Después de mover la base de datos (copia de seguridad, restaurar), tengo que volver a agregar el usuario


46

Ocasionalmente muevo una base de datos (SQL Express 2012) de una máquina de desarrollo a un servidor, o viceversa, usando la copia de seguridad y restauración de la base de datos en SQL Server Management Studio.

Cada vez que hago esto, las aplicaciones en la máquina de destino no pueden acceder a la base de datos hasta que elimine el usuario que usan, "george", de los usuarios de la base de datos (Base de datos, Seguridad, Usuarios en SQL Server Management Studio), y lo vuelvo a agregar como propietario bajo Seguridad, Inicios de sesión, george / properties, mapeo de usuarios.

¿Hay una mejor manera de hacer esto? Parece un poco complicado.


44
Los SID de los inicios de sesión no coinciden entre los servidores. Especifique manualmente el SID en la CREATE LOGINdeclaración.
Jon Seigel

Respuestas:


61

Esta es la diferencia entre los inicios de sesión y los usuarios y cómo se relacionan entre sí:

  • Inicios de sesión: entidades principales de nivel de instancia que permiten que una entidad se conecte a la instancia de SQL Server. No otorgan, por su naturaleza, ningún acceso a las bases de datos de la instancia. La excepción a esto es un inicio de sesión con derechos de administrador de sistemas que puede usar una base de datos porque son administradores de sistema, pero debido a los permisos de nivel de administrador de sistemas.
  • Usuarios: entidades principales de nivel de base de datos que permiten que una entidad se conecte a una base de datos de SQL Server. Los usuarios están asociados con los inicios de sesión a través de SID, creando una relación entre los dos y permitiendo que un inicio de sesión se conecte a la instancia y luego use el usuario asociado para conectarse a la base de datos.

Lo que sucede comúnmente con los inicios de sesión autenticados de SQL y los usuarios de la base de datos en una restauración es que el SIDS no estará sincronizado, rompiendo así la relación. Esta relación debe repararse antes de que pueda conectarse a la base de datos utilizando ese inicio de sesión, porque a los ojos de SQL Server esos principios ya no están conectados. Puede solucionar esto con el siguiente SQL:

ALTER USER [foo] WITH LOGIN=[foo]

Puede usar la siguiente consulta en el contexto de su base de datos para verificar si hay huérfanos:

select
    dp.name [user_name]
    ,dp.type_desc [user_type]
    ,isnull(sp.name,'Orhphaned!') [login_name]
    ,sp.type_desc [login_type]
from   
    sys.database_principals dp
    left join sys.server_principals sp on (dp.sid = sp.sid)
where
    dp.type in ('S','U','G')
    and dp.principal_id >4
order by sp.name

Aparece el error "Usuario de Windows NT o grupo 'ca-v2-staging' no encontrado. Verifique el nombre nuevamente". cuando ejecuta su primera consulta, la segunda consulta funciona bien y devuelve el usuario sql perdido "ca-v2-staging".
Tomás

3

Podrías considerar cambiar la base de datos a una base de datos contenida . Los usuarios de la base de datos contenidos son autenticados por la base de datos, no a nivel de instancia a través del inicio de sesión. Hace que mover la base de datos a una instancia diferente sea más simple.

De lo contrario, puede hacer una copia de seguridad de la información de inicio de sesión utilizando los scripts sp_help_revlogin proporcionados en este KB de soporte de Microsoft . Y ejecute el script de salida en la nueva instancia.


3

Utilizo el siguiente script para migrar / crear las cuentas de usuario y los inicios de sesión. Ejecútelo desde el servidor en el que ha restaurado la base de datos y proporcione el nombre del servidor original como parámetro del procedimiento.

No tomo ningún crédito por el procedimiento, ya que lo obtuve de otro lado, pero funciona bien.

