Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Vonatkozik a következőkre:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalitikai Platform System (PDW)SQL adatbázis a Microsoft Fabric-ben
A főnevek olyan entitások , amelyek SQL Server-erőforrásokat kérhetnek le. Az SQL Server engedélyezési modell más összetevőihez hasonlóan az alanyok is hierarchiába rendezhetők. Egy rendszeradminisztrátor befolyásának hatóköre a rendszeradminisztrátor definíciójának hatókörétől függ: Windows, Server, Database; valamint attól, hogy az adminisztrátor oszthatatlan entitás vagy gyűjteményi rendszer-e. A Windows-bejelentkezés egy oszthatatlan egyszerű példa, a Windows-csoport pedig egy gyűjteményt tartalmazó egyszerű példa. Minden tag rendelkezik biztonsági azonosítóval (SID). Ez a témakör az SQL Server összes verziójára vonatkozik, de az SQL Database-ben vagy az Azure Synapse Analyticsben bizonyos korlátozások vonatkoznak a kiszolgálószintű tagokra.
Note
A Microsoft Entra ID-t korábban Azure Active Directorynak (Azure AD) nevezték.
SQL Server-szintű szereplők
- SQL Server-hitelesítés bejelentkezése
- Windows-felhasználói hitelesítési bejelentkezés
- Windows-alapú hitelesítési bejelentkezés Windows-csoporthoz
- Microsoft Entra hitelesítési bejelentkezés Microsoft Entra felhasználónak
- Microsoft Entra-hitelesítési bejelentkezés Microsoft Entra-csoporthoz
- Microsoft Entra szolgáltatási főszereplő hitelesítése Microsoft Entra szolgáltatáshoz
- Kiszolgálói szerepkör
Adatbázisszintű szerepkörök
- Adatbázis-felhasználó (További információ az adatbázis-felhasználók típusairól: CREATE USER (Transact-SQL).)
- Adatbázis-szerepkör
- Alkalmazás-szerepkör
sa Bejelentkezés
Az SQL Server-bejelentkezés sa egy kiszolgálószintű rendszernév. Alapértelmezés szerint egy példány telepítésekor jön létre. Az SQL Server 2005-től kezdve (9.x) az alapértelmezett adatbázis a sa a master. Ez az SQL Server korábbi verzióinak viselkedésváltozása. A sa bejelentkezés a sysadmin rögzített kiszolgálószintű szerepkör tagja. A sa bejelentkezés minden engedéllyel rendelkezik a kiszolgálón, és nem korlátozható. A sa bejelentkezést nem lehet elvetni, de le lehet tiltani, hogy senki ne tudja használni.
dbo Felhasználó és dbo séma
A dbo felhasználó egy speciális felhasználónév az egyes adatbázisokban. Minden SQL Server rendszergazda, a sysadmin rögzített kiszolgálói szerepkör tagjai, a sa bejelentkezések, valamint az adatbázisok tulajdonosai az dbo felhasználóként lépnek be az adatbázisokba. A dbo felhasználó minden engedélyével rendelkezik az adatbázisban, és nem korlátozható vagy elvethető.
dbo az adatbázis tulajdonosa, de a dbo felhasználói fiók nem ugyanaz, mint a db_owner rögzített adatbázis-szerepkör, és a db_owner rögzített adatbázis-szerepkör nem ugyanaz, mint az adatbázis tulajdonosaként rögzített felhasználói fiók.
A dbo séma tulajdonosa a dbo felhasználó. A dbo séma az összes felhasználó alapértelmezett sémája, kivéve, ha más séma van megadva. A dbo sémát nem lehet elvetni.
public Kiszolgálói szerepkör és adatbázisszerepkör
Minden bejelentkezés a public rögzített kiszolgálói szerepkörhöz tartozik, és minden adatbázis-felhasználó az public adatbázis-szerepkörhöz tartozik. Ha egy felhasználónak vagy bejelentkezésnek nincsenek megadva vagy megtagadva specifikus engedélyek egy biztonság által védett objektumon, akkor a felhasználó vagy a bejelentkezés örökli az annak az objektumnak public megadott engedélyeket. A public rögzített kiszolgálói szerepkör és a public rögzített adatbázisszerepkör nem törölhető. Azonban visszavonhatja a szerepkörök engedélyeit public. Alapértelmezés szerint sok engedély van hozzárendelve a public szerepkörökhöz. Ezeknek az engedélyeknek a többsége az adatbázisban végzett rutinműveletekhez szükséges; az a fajta dolog, amit mindenkinek képesnek kell lennie. Legyen óvatos, amikor visszavonja az engedélyeket a bejelentkezésből vagy a public felhasználóból, mivel ez az összes bejelentkezésre/felhasználóra hatással lesz. Általában nem szabad megtagadnia az public engedélyeket, mert a megtagadási nyilatkozat felülírja az egyének számára esetlegesen tett engedélyezési nyilatkozatokat.
INFORMATION_SCHEMA és sys felhasználók és sémák
Minden adatbázis két entitást tartalmaz, amelyek felhasználókként jelennek meg a katalógusnézetekben: INFORMATION_SCHEMA és sys. Ezek az entitások az adatbázismotor belső használatához szükségesek. Nem módosíthatók és nem dobhatók el.
Tanúsítványalapú SQL Server-bejelentkezések
A kettős kivonatjelek (##) által körülfoglalt neveket tartalmazó kiszolgálónevek csak belső rendszerhasználatra használhatók. Az SQL Server telepítésekor a következő jogosultsági entitások jönnek létre a tanúsítványok alapján, és nem szabad törölni őket.
- ##MS_SQLResourceSigningCertificate##
- ##MS_SQLReplicationSigningCertificate##
- ##MS_SQLAuthenticatorCertificate##
- ##MS_AgentSigningCertificate##
- ##MS_PolicyEventProcessingLogin##
- ##MS_PolicySigningCertificate##
- ##MS_PolicyTsqlExecutionLogin##
Ezek az egyszerű fiókok nem rendelkeznek olyan jelszóval, amelyet a rendszergazdák módosíthatjak, mivel a Microsoft által kiadott tanúsítványokon alapulnak.
A guest felhasználó
Minden adatbázis tartalmaz egy guest. A felhasználónak adott engedélyeket azok guest a felhasználók öröklik, akik hozzáférnek az adatbázishoz, de nem rendelkeznek felhasználói fiókkal az adatbázisban. A guest felhasználót nem lehet törölni, de a CONNECT engedély visszavonásával letiltható. A CONNECT engedély bármelyik adatbázison belül visszavonható, kivéve a REVOKE CONNECT FROM GUEST; vagy master adattárt.
Limitations
- A Microsoft Fabric SQL-adatbázisában csak az adatbázisszintű felhasználók és szerepkörök támogatottak. A kiszolgálószintű bejelentkezések, szerepkörök és sa-fiók nem érhetők el. A Microsoft Fabric SQL-adatbázisában az adatbázis-felhasználók microsoft entra azonosítója az egyetlen támogatott hitelesítési módszer. További információért tekintse meg: Engedélyezés az SQL-adatbázisban a Microsoft Fabric.
Kapcsolódó tevékenységek
Az engedélyrendszer tervezéséről további információt az Adatbázismotor-engedélyek használatának első lépései című témakörben talál.
Az SQL Server Books Online jelen szakasza a következő cikkeket tartalmazza: