DROP USER memakan waktu terlalu lama ketika ada banyak pengguna

11

Pada contoh SQL Server 2014 dengan cukup RAM dan disk cepat, ada lebih dari 160 pengguna yang memiliki akses ke database. Untuk beberapa alasan tanpa sepengetahuan saya, menjalankan perintah DROP USER [username]dalam database ini memakan waktu hingga 5 detik per pengguna.

Memetakan kembali pengguna untuk masuk dan mengembalikan izin mereka sangat cepat.

Dalam konteks menyegarkan basis data DEV dari produksi, saya harus menghapus dan membuat ulang semua pengguna basis data. Jadi ya menjatuhkan pengguna basis data dan membuat ulang mereka diperlukan.

Bagaimana cara mempercepat DROP USERperintah?

Ingat, saya harus menjalankannya lebih dari 160 kali untuk contoh yang saya tulis.

Ini adalah SQL yang saya gunakan:

DECLARE drop_user_cur CURSOR FOR 
SELECT name FROM #drop_users

OPEN drop_user_cur
FETCH NEXT FROM drop_user_cur INTO @user

WHILE @@FETCH_STATUS = 0
BEGIN
    SET @sql = 'use [' + @db_name + '] DROP USER [' + @user + ']'
    BEGIN TRY
        print @sql
        EXECUTE(@sql)
    END TRY
    BEGIN CATCH
        print 'ERREUR : ' + @sql
    END CATCH
    FETCH NEXT FROM drop_user_cur INTO @user
END

CLOSE drop_user_cur
DEALLOCATE drop_user_cur

Masalahnya bukan dari kursor; itu sebenarnya DROP USERyang membutuhkan waktu hingga 5 detik.

Menggunakan sp_whoisactive, wait_type adalah NULL.

masukkan deskripsi gambar di sini

Jangan memperhatikan durasi, DROPdan CREATE USERsedang dijalankan dalam satu WHILElingkaran itulah sebabnya dikatakan lebih dari satu menit.

Profiler menunjukkan lebih dari 125.000 bacaan untuk dieksekusi DROP USER.

Pialang Layanan tidak diaktifkan.

sql-server security Craig Efrein
sumber
1
@CraigEfrein Anda dapat membatalkan penghapusan jawaban Anda. Terlihat bagus dan terima kasih untuk memasukkan komentar saya dalam jawaban Anda. Saya senang Anda menemukan solusinya berfungsi!
Kin Shah

Jawaban:

6

Resolusi untuk masalah ini memungkinkan broker layanan pada database.

ALTER DATABASE [Database_name] SET NEW_BROKER WITH ROLLBACK IMMEDIATE;

Setelah mengaktifkan broker layanan untuk database, pengguna drop praktis instan.

Kin bertanya apakah pialang layanan diaktifkan di komentar sebelumnya yang mengirim saya mencari ke arah yang benar.

Craig Efrein
sumber
2

ini bukan jawaban untuk pertanyaan tetapi argumen untuk menolaknya sama sekali.

Jika saya mengerti benar komentar Anda:

Dalam konteks menyegarkan basis data DEV dari produksi, saya harus menghapus dan membuat ulang semua pengguna basis data. Jadi ya menjatuhkan pengguna basis data dan membuat ulang mereka diperlukan.

tujuan Anda adalah menyalin data produksi ke sistem dev dan membuatnya bekerja dengan izin yang sama dengan yang diproduksi, menggunakan nama pengguna yang sama .

Jalur tercepat adalah dengan mengklon login sql dari sistem produksi ke sistem dev menggunakan prosedur yang dijelaskan oleh ms dalam artikel kb ini .

dengan prosedur yang ditentukan oleh ms, hasilnya adalah Anda dapat mengembalikan basis data pada server dev Anda dan izin berfungsi tanpa perubahan.

Saya berhasil menggunakan prosedur yang disebutkan di atas untuk menyalin env produksi sql 2005 ke kedua lingkungan test & dev sql 2012.
Setelah mengkloning para pengguna, pemulihan database sederhana membawa saya ke sepasang sistem baru yang berfungsi penuh dengan data terbaru.

Kelebihan besar dari solusi itu adalah untuk menyegarkan data dev Anda baru saja mengembalikan database produksi dan hanya itu; Anda harus menyesuaikan referensi, sinonim dan semacamnya tetapi izin tidak akan rusak.

Berikut ini adalah kode dari artikel, hanya untuk referensi, tetapi silakan merujuk ke artikel yang memiliki komentar dan detail tentang kompatibilitas dengan versi sql kuno, detail enkripsi kata sandi, dan informasi lain yang dapat menyelamatkan Anda dari sakit kepala saat mentransfer login di server:

USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO

IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname

IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT

        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name

            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO
Paolo
sumber
1
Halo yang disana. Saya tidak mencoba membuat salinan persis pengguna dari produksi. DEV sebenarnya bukan salinan produksi yang tepat. Info masuk tidak menggunakan kata sandi yang sama dan dev tidak ada dalam domain yang sama. Ada kendala lain yang membuat menghapus pengguna basis data diperlukan yang saya tidak akan membuat Anda bosan.
Craig Efrein
Secara akut di sisi keamanan, Anda TIDAK PERNAH memiliki kata sandi dari produksi, sentuh lingkungan pengembangan Anda. Anda baru saja memberikan pengembang Anda akses ke produksi melakukan hal itu, dan berharap tidak ada dari mereka yang memiliki peran admin keamanan.
jika pengguna memiliki kata sandi maka Anda berurusan dengan pengguna sql sehingga domain tidak relevan. juga kata sandi tidak dikunci sehingga Anda dapat mengubahnya segera setelah pengguna dibuat. skrip dapat diubah sebelum menjalankannya: hapus semua pengguna yang tidak diinginkan / tidak dibutuhkan dan Anda akan baik-baik saja. saran saya bukan solusi untuk masalah Anda, tetapi mungkin setelah kloning, Anda harus menurunkan lebih sedikit pengguna karena izin tidak lagi ditangani. tidak optimal tapi mungkin perbaikan ^^
Paolo
0

Kursor yang mirip dengan ini seharusnya berfungsi

Use DB_name

declare @username varchar(50)
declare user_cursor cursor for select '['+name+']' from sys.database_principals where type in ('u', 's') and principal_id>4
open user_cursor
fetch next from user_cursor into @username
while (@@fetch_status=0)
begin
EXEC sp_dropuser @username
fetch next from user_cursor into @username
end
close user_cursor
deallocate user_cursor
go
Midhun CN
sumber