主體 (資料庫引擎)
主體是可要求 SQL Server 資源的實體。 主體就像其他 SQL Server 授權模型的元件一樣,可以階層方式安排。 主體的影響範圍,取決於主體定義的範圍:Windows、伺服器、資料庫;以及主體是否為不可分割或集合。 「Windows 登入」是不可分割主體的一個範例,而「Windows 群組」則是主體為集合的範例。 每個主體都有一個安全性識別碼 (SID)。
Windows 層級主體
Windows 網域登入
Windows 本機登入
SQL Server-層級主體
SQL Server 登入
伺服器角色
資料庫層級主體
資料庫使用者
資料庫角色
應用程式角色
SQL Server sa 登入
SQL Server sa 登入是伺服器層級主體。 根據預設,安裝執行個體時會建立它。 從 SQL Server 2005 開始,sa 的預設資料庫是 master。 這是和舊版 SQL Server 不同的一項行為變更。
public Database Role
每個資料庫使用者都屬於 public 資料庫角色。 未授與或拒絕安全性實體的特定許可權時,用戶會繼承該安全性實體上授與給公用的許可權。
INFORMATION_SCHEMA 和 sys
每個資料庫都包含兩個實體,這些實體會顯示為目錄檢視中的使用者:INFORMATION_SCHEMA 和 sys。 SQL Server 需要這些實體。 它們不是主體,而且無法修改或卸除。
以憑證為基礎的 SQL Server 登入
以兩個 ## 符號括住的伺服器主體名稱僅供內部系統使用。 在安裝 SQL Server 時,將會從憑證建立下列主體,而且不應該刪除它們。
##MS_SQLResourceSigningCertificate##
##MS_SQLReplicationSigningCertificate##
##MS_SQLAuthenticatorCertificate##
##MS_AgentSigningCertificate##
##MS_PolicyEventProcessingLogin##
##MS_PolicySigningCertificate##
##MS_PolicyTsqlExecutionLogin##
guest 使用者
每個資料庫都包含 來賓。 授 與來賓 用戶的許可權是由具有數據庫存取權但資料庫中沒有用戶帳戶的使用者所繼承。 無法卸除來賓使用者,但可以藉由撤銷其CONNECT許可權來停用。 許可權 CONNECT 可以藉由在 master 或 tempdb 以外的任何資料庫中執行 REVOKE CONNECT FROM GUEST 來撤銷。
用戶端和資料庫伺服器
根據定義,客戶端和資料庫伺服器是安全性主體,而且可以受到保護。 建立安全網路連線之前,可以相互驗證這些實體。 SQL Server 支援 Kerberos 驗證通訊協定,其定義用戶端如何與網路驗證服務互動。
相關工作
下列主題包含在《SQL Server 線上叢書》的這個章節中:
另請參閱
保護 SQL Server 的安全
sys.database_principals (Transact-SQL)
sys.server_principals (Transact-SQL)
sys.sql_logins (Transact-SQL)
sys.database_role_members (Transact-SQL)
伺服器層級角色
資料庫層級角色