第25個冬天

 1. 檢查目前資料庫中的使用者是否存在 dbo 確認 dbo 是否真的是一個 "使用者"（user），而不是只有 schema。 -- 查詢目前資料庫內所有的使用者 SELECT name, type_desc FROM sys.database_principals WHERE name = 'dbo'; 若查不到 dbo 或其 type_desc 不是 SQL_USER 或 WINDOWS_USER，表示它不是一個 user。 正確情況下 dbo 應該是 DATABASE_ROLE，不是使用者。 2. 檢查哪一行語法錯誤地參照了 dbo 作為 user 搜尋 SP 或 SQL 檔中使用 GRANT, REVOKE, DENY 等授權語句對象是否錯誤指向 dbo： -- 搜尋資料庫內的物件含有 'GRANT ... TO dbo' SELECT OBJECT_NAME(object_id), definition FROM sys.sql_modules WHERE definition LIKE '%GRANT%TO dbo%'; 哪些 Stored Procedure 或 View 中誤用 GRANT TO dbo。 3. 在 SSMS 的 Object Explorer 中檢查目前登入帳號是否有權限存取目前資料庫 如果你懷疑是登入帳號無權限，也可能會報這錯： -- 查看目前帳號是否有 mapping 到目前資料庫 SELECT dp.name AS UserName, dp.type_desc, dp.authentication_type_desc FROM sys.database_principals dp WHERE dp.sid = SUSER_SID();  -- 目前登入帳號的 SID 或 -- 顯示目前登入帳號所擁有的權限 SELECT * FROM fn_my_permissions(NULL, 'DATABASE'); 若查不到權限，表示登入帳號無權操作目前資料庫，可能造成 GRANT TO dbo 這類語法被拒絕執行。 4. 檢查是否有混淆 schema 與 user 的概念 有時候開發人員誤把 dbo 當作使用者來授權，其實它是 schema： --...

管理 Microsoft Entra 使用者和群組 建立使用者與群組 管理使用者與群組屬性 管理 Microsoft Entra ID 中的授權 管理外部使用者 設定自助式密碼重設 (SSPR) Microsoft Entra ID  前身為Azure Active Directory(Azure AD)。2023 年，Azure Active Directory (Azure AD) 已更名為 Microsoft Entra ID。 由 Microsoft 提供的雲端基礎身份認證、識別與存取權管理 (IAM) 服務， 允許組織管理使用者帳戶並存取本地的資源和雲端的資源。 提供了一個集中管理位置，用於跨多個應用程式、平台和設備管理使用者認證和授權。 使用如 OAuth 2、OpenID Connect、SAML 和 WS-Fed 等協定用於身分識別和授權。(非常適合透過網際網路運作，因為它們使用 HTTPS/TLS 加密。) 在 Entra ID 中，標準交流方式是透過 Microsoft Graph，用於與 Office 365、Entra ID 等許多服務進行互動，這些互動是基於 REST 的呼叫，同樣透過 HTTPS (連接埠 443) 進行。 與地端環境中常見的 Active Directory Domain Services (AD DS) 有顯著不同，AD DS 使用 Kerberos、NTLM，並透過 LDAP 進行互動。 AD DS 具有組織單位 (OU) 的結構，但 Entra ID 主要是扁平的，AD DS主要為私有網路結構設計。 Entra ID 中有兩種類型的群組 安全性 (Security)：最常見的類型，可以指派給角色 Microsoft 365：用於協作工具、行事曆、SharePoint 等 群組成員資格 指派的 (Assigned)：手動指定特定的使用者或裝置。 動態的 (Dynamic)：基於規則自動管理成員資格（適用於使用者或裝置），Entra ID 會定期檢查符合規則的身分識別並將其新增到群組中。 Entra ID 具有不同層級的授權，通常是按使用者授權。功能因授權層級(收費標準)而異： 免費 (Free)：提供基本功能 P1 (Premium P1)：增加了許多關鍵功能，例如 條件式存取 (Conditional Ac...