USE [master]
GO
/****** Object:  StoredProcedure [dbo].[stp_Admin_ReplicateUserLogins]    Script Date: 10/29/2015 08:22:43 ******/
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO


ALTER Procedure [dbo].[stp_Admin_ReplicateUserLogins] --'OriginalSourceDatabase', 1
    @PartnerServer sysname,
    @Debug bit = 0 -- 0 = Create Users, 1 = Display SQL command but doesn't execute query.
As

Declare @MaxID int,
    @CurrID int,
    @SQL nvarchar(max),
    @LoginName sysname,
    @IsDisabled int,
    @Type char(1),
    @SID varbinary(85),
    @SIDString nvarchar(100),
    @PasswordHash varbinary(256),
    @PasswordHashString nvarchar(300),
    @RoleName sysname,
    @Machine sysname,
    @PermState nvarchar(60),
    @PermName sysname,
    @Class tinyint,
    @MajorID int,
    @ErrNumber int,
    @ErrSeverity int,
    @ErrState int,
    @ErrProcedure sysname,
    @ErrLine int,
    @ErrMsg nvarchar(2048)
Declare @Logins Table (LoginID int identity(1, 1) not null primary key,
                        [Name] sysname not null,
                        [SID] varbinary(85) not null,
                        IsDisabled int not null,
                        [Type] char(1) not null,
                        PasswordHash varbinary(256) null)
Declare @Roles Table (RoleID int identity(1, 1) not null primary key,
                    RoleName sysname not null,
                    LoginName sysname not null)
Declare @Perms Table (PermID int identity(1, 1) not null primary key,
                    LoginName sysname not null,
                    PermState nvarchar(60) not null,
                    PermName sysname not null,
                    Class tinyint not null,
                    ClassDesc nvarchar(60) not null,
                    MajorID int not null,
                    SubLoginName sysname null,
                    SubEndPointName sysname null)

Set NoCount On;

If CharIndex('\', @PartnerServer) > 0
  Begin
    Set @Machine = LEFT(@PartnerServer, CharIndex('\', @PartnerServer) - 1);
  End
Else
  Begin
    Set @Machine = @PartnerServer;
  End

-- Get all Windows logins from principal server
Set @SQL = 'Select P.name, P.sid, P.is_disabled, P.type, L.password_hash' + CHAR(10) +
        'From ' + QUOTENAME(@PartnerServer) + '.master.sys.server_principals P' + CHAR(10) +
        'Left Join ' + QUOTENAME(@PartnerServer) + '.master.sys.sql_logins L On L.principal_id = P.principal_id' + CHAR(10) +
        'Where P.type In (''U'', ''G'', ''S'')' + CHAR(10) +
        'And P.name <> ''sa''' + CHAR(10) +
        'And P.name Not Like ''##%''' + CHAR(10) +
        'and P.Name Not like ''NT SERVICE%''' + CHAR(10) +
        'And CharIndex(''' + @Machine + '\'', P.name) = 0;';

Insert Into @Logins (Name, SID, IsDisabled, Type, PasswordHash)
Exec sp_executesql @SQL;

-- Get all roles from principal server
Set @SQL = 'Select RoleP.name, LoginP.name' + CHAR(10) +
        'From ' + QUOTENAME(@PartnerServer) + '.master.sys.server_role_members RM' + CHAR(10) +
        'Inner Join ' + QUOTENAME(@PartnerServer) + '.master.sys.server_principals RoleP' +
        CHAR(10) + char(9) + 'On RoleP.principal_id = RM.role_principal_id' + CHAR(10) +
        'Inner Join ' + QUOTENAME(@PartnerServer) + '.master.sys.server_principals LoginP' +
        CHAR(10) + char(9) + 'On LoginP.principal_id = RM.member_principal_id' + CHAR(10) +
        'Where LoginP.type In (''U'', ''G'', ''S'')' + CHAR(10) +
        'And LoginP.name <> ''sa''' + CHAR(10) +
        'And LoginP.name Not Like ''##%''' + CHAR(10) +
        'And LoginP.name Not Like ''NT SERVICE%''' + CHAR(10) +
        'And RoleP.type = ''R''' + CHAR(10) +
        'And CharIndex(''' + @Machine + '\'', LoginP.name) = 0;';

Insert Into @Roles (RoleName, LoginName)
Exec sp_executesql @SQL;

