Chapter 2 User Authentication, Authorization, and Security(2):创建登录帐号

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38705965,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

前一篇:http://blog.csdn.net/dba_huangzj/article/details/38657111

前言:

登录帐号是定义在服务器(实例)级别,并能被授予进行管理任务、连接、访问数据库等权限的帐号。SQL Server安全模型有两个级别:服务器级别和数据库级别。登录帐号必须先创建在服务器级别。如果需要访问数据库,还需要在数据库级别创建一个用户映射到已有的登录名中。

对于从SQL Server 2012引入的部分包含数据库(Partially Contained Databases),允许在服务器级别上没有登录名也可以访问数据库,将会在后面章节中介绍。

实现:

1. 打开SSMS,连接到对应实例,然后在服务器级别的【安全性】中右键【登录名】选择【新建登录】:

2. 输入登录名,可以是SQL Server帐号,也可以是Windows帐号(<机器名 or 域名>\<帐号名>),如果是Windows帐号,可以在【查找】中浏览。

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38705965

3. 如果选择了【SQL Server 身份验证】,可以输入密码和确认密码,在某些情况下可以使用空密码(当然不建议),下面是需要说明的选项:

    • 强制实施密码策略(Enforce password policy):强制使用Windows的密码策略,不勾选这个选项,则可以使用空密码,并且下面两个选项也将关闭。
    • 强制密码过期(Enforce password expiration):根据Windows的密码策略是密码过期。
    • 用户在下次登录时必须更改密码(User must change password at next login):用户在首次使用GUI登录时必须修改密码。

4. 在界面的最下方,可以选择默认数据库,如果不选则是master库,作为最佳实践,建议不要连到master库,DBA及开发人员可能会忘记切换数据库导致一些DDL/DML语句运行在master库中。本人习惯选择用户所需的数据库,或者TempDB。

5. 另外可以设置默认语言,但是这个可能在多语言环境中引起报错和日期格式问题。

6. 除了使用SSMS创建,还可以使用T-SQL创建登录,下面是一个例子:

-- 创建一个域环境中的Windows登录帐号,域名为Domain,账号名为Fred
CREATE LOGIN [DOMAIN\Fred] FROM WINDOWS;
-- 创建一个SQL 登录帐号,登录名为Fred
CREATE LOGIN Fred WITH PASSWORD = ‘强密码‘ MUST_CHANGE,
CHECK_EXPIRATION = ON, CHECK_POLICY = ON, DEFAULT_DATABASE =AdventureWorks2012, DEFAULT_LANGUAGE = us_English;

原理:

在Windows Server 2008 上的密码策略可以参考文章:http://technet.microsoft.com/en-us/library/cc264456.aspx

策略中定义了密码复杂度、长度、密码历史、最小和最大生命周期和锁定参数。默认的复杂度为:

  • 不能包含出现在登录名中的多于2个连续的字符。
  • 密码长度最少6个字符。
  • 密码需要包含下面4种字符中的最少3种不同类型的字符:大写、小写、数字、特殊符号。

如果使用了Windows用户组作为登录名,可以使用下面语句检查当前登录是否属于某个组的成员:

SELECT IS_MEMBER(‘域名\组名‘);--1为当前用户属于域中对应组的成员。

但是注意这个函数不反映登录名连接到SQL Server后又被修改组成员的情况。

更多:

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38705965

当SQL 登录使用了CHECK_POLICY选项后,可能由于某些因素导致帐号被锁定。可以使用下面命令解锁:

--通过重置密码解锁
ALTER LOGIN fred WITH PASSWORD = ‘新密码‘ UNLOCK;
-- 不需要重置密码:
ALTER LOGIN fred WITH CHECK_POLICY = OFF;
--先关闭策略
ALTER LOGIN fred WITH CHECK_POLICY = ON;--再开启策略

检查登录帐号的状态:

可以使用LOGINPROPERTY函数来检查登录的状态:详细信息可以访问:http://msdn.microsoft.com/zh-cn/library/ms345412.aspx

下面是一些例子:

DECLARE @login AS SYSNAME = ‘Fred‘;
SELECT  LOGINPROPERTY(@login, ‘BadPasswordCount‘) AS [Bad Password Count] ,
        LOGINPROPERTY(@login, ‘BadPasswordTime‘) AS [Last Bad Password Time] ,
        LOGINPROPERTY(@login, ‘DaysUntilExpiration‘) AS [Nb of days before expiration] ,
        LOGINPROPERTY(@login, ‘HistoryLength‘) AS [Nb of passwords in history] ,
        LOGINPROPERTY(@login, ‘IsExpired‘) AS [is expired] ,
        LOGINPROPERTY(@login, ‘IsLocked‘) AS [is locked] ,
        LOGINPROPERTY(@login, ‘PasswordLastSetTime ‘) AS [Password Last Set Time];

修改SQL 登录名密码:

可以使用ALTER LOGIN 登录名 WITH PASSWORD=’新密码‘;来修改SQL 登录的密码。执行这个密码需要具有CONTROL SERVER或者ALTER ANY LOGIN权限(分别对于那个sysadmin或securityadmin固定角色成员)。如果需要修改自己的密码,需要提供旧密码,如:

