Entidades de seguridad (motor de base de datos)Principals (Database Engine)

ESTE TEMA SE APLICA A: síSQL Server (a partir de 2008)síAzure SQL DatabasesíAzure SQL Data Warehouse síAlmacenamiento de datos paralelos THIS TOPIC APPLIES TO: yesSQL Server (starting with 2008)yesAzure SQL DatabaseyesAzure SQL Data Warehouse yesParallel Data Warehouse

Lasentidades de seguridad son entidades que pueden solicitar recursos de SQL ServerSQL Server .Principals are entities that can request SQL ServerSQL Server resources. Igual que otros componentes del modelo de autorización de SQL ServerSQL Server , las entidades de seguridad se pueden organizar en jerarquías.Like other components of the SQL ServerSQL Server authorization model, principals can be arranged in a hierarchy. El ámbito de influencia de una entidad de seguridad depende del ámbito de su definición: Windows, servidor o base de datos; y de si la entidad de seguridad es indivisible o es una colección.The scope of influence of a principal depends on the scope of the definition of the principal: Windows, server, database; and whether the principal is indivisible or a collection. Un Inicio de sesión de Windows es un ejemplo de entidad de seguridad indivisible y un Grupo de Windows es un ejemplo de una del tipo colección.A Windows Login is an example of an indivisible principal, and a Windows Group is an example of a principal that is a collection. Toda entidad de seguridad tiene un identificador de seguridad (SID).Every principal has a security identifier (SID). Este tema se aplica a todas las versiones de SQL Server, pero hay algunas restricciones en las entidades de seguridad de nivel de servidor de SQL Database o SQL Data Warehouse.This topic applies to all version of SQL Server, but there are some restictions on server-level principals in SQL Database or SQL Data Warehouse.

Entidades de seguridad de nivel de SQL ServerSQL Server-level principals

  • Inicio de sesión con autenticación de SQL ServerSQL Server SQL ServerSQL Server authentication Login
  • Inicio de sesión con autenticación de Windows para un usuario de WindowsWindows authentication login for a Windows user
  • Inicio de sesión con autenticación de Windows para un grupo de WindowsWindows authentication login for a Windows group
  • Inicio de sesión con autenticación de Azure Active Directory para un usuario de ADAzure Active Directory authentication login for a AD user
  • Inicio de sesión con autenticación de Azure Active Directory para un grupo de ADAzure Active Directory authentication login for a AD group
  • Rol del servidorServer Role

    Entidades de seguridad de nivel de bases de datosDatabase-level principals

  • Usuario de base de datos (hay 11 tipos de usuarios.Database User (There are 11 types of users. Para obtener más información, vea CREATE USER).For more information, see CREATE USER.)

  • Rol de base de datosDatabase Role
  • Rol de aplicaciónApplication Role

Inicio de sesión sasa Login

El inicio de sesión sa de SQL ServerSQL Server es una entidad de seguridad a nivel de servidor.The SQL ServerSQL Server sa log in is a server-level principal. Se crea de forma predeterminada cuando se instala una instancia.By default, it is created when an instance is installed. A partir de Resultado deSQL Server 2005, la base de datos predeterminada de sa es master.Beginning in Resultado deSQL Server 2005, the default database of sa is master. Es un cambio de comportamiento con respecto a versiones anteriores de SQL ServerSQL Server.This is a change of behavior from earlier versions of SQL ServerSQL Server. El inicio de sesión sa es miembro del rol fijo de base de datos sysadmin.The sa login is a member of the sysadmin fixed database role. Este inicio de sesión sa tiene todos los permisos en el servidor y no puede limitarse.The sa login has all permissions on the server and cannot be limited. Además, sa no se puede quitar, pero puede deshabilitarse para que nadie lo emplee.The sa login cannot be dropped, but it can be disabled so that no one can use it.

Usuario y esquema dbodbo User and dbo Schema

dbo use es una entidad de seguridad de usuario especial que hay en cada base de datos.The dbo use is a special user principal in each database. Todos los administradores de SQL Server, los miembros del rol fijo de servidor sysadmin, el inicio de sesión sa y los propietarios de la base de datos especifican las bases de datos como el usuario dbo.All SQL Server administrators, members of the sysadmin fixed server role, sa login, and owners of the database, enter databases as the dbo user. El usuario dbo tiene todos los permisos en la base de datos y no se limitar ni quitar.The dbo user has all permissions in the database and cannot be limited or dropped. dbo representa el propietario de la base de datos, pero la cuenta de usuario dbo no es lo mismo que el rol fijo de base de datos db_owner, mientras que el rol fijo de base de datos db_owner no es lo mismo que la cuenta de usuario que se registra como el propietario de la base de datos.dbo stands for database owner, but the dbouser account is not the same as the db_owner fixed database role, and the db_owner fixed database role is not the same as the user account that is recorded as the owner of the database.
El usuario dbo tiene la propiedad del esquema dbo.The dbo user owns the dbo schema. El esquema dbo es el predeterminado para todos los usuarios, salvo que se especifique otro.The dbo schema is the default schema for all users, unless some other schema is specified. El esquema dbo no puede quitarse.The dbo schema cannot be dropped.

