Субъекты (компонент Database Engine)

Субъекты — это сущности , которые могут запрашивать ресурсы SQL Server. Как и другие компоненты модели авторизации SQL Server, субъекты могут быть организованы в иерархии. Область влияния субъекта зависит от его области определения (Windows, сервер, база данных) и того, неделимый это субъект или коллективный. Имя входа Windows является примером индивидуального (неделимого) субъекта, а группа Windows — коллективного. Каждый субъект имеет идентификатор безопасности (SID).

Субъекты на уровне Windows

• Имя входа домена Windows

• Локальное имя входа Windows

Субъекты уровня SQL Server-

• Имя входа SQL Server

• Роль сервера

Субъекты уровня базы данных

• Пользователь базы данных

• Роль базы данных

• Роль приложения

Имя входа «sa» SQL Server

Вход sa SQL Server является субъектом уровня сервера. По умолчанию оно создается при установке экземпляра. Начиная с SQL Server 2005 база данных sa по умолчанию является главной. Это изменение поведения с более ранних версий SQL Server.

Роль базы данных public

Каждый пользователь базы данных является членом роли базы данных public . Если пользователю не были предоставлены или запрещены особые разрешения на доступ к защищаемому объекту, то он наследует для него разрешения роли public.

INFORMATION_SCHEMA и sys

Каждая база данных включает в себя две сущности, которые отображены в качестве пользователей в представлениях каталога: INFORMATION_SCHEMA и sys. Эти сущности требуются SQL Server. эти пользователи не являются субъектами и не могут быть изменены или удалены.

Имена входа SQL Server на основе сертификата

Субъекты уровня сервера, имеющие имена, заключенные в хэш-символы (##), — только для внутреннего системного пользования. Следующие субъекты создаются из сертификатов при установке SQL Server и не должны удаляться.

• ##MS_SQLResourceSigningCertificate##

• ##MS_SQLReplicationSigningCertificate##

• ##MS_SQLAuthenticatorCertificate##

• ##MS_AgentSigningCertificate##

• ##MS_PolicyEventProcessingLogin##

• ##MS_PolicySigningCertificate##

• ##MS_PolicyTsqlExecutionLogin##

Пользователь-гость

Каждая база данных включает в себя пользователя guest. Разрешения, предоставленные пользователю guest , наследуются пользователями, которые имеют доступ к базе данных, но не обладают учетной записью пользователя в ней. Гостевой пользователь не может быть удален, но его можно отключить, отменив его CONNECT разрешение. Разрешение CONNECT можно отменить, REVOKE CONNECT FROM GUEST выполнив в любой базе данных, отличной от master или tempdb.

Клиент и сервер базы данных

По определению клиент и сервер базы данных являются защищаемыми субъектами безопасности. Данные сущности могут пройти взаимную проверку подлинности перед установкой безопасного сетевого соединения. SQL Server поддерживает протокол проверки подлинности Kerberos , который определяет, как клиенты взаимодействуют со службой сетевой проверки подлинности.

Связанные задачи

В этом разделе приведены следующие разделы, посвященные электронной документации по SQL Server:

• Инструкции по управлению именами входа, пользователями и схемами

• Роли уровня сервера

• Роли уровня базы данных

• Роли приложений

См. также

Обеспечение безопасности SQL Server
sys.database_principals (Transact-SQL)
sys.server_principals (Transact-SQL)
sys.sql_logins (Transact-SQL)
sys.database_role_members (Transact-SQL)
Роли уровня сервера
Роли уровня базы данных