Субъекты (компонент Database Engine)
Субъекты — это сущности , которые могут запрашивать ресурсы SQL Server. Как и другие компоненты модели авторизации SQL Server, субъекты могут быть организованы в иерархии. Область влияния субъекта зависит от его области определения (Windows, сервер, база данных) и того, неделимый это субъект или коллективный. Имя входа Windows является примером индивидуального (неделимого) субъекта, а группа Windows — коллективного. Каждый субъект имеет идентификатор безопасности (SID).
Субъекты на уровне Windows
Имя входа домена Windows
Локальное имя входа Windows
Субъекты уровня SQL Server-
Имя входа SQL Server
Роль сервера
Субъекты уровня базы данных
Пользователь базы данных
Роль базы данных
Роль приложения
Имя входа «sa» SQL Server
Вход sa SQL Server является субъектом уровня сервера. По умолчанию оно создается при установке экземпляра. Начиная с SQL Server 2005 база данных sa по умолчанию является главной. Это изменение поведения с более ранних версий SQL Server.
Роль базы данных public
Каждый пользователь базы данных является членом роли базы данных public . Если пользователю не были предоставлены или запрещены особые разрешения на доступ к защищаемому объекту, то он наследует для него разрешения роли public.
INFORMATION_SCHEMA и sys
Каждая база данных включает в себя две сущности, которые отображены в качестве пользователей в представлениях каталога: INFORMATION_SCHEMA и sys. Эти сущности требуются SQL Server. эти пользователи не являются субъектами и не могут быть изменены или удалены.
Имена входа SQL Server на основе сертификата
Субъекты уровня сервера, имеющие имена, заключенные в хэш-символы (##), — только для внутреннего системного пользования. Следующие субъекты создаются из сертификатов при установке SQL Server и не должны удаляться.
##MS_SQLResourceSigningCertificate##
##MS_SQLReplicationSigningCertificate##
##MS_SQLAuthenticatorCertificate##
##MS_AgentSigningCertificate##
##MS_PolicyEventProcessingLogin##
##MS_PolicySigningCertificate##
##MS_PolicyTsqlExecutionLogin##
Пользователь-гость
Каждая база данных включает в себя пользователя guest. Разрешения, предоставленные пользователю guest , наследуются пользователями, которые имеют доступ к базе данных, но не обладают учетной записью пользователя в ней. Гостевой пользователь не может быть удален, но его можно отключить, отменив его CONNECT
разрешение. Разрешение CONNECT
можно отменить, REVOKE CONNECT FROM GUEST
выполнив в любой базе данных, отличной от master или tempdb.
Клиент и сервер базы данных
По определению клиент и сервер базы данных являются защищаемыми субъектами безопасности. Данные сущности могут пройти взаимную проверку подлинности перед установкой безопасного сетевого соединения. SQL Server поддерживает протокол проверки подлинности Kerberos , который определяет, как клиенты взаимодействуют со службой сетевой проверки подлинности.
Связанные задачи
В этом разделе приведены следующие разделы, посвященные электронной документации по SQL Server:
См. также
Обеспечение безопасности SQL Server
sys.database_principals (Transact-SQL)
sys.server_principals (Transact-SQL)
sys.sql_logins (Transact-SQL)
sys.database_role_members (Transact-SQL)
Роли уровня сервера
Роли уровня базы данных