Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)SQL-database in Microsoft Fabric Preview
Principals zijn entiteiten die SQL Server-resources kunnen aanvragen. Net als andere onderdelen van het SQL Server-autorisatiemodel kunnen principals in een hiërarchie worden gerangschikt. Het invloedsbereik van een principal is afhankelijk van het bereik van de definitie van de principal: Windows, server, database; en of de principal ondivisible of een verzameling is. Een Windows-aanmelding is een voorbeeld van een ondeelbare principal, en een Windows-groep is een voorbeeld van een principal die een verzameling is. Elke principal heeft een beveiligings-id (SID). Dit onderwerp is van toepassing op alle versies van SQL Server, maar er zijn enkele beperkingen voor principals op serverniveau in SQL Database of Azure Synapse Analytics.
Note
Microsoft Entra-id werd voorheen Azure Active Directory (Azure AD) genoemd.
Principals op het niveau van SQL Server
- Aanmelding bij SQL Server-verificatie
- Aanmelding met Windows-verificatie voor een Windows-gebruiker
- Aanmelden bij Windows-authenticatie voor een Windows-groep
- Aanmelding voor Microsoft Entra-verificatie van een Microsoft Entra-gebruiker
- Aanmelding en verificatie van Microsoft Entra voor een Microsoft Entra-groep
- Aanmelding voor Microsoft Entra-authenticatie voor een Microsoft Entra service principal
- Serverfunctie
Principals op databaseniveau
- Databasegebruiker (Zie CREATE USER (Transact-SQL)) voor meer informatie over typen databasegebruikers.)
- Databaserol
- Toepassingsrol
sa Inloggen
De SQL Server-aanmelding sa is een beheerdersaccount op serverniveau. Standaard wordt deze gemaakt wanneer een instantie wordt geïnstalleerd. Vanaf SQL Server 2005 (9.x) is de standaarddatabase van samaster. Dit is een wijziging van het gedrag van eerdere versies van SQL Server. De sa login is lid van de sysadmin rol op het niveau van de vaste server. De sa aanmelding heeft alle machtigingen op de server en kan niet worden beperkt. De sa aanmelding kan niet worden verwijderd, maar kan worden uitgeschakeld, zodat niemand deze kan gebruiken.
dbo Gebruiker en dbo schema
De dbo gebruiker is een speciale entiteit in elke database. Alle SQL Server-beheerders, leden van de sysadmin vaste serverrol, sa aanmelding en eigenaren van de database, voeren databases in als de dbo gebruiker. De dbo gebruiker heeft alle machtigingen in de database en kan niet worden beperkt of verwijderd.
dbo staat voor database-eigenaar, maar het dbo gebruikersaccount is niet hetzelfde als de rol van de db_owner vaste database en de db_owner vaste databaserol is niet hetzelfde als het gebruikersaccount dat is vastgelegd als de eigenaar van de database.
De dbo gebruiker is eigenaar van het dbo schema. Het dbo schema is het standaardschema voor alle gebruikers, tenzij een ander schema is opgegeven. Het dbo schema kan niet worden verwijderd.
public Serverrol en databaserol
Elke aanmelding hoort bij de public vaste serverfunctie en elke databasegebruiker behoort tot de public databaserol. Wanneer een aanmelding of gebruiker geen specifieke machtigingen op een beveiligbaar object heeft gekregen of geweigerd, erft de aanmelding of gebruiker de machtigingen van public op dat beveiligbare object. De public vaste serverfunctie en de rol van de public vaste database kunnen niet worden verwijderd. U kunt de machtigingen echter van de public rollen intrekken. Er zijn veel machtigingen die standaard zijn toegewezen aan de public rollen. De meeste van deze machtigingen zijn nodig voor routinebewerkingen in de database; het type dingen dat iedereen moet kunnen doen. Wees voorzichtig bij het intrekken van machtigingen van de public aanmelding of gebruiker, omdat dit van invloed is op alle aanmeldingen/gebruikers. Over het algemeen moet u geen machtigingen weigeren voor public, omdat een weigeringsinstructie alle toegestane instructies die u mogelijk aan individuen hebt gegeven, overschrijft.
INFORMATION_SCHEMA en sys gebruikers en schema's
Elke database bevat twee entiteiten die worden weergegeven als gebruikers in catalogusweergaven: INFORMATION_SCHEMA en sys. Deze entiteiten zijn vereist voor intern gebruik door de database-engine. Ze kunnen niet worden gewijzigd of verwijderd.
Sql Server-aanmeldingen op basis van certificaten
Serverprincipals waarvan de namen tussen dubbele hash-markeringen (##) staan, zijn alleen bedoeld voor intern systeemgebruik. De volgende principals worden gemaakt op basis van certificaten wanneer SQL Server is geïnstalleerd en mogen niet worden verwijderd.
- ##MS_SQLResourceSigningCertificate##
- ##MS_SQLReplicationSigningCertificate##
- ##MS_SQLAuthenticatorCertificate##
- ##MS_AgentSigningCertificate##
- ##MS_PolicyEventProcessingLogin##
- ##MS_PolicySigningCertificate##
- ##MS_PolicyTsqlExecutionLogin##
Deze principal-accounts hebben geen wachtwoorden die kunnen worden gewijzigd door beheerders, omdat ze zijn gebaseerd op certificaten die zijn uitgegeven aan Microsoft.
De guest gebruiker
Elke database bevat een guest. Machtigingen die aan de guest gebruiker worden verleend, worden overgenomen door gebruikers die toegang hebben tot de database, maar die geen gebruikersaccount in de database hebben. De guest gebruiker kan niet worden verwijderd, maar kan worden gedeactiveerd door de toegang in te trekken. De CONNECT machtiging kan worden ingetrokken door deze uit te REVOKE CONNECT FROM GUEST; voeren binnen een andere database dan master of tempdb.
Limitations
- In SQL Database in Microsoft Fabric Preview worden alleen gebruikers en rollen op databaseniveau ondersteund. Aanmeldingen, rollen en het sa-account op serverniveau zijn niet beschikbaar. In SQL Database in Microsoft Fabric Preview is Microsoft Entra ID voor databasegebruikers de enige ondersteunde verificatiemethode. Zie Autorisatie in SQL Database in Microsoft Fabricvoor meer informatie.
Gerelateerde taken
Zie Aan de slag met database-enginemachtigingen voor informatie over het ontwerpen van een machtigingssysteem.
De volgende artikelen zijn opgenomen in deze sectie van SQL Server Books Online: