Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)SQL-Datenbank in Microsoft Fabric
Prinzipale sind Entitäten, die SQL Server-Ressourcen anfordern können. Wie bei anderen Komponenten des SQL Server-Autorisierungsmodells können Prinzipale hierarchisch angeordnet werden. Der Einflussbereich eines Prinzipals richtet sich nach dem Definitionsbereich des Prinzipals (Windows, Server, Datenbank) und danach, ob der Prinzipal unteilbar ist oder es sich um eine Auflistung handelt. Ein Windows-Anmeldename ist ein Beispiel eines unteilbaren Prinzipals und eine Windows-Gruppe das eines Prinzipals, der eine Auflistung darstellt. Jeder Prinzipal verfügt über einen Sicherheitsbezeichner (SID). Dieser Artikel gilt für alle Versionen von SQL Server, jedoch gibt es bei Prinzipalen auf Serverebene in SQL-Datenbank oder Azure Synapse Analytics eine Reihe von Einschränkungen.
Note
Microsoft Entra ID war bisher unter Azure Active Directory (Azure AD) bekannt.
Prinzipale auf SQL Server-Ebene
- Ein Anmeldename für die SQL Server-Authentifizierung
- Anmeldung mit Windows-Authentifizierung für Windows-Benutzer
- Anmeldung mit Windows-Authentifizierung für Windows-Gruppe
- Microsoft Entra-Authentifizierungsanmeldung für einen Microsoft Entra-Benutzer
- Microsoft Entra-Authentifizierungsanmeldung für eine Microsoft Entra-Gruppe
- Microsoft Entra-Anmeldung zur Authentifizierung für einen Microsoft Entra-Dienst-Principal
- Serverrolle
Prinzipale auf Datenbankebene
- Datenbankbenutzer (Weitere Informationen zu Datenbankbenutzertypen finden Sie unter CREATE USER (Transact-SQL).)
- Datenbankrolle
- Anwendungsrolle
sa Einloggen
Der SQL Server-Anmeldename sa ist ein Prinzipal auf Serverebene. Standardmäßig wird sie erstellt, wenn eine Instanz installiert wird. Ab SQL Server 2005 (9.x) ist sa die Standarddatenbank von master. Dieses Verhalten unterscheidet sich von früheren Versionen von SQL Server. Der Anmeldename sa ist ein Mitglied der festen Rolle auf Serverebene sysadmin. Die sa Anmeldung verfügt über alle Berechtigungen auf dem Server und kann nicht eingeschränkt werden. Die sa Anmeldung kann nicht gelöscht werden, aber sie kann deaktiviert werden, sodass niemand sie verwenden kann.
dbo Benutzer und dbo Schema
Der dbo-Benutzer ist ein spezieller Benutzerprinzipal in jeder Datenbank. Alle SQL Server-Administratoren, Mitglieder der festen Serverrolle sysadmin, der sa-Anmeldename und die Besitzer der Datenbank treten in Datenbanken als dbo-Benutzer auf. Der dbo Benutzer verfügt über alle Berechtigungen in der Datenbank und kann nicht eingeschränkt oder gelöscht werden.
dbo steht für Datenbankbesitzer, aber das dbo Benutzerkonto ist nicht mit der db_owner festen Datenbankrolle identisch, und die db_owner feste Datenbankrolle ist nicht mit dem Benutzerkonto identisch, das als Besitzer der Datenbank aufgezeichnet wird.
Der dbo-Benutzer besitzt das dbo-Schema. Das dbo-Schema ist das Standardschema für alle Benutzer, sofern kein anderes Schema angegeben wird. Das dbo Schema kann nicht gelöscht werden.
public Serverrolle und Datenbankrolle
Jeder Anmeldename gehört zu der festen Serverrolle public, und jeder Datenbankbenutzer gehört zu der Datenbankrolle public. Wenn einer Anmeldung oder einem Benutzer keine bestimmten Berechtigungen für ein Sicherungsobjekt erteilt oder verweigert wurden, erbt die Anmeldung oder der Benutzer die Berechtigungen, die public für dieses Sicherungsobjekt gewährt wurden. Die public feste Serverrolle und die public feste Datenbankrolle können nicht gelöscht werden. Sie können jedoch Berechtigungen für die Rollen public widerrufen. Es gibt viele Berechtigungen, die den Rollen public standardmäßig zugewiesen sind. Die meisten dieser Berechtigungen sind für Routinevorgänge in der Datenbank erforderlich. Diese Vorgänge sollten von jedem ausgeführt werden können. Seien Sie vorsichtig, wenn Sie Berechtigungen von der public Anmeldung oder dem Benutzer widerrufen, da sie sich auf alle Anmeldungen/Benutzer auswirkt. Im Allgemeinen sollten Sie die Berechtigungen public nicht verweigern, da die Verweigerung alle Erteilungen außer Kraft setzt, die Sie Einzelpersonen erteilen könnten.
INFORMATION_SCHEMA Benutzer und sys Schemas
Jede Datenbank enthält zwei Entitäten, die in Katalogsichten als Benutzer angezeigt werden: INFORMATION_SCHEMA und sys. Diese Entitäten sind für die interne Verwendung durch die Datenbank-Engine erforderlich. Sie können nicht geändert oder gelöscht werden.
Zertifikatbasierte SQL Server-Anmeldenamen
Serverprinzipale, deren Name von doppelten Nummernzeichen (##) eingeschlossen ist, sind nur für die systeminterne Verwendung vorgesehen. Die folgenden Prinzipale werden bei der Installation von SQL Server aus Zertifikaten erstellt und sollten nicht gelöscht werden.
- ##MS_SQLResourceSigningCertificate##
- ##MS_SQLReplicationSigningCertificate##
- ##MS_SQLAuthenticatorCertificate##
- ##MS_AgentSigningCertificate##
- ##MS_PolicyEventProcessingLogin##
- ##MS_PolicySigningCertificate##
- ##MS_PolicyTsqlExecutionLogin##
Diese Prinzipalkonten verfügen nicht über Kennwörter, die von Administratoren geändert werden können, da sie auf Zertifikaten basieren, die an Microsoft ausgestellt wurden.
Der guest Benutzer
Jede Datenbank enthält einen guest. Berechtigungen, die dem guest Benutzer gewährt werden, werden von Benutzern geerbt, die Zugriff auf die Datenbank haben, aber nicht über ein Benutzerkonto in der Datenbank verfügen. Der guest Benutzer kann nicht gelöscht werden, kann aber deaktiviert werden, indem er seine CONNECT Berechtigung widerruft. Die CONNECT-Berechtigung kann widerrufen werden, indem REVOKE CONNECT FROM GUEST; in einer anderen Datenbank als master oder tempdb ausgeführt wird.
Limitations
- In der SQL-Datenbank in Microsoft Fabric werden nur Benutzer und Rollen auf Datenbankebene unterstützt. Anmeldeinformationen, Rollen und das Sa-Konto auf Serverebene sind nicht verfügbar. In der SQL-Datenbank in Microsoft Fabric ist die Microsoft Entra-ID für Datenbankbenutzer die einzige unterstützte Authentifizierungsmethode. Weitere Informationen finden Sie unter Autorisierung in der SQL-Datenbank in Microsoft Fabric.
Verwandte Aufgaben
Informationen zum Entwerfen eines Berechtigungssystems finden Sie unter "Erste Schritte mit Datenbank-Engine Berechtigungen".
Die folgenden Artikel sind in diesem Abschnitt von SQL Server Books Online enthalten: