Przeczytaj w języku angielskim

Udostępnij za pośrednictwem

Utwórz konto logowania

  • Artykuł

Dotyczy:SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)

W tym artykule opisano, jak utworzyć login w programie SQL Server lub usłudze Azure SQL Database przy użyciu programu SQL Server Management Studio (SSMS) lub języka Transact-SQL. Identyfikator logowania określa tożsamość osoby lub procesu łączącego się z wystąpieniem programu SQL Server.

Uwaga

microsoft Entra ID był wcześniej znany jako Azure Active Directory (Azure AD).

Kontekst

Login jest podmiotem zabezpieczeń lub jednostką, która może zostać uwierzytelniona przez bezpieczny system. Użytkownicy muszą zalogować się, aby nawiązać połączenie z programem SQL Server. Możesz utworzyć identyfikator logowania na podstawie podmiotu Windows (takiego jak użytkownik domeny lub grupa domen) lub utworzyć identyfikator logowania niezależny od Windows (na przykład dla SQL Server).

Uwaga

Aby korzystać z uwierzytelniania programu SQL Server, aparat bazy danych musi używać uwierzytelniania w trybie mieszanym. Aby uzyskać więcej informacji, zobacz Wybieranie trybu uwierzytelniania.

Azure SQL wprowadziła zasady serwera Microsoft Entra (identyfikatory logowania) do uwierzytelniania w Azure SQL Database, Azure SQL Managed Instance oraz Azure Synapse Analytics (tylko dedykowane pule SQL).

Program SQL Server 2022 wprowadza również uwierzytelnianie Microsoft Entra dla programu SQL Server.

Jako podmiot zabezpieczeń można przyznać uprawnienia logowaniom użytkowników. Zakres logowania obejmuje cały silnik bazy danych. Aby nawiązać połączenie z określoną bazą danych w wystąpieniu programu SQL Server, należy przypisać login do użytkownika bazy danych. Uprawnienia w bazie danych są przyznawane i odrzucane użytkownikowi bazy danych, a nie logowaniu. Uprawnienia, które mają zakres całego wystąpienia programu SQL Server (na przykład uprawnienia CREATE ENDPOINT), mogą zostać przyznane w ramach logowania.

Uwaga

Po nawiązaniu połączenia logowania z programem SQL Server tożsamość jest weryfikowana w bazie danych master. Użyj użytkowników wewnętrznej bazy danych, aby uwierzytelnić połączenia programu SQL Server i bazy danych SQL na poziomie bazy danych. W przypadku korzystania z użytkowników zawartej bazy danych logowanie nie jest konieczne. Baza danych o ograniczonym dostępie to baza danych, która jest odizolowana od innych baz danych oraz od wystąpienia SQL Server lub usługi SQL Database i bazy danych master, które hostują bazę danych. Program SQL Server obsługuje użytkowników zawartej bazy danych na potrzeby uwierzytelniania systemu Windows i programu SQL Server. W przypadku korzystania z SQL Database połącz użytkowników zawartych w bazie danych z regułami zapory na poziomie bazy danych. Aby uzyskać więcej informacji, zobacz Użytkownicy Zamkniętej Bazy Danych — Uczynienie Twojej Bazy Danych Przenośną.

Uprawnienia

Program SQL Server wymaga uprawnienia ALTER ANY LOGIN lub ALTER LOGIN na serwerze lub stałej roli serwera ##MS_LoginManager## (w SQL Server 2022 i nowszych wersjach).

Usługa SQL Database wymaga członkostwa w roli loginmanager lub w stałej roli serwera, ##MS_LoginManager##.

Tworzenie logowania przy użyciu programu SSMS dla programu SQL Server

  1. W Eksploratorze obiektów rozwiń folder wystąpienia serwera, w którym chcesz utworzyć nowy login.

  2. Kliknij prawym przyciskiem myszy folder Security, wskaż polecenie Newi wybierz pozycję Login....

  3. W oknie dialogowym Logowanie - nowe, na stronie Ogólne, wprowadź nazwę użytkownika w polu nazwa logowania. Alternatywnie wybierz pozycję Wyszukaj..., aby otworzyć okno dialogowe Wybierz użytkownika lub grupę.

    Uwaga

    Niektóre porty muszą być dozwolone do komunikacji z kontrolerem domeny, jeśli szukasz użytkownika Windows. Jeśli masz problemy z uzyskaniem wyników wyszukiwania, zobacz omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows.

    Jeśli wybierzesz pozycję Wyszukaj...:

    1. W obszarze Wybierz ten typ obiektu, wybierz Typy obiektów..., aby otworzyć okno dialogowe Typy obiektów i zaznacz dowolne lub wszystkie następujące elementy: Wbudowane podmioty zabezpieczeń, Grupyi Użytkownicy. wbudowane zasady zabezpieczeń i użytkownicy są domyślnie wybrane. Po zakończeniu wybierz pozycję OK.

