Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy do:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsSystem Platform Analitycznych (PDW)Baza danych SQL w Microsoft Fabric
Podmioty to jednostki, które mogą żądać zasobów programu SQL Server. Podobnie jak inne składniki modelu autoryzacji SQL Server, podmioty można rozmieścić w hierarchii. Zakres wpływu podmiotu zabezpieczeń zależy od zakresu jego definicji: Windows, serwer, baza danych; i czy podmiot zabezpieczeń jest niepodzielny, czy kolekcją. Logowanie do systemu Windows jest przykładem niepodzielnego podmiotu zabezpieczeń, a grupa systemu Windows to przykład podmiotu zabezpieczeń będącego kolekcją. Każdy podmiot zabezpieczeń ma identyfikator zabezpieczeń (SID). Ten temat dotyczy wszystkich wersji programu SQL Server, ale istnieją pewne ograniczenia dotyczące zasad zabezpieczeń na poziomie serwera w usłudze SQL Database lub Azure Synapse Analytics.
Note
Microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).
Podmioty na poziomie SQL Server
- Logowanie do uwierzytelniania programu SQL Server
- Logowanie do uwierzytelniania systemu Windows dla użytkownika systemu Windows
- Logowanie do uwierzytelniania systemu Windows dla grupy systemu Windows
- Microsoft Entra authentication login for a Microsoft Entra user (Logowanie do uwierzytelniania w usłudze Microsoft Entra dla użytkownika entra firmy Microsoft)
- Microsoft Entra logowanie uwierzytelniające dla grupy Microsoft Entra
- Logowanie uwierzytelniające Microsoft Entra dla głównego użytkownika usługi Microsoft Entra
- Rola serwera
Podmioty na poziomie bazy danych
- Użytkownik bazy danych (aby uzyskać więcej informacji na temat typów użytkowników bazy danych, zobacz CREATE USER (Transact-SQL)).
- Rola bazy danych
- Rola aplikacji
sa Login
Identyfikator logowania programu SQL Server sa jest głównym obiektem na poziomie serwera. Domyślnie jest tworzony podczas instalowania instancji. Począwszy od programu SQL Server 2005 (9.x), domyślną bazą danych programu sa jest master. Jest to zmiana zachowania z wcześniejszych wersji programu SQL Server. Identyfikator sa logowania jest członkiem stałej sysadmin roli na poziomie serwera. Logowanie sa ma wszystkie uprawnienia na serwerze i nie może być ograniczone.
sa Nie można porzucić logowania, ale można go wyłączyć, aby nikt nie mógł go używać.
dbo Użytkownik i dbo Model danych
Użytkownik dbo jest specjalnym typem głównego użytkownika w każdej bazie danych. Wszyscy administratorzy programu SQL Server, członkowie stałej roli serwera, logowania i właściciele bazy danych mają dostęp do baz danych w roli użytkownika. Użytkownik dbo ma wszystkie uprawnienia w bazie danych i nie może być ograniczony ani usunięty.
dbo oznacza właściciela bazy danych, ale dbo konto użytkownika nie jest takie samo jak db_owner stała rola bazy danych, a db_owner stała rola bazy danych nie jest taka sama jak konto użytkownika zarejestrowane jako właściciel bazy danych.
Użytkownik dbo jest właścicielem schematu dbo . Schemat dbo jest domyślnym schematem dla wszystkich użytkowników, chyba że określono inny schemat.
dbo Nie można porzucić schematu.
public Rola serwera i rola bazy danych
Każde logowanie należy do stałej public roli serwera, a każdy użytkownik bazy danych należy do public roli bazy danych. Jeśli login lub użytkownik nie otrzymał lub nie odmówiono mu określonych uprawnień na elemencie zabezpieczanym, login lub użytkownik dziedziczy uprawnienia przyznane public dla tego elementu zabezpieczanego. Nie można usunąć stałej public roli serwera i stałej public roli bazy danych. Można jednak odwołać uprawnienia z public ról. Domyślnie istnieje wiele uprawnień przypisanych do public ról. Większość z tych uprawnień jest potrzebna do rutynowych operacji w bazie danych; typ rzeczy, które każdy powinien móc wykonywać. Należy zachować ostrożność podczas odwoływania uprawnień od public loginu lub użytkownika, ponieważ będzie to miało wpływ na wszystkie loginy/użytkowników. Ogólnie rzecz biorąc, nie należy odmawiać uprawnień do elementu public, ponieważ instrukcja odmowy zastępuje wszelkie instrukcje przydzielania, które można wykonać dla osób fizycznych.
INFORMATION_SCHEMA i Użytkownicy i sys schematy
Każda baza danych zawiera dwie jednostki, które są wyświetlane jako użytkownicy w widokach wykazu: INFORMATION_SCHEMA i sys. Te jednostki są wymagane do użytku wewnętrznego przez aparat bazy danych. Nie można ich modyfikować ani odrzucać.
Certyfikaty logowania SQL Server
Jednostki serwera z nazwami ujętymi podwójnymi znakami skrótu (##) są przeznaczone tylko do użytku wewnętrznego systemu. Następujące podmioty zabezpieczeń są tworzone na podstawie certyfikatów podczas instalacji programu SQL Server i nie należy ich usuwać.
- ##MS_SQLResourceSigningCertificate##
- ##MS_SQLReplicationSigningCertificate##
- ##MS_SQLAuthenticatorCertificate##
- ##MS_AgentSigningCertificate##
- ##MS_PolicyEventProcessingLogin##
- ##MS_PolicySigningCertificate##
- ##MS_PolicyTsqlExecutionLogin##
Te konta główne nie mają haseł, które mogą być zmieniane przez administratorów, ponieważ są one oparte na certyfikatach wystawionych firmie Microsoft.
guest Użytkownik
Każda baza danych zawiera element guest. Uprawnienia przyznane użytkownikowi guest są dziedziczone przez użytkowników, którzy mają dostęp do bazy danych, ale którzy nie mają konta użytkownika w bazie danych.
guest Nie można porzucić użytkownika, ale można go wyłączyć, odwołując jego CONNECT uprawnienia. Uprawnienie CONNECT można odwołać, wykonując polecenie REVOKE CONNECT FROM GUEST; w dowolnej bazie danych innej niż master lub tempdb.
Limitations
- W bazie danych SQL w usłudze Microsoft Fabric obsługiwane są tylko użytkownicy i role na poziomie bazy danych. Logowania, role i konto sa na poziomie serwera nie są dostępne. W bazie danych SQL w usłudze Microsoft Fabric, Microsoft Entra ID dla użytkowników bazy danych jest jedyną obsługiwaną metodą uwierzytelniania. Aby uzyskać więcej informacji, zobacz Autoryzacja w bazie danych SQL w usłudze Microsoft Fabric.
Powiązane zadania
Aby uzyskać więcej informacji na temat projektowania systemu uprawnień, zapoznaj się z Wprowadzenie do uprawnień mechanizmu bazy danych.
Następujące artykuły znajdują się w tej sekcji książek programu SQL Server Online: