Yürütme içeriği'ni anlama
Yürütme içeriği ile bir kullanıcı veya oturuma bağlı olan oturum açma veya yürütme (arama) bir modül.Bu ifadeyi çalıştırmak veya gerçekleştirmek için hangi izinlerin karşı eylemleri denetlenir kimliğini oluşturur.Yürütme içeriği güvenlik belirteçleri çifti tarafından temsil edilir: bir oturum belirteci ve bir kullanıcı belirteci. Simgeleri izinleri tarafından denetlenir ve belirteç kimlik doğrulaması için kullanılan kaynak karşı birincil ve ikincil sorumluları tanımlayın.Bir oturum açma bağlanma bir örnek, SQL Server bir oturum belirteci ve bir veya daha fazla kullanıcı simgeleri, hesabın erişimi olan veritabanlarının sayısına bağlı olarak.
Kullanıcı ve oturum açma güvenlik simgeleri
Bir kullanıcı veya oturum açma için BIR güvenlik belirteci aşağıdakileri içerir:
Bir sunucu veya veritabanı sorumlusu olarak birincil kimliği
Ikincil bir kimlik olarak bir veya daha fazla sorumluları
Sıfır veya daha çok doğrulayıcı
Ayrıcalıklar ve izinler, birincil ve ikincil kimlikler
Kişiler, gruplar ve isteyebileceği işlemleri ilkeleri olan SQL Server kaynakları. Ilkeleri, kendi etki kapsam kategorize edilir: Windows düzey, SQL Server düzey, veya veritabanı düzey. Daha fazla bilgi için bkz:Sorumluları (Veritabanı Altyapısı).
Doğrulayıcı, ilkeleri, sertifikalar veya belirteç kimlik doğrulaması için vouch asimetrik anahtarları verilebilir.Genellikle, bir belirteç doğrulayıcı örnek, SQL Server. Doğrulayıcı Bkz: hakkında daha fazla bilgi için yürütmek AS'nı kullanarak veritabanı kimliğe bürünme genişletme. Sertifikaları ve asimetrik anahtarları hakkında daha fazla bilgi için bkz: Şifreleme sıradüzeni.
Bir oturum belirteci örnek üzerinde geçerli değil SQL Server. Hangi sunucu-karşı birincil ve ikincil kimlikleri içerdiği düzey izinleri ve tüm veritabanı-düzey Bu kimliklerle ilgili izinleri tarafından denetlenir.Birincil kimlik kendi oturum açma ' dir.Ikincil kimliği, roller ve Gruplar'ı devralınan izinleri içerir.
Bir kullanıcı simgesi yalnızca belirli bir veritabanı için geçerlidir.Hangi veritabanı-karşı birincil ve ikincil kimlikleri içerdiği düzey izinleri tarafından denetlenir.Birincil kimlik veritabanı kullanıcısı var.Ikincil kimliği veritabanı rollerden devralınan izinleri içerir.Kullanıcı simgeleri sunucusu rolünü üyelikleri içeren ve sunucu-kutlamak değil düzey kimlikleri sunucu-için verilen olanlar da dahil olmak üzere belirtecindeki verilen izinler düzey ortak rolü.
Varsa bir SQL Server oturum açma veya kullanıcı hesabının açıkça oluşturulur, hesabın kullanıcı veya oturum açma kimlik birincil olarak kullanılır ya da kullanıcı oturum açma KIMLIĞI için oluşturulan belirteç. Bir güvenlik sorumlusunun örtülü erişimi olduğunda bir örnek, SQL Server, veya erişim DENETIM SERVER izinlerini, oturum belirteci, birincil kimliği ile bir veritabanını varsayılan ortak roldür. Kullanıcı belirteci, birincil Kimliği ortaktır.
Important Note: |
---|
Sysadmin sabit sunucu rolü üyesi, dbo kendi kullanıcı belirteci, birincil kimliği olarak her zaman vardır. |
Oturum açma Token örneği
Mary sahip bir SQL Server kendi Windows hesabıyla eşlenir oturum açma MyDomain\Mary. Oturum belirteci Filiz'e için oluşturulan hakkındaki bilgileri görüntülemek için , bu deyim Mary çalışır:
SELECT principal_id, sid, name, type, usage FROM sys.login_token;
GO
Sonuç küme buna benzer görünebilir:
sıd principal_id ad kullanımı yazın.
------------ ----------- ------------- -------------- -------------
261 0x583EA MyDomain\Mary WINDOWS LOGIN GRANT VEYA DENY
2 0x02 ortak SUNUCU ROLE GRANT VEYA DENY
(2 satırları etkilenen)
Sonuç küme Mary Windows hesabı, kullanıcının oturum açma token için birincil kimlik olduğunu gösterir.Kullanıcının oturum açma hesabı oluşturulduğunda oluşturulan principal_id oturum belirteci, birincil olan principal_id olarak kullanılır.Gamze olduğundan ortak rolü ikincil bir kimlik olarak listelenen bir üye o Varsayılan rolünün.Mary, diğer sunucu düzeyinde rollerinin bir üyesi olsaydı, bunlar da ikincil kimlik listeleniyor olması.Oturumun oluşturulduğu anda, her bir Windows hesabı örnek tarafından doğrulandı SQL Server. Bu nedenle, Mary örneğine günlükleri SQL Server, örneğin her oturum belirteci doğrulayıcı. Çünkü örnek SQL Server Patron, sertifika ve asimetrik anahtar sorgudan döndürülen değil gibi Can'ın oturum belirteci doğrulayıcı, doğrulayıcı.
Kullanıcı Token örneği
Mary, Filiz erişimi olan her veritabanı için bir kullanıcı belirteci yok.Bu ilk örnekte Mary bağlandığı asıl veritabanı.Filiz'e içinde oluşturulan kullanıcı belirteci hakkındaki bilgileri görüntülemek için asıl veritabanı, Mary, bu deyim çalıştırır:
SELECT principal_id, sid, name, type, usage FROM sys.user_token;
GO
Sonuç küme buna benzer görünebilir:
sıd principal_id ad kullanımı yazın.
------------ ----------- ------------- -------------- -------------
2 NULL SQL USER GRANT VEYA DENY Konuk
0 NULL ortak ROLE GRANT VEYA DENY
(2 satırları etkilenen)
Sonuç, Mary master veritabanındaki açık bir kullanıcı değil, ancak bunun yerine Konuk hesabı yoluyla erişim olduğu programları ayarlayın.Her kullanıcı belirteci için birincil kimlik konuk kullanıcıdır.Konuk, Varsayılan rolünün üyesi olduğundan, genel rolünü ikincil bir kimlik olarak listelenir.Gamze için kullanıcı belirteci master veritabanındaki tüm veritabanı düzeyinde ayrıcalıklar ve guest kullanıcı ve genel rolünü izinlerini içerir.
Aşağıdaki örnekte, satış veritabanında Gamze için bir açık bir kullanıcı hesabı oluşturuldu.Ayrıca, Filiz db_ddladmin sabit veritabanı rolü, o veritabanı için eklenmiştir.Geçerli veritabanı Sales ile Mary çalışır. SELECT * FROM sys.user_token yeniden.
Sonuç küme buna benzer görünebilir:
sıd principal_id ad kullanımı yazın.
------------ ----------- ------------- -------------- -------------
5 0x36CC4BBD1 Mary SQL USER GRANT VEYA DENY
0 NULL ortak ROLE GRANT VEYA DENY
16387 NULL db_ddladmin ROLE GRANT VEYA DENY
Bu sonuç kümesi için Gamze, satış veritabanında oluşturulan kullanıcı belirteci yansıtır.Filiz, Mary açıkça Satışlar veritabanına bir kullanıcı olarak eklenmiş olduğundan, birincil bir kimlik olarak listelenir.Filiz üye iki rolleri ikincil kimlikleri listelenir.Can'ın kullanıcı belirteci örneğini doğrulayıcı SQL Server.
Yürütme içeriği değiştirme
Içinde SQL Server, oturumun yürütmek içeriği açıkça yürütmek AS içinde bir kullanıcı veya oturum açma adı belirterek değiştirilebilir deyim. yürütmek içeriği bir saklı yordam, tetikleyici veya kullanıcı tanımlı bir işlev gibi bir modülün örtülü olarak yürütmek AS içinde bir kullanıcı veya oturum açma adı belirterek değiştirilebilir modülünün tanımı yan tümcesinde.Yürütme içeriği, başka bir kullanıcı veya oturum açma geçti, SQL Server, izinleri bu hesap için oturum açma ve kullanıcı simgeleri karşı denetler.Özet olarak, bu hesabın oturum veya modülü yürütme süresi için özellikleri.Daha fazla bilgi için bkz:Içerik geçişi'nı anlama.