在SQL Server資料庫中,有時候會建立一些Windows認證的賬號(域賬號),例如,我們公司習慣給開發人員和Support同事開通NT賬號許可權,如果有離職或負責事宜變更的話,那麼要如何正確的刪除這些Windows認證賬號呢?這篇文章就是來探討一下如何正確的刪除Windows認證賬號。如下所示:... ...
在SQL Server資料庫中,有時候會建立一些Windows認證的賬號(域賬號),例如,我們公司習慣給開發人員和Support同事開通NT賬號許可權,如果有離職或負責事宜變更的話,那麼要如何正確的刪除這些Windows認證賬號呢?這篇文章就是來探討一下如何正確的刪除Windows認證賬號。如下所示:
下麵這種方式,僅僅是刪除登錄名(login),然而並沒有刪除用戶(User)
USE [master]GODROP LOGIN [xxx\xxxx]GO
你刪除登錄名的時候,就會遇到類似下麵的告警信息:
Deleting server logins does not delete the database users associated with the logins. To complete the process, delete the users in each database. It may be necessary to first transfer the ownership of schemas to new users.
也就是說,雖然你刪除了登錄名,但是對應用戶資料庫或系統資料庫相關的User許可權並沒有清理,在SQL Server中登錄名(Server Login)跟資料庫的用戶(database User)是分離開來,但是又有關聯的。所以正確的姿勢: 在刪除登錄名(login)後,還必須去每個資料庫,刪除對應的用戶(user). 在刪除登錄名前必須檢查,有那些作業的OWNER或資料庫的OWNER的為該Windows認證賬號(NT賬號),否則後面就會遇到一些問題:
1:如果刪除Windows認證用戶前,沒有修改作業的OWNER(如果此作業的OWNER為此Windows用戶的話,那麼刪除Windows認證用戶後,作業就會報類似下麵這種錯誤。
The job failed. The owner (xx\xxx) of job syspolicy_purge_history does not have server access.
所以在刪除Windows認證用戶前,必須檢查並修改作業的Owner,避免這種情況出現。
2:刪除Windows認證用戶前,確認是否有資料庫的OWNER為此Windows認證用戶。否則刪除登錄名時會報錯
Msg 15174, Level 16, State 1, Line 4
Login 'xxx\xxxx' owns one or more database(s). Change the owner of the database(s) before dropping the login.
Msg 15174, Level 16, State 1, Line 4
登錄名 'xxx\xxx' 擁有一個或多個資料庫。在刪除該登錄名之前,請更改相應資料庫的所有者。
必須修改資料庫的Owner後(一般將資料庫的owner改為sa),才能刪除登錄名
sp_changedbowner 'sa'
3:有時候刪除用戶時,報下麵錯誤,必須修改後,才能刪除對應的用戶。
遇到下麵錯誤:
Msg 15138, Level 16, State 1, Line 3
資料庫主體在該資料庫中擁有 架構,無法刪除。
Msg 15138, Level 16, State 1, Line 3
The database principal owns a schema in the database, and cannot be dropped.
USE YourSQLDba;
GO
ALTER AUTHORIZATION ON SCHEMA::[db_owner] TO [dbo];
USE [YourSQLDba]
GO
DROP USER [xxx\konglb];
GO
當然要根據實際情況來處理
USE [UserDatabase];
GO
ALTER AUTHORIZATION ON SCHEMA::[xxx] TO [dbo];
另外一種是用戶創建的Schema,這個根上面情況沒有差別。
所以正確的刪除登錄名,可以用腳本生成對應的SQL(當然也可以執行對應的SQL,但是這種高位操作,建議生成腳本,人工判斷後,手工執行)
DECLARE @login_name sysname;SET @login_name='GFG1\chenzhenh'
SELECT d.name AS database_name,
owner_sid AS owner_sid , l.name AS database_ownerFROM sys.databases dLEFT JOIN sys.syslogins l ON l.sid = d.owner_sid
WHERE l.name=@login_name;SELECT 'USE ' + d.name + CHAR(10)
+ 'GO' + CHAR(10)
+ 'EXEC dbo.sp_changedbowner @loginame =N''sa'', @map = false' AS change_db_owner_cmd
FROM sys.databases dLEFT JOIN sys.syslogins l ON l.sid = d.owner_sid
WHERE l.name = @login_name;SELECT j.job_id AS JOB_ID
,j.name AS JOB_NAME ,CASE WHEN [enabled] =1 THEN 'Enabled'
ELSE 'Disabled' END AS JOB_ENABLED
,l.name AS JOB_OWNER ,j.category_id AS JOB_CATEGORY_ID ,c.name AS JOB_CATEGORY_NAME ,[description] AS JOB_DESCRIPTION ,date_created AS DATE_CREATED ,date_modified AS DATE_MODIFIEDFROM msdb.dbo.sysjobs jINNER JOIN msdb.dbo.syscategories c ON j.category_id = c.category_id
INNER JOIN sys.syslogins l ON l.sid = j.owner_sid
