Chapter 2 User Authentication, Authorization, and Security（2）：创建登录帐号

原文出处：http://blog.csdn.net/dba_huangzj/article/details/38705965，专题目录：http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意，任何人不得以“原创”形式发布，也不得已用于商业用途，本人不负责任何法律责任。

前一篇：http://blog.csdn.net/dba_huangzj/article/details/38657111

前言：

登录帐号是定义在服务器（实例）级别，并能被授予进行管理任务、连接、访问数据库等权限的帐号。SQL Server安全模型有两个级别：服务器级别和数据库级别。登录帐号必须先创建在服务器级别。如果需要访问数据库，还需要在数据库级别创建一个用户映射到已有的登录名中。

对于从SQL Server 2012引入的部分包含数据库（Partially Contained Databases），允许在服务器级别上没有登录名也可以访问数据库，将会在后面章节中介绍。

实现：

1. 打开SSMS，连接到对应实例，然后在服务器级别的【安全性】中右键【登录名】选择【新建登录】：

2. 输入登录名，可以是SQL Server帐号，也可以是Windows帐号（<机器名 or 域名>\<帐号名>），如果是Windows帐号，可以在【查找】中浏览。

原文出处：http://blog.csdn.net/dba_huangzj/article/details/38705965

3. 如果选择了【SQL Server 身份验证】，可以输入密码和确认密码，在某些情况下可以使用空密码（当然不建议），下面是需要说明的选项：

• 强制实施密码策略（Enforce password policy）：强制使用Windows的密码策略，不勾选这个选项，则可以使用空密码，并且下面两个选项也将关闭。
• 强制密码过期（Enforce password expiration）：根据Windows的密码策略是密码过期。
• 用户在下次登录时必须更改密码（User must change password at next login）：用户在首次使用GUI登录时必须修改密码。

4. 在界面的最下方，可以选择默认数据库，如果不选则是master库，作为最佳实践，建议不要连到master库，DBA及开发人员可能会忘记切换数据库导致一些DDL/DML语句运行在master库中。本人习惯选择用户所需的数据库，或者TempDB。

5. 另外可以设置默认语言，但是这个可能在多语言环境中引起报错和日期格式问题。

6. 除了使用SSMS创建，还可以使用T-SQL创建登录，下面是一个例子：

-- 创建一个域环境中的Windows登录帐号，域名为Domain，账号名为Fred
CREATE LOGIN [DOMAIN\Fred] FROM WINDOWS;
-- 创建一个SQL 登录帐号，登录名为Fred
CREATE LOGIN Fred WITH PASSWORD = '强密码' MUST_CHANGE,
CHECK_EXPIRATION = ON, CHECK_POLICY = ON, DEFAULT_DATABASE =AdventureWorks2012, DEFAULT_LANGUAGE = us_English;

原理：

在Windows Server 2008 上的密码策略可以参考文章：http://technet.microsoft.com/en-us/library/cc264456.aspx

策略中定义了密码复杂度、长度、密码历史、最小和最大生命周期和锁定参数。默认的复杂度为：

• 不能包含出现在登录名中的多于2个连续的字符。
• 密码长度最少6个字符。
• 密码需要包含下面4种字符中的最少3种不同类型的字符：大写、小写、数字、特殊符号。

如果使用了Windows用户组作为登录名，可以使用下面语句检查当前登录是否属于某个组的成员：

SELECT IS_MEMBER('域名\组名');--1为当前用户属于域中对应组的成员。

但是注意这个函数不反映登录名连接到SQL Server后又被修改组成员的情况。

更多：

原文出处：http://blog.csdn.net/dba_huangzj/article/details/38705965

当SQL 登录使用了CHECK_POLICY选项后，可能由于某些因素导致帐号被锁定。可以使用下面命令解锁：

--通过重置密码解锁
ALTER LOGIN fred WITH PASSWORD = '新密码' UNLOCK;
-- 不需要重置密码:
ALTER LOGIN fred WITH CHECK_POLICY = OFF;
--先关闭策略
ALTER LOGIN fred WITH CHECK_POLICY = ON;--再开启策略

检查登录帐号的状态：

可以使用LOGINPROPERTY函数来检查登录的状态：详细信息可以访问：http://msdn.microsoft.com/zh-cn/library/ms345412.aspx

