Principaux (moteur de base de données)

S’applique à :SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)Base de données SQL dans Microsoft Fabric

Les principaux sont des entités qui peuvent demander des ressources SQL Server. Comme les autres composants du modèle d'autorisation SQL Server, les principaux peuvent être ordonnés de façon hiérarchique. Le champ d'influence d'un principal dépend de l'étendue de sa définition : Windows, serveur, base de données, et du fait qu'il est indivisible ou qu'il s'agit d'une collection. Une connexion Windows est un exemple de principal indivisible et un groupe Windows est un exemple de principal constituant une collection. Chaque principal a un identificateur de sécurité (SID). Cette rubrique s'applique à toutes les versions de SQL Server, mais les principaux au niveau du serveur dans SQL Database et Azure Synapse Analytics présentent certaines restrictions.

Note

Microsoft Entra ID était anciennement appelé Azure Active Directory (Azure AD).

Principaux au niveau de SQL Server

• Connexion d'authentification SQL Server
• Connexion d’authentification Windows pour un utilisateur Windows
• Connexion d’authentification Windows pour un groupe Windows
• Connexion d'authentification Microsoft Entra pour un utilisateur Microsoft Entra
• Connexion d'authentification Microsoft Entra pour un groupe Microsoft Entra
• Connexion d’authentification Microsoft Entra pour un principal de service Microsoft Entra
• Rôle serveur

Principaux au niveau de la base de données

• Utilisateur de base de données (pour plus d’informations sur les types d’utilisateurs de base de données, consultez CREATE USER (Transact-SQL).)
• Rôle de base de données
• Rôle d'une application

sa Connectez-vous

La connexion sa SQL Server est un principal au niveau du serveur. Par défaut, il est créé lorsqu’une instance est installée. À compter de SQL Server 2005 (9.x), la base de sa données par défaut est master. Il s'agit là d'une différence par rapport aux versions antérieures de SQL Server. La connexion sa est un membre du rôle au niveau du serveur fixe sysadmin. La sa connexion dispose de toutes les autorisations sur le serveur et ne peut pas être limitée. La sa connexion ne peut pas être supprimée, mais elle peut être désactivée afin que personne ne puisse l’utiliser.

dbo Utilisateur et dbo Schéma

L’utilisateur dbo est un principal d’utilisateur spécial dans chaque base de données. Tous les administrateurs de SQL Server, les membres du rôle de serveur fixe sysadmin, la connexion sa et les propriétaires de la base de données accèdent aux bases de données en tant qu’utilisateur dbo. L’utilisateur dbo dispose de toutes les autorisations dans la base de données et ne peut pas être limité ou supprimé. dbo est le propriétaire de la base de données, mais le dbo compte d’utilisateur n’est pas identique au db_owner rôle de base de données fixe, et le db_owner rôle de base de données fixe n’est pas le même que le compte d’utilisateur enregistré en tant que propriétaire de la base de données. L’utilisateur dbo est propriétaire du schéma dbo. Le schéma dbo est le schéma par défaut pour tous les utilisateurs, sauf si un autre schéma est spécifié. Le dbo schéma ne peut pas être supprimé.

public Rôle serveur et rôle de base de données

Chaque connexion appartient au rôle serveur fixe public et chaque utilisateur de base de données appartient au rôle de base de données public. Lorsqu'une connexion ou un utilisateur n’a pas reçu ou s'est vu refuser des autorisations spécifiques sur un élément sécurisable, la connexion ou l’utilisateur hérite des autorisations accordées sur cet élément sécurisable. Le public rôle serveur fixe et le public rôle de base de données fixe ne peuvent pas être supprimés. Toutefois, vous pouvez révoquer des autorisations des rôles public. De nombreuses autorisations sont affectées par défaut aux rôles public. La plupart de ces autorisations sont nécessaires pour les opérations de routine dans la base de données (le genre de choses que tout le monde doit pouvoir faire). Veillez à révoquer les autorisations de la connexion ou de l’utilisateur public, car cela affectera toutes les connexions/utilisateurs. En règle générale, vous ne devez pas refuser les autorisations à public, car l’instruction de refus remplace toutes les instructions d’octroi que vous pouvez accorder aux individus.

INFORMATION_SCHEMA utilisateurs et sys schémas

Chaque base de données inclut deux entités qui apparaissent comme des utilisateurs dans des affichages catalogue : INFORMATION_SCHEMA et sys. Ces entités sont nécessaires pour une utilisation interne par le moteur de base de données. Ils ne peuvent pas être modifiés ou supprimés.

Connexions SQL Server basées sur des certificats

Les principaux de serveur compris entre deux signes dièse (##) sont destinés uniquement à une utilisation système interne. Les principaux suivants sont créés à partir de certificats lorsque SQL Server est installé et ne doivent pas être supprimés.

• ##MS_SQLResourceSigningCertificate##
• ##MS_SQLReplicationSigningCertificate##
• ##MS_SQLAuthenticatorCertificate##
• ##MS_AgentSigningCertificate##
• ##MS_PolicyEventProcessingLogin##
• ##MS_PolicySigningCertificate##
• ##MS_PolicyTsqlExecutionLogin##

Ces comptes principaux n’ont pas de mots de passe qui peuvent être modifiés par les administrateurs, car ils sont basés sur des certificats émis à Microsoft.

Utilisateur guest

Chaque base de données inclut un guest. Les autorisations accordées à l’utilisateur guest sont héritées par les utilisateurs qui ont accès à la base de données, mais qui n’ont pas de compte d’utilisateur dans la base de données. L’utilisateur guest ne peut pas être supprimé, mais il peut être désactivé en révoquant son CONNECT autorisation. L’autorisation CONNECT peut être révoquée en s’exécutant REVOKE CONNECT FROM GUEST; dans n’importe quelle base de données autre que master ou tempdb.

Limitations

• Dans la base de données SQL dans Microsoft Fabric, seuls les utilisateurs et rôles au niveau de la base de données sont pris en charge. Les connexions au niveau du serveur, les rôles et le compte sa ne sont pas disponibles. Dans la base de données SQL dans Microsoft Fabric, l’ID Microsoft Entra pour les utilisateurs de base de données est la seule méthode d’authentification prise en charge. Pour plus d’informations, consultez Autorisation dans la base de données SQL dans Microsoft Fabric.

Tâches associées

Pour plus d’informations sur la conception d’un système d’autorisations, consultez Prise en main des autorisations Moteur de base de données.

Les articles suivants sont inclus dans cette section de la documentation en ligne de SQL Server :

• Créer une connexion

• Rôles au niveau du serveur

• Rôles de niveau base de données

• Rôles d’application

Contenu connexe

• Sécurisation de SQL Server
• sys.database_principals (Transact-SQL)
• sys.server_principals (Transact-SQL)
• sys.sql_logins (Transact-SQL)
• sys.database_role_members (Transact-SQL)
• Rôles au niveau du serveur
• Rôles de niveau base de données