Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve como criar um logon no SQL Server ou no Banco de Dados SQL do Azure usando o SQL Server Management Studio (SSMS) ou o Transact-SQL. Um logon é a identidade da pessoa ou processo que está se conectando a uma instância do SQL Server.
Observação
O Microsoft Entra ID era conhecido anteriormente como Azure Ative Directory (Azure AD).
Contexto geral
Um login é um principal de segurança, ou uma entidade que pode ser autenticada por um sistema seguro. Os usuários precisam de um logon para se conectar ao SQL Server. Você pode criar um logon com base em uma entidade do Windows (como um usuário de domínio ou um grupo de domínio do Windows) ou pode criar um logon que não seja baseado em uma entidade do Windows (como um logon do SQL Server).
A partir do SQL Server 2012 (11.x), o SQL Server e o Banco de Dados SQL do Azure usavam um hash SHA-512 combinado com um sal aleatório e exclusivo de 32 bits. Este método tornou estatisticamente inviável para os atacantes deduzir senhas.
O SQL Server 2025 (17.x) introduz um algoritmo de hash iterado, RFC2898, também conhecido como função de derivação de chaves baseada em palavra-passe (PBKDF). Este algoritmo ainda usa SHA-512, mas hashes a senha várias vezes (100.000 iterações), retardando significativamente os ataques de força bruta. Essa alteração melhora a proteção por senha em resposta à evolução das ameaças à segurança e ajuda os clientes a cumprir as diretrizes do NIST SP 800-63b. Esta melhoria de segurança utiliza um algoritmo de hash mais forte, que pode aumentar ligeiramente o tempo de login para os logins de autenticação SQL. O impacto é geralmente menor em ambientes com pooling de ligações, mas pode ser mais notório em cenários sem pooling ou onde a latência de login é monitorizada de perto.
Observação
Para usar a Autenticação do SQL Server, o Mecanismo de Banco de Dados deve usar a autenticação de modo misto. Para obter mais informações, veja Escolher um modo de autenticação.
O SQL do Azure introduziu as entidades de servidor (logons) do Microsoft Entra para serem usadas para autenticar no Banco de Dados SQL do Azure, na Instância Gerenciada do SQL do Azure e no Azure Synapse Analytics (somente pools SQL dedicados).
O SQL Server 2022 também apresenta a autenticação do Microsoft Entra para o SQL Server.
Como entidade de segurança, as permissões podem ser concedidas a logins. O escopo de um login é todo o Mecanismo de Banco de Dados. Para se conectar a um banco de dados específico na instância do SQL Server, um logon deve ser mapeado para um usuário do banco de dados. As permissões dentro do banco de dados são concedidas e negadas ao usuário do banco de dados, não ao login. As permissões que têm o escopo de toda a instância do SQL Server (por exemplo, a permissão CREATE ENDPOINT ) podem ser concedidas a um logon.
Observação
Quando um logon se conecta ao SQL Server, a identidade é validada na base de dados master. Use usuários de banco de dados contidos para autenticar conexões do SQL Server e do Banco de dados SQL no nível do banco de dados. Ao usar usuários de banco de dados contidos, um login não é necessário. Um banco de dados contido é um banco de dados isolado de outros bancos de dados e da instância do SQL Server ou do Banco de dados SQL (e do master banco de dados) que hospeda o banco de dados. O SQL Server dá suporte a utilizadores de bases de dados autónomas para autenticação no Windows e no SQL Server. Ao usar o Banco de dados SQL, combine usuários de banco de dados contidos com regras de firewall no nível de banco de dados. Para obter mais informações, consulte Tornar seu banco de dados portátil usando bancos de dados contidos.
Permissões
O SQL Server requer a permissão ALTER ANY LOGIN ou ALTER LOGIN no servidor ou a função de servidor fixa ##MS_LoginManager## (SQL Server 2022 e posterior).
O Banco de dados SQL requer associação à função loginmanager ou à função de servidor fixa, ##MS_LoginManager##.
Criar um logon usando o SSMS para SQL Server
No Pesquisador de Objetos, expanda a pasta da instância do servidor na qual você deseja criar o novo logon.
Clique com o botão direito do rato na pasta Segurança, aponte para Novoe selecione Iniciar sessão....
Na caixa de diálogo Login - Novo, na página Geral, introduza o nome de um utilizador na caixa Nome de utilizador. Como alternativa, selecione Pesquisar... para abrir a caixa de diálogo Selecionar Usuário ou Grupo .