-- Get all explicitly granted permissions
Set @SQL = 'Select P.name Collate database_default,' + CHAR(10) +
        '   SP.state_desc, SP.permission_name, SP.class, SP.class_desc, SP.major_id,' + CHAR(10) +
        '   SubP.name Collate database_default,' + CHAR(10) +
        '   SubEP.name Collate database_default' + CHAR(10) +
        'From ' + QUOTENAME(@PartnerServer) + '.master.sys.server_principals P' + CHAR(10) +
        'Inner Join ' + QUOTENAME(@PartnerServer) + '.master.sys.server_permissions SP' + CHAR(10) +
        CHAR(9) + 'On SP.grantee_principal_id = P.principal_id' + CHAR(10) +
        'Left Join ' + QUOTENAME(@PartnerServer) + '.master.sys.server_principals SubP' + CHAR(10) +
        CHAR(9) + 'On SubP.principal_id = SP.major_id And SP.class = 101' + CHAR(10) +
        'Left Join ' + QUOTENAME(@PartnerServer) + '.master.sys.endpoints SubEP' + CHAR(10) +
        CHAR(9) + 'On SubEP.endpoint_id = SP.major_id And SP.class = 105' + CHAR(10) +
        'Where P.type In (''U'', ''G'', ''S'')' + CHAR(10) +
        'And P.name <> ''sa''' + CHAR(10) +
        'And P.name Not Like ''##%''' + CHAR(10) +
        'And P.name Not Like ''NT SERVICE%''' + CHAR(10) +
        'And CharIndex(''' + @Machine + '\'', P.name) = 0;'

Insert Into @Perms (LoginName, PermState, PermName, Class, ClassDesc, MajorID, SubLoginName, SubEndPointName)
Exec sp_executesql @SQL;



Select @MaxID = Max(LoginID), @CurrID = 1
From @Logins;

While @CurrID <= @MaxID
  Begin
    Select @LoginName = Name,
        @IsDisabled = IsDisabled,
        @Type = [Type],
        @SID = [SID],
        @PasswordHash = PasswordHash
    From @Logins
    Where LoginID = @CurrID;

    If Not Exists (Select 1 From sys.server_principals
                Where name = @LoginName)
      Begin
        Set @SQL = 'Create Login ' + quotename(@LoginName)
        If @Type In ('U', 'G')
          Begin
            Set @SQL = @SQL + ' From Windows;'
          End
        Else
          Begin
            Set @PasswordHashString = '0x' +
                Cast('' As XML).value('xs:hexBinary(sql:variable("@PasswordHash"))', 'nvarchar(300)');

            Set @SQL = @SQL + ' With Password = ' + @PasswordHashString + ' HASHED, ';

            Set @SIDString = '0x' +
                Cast('' As XML).value('xs:hexBinary(sql:variable("@SID"))', 'nvarchar(100)');
            Set @SQL = @SQL + 'SID = ' + @SIDString + ';';
          End

        If @Debug = 0
          Begin
            Begin Try
                Exec sp_executesql @SQL;
            End Try
            Begin Catch
                Set @ErrNumber = ERROR_NUMBER();
                Set @ErrSeverity = ERROR_SEVERITY();
                Set @ErrState = ERROR_STATE();
                Set @ErrProcedure = ERROR_PROCEDURE();
                Set @ErrLine = ERROR_LINE();
                Set @ErrMsg = ERROR_MESSAGE();
                RaisError(@ErrMsg, 1, 1);
            End Catch
          End
        Else
          Begin
            Print @SQL;
          End

        If @IsDisabled = 1
          Begin
            Set @SQL = 'Alter Login ' + quotename(@LoginName) + ' Disable;'
            If @Debug = 0
              Begin
                Begin Try
                    Exec sp_executesql @SQL;
                End Try
                Begin Catch
                    Set @ErrNumber = ERROR_NUMBER();
                    Set @ErrSeverity = ERROR_SEVERITY();
                    Set @ErrState = ERROR_STATE();
                    Set @ErrProcedure = ERROR_PROCEDURE();
                    Set @ErrLine = ERROR_LINE();
                    Set @ErrMsg = ERROR_MESSAGE();
                    RaisError(@ErrMsg, 1, 1);
                End Catch
              End
            Else
              Begin
                Print @SQL;
              End
          End
        End
    Set @CurrID = @CurrID + 1;
  End

Select @MaxID = Max(RoleID), @CurrID = 1
From @Roles;

While @CurrID <= @MaxID
  Begin
    Select @LoginName = LoginName,
        @RoleName = RoleName
    From @Roles
    Where RoleID = @CurrID;

    If Not Exists (Select 1 From sys.server_role_members RM
                Inner Join sys.server_principals RoleP
                    On RoleP.principal_id = RM.role_principal_id
                Inner Join sys.server_principals LoginP
                    On LoginP.principal_id = RM.member_principal_id
                Where LoginP.type In ('U', 'G', 'S')
                And RoleP.type = 'R'
                And RoleP.name = @RoleName
                And LoginP.name = @LoginName)
      Begin
        If @Debug = 0
          Begin
            Exec sp_addsrvrolemember @rolename = @RoleName,
                            @loginame = @LoginName;
          End
        Else
          Begin
            Print 'Exec sp_addsrvrolemember @rolename = ''' + @RoleName + ''',';
            Print '     @loginame = ''' + @LoginName + ''';';
          End
      End

