CREATE LOGIN (Transact-SQL)
为 SQL Server、Windows Azure SQL Database 和 SQL Server PDW 创建数据库引擎登录名。
注意 |
---|
CREATE LOGIN 选项因 SQL Server、SQL Database 和 SQL Server PDW 而异。 |
语法
-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }
<option_list1> ::=
PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
[ , <option_list2> [ ,... ] ]
<option_list2> ::=
SID = sid
| DEFAULT_DATABASE = database
| DEFAULT_LANGUAGE = language
| CHECK_EXPIRATION = { ON | OFF}
| CHECK_POLICY = { ON | OFF}
| CREDENTIAL = credential_name
<sources> ::=
WINDOWS [ WITH <windows_options>[ ,... ] ]
| CERTIFICATE certname
| ASYMMETRIC KEY asym_key_name
<windows_options> ::=
DEFAULT_DATABASE = database
| DEFAULT_LANGUAGE = language
语法
-- Syntax for SQL Database
CREATE LOGIN login_name { WITH <option_list3> }
<option_list3> ::=
PASSWORD = { 'password' }
语法
-- Syntax for SQL Server PDW
CREATE LOGIN login_name { WITH <option_list4> }
< option_list4> ::=
PASSWORD = { 'password' } [ MUST_CHANGE ]
[ , <option_list5> [ ,... ] ]
<option_list5> ::=
CHECK_EXPIRATION = { ON | OFF}
| CHECK_POLICY = { ON | OFF}
参数
login_name
指定创建的登录名。有四种类型的登录名:SQL Server 登录名、Windows 登录名、证书映射登录名以及非对称密钥映射登录名。在创建从 Windows 域帐户映射的登录名时,必须以 [<domainName>\<login_name>] 格式使用 Windows 2000 之前的用户登录名。UPN 不能采用 login_name@DomainName 格式。有关示例,请参阅本主题后面的示例 D。SQL Server 身份验证登录名的类型为 sysname,必须符合标识符的规则,且不能包含“\”。Windows 登录名可以包含“\”。PASSWORD ='password'
仅适用于 SQL Server 登录名。指定正在创建的登录名的密码。应使用强密码。有关详细信息,请参阅强密码和密码策略。密码是区分大小写的。密码应始终至少包含 8 个字符,并且不能超过 128 个字符。密码可以包含 a-z、A-Z、0-9 和大多数非字母数字字符。密码不能包含单引号或 login_name。
PASSWORD **=**hashed_password
仅适用于 HASHED 关键字。指定要创建的登录名的密码的哈希值。HASHED
仅适用于 SQL Server 登录名。指定在 PASSWORD 参数后输入的密码已经过哈希运算。如果未选择此选项,则在将作为密码输入的字符串存储到数据库中之前,对其进行哈希运算。此选项应仅用于在服务器之间迁移数据库。切勿使用 HASHED 选项创建新的登录名。HASHED 选项不能用于 SQL Server 7 或更早版本创建的哈希。MUST_CHANGE
仅适用于 SQL Server 登录名。如果包括此选项,则 SQL Server 将在首次使用新登录名时提示用户输入新密码。CREDENTIAL **=**credential_name
将映射到新 SQL Server 登录名的凭据的名称。该凭据必须已存在于服务器中。当前此选项只将凭据链接到登录名。凭据不能映射到 sa 登录名。SID = sid
仅适用于 SQL Server 登录名。指定新 SQL Server 登录名的 GUID。如果未选择此选项,则 SQL Server 自动指派 GUID。DEFAULT_DATABASE **=**database
指定将指派给登录名的默认数据库。如果未包括此选项,则默认数据库将设置为 master。DEFAULT_LANGUAGE **=**language
指定将指派给登录名的默认语言。如果未包括此选项,则默认语言将设置为服务器的当前默认语言。即使将来服务器的默认语言发生更改,登录名的默认语言也仍保持不变。CHECK_EXPIRATION = { ON | OFF }
仅适用于 SQL Server 登录名。指定是否对此登录帐户强制实施密码过期策略。默认值为 OFF。CHECK_POLICY = { ON | OFF }
仅适用于 SQL Server 登录名。指定应对此登录名强制实施运行 SQL Server 的计算机的 Windows 密码策略。默认值为 ON。如果 Windows 策略要求强密码,密码必须至少包含以下四个特点中的三个:
大写字符 (A-Z)。
小写字符 (a-z)。
数字 (0-9)。
一个非字母数字字符,如空格、_、@、*、^、%、!、$、# 或 &。
WINDOWS
指定将登录名映射到 Windows 登录名。CERTIFICATE certname
指定将与此登录名关联的证书名称。此证书必须已存在于 master 数据库中。ASYMMETRIC KEY asym_key_name
指定将与此登录名关联的非对称密钥的名称。此密钥必须已存在于 master 数据库中。
注释
密码是区分大小写的。
只有创建 SQL Server 登录名时,才支持对密码预先进行哈希运算。
如果指定 MUST_CHANGE,则 CHECK_EXPIRATION 和 CHECK_POLICY 必须设置为 ON。否则,该语句将失败。
不支持 CHECK_POLICY = OFF 和 CHECK_EXPIRATION = ON 的组合。
如果 CHECK_POLICY 设置为 OFF,将对 lockout_time 进行重置,并将 CHECK_EXPIRATION 设置为 OFF。
重要提示 |
---|
只有在 Windows Server 2003 及更高版本上才会强制执行 CHECK_EXPIRATION 和 CHECK_POLICY。有关详细信息,请参阅密码策略。 |
从证书或非对称密钥创建的登录名仅用于代码签名。不能用于连接到 SQL Server。仅当 master 中已存在证书或非对称密钥时,才能从证书或非对称密钥创建登录名。
有关用于传输登录名的脚本,请参阅如何在 SQL Server 2005 和 SQL Server 2008 的实例之间传输登录名和密码。
自动创建登录名时,启用新的登录名并授予它服务器级 CONNECT SQL 权限。
SQL 数据库登录名
在 SQL Database 中,CREATE LOGIN 语句必须是批处理中的唯一语句。
在连接到 SQL Database的一些方法(如 sqlcmd)中,您必须使用 <login>@<server> 符号将 SQL Database 服务器名称追加到连接字符串中的登录名之后。例如,如果您的登录名是 login1,SQL Database 服务器的完全限定名称是 servername.database.windows.net,则连接字符串的 username 参数应是 login1@servername。由于 username 参数的总长度为 128 个字符,因此,login_name 被限定为 127 个字符减去服务器名称的长度。在示例中,login_name 只能包含 117 个字符,因为 servername 包含 10 个字符。
在 SQL Database 中,您必须连接到 master 数据库来创建登录名。
有关 SQL Database 登录名的详细信息,请参阅管理 Windows Azure SQL Database 中的数据库和登录名。
权限
在 SQL Server 和 SQL Server PDW 中,需要对服务器的 ALTER ANY LOGIN 权限或 securityadmin 固定服务器角色的成员资格。
在 SQL Database 中,只有服务器级主体(由设置过程创建)或 master 数据库中的 loginmanager 数据库角色成员可以创建新登录名。
如果使用 CREDENTIAL 选项,还需要对服务器的 ALTER ANY CREDENTIAL 权限。
后续步骤
创建登录名后,登录名可以连接到数据库引擎、SQL Database 或 SQL Server PDW 设备,但是只具有授予 public 角色的权限。考虑执行以下一些活动。
要连接到数据库,请创建登录名对应的数据库用户。有关详细信息,请参阅CREATE USER (Transact-SQL)。
使用 CREATE SERVER ROLE (Transact-SQL) 创建用户定义的服务器角色。使用 ALTER SERVER ROLE … ADD MEMBER 将新的登录名添加到用户定义的服务器角色。有关详细信息,请参阅 CREATE SERVER ROLE (Transact-SQL)和ALTER SERVER ROLE (Transact-SQL)。
使用 sp_addsrvrolemember 将登录名添加到固定服务器角色。有关详细信息,请参阅 服务器级别角色和sp_addsrvrolemember (Transact-SQL)。
使用 GRANT 语句将服务器级权限授予新的登录名或包含该登录名的角色。有关详细信息,请参阅GRANT (Transact-SQL)。
示例
A. 创建带密码的登录名
全部适用。
以下示例为特定用户创建登录名并分配密码。
CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO
B. 创建带密码的登录名
适用于 SQL Server 和 SQL Server PDW。
以下示例为特定用户创建登录名并分配密码。MUST_CHANGE 选项要求用户在首次连接服务器时更改此密码。
CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>' MUST_CHANGE;
GO
C. 创建映射到凭据的登录名
适用于 SQL Server。
以下示例使用该用户为特定用户创建登录名。此登录名映射到凭据。
CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>',
CREDENTIAL = <credentialName>;
GO
D. 从证书创建登录名
适用于 SQL Server。
以下示例使用 master 中的证书为特定用户创建登录名。
USE MASTER;
CREATE CERTIFICATE <certificateName>
WITH SUBJECT = '<login_name> certificate in master database',
EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO
E. 从 Windows 域帐户创建登录名
适用于 SQL Server。
以下示例使用 Windows 域帐户创建一个登录名。
CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO