Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
SQL ServerAzure SQL DatabaseAzure SQL Managed InstanceAzure Synapse AnalyticsAnalytics Platform System (PDW)
I den här artikeln beskrivs hur du skapar en inloggning i SQL Server eller Azure SQL Database med hjälp av SQL Server Management Studio (SSMS) eller Transact-SQL. En inloggning är identiteten för den person eller process som ansluter till en instans av SQL Server.
Anmärkning
Microsoft Entra-ID kallades tidigare Azure Active Directory (Azure AD).
Bakgrund
En inloggning är ett säkerhetsobjekt eller en entitet som kan autentiseras av ett säkert system. Användare behöver en inloggning för att ansluta till SQL Server. Du kan skapa en inloggning baserat på ett Windows-huvudnamn (till exempel en domänanvändare eller en Windows-domängrupp) eller skapa en inloggning som inte baseras på ett Windows-huvudnamn (till exempel en SQL Server-inloggning).
Från och med SQL Server 2012 (11.x) använde SQL Server och Azure SQL DB en SHA-512-hash i kombination med ett 32-bitars slumpmässigt och unikt salt. Den här metoden gjorde det statistiskt omöjligt för angripare att härleda lösenord.
Förhandsversionen av SQL Server 2025 (17.x) introducerar en itererad hashalgoritm, RFC2898, även kallad en lösenordsbaserad nyckelhärledningsfunktion (PBKDF). Den här algoritmen använder fortfarande SHA-512 men hashar lösenordet flera gånger (100 000 iterationer), vilket avsevärt saktar ner brute-force-attacker. Den här ändringen förbättrar lösenordsskyddet som svar på växande säkerhetshot och hjälper kunderna att följa NIST SP 800-63b-riktlinjerna. Den här säkerhetsförbättringen använder en starkare hash-algoritm, vilket kan öka inloggningstiden något för SQL-autentiseringsinloggningar. Effekten är vanligtvis lägre i miljöer med anslutningspooler, men kan vara mer märkbar i scenarier utan poolning eller där inloggningsfördröjning övervakas noggrant.
Anmärkning
Om du vill använda SQL Server-autentisering måste databasmotorn använda autentisering i blandat läge. Mer information finns i Välja ett autentiseringsläge.
Azure SQL har introducerat Microsoft Entra-serverhuvudkonton (inloggningar) som ska användas för att autentisera till Azure SQL Database, Azure SQL Managed Instance och Azure Synapse Analytics (endast dedikerade SQL-pooler).
SQL Server 2022 introducerar även Microsoft Entra-autentisering för SQL Server.
Som säkerhetsprincip kan behörigheter beviljas till inloggningar. Omfånget för en inloggning är hela databasmotorn. Om du vill ansluta till en specifik databas på SQL Server-instansen måste en inloggning mappas till en databasanvändare. Behörigheter i databasen beviljas och nekas till databasanvändaren, inte inloggningen. Behörigheter som omfattar hela SQL Server-instansen (till exempel CREATE ENDPOINT-tillståndet) kan tilldelas en inloggning.
Anmärkning
När en användare loggar in till SQL Server verifieras identiteten master i databasen. Använd oberoende databasanvändare för att autentisera SQL Server- och SQL Database-anslutningar på databasnivå. När du använder oberoende databasanvändare krävs ingen inloggning. En innesluten databas är en databas som är isolerad från andra databaser och från instansen av SQL Server eller SQL Database (och master databasen) som är värd för databasen. SQL Server stöder oberoende databasanvändare för både Windows- och SQL Server-autentisering. När du använder SQL Database kombinerar du oberoende databasanvändare med brandväggsregler på databasnivå. Mer information finns i Gör databasen portabel med hjälp av inneslutna databaser.
Behörigheter
SQL Server kräver ALTER ANY LOGIN eller ALTER LOGIN-behörighet på servern eller den fasta serverrollen ##MS_LoginManager## (SQL Server 2022 och senare).
SQL Database kräver medlemskap i rollen loginmanager eller den fasta serverrollen ##MS_LoginManager##.
Skapa en inloggning med SSMS för SQL Server
I Object Explorer expanderar du mappen för den serverinstans där du vill skapa den nya inloggningen.
Högerklicka på mappen Säkerhet , peka på Ny och välj Logga in....