    Set @CurrID = @CurrID + 1;
  End

Select @MaxID = Max(PermID), @CurrID = 1
From @Perms;

While @CurrID <= @MaxID
  Begin
    Select @PermState = PermState,
        @PermName = PermName,
        @Class = Class,
        @LoginName = LoginName,
        @MajorID = MajorID,
        @SQL = PermState + space(1) + PermName + SPACE(1) +
            Case Class When 101 Then 'On Login::' + QUOTENAME(SubLoginName)
                    When 105 Then 'On ' + ClassDesc + '::' + QUOTENAME(SubEndPointName)
                    Else '' End +
            ' To ' + QUOTENAME(LoginName) + ';'
    From @Perms
    Where PermID = @CurrID;

    If Not Exists (Select 1 From sys.server_principals P
                Inner Join sys.server_permissions SP On SP.grantee_principal_id = P.principal_id
                Where SP.state_desc = @PermState
                And SP.permission_name = @PermName
                And SP.class = @Class
                And P.name = @LoginName
                And SP.major_id = @MajorID)
      Begin
        If @Debug = 0
          Begin
            Begin Try
                Exec sp_executesql @SQL;
            End Try
            Begin Catch
                Set @ErrNumber = ERROR_NUMBER();
                Set @ErrSeverity = ERROR_SEVERITY();
                Set @ErrState = ERROR_STATE();
                Set @ErrProcedure = ERROR_PROCEDURE();
                Set @ErrLine = ERROR_LINE();
                Set @ErrMsg = ERROR_MESSAGE();
                RaisError(@ErrMsg, 1, 1);
            End Catch
          End
        Else
          Begin
            Print @SQL;
          End
      End

    Set @CurrID = @CurrID + 1;
  End


Set NoCount Off;

"Ejecútelo desde el servidor en el que ha restaurado la base de datos y proporcione el nombre original del servidor como parámetro del procedimiento". Gracias, y ¿cómo se "proporciona el nombre del servidor original como un parámetro para el procedimiento" exactamente?

3

Aquí hay una solución que funcionó para mí. Lo que hace es:

  1. Lista de usuarios huérfanos: EXEC sp_change_users_login 'REPORT'
  2. Repara los usuarios: EXEC sp_change_users_login 'UPDATE_ONE','<userName>','<userName>'

1

Siempre puede intentar volver a vincular a todos los usuarios de la base de datos a inicios de sesión con nombres similares en el servidor de la base de datos.

ALTER 
    AUTHORIZATION
    ON 
        SCHEMA::db_owner
    TO 
        dbo
GO

DECLARE @username VARCHAR(64)
DECLARE @sql nvarchar(max)

DECLARE 
    UserCursor 
CURSOR FOR 
    SELECT 
        [name]
    FROM 
        sysusers
    WHERE 
        [name] NOT IN('dbo','guest','INFORMATION_SCHEMA','sys','public')
        AND 
        LEFT([name],3) <> 'db_' 
        AND 
        [name] NOT LIKE '%]%'

OPEN 
    UserCursor
FETCH NEXT 
FROM 
    UserCursor 
    INTO 
        @username
WHILE @@fetch_status <> -1
BEGIN
    SET @sql = 'ALTER USER [' + @username + '] WITH LOGIN=[' + @username + ']'
    PRINT @sql
    EXEC dbo.sp_executesql @sql;
    FETCH NEXT 
    FROM 
        UserCursor
        INTO 
            @username
END
CLOSE UserCursor
DEALLOCATE UserCursor

0

Pensé que valía la pena señalar esta simple solución al problema de los carteles. Este es el script que ejecuto en SQL Server 2008 cuando restauro una base de datos de producción de un servidor a la base de datos de desarrollo / prueba en otro servidor CUANDO el nombre de usuario está en Seguridad> Usuarios de la base de datos PERO 'login name'falta en la propiedad de los usuarios en el Pestaña General:

EXEC sp_change_users_login 'Auto_Fix','missingloginnamehere', NULL, 'passwordgoeshere';

Referencia de MSDN aquí Tenga en cuenta que el artículo recomienda utilizar ALTER USER en su lugar para las versiones más recientes de SQL.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.