主页 / dba / 问题 / 284443
Accepted
Elena2020
Asked: 2021-02-02 06:14:47 +0800 CST

SMO:在调用 TransferData() 时,登录名已经有一个使用不同用户名的帐户

  • 772

我需要实现以下要求。我已经设置了一个远程 sql server express,某些用户应该能够在远程服务器上创建数据库并分配其他用户对其进行访问(读、写)。用户只能看到他们创建的或他们拥有权限的数据库。

首先,我在远程服务器上创建了一个空数据库=> dbo for new database is x,然后我创建了一个不同的登录名:

USE [master]
GO
CREATE LOGIN [username] FROM WINDOWS WITH DEFAULT_DATABASE=[master], DEFAULT_LANGUAGE=[us_english]

然后拒绝查看任何数据库:

USE master;
GO
DENY VIEW ANY DATABASE TO [username]; 

然后创建新用户登录:

USE dbName; 
CREATE USER [username] FOR LOGIN [username] ;
GO

赋予数据库所有者角色:

EXEC sp_addrolemember 'db_owner', [username]

授予查看数据库的权限(这里有点棘手,因为在 ssms 中它可以查看所有数据库但它只能访问映射的数据库)

USE master GRANT VIEW ANY DATABASE TO [username];

现在在我给定的数据库上,我有 2 个用户,一个是用户名,另一个是 dbo,它映射到创建数据库的用户上,并且与用户名不同。

之后,我使用 SMO 将此数据库从远程服务器传输到本地主机,并在执行时transferDatabase.TransferData();收到以下错误“登录名已经有一个使用不同用户名的帐户。” 当我创建传输实例时,我还设置了属性 CopyAllUsers=true。

我怎样才能解决这个问题?

我发现如果我进行以下更改

USE [master]
GO
CREATE LOGIN [username] FROM WINDOWS WITH DEFAULT_DATABASE=[master], DEFAULT_LANGUAGE=[us_english]

然后拒绝查看任何数据库:

USE master;
GO
DENY VIEW ANY DATABASE TO [username]; 

USE master;
GO
ALTER AUTHORIZATION ON DATABASE::Dinesh TO [username];
GO

现在用户名只能在 ssms 中看到映射的数据库,并且传输可能会起作用。但是现在我无法区分数据库的第一个创建者和最近授予的用户。对于一个数据库,我应该将 dbowner 权限授予多个用户。

因此,如果我创建另一个登录名并执行:

USE master;
GO
ALTER AUTHORIZATION ON DATABASE::dbName TO [anotherUser];
GO

现在用户名无法访问数据库。

sql-server c#

2 个回答

  1. Best Answer

    首先,如果你两者都做:

    GRANT VIEW ANY DATABASE TO [username];


    DENY VIEW ANY DATABASE TO [username];

    仍然获胜,DENY因此授予它没有意义,这也是每个新登录的默认权限,因此无需再次授予它。

    dbo其次,您看不到数据库主体和固定数据库角色的任何成员之间的区别db_owner。当您使某个用户成为该用户的成员时,db_owner该用户拥有该数据库中所有可能的权限。但这与“在对象资源管理器中查看某些数据库”这一事实无关。

    要“查看”OE 中的任何数据库,登录应该具有view any database权限。登录而不是用户。因此,您的登录名可以没有view any database权限但仍然是db_owner角色的成员,在这种情况下,用户拥有该数据库中的所有权限,但它无法“看到”OE 中的任何数据库。

    Dbodatabase principal是一个特殊的principal,其中any sysadmin(即sysadmin服务器角色的成员)被映射,并且database的OWNER也被映射到dbo。alter authorization数据库的所有者是创建此数据库或通过执行语句分配为数据库所有者的唯一一个登录名:

    ALTER AUTHORIZATION ON DATABASE::Dinesh TO [username]

    这样,您将LOGIN用户名分配为该数据库的所有者。数据库的所有者当然是db_owner角色的成员,但反之则不然。DBO 将始终“看到”它在 OE 中拥有的数据库sysadmin

    对于你的问题:

    您收到的错误告诉您无法执行

    CREATE USER [username] FOR LOGIN [username]

    因为LOGIN用户名已经映射到这个数据库,如 dbo。因此,您无法将其重新映射到另一个用户名。

    如果您希望您的脚本运行没有错误,请将数据库所有者更改为任何其他登录名,例如sa登录名,这样username可以在此数据库中创建登录名。然后,如果您希望您的用户名成为数据库所有者,只需username从该数据库中删除您的用户并将授权更改为用户名,这样它将被映射到dbo.

    或者,如果您已经知道您希望此用户成为数据库所有者,username请在传输之前从您的数据库中删除该用户,并且它仍然存在于数据库中,因为它映射到dbo.

    因此,如果我创建另一个登录名并执行:

    使用大师;GO ALTER AUTHORIZATION ON DATABASE::dbName TO [anotherUser]; GO 现在用户名无法访问数据库。

    这是因为正如我上面解释的,数据库OWNER一次只能登录一个。如果你想让你的前任所有者访问这个数据库,你应该映射它:

    USE dbName; 
CREATE USER [username] FOR LOGIN [username] ;
GO

    sysadmin只有当它是或数据库时,您才需要将登录映射到数据库owner(我重复一遍,它只能是一个)。任何其他登录都应映射到数据库 ( create user for login) 以便访问它。

    • 0

  2. 我确信 sepupic 在详细的答案中涵盖了它。所以,简而言之:

    只有两种方法可以从登录中“隐藏”数据库:

    拒绝查看任何数据库。缺点是您看不到数据库,甚至看不到您可以访问的数据库。除了您(我们在这里谈论登录)拥有的那些。sys.databases 中的 owner_sid 列很重要。

    使用包含的身份验证(将数据库包含设置为 PARTIAL,您现在无需登录即可进入您的 SQL 服务器。您被沙箱化到您在连接字符串中指定的数据库。

    • 0

相关问题