    2. W obszarze Z tej lokalizacji, wybierz Lokalizacje..., aby otworzyć okno dialogowe Lokalizacje i wybierz jedną z dostępnych lokalizacji serwera. Po zakończeniu wybierz pozycję OK.

    3. W obszarze Wprowadź nazwę obiektu, aby wybrać (przykłady), wprowadź nazwę użytkownika lub grupy, którą chcesz znaleźć. Aby uzyskać więcej informacji, zobacz Wybieranie użytkowników, komputerów lub grup okno dialogowe.

    4. Wybierz pozycję Zaawansowane..., aby uzyskać bardziej zaawansowane opcje wyszukiwania. Aby uzyskać więcej informacji, zobacz Wybieranie użytkowników, komputerów lub grup okno dialogowe — strona zaawansowana.

    5. Wybierz pozycję OK.

  4. Aby utworzyć identyfikator logowania na podstawie podmiotu zabezpieczeń systemu Windows, wybierz pozycję uwierzytelnianie systemu Windows. Jest to wybór domyślny.

  5. Aby utworzyć identyfikator logowania zapisany w bazie danych programu SQL Server, wybierz pozycję uwierzytelnianie programu SQL Server.

    1. W polu Hasło wprowadź hasło dla nowego użytkownika. Wprowadź to hasło ponownie w polu Potwierdź hasło.

    2. Podczas zmiany istniejącego hasła wybierz Wskaż stare hasło, a następnie wpisz stare hasło w Stare hasło.

    3. Aby wymusić opcje zasad haseł dotyczące złożoności i wymuszania, wybierz pozycję Wymuszaj zasady haseł. Aby uzyskać więcej informacji, zobacz politykę haseł. Jest to opcja domyślna po wybraniu uwierzytelniania programu SQL Server.

    4. Aby wymusić opcje zasad wygaśnięcia hasła, wybierz pozycję Wymuszaj wygaśnięcie hasła. Aby wymusić zasady haseł, należy zaznaczyć, aby włączyć to pole wyboru. Jest to opcja domyślna po wybraniu uwierzytelniania programu SQL Server.

    5. Aby wymusić utworzenie nowego hasła po pierwszym użyciu logowania, wybierz pozycję Użytkownik musi zmienić hasło przy następnym logowaniu. Wymuś wygaśnięcie hasła musi być zaznaczone, aby włączyć to pole wyboru. Jest to opcja domyślna po wybraniu uwierzytelniania programu SQL Server.

  6. Aby skojarzyć identyfikator logowania z samodzielnym certyfikatem zabezpieczeń, wybierz pozycję Zmapowane na certyfikat, a następnie wybierz nazwę istniejącego certyfikatu z listy.

  7. Aby skojarzyć identyfikator logowania z autonomicznym kluczem asymetrycznym, wybierz pozycję Przypisany do klucza asymetrycznego, a następnie wybierz nazwę istniejącego klucza z listy.

  8. Aby skojarzyć logowanie z poświadczeniem zabezpieczeń, zaznacz pole wyboru Zamapowane do poświadczenia, a następnie wybierz istniejące poświadczenie z listy lub wybierz pozycję Dodaj, aby utworzyć nowe poświadczenie. Aby usunąć przypisanie do poświadczenia zabezpieczeń z procesu logowania, wybierz poświadczenie z Przypisane Poświadczenia i kliknij Usuń. Aby uzyskać więcej informacji na temat poświadczeń ogólnie, zobacz Credentials (Aparat bazy danych).

  9. Z listy domyślnej bazy danych wybierz domyślną bazę danych logowania. master jest domyślną opcją dla tej opcji.

  10. Z listy języka domyślnego wybierz domyślny język logowania.

  11. Wybierz pozycję OK.

Dodatkowe opcje

Logowanie - nowe okno dialogowe oferuje również opcje na czterech innych stronach: Role serwera, Mapowanie użytkowników, Obiektyi Stan.

Role serwera

Uwaga

Te role serwera nie są dostępne dla usługi SQL Database. Istnieją stałe role na poziomie serwera dostępne dla usługi SQL Database. Aby uzyskać więcej informacji, zobacz role serwera Azure SQL Database dotyczące zarządzania uprawnieniami.