ALTER LOGIN fred WITH
PASSWORD = ‘my new complex password‘
OLD_PASSWORD = ‘my old complex password‘;

密码是使用不可逆的hash存储,如果想检查密码是否正确,可以使用未公开函数PWDCOMPARE:

USE master
GO
CREATE LOGIN Fred WITH PASSWORD =‘[email protected]#123‘ --创建一个登录名
go
--检查登录名的密码
SELECT PWDCOMPARE(‘[email protected]#123‘, CAST(LOGINPROPERTY(‘fred‘, ‘passwordhash‘) as varbinary(256)));--返回1 则证明密码正确
SELECT PWDCOMPARE(‘123‘, CAST(LOGINPROPERTY(‘fred‘, ‘passwordhash‘) as varbinary(256)));--返回0 则证明密码不正确

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38705965

在实例间复制SQL登录名:

如果你需要迁移服务器,那么不能简单地在新服务器上创建相同的帐号密码就完事,有些应用需要使用SID来做验证,而每个帐号的SID都不同,从SQL Server 2005开始,提供了一套脚本来实现迁移:http://support.microsoft.com/kb/918992

除了脚本,还可以用SSIS的【传输登录名任务】来实现,步骤如下:

1. 打开SQL Server Data Tools(2012开始更名,之前是BIDS,但是2012之后功能更加强大),创建一个新项目,选择Business Intelligence组,然后点击Integration Services Project。输入一个项目名,点击【确定】:

2. 查找【传输登录名任务】:

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38705965

3. 双击图标,打开【传输登录名任务编辑器】:

4. 在【登录名】页,选择源链接和目标链接:

5. 在【loginsToTransfer】中选择你要复制的登录名:

    • AllLogins:传输源服务器上所有SQL Server登录名。
    • SelectedLogins:仅传输存在于【LoginsList】选项中的登录名。
    • AllLoginsFromSelectedDatabases:传输所有映射到定义了【DatabasesList】中数据库的用户的登录名。

6. 在【IfObjectExists】选项中,定义如何响应目标服务器已存在的登录名:

    • FailTask:停止任务并发挥错误
    • Overwrite:覆盖目标服务器的登录名,如果SID没有复制,会导致用户变成孤立帐号。
    • Skip:跳过,继续其他登录名。

7. 在【CopySids】选项中,可以选择复制登录并保留相同的SID,这一步建议选择。

如何使用SSIS任务,可以参照http://msdn.microsoft.com/zh-cn/library/ms188664.aspx(使用复制数据库向导)

手动复制密码:

如果需要手动复制密码,可以使用CREATE LOGIN命令实现:

-- 获取密码的hash值,语句不需要改变
SELECT LOGINPROPERTY(‘fred‘, ‘passwordhash‘);
-- 使用上面获取的哈希值创建新登录名,需要手动粘贴hash值
CREATE LOGIN fred WITH PASSWORD ‘粘贴上面获取的hash值‘ HASHED;

Chapter 2 User Authentication, Authorization, and Security(2):创建登录帐号

时间: 2024-10-20 22:33:00

Chapter 2 User Authentication, Authorization, and Security(2):创建登录帐号的相关文章

Chapter 2 User Authentication, Authorization, and Security(1):选择Windows和SQL 身份验证

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38657111,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38656615 前言: SQL Ser

Chapter 2 User Authentication, Authorization, and Security(10):创建包含数据库

原文出处:http://blog.csdn.net/dba_huangzj/article/details/39473895,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/39003679 前言: 在SQL Se

Chapter 2 User Authentication, Authorization, and Security(9):防止登录名和用户查看元数据

原文出处:http://blog.csdn.net/dba_huangzj/article/details/39003679.专题文件夹:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意.不论什么人不得以"原创"形式公布,也不得已用于商业用途.本人不负责不论什么法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38944121 前言: 在S

Chapter 2 User Authentication, Authorization, and Security(8):创建映射到登录名的数据库用户

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38944121,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38895357 前言: 登录名用于授权

Chapter 2 User Authentication, Authorization, and Security(11):在已还原的数据库中修正登录映射错误

原文出处:http://blog.csdn.net/dba_huangzj/article/details/39496517,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/39473895 前言: 如果你把非包含

Chapter 2 User Authentication, Authorization, and Security(3):保server避免暴力袭击

原版的:http://blog.csdn.net/dba_huangzj/article/details/38756693,专题文件夹:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意.不论什么人不得以"原创"形式公布,也不得已用于商业用途,本人不负责不论什么法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38705965 前言: 暴力攻

Chapter 2 User Authentication, Authorization, and Security(4):限制SA帐号的管理权限

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38817915,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38756693 前言: SA帐号是SQ

Chapter 2 User Authentication, Authorization, and Security(3):保护服务器避免暴力攻击

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38756693,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38705965 前言: 暴力攻击(Br

Chapter 2 User Authentication, Authorization, and Security(7):创建和使用用户自定义服务器角色

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38895357,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38867489 前言: 从SQL Se