Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)
Tento článek popisuje, jak vytvořit přihlášení v SQL Serveru nebo Azure SQL Database pomocí aplikace SQL Server Management Studio (SSMS) nebo Transact-SQL. Přihlášení je identita osoby nebo procesu, která se připojuje k instanci SQL Serveru.
Pozadí
Přihlášení je objekt zabezpečení nebo entita, která může být ověřena zabezpečeným systémem. Uživatelé potřebují přihlášení pro připojení k SQL Serveru. Můžete vytvořit přihlášení na základě objektu zabezpečení systému Windows (například uživatele domény nebo skupiny domén Systému Windows) nebo můžete vytvořit přihlášení, které není založené na objektu zabezpečení Systému Windows (například přihlášení k SQL Serveru).
Počínaje SQL Serverem 2012 (11.x) sql Server a Azure SQL DB používaly hodnotu hash SHA-512 v kombinaci s 32bitovou náhodnou a jedinečnou solí. Tato metoda znepřístupnil útočníkům statisticky neproveditelná hesla.
SQL Server 2025 (17.x) zavádí algoritmus iterated hash, RFC2898, označovaný také jako funkce odvození klíče založené na heslech (PBKDF). Tento algoritmus stále používá algoritmus SHA-512, ale několikrát zatřiďuje heslo (100 000 iterací), což výrazně zpomaluje útoky hrubou silou. Tato změna vylepšuje ochranu heslem v reakci na vyvíjející se bezpečnostní hrozby a pomáhá zákazníkům dodržovat pokyny NIST SP 800-63b. Toto vylepšení zabezpečení používá silnější algoritmus hash, který může mírně zvýšit dobu přihlášení pro přihlášení k ověřování SQL. Dopad je obecně nižší v prostředích s sdružováním připojení, ale může být patrnější ve scénářích bez sdružování nebo v případě, že se latence přihlášení pečlivě monitoruje.
Poznámka
Pokud chcete použít ověřování SQL Serveru, musí databázový stroj používat ověřování ve smíšeném režimu. Další informace najdete v tématu Výběr režimu ověřování.
Služba Azure SQL zavedla instanční objekty (přihlášení) Microsoft Entra, které se mají použít k ověřování ve službě Azure SQL Database, azure SQL Managed Instance a Azure Synapse Analytics (pouze vyhrazené fondy SQL).
SQL Server 2022 také zavádí ověřování Microsoft Entra pro SQL Server.
Jako objekt zabezpečení je možné udělit oprávnění pro přihlašovací údaje. Rozsah přihlášení pokrývá celý databázový systém. Pokud se chcete připojit ke konkrétní databázi v instanci SQL Serveru, musí být přihlášení namapováno na uživatele databáze. Oprávnění v databázi jsou udělena a odepřena uživateli databáze, nikoli přihlášení. Pro přihlášení je možné udělit oprávnění, která mají obor celé instance SQL Serveru (například oprávnění CREATE ENDPOINT).
Poznámka
Když se přihlášení připojí k SQL Serveru, identita se ověří v databázi master. Používejte uživatele databáze s omezením k ověřování připojení SQL Serveru a služby SQL Database na úrovni databáze. Pokud používáte uživatele databáze s omezením, přihlášení není nutné. Obsažená databáze je databáze, která je izolovaná od jiných databází a od instance SQL Serveru nebo databáze SQL (a databáze master), která je hostitelem databáze. SQL Server podporuje uživatele obsažené databáze pro ověřování jak systému Windows, tak SQL Server. Při použití SQL Database zkombinujte uživatele obsažené databáze s pravidly brány firewall na úrovni databáze. Další informace naleznete v tématu Nastavení přenositelnosti databáze pomocí obsažené databáze.
Dovolení
SQL Server vyžaduje ALTER ANY LOGIN nebo ALTER LOGIN na serveru nebo ##MS_LoginManager## pevná role serveru (SQL Server 2022 a novější).
SQL Database vyžaduje členství v roli loginmanager nebo pevné roli serveru ##MS_LoginManager##.
Vytvoření přihlášení pomocí SSMS pro SQL Server
V Průzkumníku objektů rozbalte složku instance serveru, ve které chcete vytvořit nové přihlášení.
Klikněte pravým tlačítkem na složku Zabezpečení, přejděte na Novýa vyberte Přihlášení....
V dialogovém okně Login – Nové zadejte na stránce Obecné jméno uživatele do pole Přihlašovací jméno. Můžete také vybrat Hledání..., aby se otevřel dialog Vybrat uživatele nebo skupinu.
Poznámka
Když hledáte uživatelský účet v systému Windows, je třeba povolit komunikaci s řadičem domény přes určité porty. Pokud máte potíže se získáním výsledků hledání, podívejte se na přehled služby a požadavky na síťový port pro windows.
