在SQL Server数据库中,有时候会建立一些Windows认证的账号(域账号),例如,我们公司习惯给开发人员和Support同事开通NT账号权限,如果有离职或负责事宜变更的话,那么要如何正确的删除这些Windows认证账号呢?这篇文章就是来探讨一下如何正确的删除Windows认证账号。如下所示:

下面这种方式,仅仅是删除登录名(login),然而并没有删除用户(User)

USE [master]

GO

 

DROP LOGIN [xxx\xxxx]

GO

你删除登录名的时候,就会遇到类似下面的告警信息:

Deleting server logins does not delete the database users associated with the logins. To complete the process, delete the users in each database. It may be necessary to first transfer the ownership of schemas to new users.

也就是说,虽然你删除了登录名,但是对应用户数据库或系统数据库相关的User权限并没有清理,在SQL Server中登录名(Server Login)跟数据库的用户(database User)是分离开来,但是又有关联的。所以正确的姿势: 在删除登录名(login)后,还必须去每个数据库,删除对应的用户(user). 在删除登录名前必须检查,有那些作业的OWNER或数据库的OWNER的为该Windows认证账号(NT账号),否则后面就会遇到一些问题:

1:如果删除Windows认证用户前,没有修改作业的OWNER(如果此作业的OWNER为此Windows用户的话,那么删除Windows认证用户后,作业就会报类似下面这种错误。

The job failed.  The owner (xx\xxx) of job syspolicy_purge_history does not have server access.

所以在删除Windows认证用户前,必须检查并修改作业的Owner,避免这种情况出现。

2:删除Windows认证用户前,确认是否有数据库的OWNER为此Windows认证用户。否则删除登录名时会报错

Msg 15174, Level 16, State 1, Line 4

Login 'xxx\xxxx' owns one or more database(s). Change the owner of the database(s) before dropping the login.

Msg 15174, Level 16, State 1, Line 4

登录名 'xxx\xxx' 拥有一个或多个数据库。在删除该登录名之前,请更改相应数据库的所有者。

必须修改数据库的Owner后(一般将数据库的owner改为sa),才能删除登录名

sp_changedbowner 'sa'

3:有时候删除用户时,报下面错误,必须修改后,才能删除对应的用户。

遇到下面错误:

Msg 15138, Level 16, State 1, Line 3

数据库主体在该数据库中拥有 架构,无法删除。

Msg 15138, Level 16, State 1, Line 3

The database principal owns a schema in the database, and cannot be dropped.

USE YourSQLDba;

GO

ALTER AUTHORIZATION ON SCHEMA::[db_owner]  TO [dbo];

 

 

USE [YourSQLDba]

GO 

DROP USER [xxx\konglb];

GO

当然要根据实际情况来处理

 

USE [UserDatabase];

GO

ALTER AUTHORIZATION ON SCHEMA::[xxx]  TO [dbo];

另外一种是用户创建的Schema,这个根上面情况没有差别。

所以正确的删除登录名,可以用脚本生成对应的SQL(当然也可以执行对应的SQL,但是这种高危操作,建议生成脚本,人工判断后,手工执行)

DECLARE @login_name  sysname;

SET @login_name='xxx\xxxx'

 

SELECT  d.name        AS database_name,

        owner_sid    AS owner_sid ,

        l.name        AS database_owner

FROM    sys.databases d

        LEFT JOIN sys.syslogins l ON l.sid = d.owner_sid

WHERE l.name=@login_name;

 

 

 

SELECT  'USE ' + d.name + CHAR(10) 

        + 'GO' + CHAR(10)

        + 'EXEC dbo.sp_changedbowner @loginame =N''sa'', @map = false' AS change_db_owner_cmd

FROM    sys.databases d

        LEFT JOIN sys.syslogins l ON l.sid = d.owner_sid

WHERE   l.name = @login_name;

 

 

SELECT j.job_id                                       AS JOB_ID            

      ,j.name                                         AS JOB_NAME          

      ,CASE WHEN [enabled] =1 THEN 'Enabled'

                              ELSE 'Disabled'  END    AS JOB_ENABLED    

      ,l.name                                         AS JOB_OWNER   

      ,j.category_id                                  AS JOB_CATEGORY_ID

      ,c.name                                         AS JOB_CATEGORY_NAME

      ,[description]                                  AS JOB_DESCRIPTION   

      ,date_created                                   AS DATE_CREATED      

      ,date_modified                                  AS DATE_MODIFIED

FROM msdb.dbo.sysjobs j

INNER JOIN msdb.dbo.syscategories c ON j.category_id = c.category_id

INNER JOIN sys.syslogins l ON l.sid = j.owner_sid

WHERE l.name= @login_name

ORDER BY j.name

 

 

 

DECLARE  @job_owner   NVARCHAR(32);

 

SET @job_owner='sa';

 

SELECT  'EXEC msdb.dbo.sp_update_job @job_name=N''' +j.name + ''', @owner_login_name=N''' + RTRIM(LTRIM(@job_owner)) + ''';' AS change_job_owner_cmd

FROM msdb.dbo.sysjobs j

INNER JOIN msdb.dbo.syscategories c ON j.category_id = c.category_id

INNER JOIN sys.syslogins l ON l.sid = j.owner_sid

WHERE l.name = @login_name

ORDER BY j.name

 

 

SELECT  '

USE [master]

GO

DROP LOGIN  ' + QUOTENAME(@login_name) +  

'

GO

' AS  drop_login_user;

然后删除用户(User),此脚本也可以清理那些登录名已经删除,但是对应的USER没有清理的Windows 认证用户。此脚本可能有一些逻辑上的Bug,个人也是fix掉了一些Bug后,才发布这篇博客。如果遇到什么Bug,可以留言反馈。

--注意:但是之前脚本也有弊端,有时候login对应多个数据库的User,需要在多个数据库运行。所以个人优化了SQL,你可以忽略上面的SQL,直接执行下面SQL即可(2020-03-10修改过下面脚本)

--==================================================================================================================

--        ScriptName            :            drop_logins_users.sql

--        Author                :            潇湘隐者    

--        CreateDate            :            2015-12-18

--        Description           :            彻底、完全的删除某个login以及对应的user等权限

--        Note                  :            

/*******************************************************************************************************************

        Parameters            :                                    参数说明

********************************************************************************************************************

            @login_name        :            你要删除的登录名(Windows认证账号或SQL认证账号)

********************************************************************************************************************

        Notice                :            

********************************************************************************************************************

   Modified Date    Modified User     Version                 Modified Reason

********************************************************************************************************************

    2018-08-03        潇湘隐者         V01.00.00        新建该脚本。

*******************************************************************************************************************/

--==================================================================================================================

DECLARE @database_id    INT;

DECLARE @database_name  sysname;

DECLARE @cmdText        NVARCHAR(MAX);

DECLARE @prc_text       NVARCHAR(MAX);

DECLARE @RowIndex       INT;

DECLARE @login_name     NVARCHAR(128);

DECLARE @job_owner      NVARCHAR(32);

 

 

SET @login_name='xxxx';

SET @job_owner='sa';

 

 

IF OBJECT_ID('tempdb.dbo.#databases') IS NOT NULL

    DROP TABLE dbo.#databases;

 

CREATE TABLE #databases

    (

      database_id INT ,

      database_name sysname

    );

 

 

INSERT  INTO #databases

SELECT  database_id ,

        name

FROM    sys.databases

WHERE   name NOT IN (  'tempdb', 'model', 'YourSQLDba' )

        AND state = 0; --state_desc=ONLINE 

 

 

IF OBJECT_ID('tempdb.dbo.#removed_user') IS NOT NULL

    DROP TABLE dbo.#removed_user;

 

CREATE TABLE #removed_user

(

    username sysname

)

 

 

IF OBJECT_ID('tempdb.dbo.#sql_text') IS NOT NULL

    DROP TABLE dbo.#sql_text

 

CREATE TABLE #sql_text

(    

    sql_type  NVARCHAR(32),

    sql_cmd   NVARCHAR(MAX)

);

 

 

--查看作业的OWNER为当前账户的详细信息

SELECT j.job_id                                           AS JOB_ID            

        ,j.name                                           AS JOB_NAME          

        ,CASE WHEN [enabled] =1 THEN 'Enabled'

