Principaux (moteur de base de données)Principals (Database Engine)

S’APPLIQUE À : ouiSQL Server ouiAzure SQL Database ouiAzure SQL Data Warehouse ouiParallel Data Warehouse APPLIES TO: yesSQL Server yesAzure SQL Database yesAzure SQL Data Warehouse yesParallel Data Warehouse

Lesprincipaux sont des entités qui peuvent demander des ressources SQL ServerSQL Server .Principals are entities that can request SQL ServerSQL Server resources. Comme les autres composants du modèle d'autorisation SQL ServerSQL Server , les principaux peuvent être ordonnés de façon hiérarchique.Like other components of the SQL ServerSQL Server authorization model, principals can be arranged in a hierarchy. Le champ d'influence d'un principal dépend de l'étendue de sa définition : Windows, serveur, base de données, et du fait qu'il est indivisible ou qu'il s'agit d'une collection.The scope of influence of a principal depends on the scope of the definition of the principal: Windows, server, database; and whether the principal is indivisible or a collection. Une connexion Windows est un exemple de principal indivisible et un groupe Windows est un exemple de principal constituant une collection.A Windows Login is an example of an indivisible principal, and a Windows Group is an example of a principal that is a collection. Chaque principal a un identificateur de sécurité (SID).Every principal has a security identifier (SID). Cette rubrique s’applique à toutes les versions de SQL Server, mais il existe certaines restrictions sur les principaux au niveau du serveur dans SQL Database ou SQL Data Warehouse.This topic applies to all version of SQL Server, but there are some restictions on server-level principals in SQL Database or SQL Data Warehouse.

Principaux au niveau de SQL ServerSQL Server-level principals

  • Connexion d’authentification SQL ServerSQL ServerSQL ServerSQL Server authentication Login
  • Connexion d’authentification Windows pour un utilisateur WindowsWindows authentication login for a Windows user
  • Connexion d’authentification Windows pour un groupe WindowsWindows authentication login for a Windows group
  • Connexion d’authentification Azure Active Directory pour un utilisateur ADAzure Active Directory authentication login for a AD user
  • Connexion d’authentification Azure Active Directory pour un groupe ADAzure Active Directory authentication login for a AD group
  • Rôle serveurServer Role

Principaux au niveau des bases de donnéesDatabase-level principals

  • Utilisateur de base de données (il existe 11 types d’utilisateurs.Database User (There are 11 types of users. Pour plus d’informations, consultez CREATE USER .)For more information, see CREATE USER.)
  • Rôle de base de donnéesDatabase Role
  • Rôle d'applicationApplication Role

Connexion sasa Login

La connexion SQL ServerSQL Server sa est un principal au niveau du serveur.The SQL ServerSQL Server sa log in is a server-level principal. Par défaut, elle est créée lorsqu'une instance est installée.By default, it is created when an instance is installed. À compter de SQL Server 2005 (9.x)SQL Server 2005 (9.x), la base de données par défaut de sa est MASTER.Beginning in SQL Server 2005 (9.x)SQL Server 2005 (9.x), the default database of sa is master. Il s'agit là d'une différence par rapport aux versions antérieures de SQL ServerSQL Server.This is a change of behavior from earlier versions of SQL ServerSQL Server. La connexion sa est un membre du rôle de base de données fixe sysadmin.The sa login is a member of the sysadmin fixed database role. La connexion sa a toutes les autorisations sur le serveur et ne peut pas être limitée.The sa login has all permissions on the server and cannot be limited. La connexion sa ne peut pas être supprimée, mais elle peut être désactivée afin que personne ne puisse l’utiliser.The sa login cannot be dropped, but it can be disabled so that no one can use it.

Utilisateur dbo et schéma dbodbo User and dbo Schema

L’utilisateur dbo est un principal d’utilisateur spécial dans chaque base de données.The dbo user is a special user principal in each database. Tous les administrateurs de SQL Server, les membres du rôle de serveur fixe sysadmin, la connexion sa et les propriétaires de la base de données accèdent aux bases de données en tant qu’utilisateur dbo.All SQL Server administrators, members of the sysadmin fixed server role, sa login, and owners of the database, enter databases as the dbo user. L’utilisateur dbo a toutes les autorisations dans la base de données et ne peut pas être limité ou supprimé.The dbo user has all permissions in the database and cannot be limited or dropped. dbo signifie « database owner » (propriétaire de base de données), mais le compte d’utilisateur dbo n’est pas identique au rôle de base de données fixe db_owner, et le rôle de base de données fixe db_owner n’est pas identique au compte d’utilisateur qui est inscrit en tant que propriétaire de la base de données.dbo stands for database owner, but the dbouser account is not the same as the db_owner fixed database role, and the db_owner fixed database role is not the same as the user account that is recorded as the owner of the database.
L’utilisateur dbo est propriétaire du schéma dbo.The dbo user owns the dbo schema. Le schéma dbo est le schéma par défaut pour tous les utilisateurs, sauf si un autre schéma est spécifié.The dbo schema is the default schema for all users, unless some other schema is specified. Le schéma dbo ne peut pas être supprimé.The dbo schema cannot be dropped.

