Informazioni sugli utenti di SQL Server

Questa pagina descrive il funzionamento di Cloud SQL con utenti e ruoli SQL Server. I ruoli SQL Server consentono di controllare l'accesso e le funzionalità degli utenti che accedono a un'istanza SQL Server.

Per informazioni sulla creazione e la gestione degli utenti Cloud SQL, vedi Creazione e gestione degli utenti.

Ruoli e utenti SQL Server

I ruoli SQL Server possono essere un singolo ruolo o possono funzionare come un gruppo di ruoli.

Un utente è un ruolo con la possibilità di accedere (il ruolo dispone dell'autorizzazione LOGIN ). Tutti i ruoli creati da Cloud SQL dispongono dell'autorizzazione LOGIN, quindi Cloud SQL utilizza i termini "ruolo" e "utente" in modo intercambiabile. Tuttavia, se crei un ruolo con qualsiasi strumento client compatibile con SQL Server, il ruolo non riceve necessariamente l'autorizzazione LOGIN.

Cloud SQL per SQL Server limita l'accesso a determinati ruoli del server che forniscono privilegi avanzati. Esempi di questi ruoli sono DbRootRole, serveradmin, securityadmin, setupadmin, diskadmin e dbcreator.

Tutti gli utenti di SQL Server devono avere una password. Pertanto, non puoi accedere con un utente che non ha una password.

Superuser e stored procedure di sistema

Cloud SQL per SQL Server è un servizio gestito, pertanto limita l'accesso ad alcune procedure e tabelle di sistema archiviate che richiedono privilegi avanzati. In Cloud SQL, non puoi creare o avere accesso a utenti con autorizzazioni super user.

Utenti SQL Server predefiniti

Quando crei una nuova istanza Cloud SQL per SQL Server, l'utente sqlserver predefinito è già creato, anche se devi impostarne la password.

L'utente sqlserver fa parte del ruolo CustomerDbRootRole e le sue autorizzazioni (privilegi) includono quanto segue:

• ALTER ANY CONNECTION
• ALTER ANY LOGIN
• ALTER ANY SERVER ROLE
• ALTER SERVER STATE
• ALTER TRACE
• CONNECT SQL
• CREATE ANY DATABASE
• CREATE SERVER ROLE
• VIEW ANY DATABASE
• VIEW ANY DEFINITION
• VIEW SERVER STATE

Puoi anche aggiungere cloudsql enable linked servers alla tua istanza se vuoi utilizzarla con i server collegati. Questo flag concede al tuo server la seguente autorizzazione:

• ALTER ANY LINKED SERVER

Concessione delle autorizzazioni del server

Quando concedi privilegi utilizzando un GRANT comando, devi trasmettere CustomerDbRootRole come, ad esempio, il valore di grantor_principal.

Il seguente esempio di GRANT ALTER ANY LOGIN è valido:

GRANT ALTER ANY LOGIN TO [Account] AS CustomerDbRootRole

Il seguente esempio di GRANT ALTER ANY LOGIN non è valido:

GRANT ALTER ANY LOGIN TO [Account]

Altri utenti di SQL Server

Puoi creare altri utenti o ruoli SQL Server. A tutti gli utenti che crei utilizzando Cloud SQL vengono concesse le stesse autorizzazioni di database dell'accesso sqlserver. Tuttavia, se utilizzi una procedura diversa per creare un utente (anziché crearlo utilizzando Cloud SQL), l'utente non avrà gli stessi permessi degli account amministratore cliente o dell'utente sqlserver. Ad esempio, se utilizzi la procedura create login e aggiungi l'accesso al ruolo del server CustomerDbRootRole, l'utente non avrà le stesse autorizzazioni degli account amministratore cliente o dell'utente sqlserver. Pertanto, puoi utilizzare Cloud SQL per creare un utente se vuoi che abbia le stesse autorizzazioni del database dell'accesso sqlserver. Per convalidare la differenza di autorizzazioni tra due account, puoi utilizzare la seguente funzione: sys.fn_my_permissions.

Importazioni di database: autorizzazioni del proprietario

Quando importi un database, il trattamento del proprietario varia come segue, in base al tipo di proprietario:

• Per un accesso esistente che non è sa:Cloud SQL mantiene il proprietario e crea un utente denominato sqlserver che esegue il mapping all'accesso sqlserver. Cloud SQL concede le autorizzazioni CONTROL e ALTER ANY USER all'utente sqlserver.
• Per gli accessi sconosciuti o creati dal sistema:Cloud SQL trasferisce la proprietà del database all'accesso sqlserver.

Modificare le autorizzazioni per gli utenti

Il comando ALTER ROLE è disponibile per modificare le autorizzazioni utente. Se crei un nuovo utente con un cliente, puoi associarlo a un ruolo diverso o fornire autorizzazioni diverse.

Risoluzione dei problemi

Errore durante l'accesso al database

Quando provi ad accedere a un database che hai creato come utente, viene visualizzato il seguente errore:

The server principal USERNAME is not able to access the
database DATABASE_NAME under the current security context.

Il problema potrebbe essere

L'utente non è membro del database.

Cose da provare

Connettiti al database come utente sqlserver e aggiungi il nuovo utente, poi assegna al nuovo utente il ruolo db_owner per il database. Ad esempio:

EXEC sp_adduser 'user';
EXEC sp_addrolemember 'db_owner', 'user'

Passaggi successivi

• Configura l'utente per l'istanza.
• Creare e gestire gli utenti.
• Creare e gestire database.