如果有许多用户,则DROP USER将花费太长时间

11

在具有足够RAM和快速磁盘的SQL Server 2014实例上,有160多个用户可以访问数据库。由于某些我不知道的原因,DROP USER [username]在此数据库中运行该命令每个用户最多需要5秒钟。

重新映射用户以登录并恢复其权限非常快。

在从生产中刷新DEV数据库的上下文中,我必须删除并重新创建所有数据库用户。因此,必须删除数据库用户并重新创建它们。

如何加快DROP USER命令速度?

请记住,对于我正在写的实例,我必须运行160次以上。

这是我正在使用的SQL:

DECLARE drop_user_cur CURSOR FOR 
SELECT name FROM #drop_users

OPEN drop_user_cur
FETCH NEXT FROM drop_user_cur INTO @user

WHILE @@FETCH_STATUS = 0
BEGIN
    SET @sql = 'use [' + @db_name + '] DROP USER [' + @user + ']'
    BEGIN TRY
        print @sql
        EXECUTE(@sql)
    END TRY
    BEGIN CATCH
        print 'ERREUR : ' + @sql
    END CATCH
    FETCH NEXT FROM drop_user_cur INTO @user
END

CLOSE drop_user_cur
DEALLOCATE drop_user_cur

问题不是出自游标。实际DROP USER需要最多5秒钟的时间。

使用sp_whoisactive,wait_type为NULL

在此处输入图片说明

不要关注持续时间,DROPCREATE USERWHILE循环运行,这就是为什么要花一分钟以上的时间。

Profiler显示超过125,000次读取要执行DROP USER

未启用Service Broker。

sql-server  security 
克雷格·埃夫雷恩
source
1
@CraigEfrein您可以取消删除答案。看起来不错,感谢您在回答中加入我的评论。很高兴您发现该解决方案有效!
Kin Shah

Answers:

6

解决此问题的方法是在数据库上启用服务代理。

ALTER DATABASE [Database_name] SET NEW_BROKER WITH ROLLBACK IMMEDIATE;

为数据库启用服务代理后,删除用户几乎是即时的。

Kin询问在先前的评论中是否启用了服务代理,这使我朝正确的方向搜索。

克雷格·埃夫雷恩
source
2

这不是对这个问题的答案,而是一个完全驳斥它的论点。

如果我正确理解您的评论:

在从生产中刷新DEV数据库的上下文中,我必须删除并重新创建所有数据库用户。因此,必须删除数据库用户并重新创建它们。

您的目标是将生产数据复制到开发系统上,并使用与用户名相同的许可使其与生产系统具有相同的许可权。

最快的路径是使用kb文章中 ms描述的过程将sql登录从生产系统克隆到dev系统。

使用ms定义的过程,结果是您可以还原开发服务器上的数据库,并且权限可以正常使用而无需更改。

我成功使用上述过程将sql 2005 production env复制到了test&dev sql 2012环境中。
克隆用户之后,通过简单的数据库还原,我得到了一对具有最新数据的可正常运行的新系统。

该解决方案的巨大优势在于,刷新开发数据只需还原生产数据库即可。您将需要调整引用,同义词等,但权限不会被破坏。

这是文章中的代码,仅供参考,但是请参考该文章,其中提供了有关与古代sql版本的兼容性的说明和详细信息,密码加密详细信息以及其他信息,这些信息可能会在跨服务器传输登录名时省去您一些麻烦:

USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO

IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname

IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT

        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name

            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO
保罗
source
1
你好。我不是要从生产中创建用户的精确副本。DEV并不是真正的生产副本。登录名使用不同的密码,并且dev不在同一域中。还有其他一些限制使删除数据库用户成为必要,而我不会让您感到厌烦。
Craig Efrein '16
从安全角度来讲,绝对不要让生产接触您的开发环境的密码。您刚刚向开发人员提供了访问生产环境的权限,希望他们都没有安全管理员角色。
如果用户具有密码,那么您正在与sql用户打交道,因此该域不相关。密码也没有锁定,因此您可以在创建用户后立即对其进行更改。可以在运行脚本之前对其进行更改:删除所有不需要的/不需要的用户,您应该没问题。我的建议不是解决您的问题的方法,但是克隆后您可能需要删除更少的用户,因为不再需要处理权限。不是最佳选择,但可能会有所改善^^
Paolo
0

与此类似的游标应该起作用

Use DB_name

declare @username varchar(50)
declare user_cursor cursor for select '['+name+']' from sys.database_principals where type in ('u', 's') and principal_id>4
open user_cursor
fetch next from user_cursor into @username
while (@@fetch_status=0)
begin
EXEC sp_dropuser @username
fetch next from user_cursor into @username
end
close user_cursor
deallocate user_cursor
go
中国Midhun
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.