I dialogrutan Inloggning – ny går du till sidan Allmänt och anger namnet på en användare i rutan Inloggningsnamn . Alternativt väljer du Sök... för att öppna dialogrutan Välj användare eller grupp .
Anmärkning
Vissa portar måste tillåtas kommunicera med domänkontrollanten om du söker efter ett Windows-huvudnamn. Om du har problem med att få resultat för sökningen kan du läsa Tjänstöversikt och nätverksportkrav för Windows.
Om du väljer Sök...:
Under Välj den här objekttypen väljer du Objekttyper... för att öppna dialogrutan Objekttyper och välj något eller alla av följande: Inbyggda säkerhetsobjekt, grupper och användare. Inbyggda säkerhetsobjekt och Användare väljs som standard. När du är klar väljer du OK.
Under Från den här platsen väljer du Platser... för att öppna dialogrutan Platser och välja en av de tillgängliga serverplatserna. När du är klar väljer du OK.
Under Ange det objektnamn som ska väljas (exempel)anger du det användar- eller gruppnamn som du vill hitta. Mer information finns i dialogrutan Välj användare, datorer eller grupper.
Välj Avancerat... för mer avancerade sökalternativ. Mer information finns i dialogrutan Välj användare, datorer eller grupper – Avancerad sida.
Välj OK.
Om du vill skapa en inloggning baserat på ett Windows-huvudnamn väljer du Windows-autentisering. Det här är standardvalet.
Om du vill skapa en inloggning som sparas i en SQL Server-databas väljer du SQL Server-autentisering.
I rutan Lösenord anger du ett lösenord för den nya användaren. Ange lösenordet igen i rutan Bekräfta lösenord .
När du ändrar ett befintligt lösenord väljer du Ange gammalt lösenord och skriver sedan det gamla lösenordet i rutan Gammalt lösenord .
Om du vill verkställa alternativ för lösenordspolicy för komplexitet och genomdrivande väljer du Verkställ lösenordspolicy. Mer information finns i lösenordsprincip. Det här är ett standardalternativ när SQL Server-autentisering väljs.
Om du vill framtvinga alternativ för lösenordsprinciper för förfallotid väljer du Framtvinga förfallodatum för lösenord. Framtvinga lösenordsprincip måste markeras för att aktivera den här kryssrutan. Det här är ett standardalternativ när SQL Server-autentisering väljs.
Om du vill tvinga användaren att skapa ett nytt lösenord efter första gången inloggningen används väljer du Användaren måste ändra lösenordet vid nästa inloggning. Tvinga lösenordsutgång måste väljas för att aktivera den här kryssrutan. Det här är ett standardalternativ när SQL Server-autentisering väljs.
Om du vill associera inloggningen med ett fristående säkerhetscertifikat väljer du Mappat till certifikat och väljer sedan namnet på ett befintligt certifikat i listan.
Om du vill associera inloggningen med en fristående asymmetrisk nyckel, välj Mappad till asymmetrisk nyckel och välj sedan namnet på en befintlig nyckel i listan.
Om du vill associera inloggningen med en säkerhetsautentiseringsuppgift markerar du kryssrutan Mappad till autentiseringsuppgifter och väljer sedan en befintlig autentiseringsuppgift i listan eller väljer Lägg till för att skapa en ny autentiseringsuppgift. Om du vill ta bort en mappning till en säkerhetsautentiseringsuppgift från inloggningen väljer du autentiseringsuppgifterna från Mappade autentiseringsuppgifter och väljer Ta bort. Mer information om autentiseringsuppgifter i allmänhet finns i Autentiseringsuppgifter (databasmotor).
I listan Standarddatabas väljer du en standarddatabas för inloggningen.
masterär standardvärdet för det här alternativet.I listan Standardspråk väljer du ett standardspråk för inloggningen.
Välj OK.
Ytterligare alternativ
Dialogrutan Inloggning – ny innehåller även alternativ på fyra andra sidor: Serverroller, Användarmappning, Skyddsbara objekt och Status.
Serverroller
Anmärkning
Dessa serverroller är inte tillgängliga för SQL Database. Det finns fasta roller på servernivå för SQL Database. Mer information finns i Azure SQL Database-serverroller för behörighetshantering.
På sidan Serverroller visas alla möjliga roller som kan tilldelas till den nya inloggningen. Följande alternativ är tillgängliga:
kryssrutan bulkadmin
Medlemmar i den fasta bulkadmin-serverrollen kan köra BULK INSERT-instruktionen.
kryssruta dbcreator
Medlemmar i den fasta serverrollen dbcreator kan skapa, ändra, släppa och återställa valfri databas.
diskadmin kryssruta
Medlemmar i den fasta diskadmin-serverrollen kan hantera diskfiler.
processadmin kryssruta
Medlemmar i den fasta serverrollen processadmin kan avsluta processer som körs i en instans av databasmotorn.
offentlig kryssruta
Alla SQL Server-användare, grupper och roller tillhör den offentliga fasta serverrollen som standard.
kryssrutan securityadmin
Medlemmar i den fasta serverrollen securityadmin hanterar inloggningar och deras egenskaper. De kan bevilja, NEKA och ÅTERKALLA behörigheter på servernivå. De kan också bevilja, NEKA och ÅTERKALLA behörigheter på databasnivå. Dessutom kan de återställa lösenord för SQL Server-inloggningar.
serveradmin-kryssrutan
Medlemmar i serverdmins fasta serverroll kan ändra konfigurationsalternativ för hela servern och stänga av servern.
markera kryssrutan setupadmin
Medlemmar i den fasta serverrollen setupadmin kan lägga till och ta bort länkade servrar, och de kan köra vissa system lagrade procedurer.
sysadmin-kryssruta
Medlemmar i den fasta serverrollen sysadmin kan utföra valfri aktivitet i databasmotorn.
Användarkartläggning
På sidan Användarmappning visas alla möjliga databaser och databasrollmedlemskap i de databaser som kan tillämpas på inloggningen. De valda databaserna avgör vilka rollmedlemskap som är tillgängliga för inloggningen. Följande alternativ är tillgängliga på den här sidan:
Användare som är kopplade till det här inloggnings-ID:t
Välj de databaser som den här inloggningen kan komma åt. När du väljer en databas visas dess giltiga databasroller i fönstret Databasrollmedlemskap för:database_name .
Karta
Tillåt inloggningen att komma åt databaserna som anges nedan.
Databas
Visar en lista över tillgängliga databaser på servern.
Användare
Ange en databasanvändare som ska mappas till inloggningen. Som standard har databasanvändaren samma namn som inloggningen.
standardschema
Anger användarens standardschema. När en användare först skapas är standardschemat dbo. Det går att ange ett standardschema som ännu inte finns. Du kan inte ange ett standardschema för en användare som är mappad till en Windows-grupp, ett certifikat eller en asymmetrisk nyckel.
Gästkonto aktiverat för:database_name
Skrivskyddat attribut som anger om gästkontot är aktiverat i den valda databasen. Använd sidan Status i dialogrutan Inloggningsegenskaper i gästkontot för att aktivera eller inaktivera gästkontot.
Databasrollmedlemskap för:database_name
Välj roller för användaren i den angivna databasen. Alla användare är medlemmar i den offentliga rollen i varje databas och kan inte tas bort. Mer information om databasroller finns i Roller på databasnivå.
Skyddsobjekt
Sidan Securables visar alla möjliga säkerhetsobjekt och behörigheter för de säkerhetsobjekt som kan tilldelas inloggningen. Följande alternativ är tillgängliga på den här sidan:
Övre rutnät
Innehåller ett eller flera objekt som behörigheter kan anges för. Kolumnerna som visas varierar beroende på huvudansvarig eller säkerhetsobjekt i den övre tabellen.
Så här lägger du till objekt i det övre rutnätet:
Välj Sök.
I dialogrutan Lägg till objekt väljer du något av följande alternativ: Specifika objekt..., Alla objekt av typen...eller Servernserver_name. Välj OK.
Anmärkning
Om du väljer Servernserver_name fylls det övre rutnätet automatiskt med alla servrarnas skyddsbara objekt.
Om du väljer Specifika objekt...:
I dialogrutan Välj objekt går du till Välj dessa objekttyper och väljer Objekttyper....
I dialogrutan Välj objekttyper väljer du någon eller alla av följande objekttyper: Slutpunkter, inloggningar, servrar, tillgänglighetsgrupper och serverroller. Välj OK.
Under Ange de objektnamn som ska väljas (exempel)väljer du Bläddra....
