Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
SQL ServerBanco de Dados SQL do AzureInstância Gerenciada de SQL do AzureAzure Synapse AnalyticsAnalytics Platform System (PDW)Banco de Dados SQL na prévia do Microsoft Fabric
Entidades de segurança são entidades que podem solicitar recursos do SQL Server. Como outros componentes do modelo de autorização do SQL Server, as entidades podem ser organizadas em uma hierarquia. O escopo de influência de uma entidade depende do escopo de sua definição: Windows, servidor, banco de dados e, se a entidade é indivisível ou uma coleção. Um logon do Windows é um exemplo de um principal indivisível, enquanto um Grupo do Windows é um exemplo de um principal que é uma coleção. Cada principal tem um identificador de segurança (SID). Este tópico aplica-se a todas as versões do SQL Server, mas há restrições para entidades de segurança no nível do servidor no banco de dados SQL ou no Azure Synapse Analytics.
Note
O Microsoft Entra ID era conhecido como Azure Active Directory (Azure AD).
Entidades de segurança no nível do SQL Server
- Logon de autenticação do SQL Server
- Logon de autenticação do Windows para um usuário do Windows
- Logon de autenticação do Windows para um grupo do Windows
- Logon de autenticação do Microsoft Entra para um usuário do Microsoft Entra
- Logon de autenticação do Microsoft Entra para um grupo do Microsoft Entra
- Login de autenticação do Microsoft Entra para um principal de serviço do Microsoft Entra
- Função de servidor
Usuários ou funções no nível do banco de dados
- Usuário do banco de dados (para obter mais informações sobre tipos de usuários de banco de dados, consulte CREATE USER (Transact-SQL).)
- Função de banco de dados
- Função de aplicativo
sa Login
O logon sa do SQL Server é uma entidade de segurança no nível do servidor. Por padrão, ele é criado quando uma instância é instalada. A partir do SQL Server 2005 (9.x), o banco de sa dados padrão é master. Essa é uma alteração de comportamento de versões anteriores do SQL Server. O logon sa é membro da função de nível do servidor fixa sysadmin. O sa logon tem todas as permissões no servidor e não pode ser limitado. O sa logon não pode ser descartado, mas pode ser desabilitado para que ninguém possa usá-lo.
dbo Usuário e dbo Esquema
O usuário do dbo é uma entidade de usuário especial em cada banco de dados. Todos os administradores do SQL Server, os membros da função de servidor fixa sysadmin, o logon sa e os proprietários do banco de dados, entram nos bancos de dados como o usuário dbo. O dbo usuário tem todas as permissões no banco de dados e não pode ser limitado ou descartado.
dbo significa proprietário do banco de dados, mas a dbo conta de usuário não é a mesma que a db_owner função de banco de dados fixa e a db_owner função de banco de dados fixa não é a mesma que a conta de usuário que é registrada como o proprietário do banco de dados.
O usuário dbo tem o esquema dbo. O esquema dbo é o esquema padrão para todos os usuários, a menos que algum outro esquema seja especificado. O dbo esquema não pode ser removido.
public Função de servidor e função de banco de dados
Cada logon pertence à função de servidor fixa public e cada usuário de banco de dados pertence à função de banco de dados public. Quando um logon ou usuário não recebe permissões específicas, nem são negadas, em uma entidade segura, ele herda as permissões concedidas a public nessa entidade segura. A public função de servidor fixa e a public função de banco de dados fixa não podem ser descartadas. No entanto, você pode revogar as permissões das funções public. Há várias permissões que são atribuídas às funções public por padrão. A maioria dessas permissões é necessária para operações de rotina no banco de dados, ou seja, o tipo de coisas que todos devem ser capazes de fazer. Tenha cuidado ao revogar permissões do public logon ou do usuário, pois isso afetará todos os logons/usuários. Geralmente, você não deve negar permissões para public, porque a declaração de negação substitui quaisquer declarações de concessão que você possa fazer aos indivíduos.
INFORMATION_SCHEMA e sys usuários e esquemas
Todo banco de dados inclui duas entidades que são exibidas como usuários em exibições do catálogo: INFORMATION_SCHEMA e sys. Essas entidades são necessárias para uso interno do mecanismo de banco de dados. Eles não podem ser modificados ou descartados.
Logons do SQL Server com base em certificado
Entidades de servidor com nomes entre duas marcas hash (##) são somente para uso interno do sistema. Os princípios a seguir são criados a partir de certificados quando o SQL Server é instalado e não devem ser excluídos.
- ##MS_SQLResourceSigningCertificate##
- ##MS_SQLReplicationSigningCertificate##
- ##MS_SQLAuthenticatorCertificate##
- ##MS_AgentSigningCertificate##
- ##MS_PolicyEventProcessingLogin##
- ##MS_PolicySigningCertificate##
- ##MS_PolicyTsqlExecutionLogin##
Essas contas principais não têm senhas que podem ser alteradas pelos administradores, pois são baseadas em certificados emitidos para a Microsoft.
O guest Usuário
Cada banco de dados inclui um guest. As permissões concedidas ao guest usuário são herdadas por usuários que têm acesso ao banco de dados, mas que não têm uma conta de usuário no banco de dados. O guest usuário não pode ser descartado, mas pode ser desabilitado revogando sua CONNECT permissão. A CONNECT permissão pode ser revogada executando REVOKE CONNECT FROM GUEST; em qualquer banco de dados que não seja master ou tempdb.
Limitations
- No banco de dados SQL no Microsoft Fabric Preview, há suporte apenas para usuários e funções no nível do banco de dados. Logons no nível do servidor, funções e a conta sa não estão disponíveis. No banco de dados SQL no Microsoft Fabric Preview, a ID do Microsoft Entra para usuários de banco de dados é o único método de autenticação com suporte. Para obter mais informações, consulte Autorização no banco de dados SQL no Microsoft Fabric.
Tarefas relacionadas
Para obter informações sobre como criar um sistema de permissões, consulte Introdução às permissões do Mecanismo de Banco de Dados.
Os seguintes artigos estão incluídos nesta seção dos Manuais Online do SQL Server: