孤兒使用者疑難排解
若要登入 Microsoft SQL Server 執行個體,則主體必須提供有效的 SQL Server 登入。此登入是用於驗證處理序,可確認是否允許該主體連接到 SQL Server 的執行個體。伺服器執行個體上的 SQL Server 登入可以在 sys.server_principals 目錄檢視和 sys.syslogins 相容性檢視中看到。
SQL Server 登入會使用對應到 SQL Server 登入的資料庫使用者來存取個別資料庫。這項規則有兩個例外狀況:
guest 帳戶
在資料庫中啟用此帳戶時,會使未對應到資料庫使用者的 SQL Server 登入都能以 guest 使用者的身分進入資料庫。
Microsoft Windows 群組成員資格。
如果 Windows 使用者是 Windows 群組的成員,而且也是資料庫中的使用者,則從 Windows 使用者建立的 SQL Server 登入可進入該資料庫。
有關 SQL Server 登入對應到資料庫使用者的資訊會儲存在資料庫內。它包括資料庫使用者的名稱和對應之 SQL Server 登入的 SID。此資料庫使用者的權限使用於資料庫中的授權。
在伺服器執行個體上未定義或不正確定義對應之 SQL Server 登入的資料庫使用者無法登入此執行個體。這類使用者就是伺服器執行個體上的資料庫「被遺棄使用者」。如果卸除了對應的 SQL Server 登入,則資料庫使用者可能遭到遺棄。此外,資料庫還原或附加到其他 SQL Server 執行個體,也會讓資料庫使用者遭到遺棄。如果資料庫使用者對應到的 SID 未出現在新的伺服器執行個體中,則會遭到遺棄。
[!附註]
除非缺少對應資料庫使用者的資料庫中已啟用 guest,否則 SQL Server 登入無法存取該資料庫。如需有關建立資料庫使用者帳戶的詳細資訊,請參閱<CREATE USER (Transact-SQL)>。
若要偵測被遺棄使用者
若要偵測被遺棄使用者,請執行以下 Transact-SQL 陳述式:
USE <database_name>;
GO;
sp_change_users_login @Action='Report';
GO;
輸出會列出使用者及對應的安全性識別碼 (SID),這些使用者皆為目前資料庫中的使用者,且並未與任何 SQL Server 登入有連結。如需詳細資訊,請參閱<sp_change_users_login (Transact-SQL)>。
[!附註]
sp_change_users_login 無法與從 Windows 建立的 SQL Server 登入一起使用。
若要解析被遺棄使用者
若要解析被遺棄使用者,請使用以下程序:
下列命令會將 <login_name> 指定的伺服器登入帳戶與 <database_user> 指定的資料庫使用者重新連結起來。
USE <database_name>; GO sp_change_users_login @Action='update_one', @UserNamePattern='<database_user>', @LoginName='<login_name>'; GO
如需詳細資訊,請參閱<sp_change_users_login (Transact-SQL)>。
執行先前步驟中的程式碼後,使用者就能夠存取伺服器。使用者接著可以使用 sp_password 預存程序,來更換 <login_name> 登入帳戶的密碼,如下所示:
USE master GO sp_password @old=NULL, @new='password', @loginame='<login_name>'; GO
安全性注意事項 只有具有 ALTER ANY LOGIN 權限的登入,才能夠變更其他使用者登入的密碼。不過,只有 sysadmin 角色成員才能修改 sysadmin 角色成員的密碼。
[!附註]
sp_password 無法用於 Microsoft Windows 帳戶。透過 Windows 網路帳戶連接到 SQL Server 執行個體的使用者是由 Windows 驗證,因此他們的密碼只能在 Windows 中變更。
如需詳細資訊,請參閱<sp_password (Transact-SQL)>。