博客
关于我
“孤立”用户
阅读量:774 次
发布时间:2019-03-23

本文共 2621 字,大约阅读时间需要 8 分钟。

SQL Server孤立用户问题的全面解决方案

在数据库安全体系中,Login和User是两个最基础的安全主体(Principal)。Login用于登录到SQL Server实例,而User用于访问数据库。两者通过安全标识(SID)相互关联。在一个数据库中,如果一个User没有相应的Login,则被称为孤立用户(Orphaned User)。孤立用户的 SID 存在于 sys.database_principals 中,但不存在于 sys.server_principals 中。

一、检查和修复孤立用户

Login 和 User 的映射关系通过 SID 来实现。如果一个 SID 存在于 sys.database_principals 中但不存在于 sys.server_principals 中,则该 User 除非是系统用户,否则就是孤立用户。

步骤 1:自定义查看孤立用户

下面提供一个 SQL脚本来查看孤立用户:

SELECT dp.name AS UserName,        dp.type,        dp.type_desc,        dp.default_schema_name,        dp.is_fixed_role,        dp.authentication_type,        dp.authentication_type_desc,        dp.sid,        dp.principal_idFROM sys.database_principals dpLEFT JOIN sys.server_principals sp    ON dp.sid = sp.sidWHERE sp.sid IS NULL    AND dp.[type] IN ('U', 'S', 'G')   AND dp.is_fixed_role = 0   AND dp.[Name] NOT IN ('dbo', 'guest', 'sys', 'INFORMATION_SCHEMA');

步骤 2:创建新的 Windows Login

创建 Windows Login 时,Logon Name 的格式为:[DomainName\LoginName](或 DomainName\GroupName)。

CREATE LOGIN [DomainName\WindowsLoginName]FROM WINDOWSWITH DEFAULT_DATABASE = [master],DEFAULT_LANGUAGE = [us_english];

> **步骤 3:重新映射 Login 和 User**> 为避免孤立用户出现,可以通过以下方式重新创建映射关系:>```sqlALTER USER userName WITH LOGIN = loginName;

请注意:WITH LOGIN 子句允许为 User 分配新的 Login,并建立映射关系。

二、自动修复孤立用户问题

修复孤立用户并非完全没有可能性。对于通过 Windows 身份验证创建的 User 和 Login,建议将它们的 Name 设置为相同,这样可以更好地检测到对应的 Login 是否存在。如果检测到不存在对应的 Login,管理员可以创建相应的 Windows Login 以恢复映射关系。

以下是一个自动化修复孤立用户的 SQL 脚本:

-- 变量声明DECLARE @username sysname;-- 数据库选择游标DECLARE cur_orphaned CURSOR LOCAL FORWARD_ONLY, FAST_FORWARD, READ_ONLY;-- 查看孤立用户SELECT dp.name AS UserName FROM sys.database_principals dpLEFT JOIN sys.server_principals sp ON dp.sid = sp.sidWHERE sp.sid IS NULL AND dp.[type] IN ('U', 'G')    AND dp.is_fixed_role = 0    AND dp.[Name] NOT IN ('dbo', 'guest', 'sys', 'INFORMATION_SCHEMA');-- 打开游标OPEN cur_orphaned;-- 从游标中读取 UserNameFETCH NEXT FROM cur_orphaned INTO @username;WHILE @@FETCH_STATUS = 0BEGIN   -- 创建新的 Windows Login   SET @sqlcmd = N'CREATE LOGIN [' + @username + N'] FROM WINDOWS';   EXEC (@sqlcmd);   -- 为 User 分配新的 Login   SET @sqlcmd = N'ALTER USER [' + @username + N'] WITH LOGIN = [' + @username + N']';   EXEC (@sqlcmd);   FETCH NEXT FROM cur_orphaned INTO @username;ENDCLOSE cur_orphaned;DEALLOCATE cur_orphaned;

三、来宾用户(Guest)

数据库中的 Guest 用户可以通过特殊的登录来访问数据库,但必须确保其与 SQL Server 中的登录关联。如果没有对应的登录,该 User 将无法访问数据库。

四、创建孤立用户

在 SQL Server 中,创建孤立用户通常用于系统维护或特定用途。默认情况下,创建 User 时并不会自动关联到 Login。以下是创建孤立用户的示例:

CREATE USER user_name -- 如果没有指定 FOR Login子句,则创建孤立用户。FOR LOGIN login_name [WITH DEFAULT_SCHEMA = schema_name];

####-reference

  • 如需进一步了解 SQL Server 的安全原理和用户管理,请参考相关技术文档。

转载地址:http://idfzk.baihongyu.com/

你可能感兴趣的文章
Linux下的系统监控与性能调优:从入门到精通
查看>>
LiveGBS user/save 逻辑缺陷漏洞复现(CNVD-2023-72138)
查看>>
localhost:5000在MacOS V12(蒙特利)中不可用
查看>>
logstash mysql 准实时同步到 elasticsearch
查看>>
Luogu2973:[USACO10HOL]赶小猪
查看>>
mabatis 中出现< 以及> 代表什么意思?
查看>>
Mac book pro打开docker出现The data couldn’t be read because it is missing
查看>>
MAC M1大数据0-1成神篇-25 hadoop高可用搭建
查看>>
mac mysql 进程_Mac平台下启动MySQL到完全终止MySQL----终端八步走
查看>>
Mac OS 12.0.1 如何安装柯美287打印机驱动,刷卡打印
查看>>
MangoDB4.0版本的安装与配置
查看>>
Manjaro 24.1 “Xahea” 发布!具有 KDE Plasma 6.1.5、GNOME 46 和最新的内核增强功能
查看>>
mapping文件目录生成修改
查看>>
MapReduce程序依赖的jar包
查看>>
mariadb multi-source replication(mariadb多主复制)
查看>>
MariaDB的简单使用
查看>>
MaterialForm对tab页进行隐藏
查看>>
Member var and Static var.
查看>>
memcached高速缓存学习笔记001---memcached介绍和安装以及基本使用
查看>>
memcached高速缓存学习笔记003---利用JAVA程序操作memcached crud操作
查看>>