Na stronie Role serwera wymienione są wszystkie możliwe role, które można przypisać nowemu loginowi. Dostępne są następujące opcje:

pole wyboru bulkadmin
Członkowie bulkadmin stałej roli serwera mogą uruchamiać instrukcję BULK INSERT.

pole wyboru dbcreator
Członkowie dbcreator stałej roli serwera mogą tworzyć, zmieniać, usuwać i przywracać dowolną bazę danych.

pole wyboru diskadmin
Członkowie diskadmin ustalonej roli serwera mogą zarządzać plikami dyskowymi.

processadmin pole wyboru
Członkowie obiektu stałej roli serwera processadmin mogą przerywać procesy uruchomione w wystąpieniu Silnika bazy danych.

pole wyboru public
Domyślnie, wszyscy użytkownicy, grupy i role SQL Server należą do publicznej ustalonej roli serwera.

pole wyboru securityadmin
Członkowie securityadmin stałej roli zabezpieczania serwera zarządzają loginami i ich właściwościami. Mogą udzielać, odmawiać i odwoływać uprawnienia na poziomie serwera. Mogą również przyznać, odmówić i odwołać uprawnienia na poziomie bazy danych. Ponadto mogą resetować hasła do logowania do programu SQL Server.

serveradmin pole wyboru
Członkowie serveradmin stałej roli serwera mogą zmienić opcje konfiguracji całego serwera i zamknąć serwer.

setupadmin pole wyboru
Członkowie setupadmin stałej roli serwera mogą dodawać i usuwać połączone serwery, a także mogą wykonywać niektóre systemowe procedury składowane.

administrator systemu pole wyboru
Członkowie stałej roli serwera sysadmin mogą wykonywać wszystkie działania w Silniku bazy danych.

Mapowanie użytkowników

Strona Mapowanie użytkowników zawiera listę wszystkich możliwych baz danych oraz członkostwa w rolach we wszystkich tych bazach danych, które można zastosować do logowania. Wybrane bazy danych określają członkostwo w rolach dostępne przy logowaniu. Na tej stronie są dostępne następujące opcje:

Użytkownicy przypisani do tego logowania
Wybierz bazy danych, do których może uzyskać dostęp ten login. Po wybraniu bazy danych jej prawidłowe role są wyświetlane w okienku Członkostwo w roli bazy danych dla:database_name.

Mapa
Zezwól na dostęp do baz danych wymienionych poniżej.

Baza danych
Wyświetla listę baz danych dostępnych na serwerze.

użytkownika
Określ użytkownika bazy danych do mapowania na login. Domyślnie użytkownik bazy danych ma taką samą nazwę jak nazwa logowania.

domyślny schemat
Określa domyślny schemat użytkownika. Po pierwszym utworzeniu użytkownika jego domyślny schemat to dbo. Istnieje możliwość określenia domyślnego schematu, który jeszcze nie istnieje. Nie można określić domyślnego schematu dla użytkownika mapowanego na grupę systemu Windows, certyfikat lub klucz asymetryczny.

konto gościa zostało włączone dla:database_name
Atrybut tylko do odczytu wskazujący, czy konto gościa jest włączone w wybranej bazie danych. Użyj strony stanu właściwości logowania okna dialogowego konta gościa, aby włączyć lub wyłączyć konto gościa.

Członkostwo w roli dla bazy danych dla:database_name
Wybierz role użytkownika w określonej bazie danych. Wszyscy użytkownicy są członkami roli publicznej w każdej bazie danych i nie można ich usunąć. Aby uzyskać więcej informacji na temat ról bazy danych, zobacz Database-Level Role.

Obiekty zabezpieczalne

Na stronie Securables wymieniono wszystkie możliwe elementy wymagające zabezpieczenia oraz uprawnienia do tych elementów, które można przyznać loginowi. Na tej stronie są dostępne następujące opcje:

Górna Siatka
Zawiera co najmniej jeden element, dla którego można ustawić uprawnienia. Kolumny wyświetlane w górnej siatce różnią się w zależności od głównego podmiotu lub zabezpieczalnego.

Aby dodać elementy do górnej siatki:

  1. Wybierz Wyszukaj.

  2. W oknie dialogowym Dodawanie obiektów wybierz jedną z następujących opcji: Określone obiekty..., Wszystkie obiekty typów...lub serwerserver_name. Wybierz pozycję OK.

    Uwaga

    Wybranie serweraserver_name automatycznie wypełnia górną tabelę wszystkimi zabezpieczanymi obiektami tego serwera.

  3. Jeśli wybierzesz określone obiekty...:

    1. W oknie dialogowym Wybieranie obiektów , w obszarze Wybierz te typy obiektów, wybierz opcję Typy obiektów....

    2. W oknie dialogowym Wybierz typy obiektów wybierz dowolny lub wszystkie następujące typy obiektów: Punkty końcowe, logowania, serwery , grupy dostępnościi role serwera . Wybierz pozycję OK.

    3. W polu Wprowadź nazwy obiektów do wyboru (przykłady)wybierz pozycję Przeglądaj....

    4. W oknie dialogowym Przeglądaj obiekty wybierz dowolny z dostępnych obiektów typu wybranego w oknie dialogowym Wybierz typy obiektów, a następnie wybierz OK.