I dialogrutan Bläddra efter objekt väljer du något av de tillgängliga objekten av den typ som du valde i dialogrutan Välj objekttyper och väljer sedan OK.
I dialogrutan Välj objekt väljer du OK.
Om du väljer Alla objekt av typerna... i dialogrutan Välj objekttyper väljer du någon eller alla av följande objekttyper: Slutpunkter, inloggningar, servrar, tillgänglighetsgrupper och serverroller. Välj OK.
Namn
Namnet på varje huvudman eller säkerhetsobjekt som läggs till i rutnätet.
Typ
Beskriver typen av varje objekt.
Explicit tab
Visar en lista över möjliga behörigheter för den skyddsbara som har valts i det övre rutnätet. Alla alternativ är inte tillgängliga för alla explicita behörigheter.
behörigheter
Namnet på behörigheten.
Beviljaren
Den ansvarige som beviljade tillståndet.
Bevilja
Välj för att ge den här behörigheten till inloggningen. Avmarkera om du vill återkalla den här behörigheten.
Med Grant
Återspeglar statusen för valet WITH GRANT för den listade behörigheten. Den här rutan är skrivskyddad. För att tillämpa den här behörigheten, använd GRANT-instruktionen.
Neka
Välj för att neka denna behörighet till inloggningen. Avmarkera om du vill återkalla den här behörigheten.
Läge
På sidan Status visas några av de autentiserings- och auktoriseringsalternativ som kan konfigureras vid den valda SQL Server-inloggningen.
Följande alternativ är tillgängliga på den här sidan:
Behörighet att ansluta till databasmotorn
När du arbetar med den här inställningen bör du se den valda inloggningsprincipalen som ett huvudobjekt som kan beviljas eller nekas behörighet för ett säkerhetsobjekt.
Välj Bevilja för att bevilja CONNECT SQL-behörighet till inloggningen. Välj Neka för att neka CONNECT SQL till inloggningen.
Inloggning
När du arbetar med den här inställningen bör du tänka på den valda inloggningen som en post i en tabell. Ändringar i värdena som anges här kommer att tillämpas på posten.
En inloggning som har inaktiverats fortsätter att finnas som en registrering. Men om den försöker ansluta till SQL Server autentiseras inte inloggningen.
Välj det här alternativet om du vill aktivera eller inaktivera den här inloggningen. Det här alternativet använder -instruktionen ALTER LOGIN med alternativet AKTIVERA eller INAKTIVERA.
SQL Server-autentisering
Kryssrutan Inloggning är låst är endast tillgänglig om den valda inloggningen ansluter med SQL Server-autentisering och inloggningen har låsts ut. Den här inställningen är skrivskyddad. Om du vill låsa upp en inloggning som är utelåst kör du ALTER LOGIN med alternativet LÅS UPP.
Skapa en inloggning med Windows-autentisering med T-SQL
I Object Exploreransluter du till en instans av databasmotorn.
I standardfältet väljer du Ny fråga.
Kopiera och klistra in följande exempel i frågefönstret och välj Kör.
-- Create a login for SQL Server by specifying a server name and a Windows domain account name. CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS; GO
Skapa en inloggning med SQL Server-autentisering med T-SQL
I Object Exploreransluter du till en instans av databasmotorn.
I standardfältet väljer du Ny fråga.
Kopiera och klistra in följande exempel i frågefönstret och välj Kör.
-- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty" -- The user login starts with the password "Baz1nga," but that password must be changed after the first login. CREATE LOGIN shcooper WITH PASSWORD = 'Baz1nga' MUST_CHANGE, CREDENTIAL = RestrictedFaculty; GO
Mer information finns i SKAPA INLOGGNING.
Följ upp: Steg att vidta när du har skapat en inloggning
Inloggningen kan ansluta till SQL Server när du har skapat en inloggning, men har inte nödvändigtvis tillräcklig behörighet för att utföra något användbart arbete. Följande lista innehåller länkar till vanliga inloggningsåtgärder.
För att inloggningen ska ansluta till en roll, se Join a Role (Ansluta till en roll).
Information om hur du auktoriserar en inloggning för att använda en databas finns i Skapa en databasanvändare.
Information om hur du beviljar en behörighet till en inloggning finns i Bevilja en behörighet till en inloggning.