Pokud vyberete Hledat...:
V části Vyberte tento typ objektu, vyberte Typy objektů..., otevřete dialogové okno Typy objektů a vyberte kterýkoliv z následujících: Integrované bezpečnostní hlavní objekty, Skupinya Uživatelé. Vestavěné bezpečnostní entity a Uživatelé jsou ve výchozím nastavení vybrány. Po dokončení vyberte OK.
V části Z tohoto umístěnívyberte Umístění... pro otevření dialogového okna Umístění a vyberte jedno z dostupných umístění serveru. Po dokončení vyberte OK.
V části Zadejte název objektu, který chcete vybrat (příklady), zadejte jméno uživatele nebo skupiny, které chcete najít. Další informace naleznete v části dialogové okno Vybrat uživatele, počítače nebo skupiny.
Pokud chcete upřesnit možnosti hledání, vyberte Upřesnit.... Další informace naleznete v tématu dialogové okno Vybrat uživatele, počítače nebo skupiny – Pokročilá stránka.
Vyberte OK.
Pokud chcete vytvořit přihlášení na základě principálu Windows, vyberte ověřování systému Windows. Toto je výchozí výběr.
Pokud chcete vytvořit přihlášení uložené v databázi SQL Serveru, vyberte ověřování SQL Serveru.
Do pole Heslo zadejte heslo pro nového uživatele. Toto heslo znovu zadejte do pole Potvrzení hesla.
Při změně existujícího hesla vyberte Zadejte staré hesloa potom zadejte staré heslo do pole Staré heslo.
Pokud chcete uplatnit možnosti zásad pro hesla ohledně složitosti a uplatňování, vyberte Uplatnit zásady pro hesla. Další informace najdete v tématu zásady hesel. Toto je výchozí možnost při zvolení ověřování SQL Serveru.
Pokud chcete vynutit možnosti zásad hesel pro vypršení platnosti, vyberte Vynutit vypršení platnosti hesla. Musí být vybrána možnost vynutit zásady hesel, aby bylo možné zvolit toto zaškrtávací políčko. Toto je výchozí možnost při zvolení ověřování SQL Serveru.
Chcete-li vynutit, aby uživatel po prvním použití přihlášení vytvořil nové heslo, vyberte Uživatel musí změnit heslo při příštím přihlášení. Pro povolení tohoto zaškrtávacího políčka musí být zaškrtnuté vynutit vypršení platnosti hesla. Toto je výchozí možnost při zvolení ověřování SQL Serveru.
Pokud chcete přidružit přihlášení k samostatnému certifikátu zabezpečení, vyberte Mapované na certifikát a pak ze seznamu vyberte název existujícího certifikátu.
Pokud chcete přidružit přihlášení k samostatnému asymetrickému klíči, vyberte Namapovaný na asymetrický klíč a pak ze seznamu vyberte název existujícího klíče.
Chcete-li přiřadit přihlášení k bezpečnostním údajům, zaškrtněte políčko Mapované na bezpečnostní údaje a pak buď vyberte ze seznamu existující údaje, nebo vyberte Přidat a vytvořte nové údaje. Pokud chcete z přihlášení odebrat mapování na bezpečnostní přihlašovací údaje, vyberte přihlašovací údaje z mapovaných údajů a vyberte Odebrat. Další informace o přihlašovacích údajích obecně naleznete v tématu Přihlašovací údaje (databázový stroj).
V seznamu Výchozí databáze vyberte výchozí databázi pro přihlášení.
masterje pro tuto možnost výchozí.V seznamu Výchozí jazyk vyberte výchozí jazyk pro přihlášení.
Vyberte OK.
Další možnosti
Dialogové okno Přihlášení – Nové nabízí také možnosti na čtyřech dalších stránkách: Role serveru, Mapování uživatelů, Zabezpečenía Stav.
Role serveru
Poznámka
Tyto role serveru nejsou pro SLUŽBU SQL Database k dispozici. Pro SQL Database jsou k dispozici pevné role na úrovni serveru. Další informace najdete v tématu role serveru Azure SQL Database pro správu oprávnění.