                                ELSE 'Disabled'  END      AS JOB_ENABLED    

        ,l.name                                           AS JOB_OWNER   

        ,j.category_id                                    AS JOB_CATEGORY_ID

        ,c.name                                           AS JOB_CATEGORY_NAME

        ,[description]                                    AS JOB_DESCRIPTION   

        ,date_created                                     AS DATE_CREATED      

        ,date_modified                                    AS DATE_MODIFIED

FROM msdb.dbo.sysjobs j

INNER JOIN msdb.dbo.syscategories c ON j.category_id = c.category_id

INNER JOIN sys.syslogins l ON l.sid = j.owner_sid

WHERE l.name=@login_name

ORDER BY j.name;

 

 

 

--修改作业的Owner

INSERT INTO #sql_text

SELECT   'change_job_owner'  AS sql_type

        ,'EXEC msdb.dbo.sp_update_job @job_name=N''' +j.name + ''', @owner_login_name=N''' + RTRIM(LTRIM(@job_owner)) + ''';' AS change_job_owner_cmd

FROM msdb.dbo.sysjobs j

INNER JOIN msdb.dbo.syscategories c ON j.category_id = c.category_id

INNER JOIN sys.syslogins l ON l.sid = j.owner_sid

WHERE l.name = @login_name

ORDER BY j.name;

 

 

--查看数据库的Owner=@login_name的详细信息

SELECT d.database_id                AS database_id,

       d.name                       AS database_name,

       suser_sname(d.owner_sid)     AS database_owner,

       d.create_date                AS create_date,

       d.collation_name             AS collation_name,

       d.state_desc                 AS state_desc

FROM sys.databases d

WHERE suser_sname(d.owner_sid)=@login_name;

 

 

 

--修改数据库的Owner为sa

INSERT INTO #sql_text

SELECT  'change_db_owner' AS sql_type

       ,'USE ' +name +'; '+ CHAR(10) +'GO' + CHAR(10) +'exec sp_changedbowner ''sa'';' +CHAR(10) + 'GO' +CHAR(10)

FROM sys.databases d

WHERE suser_sname(d.owner_sid)=@login_name;

 

 

 

 

IF OBJECT_ID('tempdb.dbo.#schema_info') IS NOT NULL

    DROP TABLE dbo.#schema_info;

 

CREATE TABLE #schema_info

(    

     database_name      NVARCHAR(64)

    ,users_name         NVARCHAR(64)

    ,schemas_name       NVARCHAR(64)

    ,schema_id          INT

    ,principal_id       INT

);

 

IF OBJECT_ID('tempdb.dbo.#schema_detail') IS NOT NULL

    DROP TABLE dbo.#schema_detail;

 

CREATE TABLE #schema_detail

(    

     database_name     NVARCHAR(64)

    ,objects_id        INT

    ,objects_name      NVARCHAR(64)

    ,schemas_name      NVARCHAR(64)

    ,object_type       sysname

    ,create_date       DATETIME

    ,modify_date       DATETIME

);

 

 

 

 

--开始循环每一个用户数据库(排除了上面相关数据库)

WHILE 1= 1

BEGIN

 

 

    SELECT TOP 1 @database_name= database_name   

    FROM #databases

    ORDER BY database_id;

 

    IF @@ROWCOUNT =0 

        BREAK;

 

 

    SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10);

 

    --这里有个bug,如果用户删除了对应的login,那么这里查询结果就会没有记录

    --SELECT @cmdText += 'INSERT INTO #removed_user

    --                    SELECT  name FROM sys.sysusers

    --                    WHERE sid IN (SELECT sid FROM sys.syslogins WHERE isntname=1 AND name='''+ @login_name + ''');'

    

    SELECT @cmdText += 'INSERT INTO #removed_user

                        SELECT  name FROM sys.sysusers WHERE  name='''+ @login_name + ''';'

    

    --PRINT(@cmdText);

    EXEC SP_EXECUTESQL @cmdText;

 

     

 

 

    

    SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)

 

    

    SET @cmdText += 'SELECT DB_NAME(), r.username,s.name, s.schema_id, s.principal_id FROM sys.schemas  s

                        INNER JOIN  #removed_user r ON s.name =r.username Collate Database_Default' + CHAR(10);

     

    INSERT INTO #schema_info

    EXEC SP_EXECUTESQL @cmdText;

 

 

    SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)

 

    --SET @cmdText += 'SELECT * FROM sys.objects WHERE schema_id IN (SELECT s.schema_id FROM sys.schemas s INNER JOIN  #removed_user r ON s.name =r.username Collate Database_Default);'

 

    SET @cmdText += 'SELECT  DB_NAME(),o.object_id, o.name,SCHEMA_NAME(o.schema_id), o.type_desc, o.create_date,o.modify_date  FROM sys.objects o

                        INNER JOIN sys.schemas s ON o.schema_id=s.schema_id

                        INNER JOIN  #removed_user r ON s.name =r.username Collate Database_Default'

 

    INSERT INTO #schema_detail

            ( 

                 database_name      

                ,objects_id          

                ,objects_name      

                ,schemas_name      

                ,object_type      

                ,create_date      

                ,modify_date

            )

    EXEC SP_EXECUTESQL @cmdText;

    

 

    SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)

    SET @cmdText += 'SELECT  ''change_schema_cmd'' AS sql_type , ''USE ' + @database_name + ';'' + CHAR(10) +''GO'' + CHAR(10) +''ALTER AUTHORIZATION ON SCHEMA::'' +QUOTENAME(s.name) +''  TO [dbo];'' + CHAR(10) + ''GO'' AS change_schema_cmd FROM sys.schemas  s

                        INNER JOIN  #removed_user r ON s.name =r.username Collate Database_Default '  + CHAR(10);

 

    PRINT @cmdText;

    INSERT INTO #sql_text

    EXEC SP_EXECUTESQL @cmdText, N'@database_name sysname',@database_name ;

    

 

    SET @cmdText =  'USE ' + @database_name + ';' +CHAR(10)

    SET @cmdText += 'SELECT ''drop_schema_cmd'' AS drop_schema_cmd, ''USE ' + @database_name + ';'' + CHAR(10) +''GO'' + CHAR(10) +''DROP SCHEMA '' +QUOTENAME(s.SCHEMA_NAME) +'';'' +CHAR(10) + ''GO'' AS drop_schema_cmd

                     FROM    INFORMATION_SCHEMA.SCHEMATA s

                     INNER JOIN  #removed_user r ON s.SCHEMA_OWNER =r.username Collate Database_Default'  + CHAR(10);

 

    INSERT INTO #sql_text

    EXEC SP_EXECUTESQL @cmdText, N'@database_name sysname',@database_name ;

 

    INSERT INTO #sql_text

    SELECT 'drop_user_cmd' AS drop_schema_cmd,

            'USE ' + QUOTENAME(@database_name) + CHAR(10)

          + 'GO '  + CHAR(10)

          + 'DROP USER ' + QUOTENAME(username) +';' + CHAR(10)

          + 'GO'  AS drop_user_cmd 

    FROM #removed_user;

 

    

    TRUNCATE TABLE #removed_user;

 

 

    DELETE FROM #databases WHERE database_name=@database_name;

 

END

 

 

 

 

 

 

--删除login名

INSERT INTO #sql_text

SELECT  'drop_login_cmd' AS drop_schema_cmd,

'USE [master]

GO

DROP LOGIN  ' + QUOTENAME(name) +  CHAR(10) +'GO' AS  drop_login_user

FROM sys.syslogins WHERE name=@login_name;

 

 

SELECT * FROM  #schema_detail;

SELECT * FROM  #sql_text;

 

DROP TABLE #databases;

DROP TABLE #removed_user;

DROP TABLE #schema_detail;

DROP TABLE #sql_text;

SQL Server如何正确的删除Windows认证用户的更多相关文章

  1. 关于SQL Server 安装程序在运行 Windows Installer 文件时遇到错误

    前几日安装sql server2008r2 的时候碰到这个问题: 出现以下错误: SQL Server 安装程序在运行 Windows Installer 文件时遇到错误. Windows Insta ...

  2. MS SQL错误:SQL Server failed with error code 0xc0000000 to spawn a thread to process a new login or connection. Check the SQL Server error log and the Windows event logs for information about possible related problems

          早晨宁波那边的IT人员打电话告知数据库无法访问了.其实我在早晨也发现Ignite监控下的宁波的数据库服务器出现了异常,但是当时正在检查查看其它服务器发过来的各类邮件,还没等到我去确认具体情 ...

  3. SQL SERVER SA密码忘记,windows集成身份验证都登录不了不怎么办

    有时候SQL SERVER 的SA强密码策略真的很烦人,不同的系统密码策略又不一样,导致经常会忘记密码,这不,这回我本机的SQL SERVER很久不用了,彻底忘了密码是什么.查了一下资料还是找到了解决 ...