    5. W oknie dialogowym Wybieranie obiektów wybierz pozycję OK.

  4. Jeśli wybierzesz Wszystkie obiekty typów..., w oknie dialogowym Wybierz typy obiektów wybierz dowolny lub wszystkie następujące typy obiektów: Punkty końcowe, Logowania, serwery , grupy dostępności i Role serwera. Wybierz pozycję OK.

nazwa
Nazwa każdego podmiotu zabezpieczeń, który jest dodawany do siatki.

typu
Opisuje typ każdego elementu.

Karta jawna
Wyświetla możliwe uprawnienia dla zabezpieczalnego elementu wybranego w górnej siatce. Nie wszystkie opcje są dostępne dla wszystkich jawnych uprawnień.

uprawnienia
Nazwa uprawnienia.

Udzielający
Dyrektor, który przyznał pozwolenie.

Stypendium
Wybierz, aby przyznać to uprawnienie do logowania. Usuń, aby odwołać to uprawnienie.

z grantem
Odzwierciedla stan opcji WITH GRANT dla wymienionego uprawnienia. To pole jest tylko do odczytu. Aby zastosować to uprawnienie, użyj instrukcji GRANT.

odmowa
Wybierz, aby odrzucić to uprawnienie do logowania. Anuluj, aby cofnąć to uprawnienie.

Stan

Na stronie stan znajduje się lista niektórych opcji uwierzytelniania i autoryzacji, które można skonfigurować podczas wybranego logowania do programu SQL Server.

Na tej stronie są dostępne następujące opcje:

uprawnienie do nawiązywania połączenia z silnikiem bazy danych
Pracując z tym ustawieniem, należy traktować wybrane logowanie jako główny podmiot, któremu można przyznać lub odmówić uprawnień na obiektach zabezpieczeń.

Wybierz pozycję Udziel, aby przyznać uprawnienie CONNECT SQL do logowania. Wybierz pozycję Odmów, aby odmówić połączenia SQL z logowaniem.

Logowanie
Podczas pracy z tym ustawieniem należy traktować wybrane logowanie jako rekord w tabeli. Zmiany w wartościach wymienionych tutaj zostaną zastosowane do rekordu.

Konto użytkownika, które zostało wyłączone, nadal istnieje jako rekord. Jeśli jednak spróbuje nawiązać połączenie z programem SQL Server, logowanie nie zostanie uwierzytelnione.

Wybierz tę opcję, aby włączyć lub wyłączyć to logowanie. Ta opcja używa instrukcji ALTER LOGIN z opcją WŁĄCZ lub WYŁĄCZ.

Uwierzytelnianie SQL Server
Pole wyboru Logowanie jest zablokowane jest dostępne tylko wtedy, gdy wybrane logowanie łączy się przy użyciu uwierzytelniania programu SQL Server i logowanie zostało zablokowane. To ustawienie jest tylko do odczytu. Aby odblokować konto użytkownika, które jest zablokowane, wykonaj ALTER LOGIN z opcją ODBLOKUJ.

Tworzenie logowania przy użyciu uwierzytelniania systemu Windows w języku T-SQL

  1. W Object Explorernawiąż połączenie z wystąpieniem Database Engine.

  2. Na pasku Standardowa wybierz pozycję Nowe zapytanie.

  3. Skopiuj poniższy przykład i wklej go w oknie zapytania, a następnie wybierz pozycję Wykonaj.

    SQL 
    -- Create a login for SQL Server by specifying a server name and a Windows domain account name.

CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS;
GO

Tworzenie logowania przy użyciu uwierzytelniania programu SQL Server za pomocą języka T-SQL

  1. W Eksploratorze obiektów nawiąż połączenie z wystąpieniem silnika bazy danych.

  2. Na pasku Standardowa wybierz pozycję Nowe zapytanie.

  3. Skopiuj poniższy przykład i wklej go w oknie zapytania, a następnie wybierz pozycję Wykonaj.

    SQL 
    -- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty"
-- The user login starts with the password "Baz1nga," but that password must be changed after the first login.

CREATE LOGIN shcooper
   WITH PASSWORD = 'Baz1nga' MUST_CHANGE,
   CREDENTIAL = RestrictedFaculty;
GO

Aby uzyskać więcej informacji, zobacz CREATE LOGIN (Transact-SQL).

Podążaj za krokami, które należy wykonać po utworzeniu konta/logowania

Logowanie może nawiązać połączenie z programem SQL Server po utworzeniu identyfikatora logowania, ale nie musi mieć wystarczających uprawnień do wykonywania żadnej przydatnej pracy. Poniższa lista zawiera linki do typowych akcji logowania.

Powiązana zawartość