Na stránce Role serveru jsou uvedeny všechny možné role, které je možné přiřadit k novému přihlášení. K dispozici jsou následující možnosti:
bulkadmin zaškrtávací políčko
Členové bulkadmin pevné role serveru mohou spustit příkaz BULK INSERT.
zaškrtávací políčko dbcreator
Členové dbcreatoru pevné role serveru mohou vytvářet, měnit, odstraňovat a obnovovat libovolnou databázi.
správce disku zaškrtávací políčko
Členové diskadmin pevné role serveru mohou spravovat soubory disku.
správce procesu zaškrtávací políčko
Členové serverové role správce procesu mohou ukončit procesy spuštěné v instanci Databázového Engine.
veřejné zaškrtávací políčko
Všichni uživatelé, skupiny a role SQL Serveru patří do veřejné pevné role serveru ve výchozím nastavení.
zaškrtávací políčko securityadmin
Členové správce zabezpečení pevné role serveru spravují přihlášení a jejich vlastnosti. Můžou udělit, odepřít a ODVOLAT oprávnění na úrovni serveru. Můžou také udělit, odepřít a ODVOLAT oprávnění na úrovni databáze. Kromě toho můžou resetovat hesla pro přihlášení k SQL Serveru.
zaškrtávací políčko správce serveru
Členové správce serveru pevné role serveru můžou změnit možnosti konfigurace pro celý server a server vypnout.
setupadmin zaškrtávací políčko
Členové setupadmin pevné role serveru mohou přidávat a odebírat propojené servery a mohou spouštět některé systémové uložené procedury.
zaškrtávací políčko správce systému
Členové správce systému pevné role serveru mohou provádět jakoukoli aktivitu v databázovém stroji.
Mapování uživatelů
Stránka Mapování uživatelů obsahuje seznam všech možných databází a členství v rolích databáze v těchto databázích, které lze použít pro přihlášení. Vybrané databáze určují členství rolí, které jsou k dispozici pro přihlášení. Na této stránce jsou k dispozici následující možnosti:
Uživatelé namapovaní na toto přihlášení
Vyberte databáze, ke kterým má toto přihlášení přístup. Když vyberete databázi, zobrazí se její platné databázové role v okně členství v roli databáze pro:database_name.
mapa
Povolte přihlášení pro přístup k databázím uvedeným níže.
Databáze
Zobrazí seznam databází dostupných na serveru.
uživatele
Zadejte uživatele databáze, který se má namapovat na přihlášení. Ve výchozím nastavení má uživatel databáze stejné jméno jako přihlášení.
výchozí schéma
Určuje výchozí schéma uživatele. Při prvním vytvoření uživatele je jeho výchozí schéma dbo. Je možné zadat výchozí schéma, které ještě neexistuje. Nemůžete zadat výchozí schéma pro uživatele, který je namapovaný na skupinu Windows, certifikát nebo asymetrický klíč.
Účet hosta povolený pro:database_name
Atribut jen pro čtení označující, jestli je ve vybrané databázi povolený účet hosta. Pomocí stránky Stav v dialogovém okně Vlastnosti přihlášení účtu hosta povolte nebo zakažte účet hosta.
členství v databázové roli pro:database_name
Vyberte role uživatele v zadané databázi. Všichni uživatelé jsou členy veřejné role v každé databázi a nejde je odebrat. Další informace o databázových rolích najdete v tématu Role na úrovni databáze.
Zabezpečitelné
Na stránce Zabezpečitelné objekty jsou uvedeny všechny možné objekty a oprávnění k těmto objektům, která lze udělit pro přihlášení. Na této stránce jsou k dispozici následující možnosti:
horní mřížka
Obsahuje jednu nebo více položek, pro které je možné nastavit oprávnění. Sloupce zobrazené v horní mřížce se liší v závislosti na hlavním uživateli nebo zabezpečitelném objektu.
Přidání položek do horní mřížky:
Vyberte Hledat.
V dialogovém okně Přidat objekty vyberte jednu z následujících možností: Specifické objekty..., Všechny objekty typů...nebo Serverserver_name. Vyberte OK.
Poznámka
Výběrem serveruserver_name se automaticky vyplní horní mřížka všemi zabezpečitelnými objekty těchto serverů.
Pokud vyberete Specifické objekty...:
V dialogovém okně Vybrat objekty v části Vyberte tyto typy objektů, vyberte Typy objektů....
V dialogovém okně Vybrat typy objektů vyberte libovolný nebo všechny následující typy objektů: koncové body, přihlášení, servery, skupiny dostupnostia role serveru. Vyberte OK.
V části Zadejte názvy objektů, které chcete vybrat (příklady), vyberte Procházet....
V dialogovém okně Vyhledat objekty vyberte některý z dostupných objektů typu, který jste vybrali v dialogovém okně Vyberte typy objektů a pak vyberte OK.
V dialogovém okně Vybrat objekty vyberte OK.
Pokud vyberete Všechny objekty typů..., v dialogovém okně Vybrat typy objektů vyberte libovolný nebo všechny následující typy objektů: koncové body, přihlášení, servery, skupiny dostupnostia role serveru. Vyberte OK.
názvu
Název každého hlavního nebo zabezpečitelného objektu, který se přidá do mřížky.
typ
Popisuje typ každé položky.
Explicitní tabulátor
Zobrazí seznam možných oprávnění pro objekty zabezpečení vybrané v horní mřížce. Ne všechny možnosti jsou k dispozici pro všechna explicitní oprávnění.
oprávnění
Název oprávnění.
poskytovatel
Hlavní osoba, která udělila povolení.
Grant
Tuto možnost vyberte, pokud chcete udělit toto oprávnění pro přihlášení. Zrušte zaškrtnutí tohoto oprávnění.
s Grantem
Odráží stav možnosti WITH GRANT pro uvedená oprávnění. Toto pole je jen pro čtení. Pokud chcete toto oprávnění použít, použijte příkaz GRANT.
Zamítnout
Vyberte zamítnutí tohoto oprávnění pro přihlášení. Zrušte zaškrtnutí tohoto oprávnění.
Stav
Na stránce Stav jsou uvedeny některé možnosti ověřování a autorizace, které je možné nakonfigurovat u vybraného přihlášení k SQL Serveru.
Na této stránce jsou k dispozici následující možnosti:
Oprávnění pro připojení k databázovému stroji
Při práci s tímto nastavením byste si měli představit vybrané přihlášení jako hlavní prvek, kterému může být k zabezpečitelnému objektu uděleno nebo zamítnuto oprávnění.
Vyberte Udělit a udělte k přihlášení oprávnění CONNECT SQL. Vyberte Odepřít pro odepření připojení SQL k přihlášení.
přihlášení
Při práci s tímto nastavením byste měli vybrané přihlášení považovat za záznam v tabulce. Změny zde uvedených hodnot se použijí u záznamu.
Přihlášení, které bylo zakázáno, nadále existuje jako záznam. Pokud se ale pokusí připojit k SQL Serveru, přihlášení se neověří.
Tuto možnost vyberte, pokud chcete toto přihlášení povolit nebo zakázat. Tato možnost používá příkaz ALTER LOGIN s možností ENABLE nebo DISABLE.
ověřování SQL Serveru
Zaškrtávací políčko Přihlášení je uzamčeno je k dispozici pouze v případě, že se vybrané přihlášení připojí pomocí ověřování SQL Serveru a přihlášení bylo uzamčeno. Toto nastavení je jen pro čtení. Pokud chcete odemknout přihlášení, které je uzamčeno, spusťte ALTER LOGIN s možností ODEMKNOUT.
Vytvoření přihlášení pomocí ověřování Systému Windows s T-SQL
Připojte se k instanci databázového stroje v Průzkumníku objektů.
Na panelu Standard vyberte Nový dotaz.
Zkopírujte a vložte následující příklad do okna dotazu a vyberte Spustit.
-- Create a login for SQL Server by specifying a server name and a Windows domain account name. CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS; GO
Vytvoření přihlášení pomocí ověřování SQL Serveru s T-SQL
Připojte se k instanci databázového stroje v Průzkumníku objektů.
Na panelu Standard vyberte Nový dotaz.
Zkopírujte a vložte následující příklad do okna dotazu a vyberte Spustit.
-- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty" -- The user login starts with the password "Baz1nga," but that password must be changed after the first login. CREATE LOGIN shcooper WITH PASSWORD = 'Baz1nga' MUST_CHANGE, CREDENTIAL = RestrictedFaculty; GO
Další informace najdete v tématu CREATE LOGIN.
Návazné kroky: Kroky, které je potřeba provést po vytvoření účtu
Přihlášení se může po jeho vytvoření připojit k SQL Serveru, ale nemusí mít nutně dostatečné oprávnění k vykonávání jakékoliv užitečné činnosti. Následující seznam obsahuje odkazy na běžné přihlašovací akce.
Pokud chcete, aby se přihlášení připojilo k roli, přečtěte si téma Připojení k roli.
Pokud chcete autorizovat přihlášení k používání databáze, přečtěte si téma Vytvoření uživatele databáze.
Chcete-li udělit oprávnění přihlašovacím údajům, přečtěte si téma Udělení oprávnění hlavnímu objektu.
Poznámka
Když se připojíte k SQL Serveru prostřednictvím skupiny Windows nebo Active Directory (AD), můžou určité operace vytvořit implicitní přihlášení pro členství ve skupině bez spuštění příkazu CREATE LOGIN. Toto implicitní vytváření přihlášení udržuje referenční integritu systémových metadat v rámci SQL Serveru. Implicitní přihlášení nemá explicitní oprávnění k připojení k databázi, takže pokud jste ze skupiny odebráni, toto přihlášení se nemůže samostatně připojit.
Implicitní přihlášení vytvořená automaticky můžete sledovat při provádění určitých operací jako člen skupiny Windows, například spuštění sp_defaultdb nebo sp_defaultlanguage.
Toto chování je záměrně a neplánuje se měnit. Pokud potřebujete další monitorování, můžete implementovat triggery pro detekci pokusů o vytvoření přihlášení.