  4. SQL Server对数据进行删除

    SQL Server对数据进行删除,把页面的信息从数据库删除. auto"> <tr style="background:red"> <td> ...

  5. 【SQL Server性能优化】删除大量数据的方法比较

    原文:[SQL Server性能优化]删除大量数据的方法比较 如果你要删除表中的大量数据,这个大量一般是指删除大于10%的记录,那么如何删除,效率才会比较高呢? 而如何删除才会对系统的影响相对较小呢? ...

  6. Microsoft Dynamics CRM 2013 安装 报表服务出现“ SQL Server Reporting Services 帐户是本地用户且不受支持 ”错误的解决方法

    安装好CRM 2013 之后,还需要安装报表服务,发现出现:SQL Server Reporting Services 帐户是本地用户且不受支持,具体如下图: 经过分析原来发现是需要用域用户,打开对应 ...

  7. SQL Server数据库备份:通过Windows批处理命令执行

    通过Windows批处理命令执行SQL Server数据库备份 建立mybackup.bat ,输入以下内容直接运行该脚本,即可开始自动备份数据库也可把该脚本加入windows任务计划里执行. --- ...

  8. SQL Server 触发器创建、删除、修改、查看示例

    一﹕ 触发器是一种特殊的存储过程﹐它不能被显式地调用﹐而是在往表中插入记录﹑更新记录或者删除记录时被自动地激活.所以触发器可以用来实现对表实施复杂的完整性约`束. 二﹕ SQL Server为每个触发 ...

  9. SQL server 分离数据库与删除数据库的区别

    今天,在sql server 中,分离数据库,然后就问了一下,与删除数据库的区别 区别在于(百度一下): 分离后,.mdb和.log文件都在,以后你需要用的时候,还可以用附加数据库的方法加上去,分离数 ...

随机推荐

  1. UITableView 相关方法

    最近闲来无事,总结一下 UITableViewDataSource和 UITableViewDelegate方法 UITableViewDataSource @required - (NSIntege ...

  2. WOE(证据权重)为何这样计算?

    更多大数据分析.建模等内容请关注公众号<bigdatamodeling> 先简单回顾一下WOE的含义.假设x是类别变量或分箱处理过的连续变量,含R个类别或分段,取值为{C1, ..., C ...

  3. ARTS-S pytorch中Conv2d函数padding和stride含义

    padding是输入数据最边缘补0的个数,默认是0,即不补0. stride是进行一次卷积后,特征图滑动几格,默认是1,即滑动一格.

  4. layedit添加首行缩进

    由于在编辑的时候,有首行缩进的需求,并且,如果直接使用空格进行缩进,还会出现layedit看到的效果和实际显示的效果不一致的情况.多方搜索无果,于是决定修改源代码.具体步骤如下: 1.首先找到laye ...

  5. 【Web技术】295- 重新复习 Unicode 和 UTF-8

    点击上方"前端自习课"关注,学习起来~ 引言 一直以来总是对 Unicode. UTF-8 等编码知识懵懵懂懂的,尤其是在做项目过程中只要涉及到几个编码之间的转换,都得到网上搜索一 ...

  6. CodeForces - 556C Case of Matryoshkas (水题)

    Andrewid the Android is a galaxy-famous detective. He is now investigating the case of vandalism at ...

  7. ClassNotFoundException------我有一句妈卖批一定要讲

    最近在写<Writing Compilers and Interpreters>一书的代码,本来打算用vim敲代码,一来每个字母都要自己敲,而来就当练习vim,但是感觉真是太不方便了,各种 ...

  8. C#写入(覆盖形式)数据到CSV文件 和 读取CSV文件

    /// <summary> /// 写入数据到CSV文件,覆盖形式 /// </summary> /// <param name="csvPath"& ...

  9. 《Java基础知识》Java成员变量,成员方法,构造方法和析构方法

    一 成员变量 成员变量是指类的一些属性定义,标志类的静态特征,它的基本格式如下: [访问修饰符][修饰符][类型][属性名称]= [初始值] 访问修饰符:public(公共的):protected(受 ...

  10. 《Java算法》排序算法-快速排序

    排序算法-快速排序: /** * 给定一个数组:按照从小到大排序. * 思路: * 1. 获取第一个数放入临时变量data,将大于data的数放右边,小于data的数放在左边. * 2. data左边 ...