Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
van toepassing op:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)SQL-database in Microsoft Fabric
Principals zijn entiteiten die SQL Server-resources kunnen aanvragen. Net als andere onderdelen van het SQL Server-autorisatiemodel kunnen principals in een hiërarchie worden gerangschikt. Het invloedsbereik van een principal is afhankelijk van het bereik van de definitie van de principal: Windows, server, database; en of de principal ondivisible of een verzameling is. Een Windows-aanmelding is een voorbeeld van een ondeelbare principal, en een Windows-groep is een voorbeeld van een principal die een verzameling is. Elke principal heeft een beveiligings-id (SID). Dit onderwerp is van toepassing op alle versies van SQL Server, maar er zijn enkele beperkingen voor principals op serverniveau in SQL Database of Azure Synapse Analytics.
Opmerking
Microsoft Entra-id werd voorheen Azure Active Directory (Azure AD) genoemd.
Principals op het niveau van SQL Server
- Aanmelding bij SQL Server-verificatie
- Aanmelding met Windows-verificatie voor een Windows-gebruiker
- Aanmelden bij Windows-authenticatie voor een Windows-groep
- Aanmelding voor Microsoft Entra-verificatie van een Microsoft Entra-gebruiker
- Aanmelding en verificatie van Microsoft Entra voor een Microsoft Entra-groep
- Serverfunctie
Principals op databaseniveau
- Databasegebruiker (er zijn 12 typen gebruikers. Zie CREATE USER (Transact-SQL)) voor meer informatie.
- Databaserol
- Toepassingsrol
sa inloggen
De SQL Server-aanmelding sa is een beheerdersaccount op serverniveau. Het wordt standaard aangemaakt wanneer een instance wordt geïnstalleerd. Vanaf SQL Server 2005 (9.x) is de standaarddatabase van sa master. Dit is een wijziging van het gedrag van eerdere versies van SQL Server. De sa login is lid van de sysadmin rol op het niveau van de vaste server. De sa aanmelding heeft alle machtigingen op de server en kan niet worden beperkt. De sa aanmelding kan niet worden verwijderd, maar kan worden uitgeschakeld, zodat niemand deze kan gebruiken.
dbo User en dbo Schema
De dbo gebruiker is een speciale entiteit in elke database. Alle SQL Server-beheerders, leden van de sysadmin vaste serverrol, sa aanmelding en eigenaren van de database, voeren databases in als de dbo gebruiker. De dbo gebruiker heeft alle machtigingen in de database en kan niet worden beperkt of verwijderd.
dbo staat voor database-eigenaar, maar het dbo gebruikersaccount is niet hetzelfde als de rol van de db_owner vaste database en de db_owner vaste databaserol is niet hetzelfde als het gebruikersaccount dat is vastgelegd als de eigenaar van de database.
De dbo gebruiker is eigenaar van het dbo schema. Het dbo schema is het standaardschema voor alle gebruikers, tenzij een ander schema is opgegeven. Het dbo schema kan niet worden verwijderd.
openbare serverrol en databaserol
Elke aanmelding hoort bij de public vaste serverfunctie en elke databasegebruiker behoort tot de public databaserol. Wanneer een aanmelding of gebruiker geen specifieke machtigingen voor een beveiligbaar object heeft gekregen of geweigerd, erft de aanmelding of gebruiker de machtigingen die aan public voor dat beveiligbaar object zijn verleend. De public vaste serverfunctie en de public vaste databaserol kunnen niet worden verwijderd. U kunt de machtigingen echter van de public rollen intrekken. Er zijn veel machtigingen die standaard zijn toegewezen aan de public rollen. De meeste van deze machtigingen zijn nodig voor routinebewerkingen in de database; het type dingen dat iedereen moet kunnen doen. Wees voorzichtig bij het intrekken van machtigingen van de openbare aanmelding of gebruiker, omdat dit van invloed is op alle aanmeldingen/gebruikers. Over het algemeen moet u geen machtigingen voor het publiek weigeren, omdat een weigeringsinstructie alle toekenningen aan individuen overschrijft.
INFORMATION_SCHEMA en sys Gebruikers en Schema's
Elke database bevat twee entiteiten die worden weergegeven als gebruikers in catalogusweergaven: INFORMATION_SCHEMA en sys. Deze entiteiten zijn vereist voor intern gebruik door de database-engine. Ze kunnen niet worden gewijzigd of verwijderd.
Sql Server-aanmeldingen op basis van certificaten
Serverprincipals waarvan de namen tussen dubbele hash-markeringen (##) staan, zijn alleen bedoeld voor intern systeemgebruik. De volgende principals worden gemaakt op basis van certificaten wanneer SQL Server is geïnstalleerd en mogen niet worden verwijderd.
- ##MS_SQLResourceSigningCertificate##
- ##MS_SQLReplicatieOndertekeningscertificaat##
- ##MS_SQLAuthenticatiecertificaat##
- ##MS_AgentSigningCertificate##
- ##MS_PolicyEventProcessingLogin##
- ##MS_PolicySigningCertificate##
- ##MS_PolicyTsqlExecutionLogin##
Deze principal-accounts hebben geen wachtwoorden die door beheerders kunnen worden gewijzigd, omdat ze zijn gebaseerd op certificaten die zijn uitgegeven aan Microsoft.
De gastgebruiker
Elke database bevat een guest. Machtigingen die aan de guest gebruiker worden verleend, worden overgenomen door gebruikers die toegang hebben tot de database, maar die geen gebruikersaccount in de database hebben. De guest gebruiker kan niet verwijderd worden, maar kan worden uitgeschakeld door de CONNECT-machtiging in te trekken. De CONNECT-machtiging kan worden ingetrokken door deze uit te REVOKE CONNECT FROM GUEST; voeren binnen een andere database dan master of tempdb.
Beperkingen
- In SQL Database in Microsoft Fabric worden alleen gebruikers en rollen op databaseniveau ondersteund. Aanmeldingen, rollen en het sa-account op serverniveau zijn niet beschikbaar. In SQL Database in Microsoft Fabric is Microsoft Entra ID voor databasegebruikers de enige ondersteunde verificatiemethode. Zie Autorisatie in SQL Database in Microsoft Fabricvoor meer informatie.
Gerelateerde taken
Zie Aan de slag met database-enginemachtigingen voor informatie over het ontwerpen van een machtigingssysteem.
De volgende onderwerpen zijn opgenomen in deze sectie van SQL Server Books Online: