GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Corregir todos los Usuarios Huérfanos de una Instancia de SQL Server


Una tarea algo habitual para un DBA de SQL Server es tener que corregir los Usuarios Huérfanos pertenecientes a Inicios de Sesión de SQL Server, como por ejemplo ocurre, al mover bases de datos entre Instancias de SQL Server sin utilizar sp_help_revlogin. El problema de los Usuarios Huérfanos (Orphaned Users) toma una mayor magnitud en el caso de migraciones y consolidaciones de Instancias y Bases de Datos SQL Server, momento en el que nos preguntamos ¿Cómo listar todos los Usuarios Huérfanos de una Instancia de SQL Server? ¿Cómo corregir todos los Usuarios Huérfanos de una Instancia de SQL Server? Esta claro que picarse una a una las llamadas a sp_change_users_login es un poco rollo.

No es una novedad la confusión que acarrea la diferencia entre Inicio de Sesión y Usuario en SQL Server, así como el conocido problema de los Usuarios Huérfanos (Orphaned Users) consistente en Usuarios de Base de Datos que no están asociados a ningún Inicios de Sesión.

El problema de los Usuarios Huérfanos, puede solucionarse principalmente de dos formas alternativas:

  • Utilizando el procedimiento almacenado de sp_help_revlogin para crear los Inicios de Sesión (a priori). Conforme se explica en el artículo de Microsoft How to transfer logins and passwords between instances of SQL Server, es posible generar los Scripts SQL de creación de los Inicios de Sesión con el mismo SID y Contraseña, utilizando los procedimientos almacenados sp_help_revlogin y sp_hexadecimal que proporciona Microsoft. Su utilización es muy sencilla, pues una vez creados los procedimientos almacenados sp_help_revlogin y sp_hexadecimal, simplemente es necesario ejecutar sp_help_revlogin desde una ventana de consulta. La salida de la ejecución de sp_help_revlogin serán las sentencias Transact-SQL para la creación de todos los Inicios de Sesión de la instancia, por lo tanto, podremos copiar la salida en una nueva ventana de consulta conectada contra la Instancia deseada, y ejecutar (bueno, yo revisaría previamente el código, por si existen Inicios de Sesión que no deseemos crear en el destino, revisar pertenencias a SysAdmin, etc.)

    De este modo, si tenemos que mover Bases de Datos entre Instancias, suele ser recomendable crear los Inicios de Sesión en el destino con el mismo SID (y en ocasiones con la misma password, como es el caso de las Migraciones y Consolidaciones), previniendo así la futura aparición de Usuarios Huérfanos (Orphaned Users).

    Esto no siempre es posible, pues si tenemos el mismo Inicio de Sesión en dos Instancias que queremos consolidar en una única Instancia, si ya en el origen se tienen los SID distintos, en el destino deberemos elegir un SID (o eso, o crear un SID diferente de los dos de origen), manteniendo el problema de los Usuarios Huérfanos.

  • Utilizando el procedimiento almacenado sp_change_users_login para asociar el Usuario Huérfano con el Inicio de Sesión deseado (a posteriori). Si nuestro escenario de partida, es que ya tenemos Usuarios Huérfanos (Orphaned Users), pues está claro que sólo nos queda solucionarlo, para lo cual podemos utilizar el procedimiento almacenado sp_change_users_login, cuyo detalle está explicado en la ayuda del producto (en los Libros en Pantalla o BOL - Books On Line).

En cualquier caso, el objetivo del presente artículo, no es volver a hablar de lo que ya hemos hablado en otras ocasiones, sino por el contrario, incluir un código Transact-SQL de ayuda para corregir todos los Usuarios Huérfanos de una Instancia de SQL Server, de utilidad en proyectos de Migración o Consolidación de Instancias y Bases de Datos SQL Server en los que no se utilizase previamente (o no se pueda utilizar) el procedimiento almacenado de Microsoft sp_help_revlogin.

