MSSQL添加管理账户操作指南，新手与专家分别如何执行？

最新相关消息：2024年7月，微软发布了SQL Server 2022的累积更新，其中包含对身份验证和安全功能的多项改进。近期，有安全研究机构报告称，针对数据库服务器的凭据窃取和权限提升攻击有所增加，提醒管理员在管理账户时需遵循最小权限原则并审计所有账户变更操作。

新手如何执行

如果你是刚开始接触MSSQL数据库管理，对图形化界面更熟悉，那么通过SQL Server Management Studio（SSMS）来添加账户是最直观的方法。首先，你需要使用现有的管理员账户（比如‘sa’）登录到SSMS。连接上服务器后，在左侧的‘对象资源管理器’中找到并展开你的服务器实例。接着，找到‘安全性’文件夹，右键点击‘登录名’，选择‘新建登录名’。

这时会弹出一个新窗口。在‘常规’页面，你需要为这个新管理账户设置一个唯一的‘登录名’。你可以选择两种方式：一种是‘Windows身份验证’，这意味着账户与Windows系统的用户或组绑定，通常在内网环境中使用更安全方便；另一种是‘SQL Server身份验证’，这是MSSQL自己管理的账户，你需要为它设置并确认一个强密码。

接下来是关键步骤：赋予管理员权限。在窗口左侧选择‘服务器角色’。你会看到一个列表，里面有很多角色，比如‘sysadmin’、‘securityadmin’等。对于完全的管理员账户，你需要勾选‘sysadmin’角色。这个角色拥有服务器上的最高权限，可以执行任何操作。然后，点击窗口底部的‘确定’按钮，这个新的管理账户就创建完成了。之后，你就可以用这个新账户名和密码登录SSMS，管理整个数据库服务器了。

专家如何执行

对于经验丰富的数据库管理员或开发人员，直接使用Transact-SQL（T-SQL）命令在查询窗口中执行是更高效、更易于脚本化和自动化的方式。这种方法让你能精确控制每一个参数，并且可以将命令保存在脚本中，方便重复使用或部署到多个服务器。

打开SSMS，点击‘新建查询’打开一个查询窗口。确保你当前连接使用的是具有管理员权限的账户。添加一个使用SQL Server身份验证的管理员账户，基本命令如下：

CREATE LOGIN [高级管理员] WITH PASSWORD = N‘YourStrongP@ssw0rd!’;

GO
ALTER SERVER ROLE sysadmin ADD MEMBER [高级管理员];
GO

第一行命令‘CREATE LOGIN’创建了一个名为‘高级管理员’的登录名，并指定了密码。密码需要用单引号括起来，前面的N是可选参数，表示使用Unicode字符。为了安全，密码应该复杂且足够长。第二行命令‘ALTER SERVER ROLE’将刚刚创建的登录名‘高级管理员’添加到了‘sysadmin’服务器角色中，从而赋予了它完全的管理权限。两个‘GO’命令是批处理分隔符，确保前面的命令执行完毕再执行后面的。

专家还会考虑更多安全性和管理细节。例如，他们可能会在创建登录名时强制要求密码策略和过期策略：在‘CREATE LOGIN’命令后加上‘MUST_CHANGE, CHECK_EXPIRATION=ON, CHECK_POLICY=ON’。他们也可能不会直接赋予‘sysadmin’角色，而是根据最小权限原则，只授予‘securityadmin’或‘processadmin’等更具体的角色，或者将账户添加到自定义的服务器角色中。所有操作都可以封装在脚本里，配合版本控制工具和自动化部署流水线，实现大规模、标准化的账户管理。

重要的安全提醒

无论你是新手还是专家，在添加管理账户时，安全都必须放在第一位。避免使用默认的‘sa’账户进行日常管理，应该为每个管理员创建独立的账户，这样便于审计追踪。对于SQL Server身份验证的账户，务必使用高强度、复杂的密码，并定期更换。除非必要，否则请遵循最小权限原则，不要轻易赋予‘sysadmin’权限。所有账户的创建、修改和删除操作都应该有记录和审批流程。完成后，务必测试新账户的登录和权限是否正常，并确保旧的不再使用的管理账户被及时禁用或删除。

引用来源：
1. 微软官方文档：SQL Server 2022 Security Guidance， 2024年更新。
2. SQL Server Management Studio (SSMS) 19.3 用户界面操作手册。
3. Transact-SQL 参考 (CREATE LOGIN, ALTER SERVER ROLE)， Microsoft Docs。
4. 数据库安全最佳实践白皮书， SANS Institute, 2023年版。