Rôle serveur public et rôle de base de donnéespublic Server Role and Database Role

Chaque connexion appartient au rôle serveur fixe public et chaque utilisateur de base de données appartient au rôle de base de données public.Every login belongs to the public fixed server role, and every database user belongs to the public database role. Quand des autorisations spécifiques sur un élément sécurisable n’ont pas été accordées ni refusées à une connexion ou à un utilisateur, celui-ci ou celle-ci hérite des autorisations accordées à public sur cet élément sécurisable.When a login or user has not been granted or denied specific permissions on a securable, the login or user inherits the permissions granted to public on that securable. Le rôle serveur fixe public et le rôle de base de données fixe public ne peuvent pas être supprimés.The public fixed server role and the public fixed database role cannot be dropped. Toutefois, vous pouvez révoquer des autorisations des rôles public.However you can revoke permissions from the public roles. De nombreuses autorisations sont affectées par défaut aux rôles public.There are many permissions that are assigned to the public roles by default. La plupart de ces autorisations sont nécessaires pour les opérations de routine dans la base de données (le genre de choses que tout le monde doit pouvoir faire).Most of these permissions are needed for routine operations in the database; the type of things that everyone should be able to do. Soyez prudent lors de la révocation des autorisations de l’utilisateur ou de la connexion public, car cela affecte tous les utilisateurs/connexions.Be careful when revoking permissions from the public login or user, as it will affect all logins/users. En général, vous ne devez pas refuser d’autorisations à public, car l’instruction deny remplace toutes les instructions grant que vous pouvez exécuter pour des utilisateurs spécifiques.Generally you should not deny permissions to public, because the deny statement overrides any grant statements you might make to individuals.

INFORMATION_SCHEMA et schémas et utilisateurs sysINFORMATION_SCHEMA and sys Users and Schemas

Chaque base de données inclut deux entités qui apparaissent comme des utilisateurs dans des affichages catalogue : INFORMATION_SCHEMA et sys.Every database includes two entities that appear as users in catalog views: INFORMATION_SCHEMA and sys. Ces entités sont nécessaires pour une utilisation interne par le moteur de base de données.These entities are required for internal use by the Database Engine. Elles ne peuvent être ni modifiées ni supprimées.They cannot be modified or dropped.

Connexions SQL Server basées sur des certificatsCertificate-based SQL Server Logins

Les principaux de serveur compris entre deux signes dièse (##) sont destinés uniquement à une utilisation système interne.Server principals with names enclosed by double hash marks (##) are for internal system use only. Les principaux suivants sont créés à partir de certificats lors de l'installation de SQL ServerSQL Server ; ils ne doivent pas être supprimés.The following principals are created from certificates when SQL ServerSQL Server is installed, and should not be deleted.

  • ##MS_SQLResourceSigningCertificate####MS_SQLResourceSigningCertificate##
  • ##MS_SQLReplicationSigningCertificate####MS_SQLReplicationSigningCertificate##
  • ##MS_SQLAuthenticatorCertificate####MS_SQLAuthenticatorCertificate##
  • ##MS_AgentSigningCertificate####MS_AgentSigningCertificate##
  • ##MS_PolicyEventProcessingLogin####MS_PolicyEventProcessingLogin##
  • ##MS_PolicySigningCertificate####MS_PolicySigningCertificate##
  • ##MS_PolicyTsqlExecutionLogin####MS_PolicyTsqlExecutionLogin##

Ces comptes de principaux n’ont pas de mots de passe modifiables par les administrateurs, car ils utilisent des certificats envoyés à Microsoft.These principal accounts do not have passwords that can be changed by administrators as they are based on certificates issued to Microsoft.

Utilisateur invitéThe guest User

Chaque base de données inclut un guest.Each database includes a guest. Les autorisations accordées à l'utilisateur guest sont héritées par les utilisateurs qui ont accès à la base de données, mais n'ont pas de compte d'utilisateur dans la base de données.Permissions granted to the guest user are inherited by users who have access to the database, but who do not have a user account in the database. L’utilisateur guest ne peut pas être supprimé, mais vous pouvez le désactiver en révoquant son autorisation CONNECT.The guest user cannot be dropped, but it can be disabled by revoking it's CONNECT permission. Vous pouvez révoquer l’autorisation CONNECT en exécutant l’instruction REVOKE CONNECT FROM GUEST; dans n’importe quelle base de données autre que master ou tempdb.The CONNECT permission can be revoked by executing REVOKE CONNECT FROM GUEST; within any database other than master or tempdb.

Pour plus d’informations sur la conception d’un système d’autorisations, consultez Getting Started with Database Engine Permissions.For information about designing a permissions system, see Getting Started with Database Engine Permissions.

Les rubriques suivantes sont incluses dans cette section de la documentation en ligne de SQL ServerSQL Server :The following topics are included in this section of SQL ServerSQL Server Books Online:

 Voir aussiSee Also

Sécurisation de SQL Server Securing SQL Server
sys.database_principals (Transact-SQL) sys.database_principals (Transact-SQL)
sys.server_principals (Transact-SQL) sys.server_principals (Transact-SQL)
sys.sql_logins (Transact-SQL) sys.sql_logins (Transact-SQL)
sys.database_role_members (Transact-SQL) sys.database_role_members (Transact-SQL)
Rôles de niveau serveur Server-Level Roles
Rôles au niveau de la base de donnéesDatabase-Level Roles