En concreto, el código Transact-SQL que a continuación se incluye, permite almacenar en una tabla temporal todos los Usuarios Huérfanos, especificando el nombre de Usuario y el nombre de la Base de Datos. De este modo, seguidamente es posible comprobar si existe algún Inicio de Sesión con el mismo nombre de cada Usuario Huérfano, simplemente consultando dicha tabla temporal. Esta comprobación es de vital importancia, ya que nuestro objetivo, es el de asociar los Usuarios Huérfanos con los Inicios de Sesión de mismo nombre, dando por hecho que esta asociación es la correcta. De este modo, lo que haremos será generar como salida las sentencias sp_change_users_login necesarias para realizar esta asociación, corrigiendo así todos o casi todos los Usuarios Huérfanos. Quizás, la principal ventaja de este código, es que una vez que lo tenemos, podemos alterar este código Transact-SQL según nuestras necesidades, y así contemplar casuísticas especiales (utilización de prefijos o sufijos, etc.).

-- *** Identificar Usuarios Huérfanos, dejándolos en tabla temporal ***

CREATE TABLE #TMP_DBUSERS
(
   dbname varchar(256)
   ,dbuser varchar(256)
)

DECLARE curDBs CURSOR
READ_ONLY
FOR SELECT name FROM master..sysdatabases

DECLARE @name varchar(256)
OPEN curDBs

FETCH NEXT FROM curDBs INTO @name
WHILE (@@fetch_status <> -1)
BEGIN
   IF (@@fetch_status <> -2)
   BEGIN
      DECLARE @SQLquery AS VARCHAR(2048)
      SELECT @SQLquery = 'INSERT INTO #TMP_DBUSERS '
      SELECT @SQLquery = @SQLquery + 'SELECT ''' + @name + ''', name '
      SELECT @SQLquery = @SQLquery + 'FROM [' + @name + '].dbo.sysusers '
      SELECT @SQLquery = @SQLquery + 'where sid NOT IN (SELECT sid FROM master.dbo.syslogins) '
      SELECT @SQLquery = @SQLquery + 'AND islogin=1 '
      SELECT @SQLquery = @SQLquery + 'AND name not in (''INFORMATION_SCHEMA'', '
      SELECT @SQLquery = @SQLquery + '''sys'', ''guest'', ''dbo'', ''system_function_schema'')'

      EXEC(@SQLquery)
   END
   FETCH NEXT FROM curDBs INTO @name
END

CLOSE curDBs
DEALLOCATE curDBs
GO


-- *** Comprobar Usuarios Huérfanos
-- *** para los que existe un Login con el mismo nombre.
SELECT * FROM #TMP_DBUSERS
where dbuser in (select name from master..syslogins)

-- *** Comprobar Usuarios Huérfanos
-- *** para los que NO existe un Login con el mismo nombre.
-- *** PD: ostias, pedrín !!!
SELECT * FROM #TMP_DBUSERS
where dbuser not in (select name from master..syslogins)

-- *** Generar sentencias sp_change_users_login
-- *** para corregir los Usuarios Huérfanos con Inicio de Sesión conocido
-- *** PD: La salida de este Script, debe ejecutarse como otra Query
-- *** Revisar antes.
SELECT 'USE [' + dbname + ']; ' + CHAR(13)
      + 'EXEC sp_change_users_login ''Update_One'', ''' + dbuser + ''', ''' + dbuser + ''';'
FROM #TMP_DBUSERS
WHERE dbuser IN (select name from master..syslogins)

Por ultimo, aprovecho para colgar el anterior código en un fichero, para que quien quiera pueda descargarlo y probarlo cómodamente.

Descargar Script para Comprobar y Corregir Usuarios Huérfanos (Comprobar_Usuarios_Huerfanos.txt)

Como siempre, espero que os resulte de utilidad.
Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!


Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)



Copyright © 2007 GuilleSQL, todos los derechos reservados.