博客
关于我
“孤立”用户
阅读量:774 次
发布时间:2019-03-23

本文共 2621 字,大约阅读时间需要 8 分钟。

SQL Server孤立用户问题的全面解决方案

在数据库安全体系中,Login和User是两个最基础的安全主体(Principal)。Login用于登录到SQL Server实例,而User用于访问数据库。两者通过安全标识(SID)相互关联。在一个数据库中,如果一个User没有相应的Login,则被称为孤立用户(Orphaned User)。孤立用户的 SID 存在于 sys.database_principals 中,但不存在于 sys.server_principals 中。

一、检查和修复孤立用户

Login 和 User 的映射关系通过 SID 来实现。如果一个 SID 存在于 sys.database_principals 中但不存在于 sys.server_principals 中,则该 User 除非是系统用户,否则就是孤立用户。

步骤 1:自定义查看孤立用户

下面提供一个 SQL脚本来查看孤立用户:

SELECT dp.name AS UserName,        dp.type,        dp.type_desc,        dp.default_schema_name,        dp.is_fixed_role,        dp.authentication_type,        dp.authentication_type_desc,        dp.sid,        dp.principal_idFROM sys.database_principals dpLEFT JOIN sys.server_principals sp    ON dp.sid = sp.sidWHERE sp.sid IS NULL    AND dp.[type] IN ('U', 'S', 'G')   AND dp.is_fixed_role = 0   AND dp.[Name] NOT IN ('dbo', 'guest', 'sys', 'INFORMATION_SCHEMA');

步骤 2:创建新的 Windows Login

创建 Windows Login 时,Logon Name 的格式为:[DomainName\LoginName](或 DomainName\GroupName)。

CREATE LOGIN [DomainName\WindowsLoginName]FROM WINDOWSWITH DEFAULT_DATABASE = [master],DEFAULT_LANGUAGE = [us_english];

> **步骤 3:重新映射 Login 和 User**> 为避免孤立用户出现,可以通过以下方式重新创建映射关系:>```sqlALTER USER userName WITH LOGIN = loginName;

请注意:WITH LOGIN 子句允许为 User 分配新的 Login,并建立映射关系。

二、自动修复孤立用户问题

修复孤立用户并非完全没有可能性。对于通过 Windows 身份验证创建的 User 和 Login,建议将它们的 Name 设置为相同,这样可以更好地检测到对应的 Login 是否存在。如果检测到不存在对应的 Login,管理员可以创建相应的 Windows Login 以恢复映射关系。

以下是一个自动化修复孤立用户的 SQL 脚本:

-- 变量声明DECLARE @username sysname;-- 数据库选择游标DECLARE cur_orphaned CURSOR LOCAL FORWARD_ONLY, FAST_FORWARD, READ_ONLY;-- 查看孤立用户SELECT dp.name AS UserName FROM sys.database_principals dpLEFT JOIN sys.server_principals sp ON dp.sid = sp.sidWHERE sp.sid IS NULL AND dp.[type] IN ('U', 'G')    AND dp.is_fixed_role = 0    AND dp.[Name] NOT IN ('dbo', 'guest', 'sys', 'INFORMATION_SCHEMA');-- 打开游标OPEN cur_orphaned;-- 从游标中读取 UserNameFETCH NEXT FROM cur_orphaned INTO @username;WHILE @@FETCH_STATUS = 0BEGIN   -- 创建新的 Windows Login   SET @sqlcmd = N'CREATE LOGIN [' + @username + N'] FROM WINDOWS';   EXEC (@sqlcmd);   -- 为 User 分配新的 Login   SET @sqlcmd = N'ALTER USER [' + @username + N'] WITH LOGIN = [' + @username + N']';   EXEC (@sqlcmd);   FETCH NEXT FROM cur_orphaned INTO @username;ENDCLOSE cur_orphaned;DEALLOCATE cur_orphaned;

三、来宾用户(Guest)

数据库中的 Guest 用户可以通过特殊的登录来访问数据库,但必须确保其与 SQL Server 中的登录关联。如果没有对应的登录,该 User 将无法访问数据库。

四、创建孤立用户

在 SQL Server 中,创建孤立用户通常用于系统维护或特定用途。默认情况下,创建 User 时并不会自动关联到 Login。以下是创建孤立用户的示例:

CREATE USER user_name -- 如果没有指定 FOR Login子句,则创建孤立用户。FOR LOGIN login_name [WITH DEFAULT_SCHEMA = schema_name];

####-reference

  • 如需进一步了解 SQL Server 的安全原理和用户管理,请参考相关技术文档。

转载地址:http://idfzk.baihongyu.com/

你可能感兴趣的文章
mysql replace first,MySQL中处理各种重复的一些方法
查看>>
MySQL replace函数替换字符串语句的用法(mysql字符串替换)
查看>>
mysql replace用法
查看>>
Mysql Row_Format 参数讲解
查看>>
mysql select, from ,join ,on ,where groupby,having ,order by limit的执行顺序和书写顺序
查看>>
MySQL Server 5.5安装记录
查看>>
mysql server has gone away
查看>>
mysql slave 停了_slave 停止。求解决方法
查看>>
MySQL SQL 优化指南:主键、ORDER BY、GROUP BY 和 UPDATE 优化详解
查看>>
MYSQL sql语句针对数据记录时间范围查询的效率对比
查看>>
mysql sum 没返回,如果没有找到任何值,我如何在MySQL中获得SUM函数以返回'0'?
查看>>
mysql Timestamp时间隔了8小时
查看>>
Mysql tinyint(1)与tinyint(4)的区别
查看>>
mysql union orderby 无效
查看>>
mysql v$session_Oracle 进程查看v$session
查看>>
mysql where中如何判断不为空
查看>>
MySQL Workbench 使用手册:从入门到精通
查看>>
mysql workbench6.3.5_MySQL Workbench
查看>>
MySQL Workbench安装教程以及菜单汉化
查看>>
MySQL Xtrabackup 安装、备份、恢复
查看>>