下面是一些例子：

DECLARE @login AS SYSNAME = 'Fred';
SELECT  LOGINPROPERTY(@login, 'BadPasswordCount') AS [Bad Password Count] ,
        LOGINPROPERTY(@login, 'BadPasswordTime') AS [Last Bad Password Time] ,
        LOGINPROPERTY(@login, 'DaysUntilExpiration') AS [Nb of days before expiration] ,
        LOGINPROPERTY(@login, 'HistoryLength') AS [Nb of passwords in history] ,
        LOGINPROPERTY(@login, 'IsExpired') AS [is expired] ,
        LOGINPROPERTY(@login, 'IsLocked') AS [is locked] ,
        LOGINPROPERTY(@login, 'PasswordLastSetTime ') AS [Password Last Set Time];

修改SQL 登录名密码：

可以使用ALTER LOGIN 登录名 WITH PASSWORD=’新密码';来修改SQL 登录的密码。执行这个密码需要具有CONTROL SERVER或者ALTER ANY LOGIN权限（分别对于那个sysadmin或securityadmin固定角色成员）。如果需要修改自己的密码，需要提供旧密码，如：

ALTER LOGIN fred WITH
PASSWORD = 'my new complex password'
OLD_PASSWORD = 'my old complex password';

密码是使用不可逆的hash存储，如果想检查密码是否正确，可以使用未公开函数PWDCOMPARE：

USE master
GO
CREATE LOGIN Fred WITH PASSWORD ='Admin!@#123' --创建一个登录名
go
--检查登录名的密码
SELECT PWDCOMPARE('Admin!@#123', CAST(LOGINPROPERTY('fred', 'passwordhash') as varbinary(256)));--返回1 则证明密码正确
SELECT PWDCOMPARE('123', CAST(LOGINPROPERTY('fred', 'passwordhash') as varbinary(256)));--返回0 则证明密码不正确

原文出处：http://blog.csdn.net/dba_huangzj/article/details/38705965

在实例间复制SQL登录名：

如果你需要迁移服务器，那么不能简单地在新服务器上创建相同的帐号密码就完事，有些应用需要使用SID来做验证，而每个帐号的SID都不同，从SQL Server 2005开始，提供了一套脚本来实现迁移：http://support.microsoft.com/kb/918992

除了脚本，还可以用SSIS的【传输登录名任务】来实现，步骤如下：

1. 打开SQL Server Data Tools（2012开始更名，之前是BIDS，但是2012之后功能更加强大），创建一个新项目，选择Business Intelligence组，然后点击Integration Services Project。输入一个项目名，点击【确定】：

2. 查找【传输登录名任务】：

原文出处：http://blog.csdn.net/dba_huangzj/article/details/38705965

3. 双击图标，打开【传输登录名任务编辑器】：

4. 在【登录名】页，选择源链接和目标链接：

5. 在【loginsToTransfer】中选择你要复制的登录名：

• AllLogins：传输源服务器上所有SQL Server登录名。
• SelectedLogins：仅传输存在于【LoginsList】选项中的登录名。
• AllLoginsFromSelectedDatabases：传输所有映射到定义了【DatabasesList】中数据库的用户的登录名。

6. 在【IfObjectExists】选项中，定义如何响应目标服务器已存在的登录名：

• FailTask：停止任务并发挥错误
• Overwrite：覆盖目标服务器的登录名，如果SID没有复制，会导致用户变成孤立帐号。
• Skip：跳过，继续其他登录名。

7. 在【CopySids】选项中，可以选择复制登录并保留相同的SID，这一步建议选择。

如何使用SSIS任务，可以参照http://msdn.microsoft.com/zh-cn/library/ms188664.aspx（使用复制数据库向导）

手动复制密码：

如果需要手动复制密码，可以使用CREATE LOGIN命令实现：

-- 获取密码的hash值，语句不需要改变
SELECT LOGINPROPERTY('fred', 'passwordhash');
-- 使用上面获取的哈希值创建新登录名，需要手动粘贴hash值
CREATE LOGIN fred WITH PASSWORD '粘贴上面获取的hash值' HASHED;

下一篇：http://blog.csdn.net/dba_huangzj/article/details/38756693