Observação
Certas portas devem ter permissão para se comunicar com o controlador de domínio se estiveres à procura de um principal do Windows. Se você estiver tendo problemas para obter resultados para a pesquisa, consulte Visão geral do serviço e requisitos de porta de rede para Windows.
Caso selecione Pesquisar...:
Em Selecione este tipo de objeto, selecione Tipos de Objeto... para abrir a caixa de diálogo Tipos de Objeto e selecione qualquer um ou todos os seguintes: Entidades de segurança incorporadas, Grupos e Utilizadores. As entidades de segurança incorporadas e os Utilizadores são selecionados por predefinição. Quando terminar, seleccione OK.
Em A partir deste local, selecione Locais... para abrir a caixa de diálogo Locais e selecione um dos locais de servidor disponíveis. Quando terminar, seleccione OK.
Em Digite o nome do objeto a ser selecionado (exemplos), digite o nome do usuário ou grupo que você deseja localizar. Para obter mais informações, consulte Caixa de diálogo Selecionar usuários, computadores ou grupos.
Selecione Avançado... para obter opções de pesquisa mais avançadas. Para obter mais informações, consulte Caixa de diálogo Selecionar Usuários, Computadores ou Grupos - Página Avançada.
Selecione OK.
Para criar um login baseado num principal do Windows, selecione autenticação do Windows. Esta é a seleção padrão.
Para criar um logon salvo em um banco de dados do SQL Server, selecione Autenticação do SQL Server.
Na caixa de palavra-passe , introduza uma palavra-passe para o novo utilizador. Digite novamente essa senha na caixa Confirmar senha.
Ao alterar uma senha existente, selecione Especificar senha antiga e digite a senha antiga na caixa Senha antiga .
Para impor opções de política de senha para complexidade e imposição, selecione Impor política de senha. Para obter mais informações, consulte Política de senha. Essa é uma opção padrão quando a autenticação do SQL Server é selecionada.
Para impor opções de política de senha para expiração, selecione Impor expiração de senha. A opção Impor política de senha deve ser selecionada para habilitar essa caixa de seleção. Essa é uma opção padrão quando a autenticação do SQL Server é selecionada.
Para forçar o usuário a criar uma nova senha após a primeira vez que o login for usado, selecione O usuário deve alterar a senha no próximo login. A opção Impor expiração de senha deve ser selecionada para habilitar essa caixa de seleção. Essa é uma opção padrão quando a autenticação do SQL Server é selecionada.
Para associar o login a um certificado de segurança autónomo, selecione Mapeado para o certificado e depois selecione o nome de um certificado existente na lista.
Para associar o login a uma chave assimétrica autônoma, selecione Mapped to asymmetric key to e, em seguida, selecione o nome de uma chave existente na lista.
Para associar o login a uma credencial de segurança, marque a caixa de seleção Mapeado para Credencial e selecione uma credencial existente na lista ou selecione Adicionar para criar uma nova credencial. Para remover um mapeamento para uma credencial de segurança do login, selecione a credencial em Credenciais mapeadas e selecione Remover. Para obter mais informações sobre credenciais em geral, consulte Credenciais (Mecanismo de Banco de Dados).
Na lista de banco de dados padrão, selecione um banco de dados padrão para o login.
masteré o padrão para esta opção.Na lista Idioma padrão , selecione um idioma padrão para o login.
Selecione OK.
Opções adicionais
A caixa de diálogo Login - Novo também oferece opções em quatro outras páginas: Funções de Servidor, Mapeamento de Usuário, Protegíveis e Status.
Funções de servidor
Observação
Essas funções de servidor não estão disponíveis para o Banco de dados SQL. Há funções fixas no nível de servidor disponíveis para o Banco de dados SQL. Para obter mais informações, consulte Funções de servidor do Banco de Dados SQL do Azure para gerenciamento de permissões.
A página Funções de Servidor lista todas as funções possíveis que podem ser atribuídas ao novo login. As seguintes opções estão disponíveis:
caixa de seleção [bulkadmin]
Os membros da função fixa de servidor bulkadmin podem executar a instrução BULK INSERT.
Caixa de seleção dbcreator
Os membros da função de servidor fixo dbcreator podem criar, alterar, eliminar e restaurar qualquer base de dados.
caixa de seleção diskadmin
Os membros da função de servidor fixa diskadmin podem gerenciar arquivos de disco.
caixa de seleção processadmin
Os membros da função de servidor fixo processadmin podem encerrar processos em execução numa instância do Mecanismo de Base de Dados.