Rol público de base de datos y de servidorpublic Server Role and Database Role

Cada inicio de sesión pertenece al rol fijo de servidor public y cada usuario de base de datos pertenece al rol de base de datos public.Every login belongs to the public fixed server role, and every database user belongs to the public database role. Cuando a un usuario o inicio de sesión no se le han concedido ni denegado permisos concretos para un elemento protegible, hereda los permisos para ese elemento concedidos a public.When a login or user has not been granted or denied specific permissions on a securable, the login or user inherits the permissions granted to public on that securable. El rol fijo de servidor public y el de base de datos public no pueden quitarse.The public fixed server role and the public fixed database role cannot be dropped. Sin embargo, puede revocar los permisos de los roles public.However you can revoke permissions from the public roles. Hay muchos de los permisos que se asignan a los roles public de forma predeterminada.There are many permissions that are assigned to the public roles by default. La mayoría de estos permisos son necesarios para realizar operaciones rutinarias en la base de datos; el tipo de tareas que todo el mundo debe poder hacer.Most of these permissions are needed for routine operations in the database; the type of things that everyone should be able to do. Tenga cuidado al revocar permisos desde el usuario o el inicio de sesión público, ya que afectará a todos los inicios de sesión y usuarios.Be careful when revoking permissions from the public login or user, as it will affect all logins/users. Normalmente, no debe denegar permisos a public, ya que la instrucción deny invalida cualquier instrucción grant que podrían crear para los usuarios.Generally you should not deny permissions to public, because the deny statement overrides any grant statements you might make to individuals.

INFORMATION_SCHEMA, y usuarios y esquemas sysINFORMATION_SCHEMA and sys Users and Schemas

Todas las bases de datos incluyen dos entidades que aparecen como usuarios en las vistas de catálogo:INFORMATION_SCHEMA y sys.Every database includes two entities that appear as users in catalog views: INFORMATION_SCHEMA and sys. Estas entidades son necesarias para uso interno por parte del motor de base de datos.These entities are required for internal use by the Database Engine. No se pueden modificar ni quitar.They cannot be modified or dropped.

Inicios de sesión de SQL Server basados en certificadosCertificate-based SQL Server Logins

Las entidades de seguridad de servidor con nombres incluidos entre signos de número dobles (##) son exclusivamente para uso interno del sistema.Server principals with names enclosed by double hash marks (##) are for internal system use only. Las siguientes entidades de seguridad se crean a partir de certificados cuando se instala SQL ServerSQL Server y no deben eliminarse.The following principals are created from certificates when SQL ServerSQL Server is installed, and should not be deleted.

  • ##MS_SQLResourceSigningCertificate####MS_SQLResourceSigningCertificate##
  • ##MS_SQLReplicationSigningCertificate####MS_SQLReplicationSigningCertificate##
  • ##MS_SQLAuthenticatorCertificate####MS_SQLAuthenticatorCertificate##
  • ##MS_AgentSigningCertificate####MS_AgentSigningCertificate##
  • ##MS_PolicyEventProcessingLogin####MS_PolicyEventProcessingLogin##
  • ##MS_PolicySigningCertificate####MS_PolicySigningCertificate##
  • ##MS_PolicyTsqlExecutionLogin####MS_PolicyTsqlExecutionLogin##

Usuario guestThe guest User

Cada base de datos incluye un usuario guest.Each database includes a guest. Los permisos concedidos al usuario guest se aplican a todos los usuarios que tienen acceso a la base de datos, pero no disponen de una cuenta en la base de datos.Permissions granted to the guest user are inherited by users who have access to the database, but who do not have a user account in the database. No se puede quitar el usuario guest, pero se puede deshabilitar si se revoca su permiso CONNECT.The guest user cannot be dropped, but it can be disabled by revoking it's CONNECT permission. El permiso CONNECT se puede revocar si se ejecuta REVOKE CONNECT FROM GUEST; en cualquier base de datos que no sea master ni tempdb.The CONNECT permission can be revoked by executing REVOKE CONNECT FROM GUEST; within any database other than master or tempdb.

Para más información acerca de cómo diseñar un sistema de permisos, consulte Getting Started with Database Engine Permissions.For information about designing a permissions system, see Getting Started with Database Engine Permissions.

Los temas siguientes se incluyen en esta sección de Libros en pantalla de SQL ServerSQL Server :The following topics are included in this section of SQL ServerSQL Server Books Online:

Vea tambiénSee Also

Proteger SQL Server Securing SQL Server
sys.database_principals (Transact-SQL) sys.database_principals (Transact-SQL)
sys.server_principals (Transact-SQL) sys.server_principals (Transact-SQL)
sys.sql_logins (Transact-SQL) sys.sql_logins (Transact-SQL)
sys.database_role_members (Transact-SQL) sys.database_role_members (Transact-SQL)
Roles de nivel de servidor Server-Level Roles
Roles de nivel de base de datosDatabase-Level Roles