SQL Server：孤立用户详解

SQL Server 的用户安全管理分两层，整个SQL Server 服务器一层，每个数据库一层。

• 在服务器层的帐号，叫登录账户（SQL Server：服务器角色），可以设置它管理整个SQL Server服务器（开启跟踪，修改 Sql Server 安全配置，备份所有数据库等）。
• 在数据库一层，叫数据库账户（SQL Server：数据库角色），可以设置它对这个特定的数据库有读写、修改表结构、存储过程定义等权限。

登录帐号对于服务器而言的，数据库用户是针对特定数据库来讲的。就相当于一个房间里放着很多保险柜，你有房门钥匙了，必须得有每个保险柜的钥匙才能从保险柜里取东西。登录帐户是房门钥匙，数据库用户是保险柜钥匙。

1. 什么是孤立用户

如上述所述“登陆账户”和“数据库账户”之间存在一层映射，如果数据库“A”中有账户“cms”，但没有“登陆账户”与其对应，那么“cms”账户就无法连接SQL Server服务，因此它就没有任何作用，便成立一个孤立的用户。

2. 什么情况下会产生孤立用户

第一个服务器的情况：

• 数据库A
• 数据库A中有cms账户，并且也存在cms登陆账户

在第一个服务器中备份数据A，并在第二个服务器中还原该数据库，那么第二个服务器的情况：

• 数据库A
• 数据库A中有cms账户，不存在与其对应的登陆账户

此时在第二个服务器的数据库A中便产生了孤立账户cms，在第二个服务器中运行下述语句也可看到孤立账户cms：

Use A
exec sp_change_users_login 'report'

如果直接建立登陆账户“cms”，并制定其“数据库访问”为数据库A，会提示“用户**已存在”，如下图：

3. 如何解决孤立用户

解决孤立账户实质上就是建立一个“登陆账户”，并关联“登陆账户”和“数据库账户”。

建立一个登陆账户（一般与孤立账户同名，即“cms”），先不设置该“登陆账户”的数据库访问和数据角色，并设置该“登陆账户”的密码（一般也与孤立账户相同），然后连接“登陆账户”和“数据库账户”。

Use A
exec sp_change_users_login 'update_one', 'cms', 'cms'

这样在执行“exec sp_change_users_login 'report'”就不会看到孤立账户“cms”了。

sp_change_users_login的语法

exec sp_change_users_login 'update_one', '登陆账户名', '数据库账户名'

注意：“登陆账户”的账户名和密码都可以和“孤立账户”不同，应用程序的数据库配置应当为“登陆账户”的账户名和密码，而不是“数据库账户”。

4. 另一种解决办法

假设数据A中存在孤立账户cms，其密码为“123456”，应用程序的数据库配置也是此。为了能够使得应用程序能够正常使用，可以做如下操作：

• 建立登陆账户“cms”，并设置密码和默认数据库分别为123456、cms
• 设置该登陆账户的“服务器角色”为“System Administrators”
• 不为该登陆账户设置相关“数据库访问”属性
• 保存时会提示如下错误，不必理会
      

这种方法仅仅是建立了一个类似于sa的cms用户，虽能够保障应用程序正常使用，但并不能解决孤立用户。