla udělena ani odepřena konkrétní oprávnění nad zabezpečitelnou entitou, zdědí oprávnění, která byla udělena k public na této entitě. Pevnou public roli serveru a pevnou public databázi nelze vynechat. Oprávnění ale můžete odvolat z public rolí. Ve výchozím nastavení je k rolím přiřazeno public mnoho oprávnění. Většina těchto oprávnění je potřebná pro rutinní operace v databázi; typ věcí, které by měli všichni dělat. Při odvolání oprávnění od public přihlášení nebo uživatele buďte opatrní, protože to ovlivní všechna přihlášení nebo uživatele. Obecně byste neměli odepřít oprávněnípublic, protože příkaz odepřít přepisuje všechny příkazy povolení, které můžete provést jednotlivcům.

INFORMATION_SCHEMA a sys uživatelé a schémata

Každá databáze obsahuje dvě entity, které se v zobrazení katalogu zobrazují jako uživatelé: INFORMATION_SCHEMA a sys. Tyto entity jsou vyžadovány pro interní použití databázovým strojem. Není možné je upravovat ani vyhodit.

Přihlášení SQL Serveru založená na certifikátech

Serverové identity s názvy uzavřené dvojitými křížky (##) jsou určené pouze pro interní systémové použití. Následující objekty zabezpečení se vytvářejí z certifikátů při instalaci SQL Serveru a neměly by být odstraněny.

• ##MS_SQLResourceSigningCertificate##
• ##MS_SQLReplicationSigningCertificate##
• ##MS_SQLAuthenticatorCertificate##
• ##MS_AgentSigningCertificate##
• ##MS_PolicyEventProcessingLogin##
• ##MS_PolicySigningCertificate##
• ##MS_PolicyTsqlExecutionLogin##

Tyto hlavní účty nemají hesla, která můžou měnit správci, protože jsou založeny na certifikátech vydaných Microsoftu.

Uživatel guest

Každá databáze obsahuje guest. Oprávnění udělená guest uživateli jsou zděděna uživateli, kteří mají přístup k databázi, ale nemají v databázi uživatelský účet. Uživatel guest nemůže být vyřazen, ale může být zakázán odvoláním jeho CONNECT oprávnění. Oprávnění CONNECT lze odvolat spuštěním REVOKE CONNECT FROM GUEST; v jakékoli jiné databázi než master nebo tempdb.

Limitations

• V databázi SQL v Microsoft Fabric jsou podporováni pouze uživatelé a role na úrovni databáze. Přihlášení, role a účet sa na úrovni serveru nejsou k dispozici. V databázi SQL v Microsoft Fabric je id Microsoft Entra pro uživatele databáze jedinou podporovanou metodou ověřování. Další informace naleznete v tématu Autorizace v databázi SQL v Microsoft Fabric.

Související úkoly

Informace o návrhu systému oprávnění naleznete v tématu Začínáme s oprávněními databázového stroje.

Následující články jsou zahrnuty v této části SQL Server Books Online:

• Vytvoření přihlášení

• Role na úrovni serveru

• Role na úrovni databáze

• Aplikační Role

Související obsah

• Zabezpečení SQL Serveru
• sys.database_principals (Transact-SQL)
• sys.server_principals (Transact-SQL)
• sys.sql_logins (Transact-SQL)
• sys.database_role_members (Transact-SQL)
• Role na úrovni serveru
• Role na úrovni databáze