共用方式為


CREATE LOGIN (Transact-SQL)

建立 SQL Server、Windows Azure SQL Database 及 SQL Server PDW 的 Database Engine 登入。

[!附註]

CREATE LOGIN 選項會隨 SQL Server、SQL 資料庫 及 SQL Server PDW 而有所不同。

主題連結圖示 Transact-SQL 語法慣例

語法

-- Syntax for SQL Server
CREATE LOGIN login_name { WITH <option_list1> | FROM <sources> }

<option_list1> ::= 
    PASSWORD = { 'password' | hashed_password HASHED } [ MUST_CHANGE ]
    [ , <option_list2> [ ,... ] ]

<option_list2> ::=  
    SID = sid
    | DEFAULT_DATABASE = database    
    | DEFAULT_LANGUAGE = language
    | CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}
    | CREDENTIAL = credential_name  

<sources> ::=
    WINDOWS [ WITH <windows_options>[ ,... ] ]
    | CERTIFICATE certname
    | ASYMMETRIC KEY asym_key_name 

<windows_options> ::=      
    DEFAULT_DATABASE = database
    | DEFAULT_LANGUAGE = language

語法

-- Syntax for SQL Database
CREATE LOGIN login_name { WITH <option_list3> }

<option_list3> ::= 
    PASSWORD = { 'password' }

語法

-- Syntax for SQL Server PDW
CREATE LOGIN login_name { WITH <option_list4> }

< option_list4> ::= 
    PASSWORD = { 'password' } [ MUST_CHANGE ]
    [ , <option_list5> [ ,... ] ]

<option_list5> ::=  
      CHECK_EXPIRATION = { ON | OFF}
    | CHECK_POLICY = { ON | OFF}

引數

  • login_name
    指定建立的登入名稱。登入類型分為四種:SQL Server 登入、Windows 登入、憑證對應登入及非對稱金鑰對應登入。當您建立從 Windows 網域帳戶對應的登入時,對於 Windows 2000 之前版本的使用者登入名稱,您必須使用 [<domainName>\<login_name>] 格式。您無法使用 login_name@DomainName 格式的 UPN。如需範例,請參閱本主題稍後的範例 D。SQL Server 驗證登入屬於型別 sysname 類型,而且必須符合識別碼的規則,並不得包含 '\'。Windows 登入可以包含 '\'。

  • PASSWORD ='password'
    只適用於 SQL Server 登入。指定要建立的登入密碼。您應該使用增強式密碼。如需詳細資訊,請參閱<增強式密碼>和<密碼原則>。

    密碼會區分大小寫。密碼長度應該一律至少為 8 個字元,且不能超過 128 個字元。密碼可以包含 a-z、A-Z、0-9 及大多數非英數字元。密碼不能包含單引號或 login_name。

  • PASSWORD **=**hashed_password
    僅適用於 HASHED 關鍵字。指定要建立之登入的密碼雜湊值。

  • HASHED
    只適用於 SQL Server 登入。指定在 PASSWORD 引數之後輸入的密碼已雜湊處理。如果未選取這個選項,則輸入的密碼字串在儲存至資料庫之前會先雜湊處理。只有要在兩部伺服器之間移轉資料庫時,才應使用這個選項。請勿使用 HASHED 選項來建立新登入。HASHED 選項無法與 SQL Server 7 或更早版本所建立的雜湊搭配使用。

  • MUST_CHANGE
    只適用於 SQL Server 登入。如果有包含這個選項,第一次使用新登入時,SQL Server 會提示使用者輸入新密碼。

  • CREDENTIAL **=**credential_name
    對應到新 SQL Server 登入的認證名稱。認證必須已存在於伺服器中。目前這個選項只會將認證連結到登入。認證無法對應至 sa 登入。

  • SID = sid
    只適用於 SQL Server 登入。指定新 SQL Server 登入的 GUID。如果未選取這個選項,SQL Server 將自動指派 GUID。

  • DEFAULT_DATABASE **=**database
    指定要指派給登入的預設資料庫。如果不包括這個選項,預設資料庫將設為 master。

  • DEFAULT_LANGUAGE **=**language
    指定要指派給登入的預設語言。如果不包括這個選項,預設語言將設為伺服器的目前預設語言。如果伺服器的預設語言在未來有所變更,登入的預設語言會保持不變。

  • CHECK_EXPIRATION = { ON | OFF }
    只適用於 SQL Server 登入。指定是否應該對這個登入強制執行密碼逾期原則。預設值是 OFF。

  • CHECK_POLICY = { ON | OFF }
    只適用於 SQL Server 登入。指定應該在這項登入上強制使用執行 SQL Server 之電腦的 Windows 密碼原則。預設值是 ON。

    如果 Windows 原則要求增強式密碼,則密碼必須至少包含下列四個特性的其中三個:

    • 大寫字元 (A-Z)。

    • 小寫字元 (a-z)。

    • 數字 (0-9)。

    • 其中一個非英數字元,例如空格、_、@、*、^、%、!、$、# 或 &。

  • WINDOWS
    指定登入對應到 Windows 登入。

  • CERTIFICATE certname
    指定與這項登入相關聯的憑證名稱。這個憑證必須已存在於 master 資料庫中。

  • ASYMMETRIC KEY asym_key_name
    指定與這項登入相關聯的非對稱金鑰名稱。這個金鑰必須已存在於 master 資料庫中。

備註

密碼會區分大小寫。

僅當您建立 SQL Server 登入時,才支援預先雜湊處理密碼。

如果指定 MUST_CHANGE,則 CHECK_EXPIRATION 和 CHECK_POLICY 必須設為 ON。否則,陳述式便會失敗。

不支援 CHECK_POLICY = OFF 和 CHECK_EXPIRATION = ON 的結合。

當 CHECK_POLICY 設為 OFF 時,lockout_time 會重設,且 CHECK_EXPIRATION 會設為 OFF。

重要事項重要事項

CHECK_EXPIRATION 和 CHECK_POLICY 只會在 Windows Server 2003 和更新的版本中強制執行。如需詳細資訊,請參閱<密碼原則>。

從憑證或非對稱金鑰建立的登入只能用於程式碼簽章。它們不能用來連接到 SQL Server。僅當憑證或非對稱金鑰已存在於 master 時,您才能從憑證或非對稱金鑰中建立登入。

如需傳送登入的指令碼,請參閱如何在 SQL Server 2005 和 SQL Server 2008 的執行個體之間傳送登入和密碼

建立登入會自動啟用新登入,並授與登入伺服器層級的 CONNECT SQL 權限。

SQL 資料庫登入

在 SQL 資料庫 中,CREATE LOGIN 陳述式必須是批次中唯一的陳述式。

在連接至 SQL 資料庫 的一些方法中 (例如 sqlcmd),您必須使用 <login>@<server> 標記法,將 SQL 資料庫 伺服器名稱附加至連接字串中的登入名稱。例如,如果您的登入為 login1,且 SQL 資料庫 伺服器的完整名稱為 servername.database.windows.net,則連接字串的 username 參數應該是 login1@servername。由於 username 參數的總長度為 128 個字元,因此 login_name 的限制為 127 個字元減去伺服器名稱的長度。在此範例中,login_name 的長度只能是 117 個字元,因為 servername 為 10 個字元。

在 SQL 資料庫 中,您必須連接至 master 資料庫以建立登入。

如需有關 SQL 資料庫 登入的詳細資訊,請參閱管理 SQL Azure 中的資料庫和登入

權限

在 SQL Server 和 SQL Server PDW 中,需要伺服器的 ALTER ANY LOGIN 權限或安全性管理員 (securityadmin) 固定伺服器角色的成員資格。

在 SQL 資料庫 中,只有 master 資料庫中的伺服器層級主體登入 (由佈建程序所建立) 或 loginmanager 資料庫角色成員,才能建立新登入。

如果使用 CREDENTIAL 選項,則也需要伺服器的 ALTER ANY CREDENTIAL 權限。

後續步驟

建立登入之後,登入就可以連接到 Database Engine、SQL 資料庫 或 SQL Server PDW 應用裝置,但是只會取得 public 角色的權限。請考慮執行下列其中一些活動。

範例

A. 建立具有密碼的登入

適用於全部。

下列範例會針對特定的使用者建立登入,並指派密碼。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>';
GO

B. 建立具有密碼的登入

適用於 SQL Server 及 SQL Server PDW。

下列範例會針對特定的使用者建立登入,並指派密碼。MUST_CHANGE 選項需要使用者在第一次連接到伺服器時變更這個密碼。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>' MUST_CHANGE;
GO

C. 建立對應到認證的登入

適用於 SQL Server。

下列範例會針對特定使用者建立登入 (透過使用者)。此登入會對應到認證。

CREATE LOGIN <login_name> WITH PASSWORD = '<enterStrongPasswordHere>', 
    CREDENTIAL = <credentialName>;
GO

D. 從憑證建立登入

適用於 SQL Server。

下列範例會從 master 的憑證建立特定使用者的登入。

USE MASTER;
CREATE CERTIFICATE <certificateName>
    WITH SUBJECT = '<login_name> certificate in master database',
    EXPIRY_DATE = '12/05/2025';
GO
CREATE LOGIN <login_name> FROM CERTIFICATE <certificateName>;
GO

E. 從 Windows 網域帳戶建立登入

適用於 SQL Server。

下列範例會從 Windows 網域帳戶建立登入。

CREATE LOGIN [<domainName>\<login_name>] FROM WINDOWS;
GO

請參閱

參考

ALTER LOGIN (Transact-SQL)

DROP LOGIN (Transact-SQL)

EVENTDATA (Transact-SQL)

概念

主體 (Database Engine)

密碼原則

建立登入