Caixa de seleção public
Todos os usuários, grupos e funções do SQL Server pertencem à função de servidor fixa pública por padrão.
securityadmin caixa de seleção
Os membros da função fixa de servidor securityadmin gerem logons e suas propriedades. Eles podem CONCEDER, NEGAR e REVOGAR permissões no nível do servidor. Eles também podem CONCEDER, NEGAR e REVOGAR permissões no nível do banco de dados. Além disso, eles podem redefinir senhas para logons do SQL Server.
serveradmin caixa de seleção
Os membros da função fixa de servidor serveradmin podem alterar as opções de configuração do servidor e desligar o servidor.
caixa de seleção setupadmin
Os membros da função de servidor fixa setupadmin podem adicionar e remover servidores ligados e executar alguns procedimentos de sistema armazenados.
caixa de seleção administrador de sistemas
Os membros da função de servidor fixa sysadmin podem executar qualquer atividade no Mecanismo de Banco de Dados.
Mapeamento de usuários
A página Mapeamento de Usuário lista todos os bancos de dados possíveis e as associações de função de banco de dados nesses bancos de dados que podem ser aplicados ao logon. Os bancos de dados selecionados determinam as associações de função disponíveis para o login. As seguintes opções estão disponíveis nesta página:
Usuários mapeados para este login
Selecione os bancos de dados que esse login pode acessar. Quando se seleciona um banco de dados, as funções válidas do banco de dados são exibidas no painel Associação à função de banco de dados para:database_name.
Mapa
Permita que o login acesse os bancos de dados listados abaixo.
Base de dados
Lista os bancos de dados disponíveis no servidor.
Utilizador
Especifique um usuário do banco de dados para mapear para o logon. Por padrão, o usuário do banco de dados tem o mesmo nome que o login.
esquema padrão
Especifica o esquema padrão do usuário. Quando um usuário é criado pela primeira vez, seu esquema padrão é dbo. É possível especificar um esquema padrão que ainda não existe. Não é possível especificar um esquema padrão para um usuário mapeado para um grupo do Windows, um certificado ou uma chave assimétrica.
Conta de convidado ativada para:database_name
Atributo de leitura apenas que indica se a conta Convidado está ativa no banco de dados selecionado. Use a página Status da caixa de diálogo Propriedades de login da conta Convidado para habilitar ou desabilitar a conta Convidado.
Associação à função de banco de dados para:database_name
Selecione as funções para o usuário no banco de dados especificado. Todos os usuários são membros da função pública em todos os bancos de dados e não podem ser removidos. Para obter mais informações sobre funções de banco de dados, consulte Funções no nível de banco de dados.
Protegíveis
A página Securables apresenta todos os securables possíveis e as permissões para esses securables que podem ser atribuídas ao login. As seguintes opções estão disponíveis nesta página:
Grelha Superior
Contém um ou mais itens para os quais as permissões podem ser definidas. As colunas exibidas na grade superior variam dependendo do principal ou protegível.
Para adicionar itens à grade superior:
Selecione Pesquisar.
Na caixa de diálogo Adicionar Objetos , selecione uma das seguintes opções: Objetos específicos..., Todos os objetos dos tipos..., ou O servidorserver_name. Selecione OK.
Observação
Selecionar O servidorserver_name preenche automaticamente a grade superior com todos os objetos protegíveis desse servidor.
Se você selecionar objetos específicos...:
Na caixa de diálogo Selecionar Objetos , em Selecionar estes tipos de objeto, selecione Tipos de Objeto....
Na caixa de diálogo Selecionar Tipos de Objeto , selecione um ou todos os seguintes tipos de objeto: Pontos de extremidade, Logons, Servidores, Grupos de disponibilidade e Funções de servidor. Selecione OK.
Em Digite os nomes dos objetos a serem selecionados (exemplos), selecione Procurar....
Na caixa de diálogo Procurar Objetos, selecione qualquer um dos objetos disponíveis do tipo selecionado na caixa de diálogo Selecionar Tipos de Objeto e selecione OK.
Na caixa de diálogo Selecionar Objetos, selecione OK.
Se você selecionar Todos os objetos dos tipos..., na caixa de diálogo Selecionar Tipos de Objeto , selecione qualquer um ou todos os seguintes tipos de objeto: Pontos de extremidade, Logons, Servidores, Grupos de disponibilidade e Funções de servidor. Selecione OK.
Nome
O nome de cada principal ou objeto seguro que é adicionado à grelha.
Tipo
Descreve o tipo de cada item.
Guia Explícito
Lista as permissões possíveis para os objetos protegidos selecionados na grelha superior. Nem todas as opções estão disponíveis para todas as permissões explícitas.
Permissões
O nome da permissão.
Concedente
O diretor que concedeu a permissão.
Subvenção
Selecione para conceder permissão ao login. Remover esta permissão.
Com Grant
Reflete o estado da opção WITH GRANT para a permissão listada. Esta caixa é de leitura única. Para aplicar essa permissão, use a instrução GRANT .
Negar
Selecione para negar esta permissão ao início de sessão. Remover esta permissão.
Situação
A página Status lista algumas das opções de autenticação e autorização que podem ser configuradas no logon selecionado do SQL Server.
As seguintes opções estão disponíveis nesta página:
Permissão para se conectar ao mecanismo de banco de dados
Ao trabalhar com esta configuração, deve considerar o login selecionado como uma entidade que pode receber ou negar permissão em um elemento seguro.
Selecione Conceder para conceder permissão CONNECT SQL ao login. Selecione Negar para negar CONNECT SQL ao login.
Iniciar sessão
Ao trabalhar com essa configuração, você deve pensar no login selecionado como um registro em uma tabela. Alterações nos valores listados aqui serão aplicadas ao registro.
Um login que foi desativado continua a existir como um registro. Mas se ele tentar se conectar ao SQL Server, o logon não será autenticado.
Selecione esta opção para ativar ou desativar este login. Esta opção usa a ALTER LOGIN instrução com a opção ENABLE ou DISABLE .
Autenticação do SQL Server
A caixa de seleção 'Logon bloqueado' só estará disponível se o logon selecionado se conectar usando a autenticação do SQL Server e o logon tiver sido bloqueado. Esta configuração é apenas para leitura. Para desbloquear um login que está bloqueado, execute ALTER LOGIN com a opção UNLOCK.
Criar um login usando a autenticação do Windows com T-SQL
No Pesquisador de Objetos , conecte-se a uma instância do Mecanismo de Banco de Dados.
Na barra Padrão, selecione Nova Consulta.
Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.
-- Create a login for SQL Server by specifying a server name and a Windows domain account name. CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS; GO
Criar um logon usando a autenticação do SQL Server com T-SQL
No Pesquisador de Objetos , conecte-se a uma instância do Mecanismo de Banco de Dados.
Na barra Padrão, selecione Nova Consulta.
Copie e cole o exemplo a seguir na janela de consulta e selecione Executar.
-- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty" -- The user login starts with the password "Baz1nga," but that password must be changed after the first login. CREATE LOGIN shcooper WITH PASSWORD = 'Baz1nga' MUST_CHANGE, CREDENTIAL = RestrictedFaculty; GO
Para obter mais informações, consulte CREATE LOGIN.
Acompanhamento: Procedimentos a seguir depois de criar um login
O logon pode se conectar ao SQL Server depois de criar um logon, mas não necessariamente tem permissão suficiente para executar qualquer trabalho útil. A lista a seguir fornece links para ações comuns de login.
Para que o login ingresse em uma função, consulte Ingressar em uma função.
Para autorizar um logon a usar um banco de dados, consulte Criar um usuário de banco de dados.
Para conceder uma permissão a um login, consulte Conceder uma permissão a uma entidade de segurança.
Observação
Quando se liga ao SQL Server através de um grupo Windows ou Active Directory (AD), certas operações podem criar um login implícito para a sua pertença ao grupo sem executar a instrução CREATE LOGIN. Esta criação implícita de login mantém a integridade referencial dos metadados do sistema dentro do SQL Server. O login implícito não tem permissão explícita de ligação à base de dados, por isso, se fores removido do grupo, esse login não pode ligar-se sozinho.
Os logins implícitos são criados automaticamente quando realiza certas operações como membro de um grupo Windows, como executar sp_defaultdb ou sp_defaultlanguage.
Um utilizador que seja membro do grupo pode também criar manualmente o seu próprio login na base de dados executando uma instrução CREATE LOGIN.
Este comportamento é intencional e não está planeado para mudar. Se precisares de monitorização adicional, podes implementar gatilhos para detetar tentativas de criação de login.