none
SQL SERVER 2012中关于sa账户密码策略问题 RRS feed

  • 问题

  • 期望达到的效果:sa账户的所有密码策略与使用windows身份验证时登录用的域账户完全一致

    目前调查方案:

    ALTER LOGIN sa WITH check_policy = on, check_expiration = on;

    问题,1.check_policy = on是否能达到预期的效果?强制密码策略到底是与域账户一致还是本地用户一致。

             2.check_expiration = on是否必须?强制密码过期的有效期为多久?

             3.执行以上T-SQL时制定任一数据库都可以还是必须制定master数据库?

    2015年9月8日 18:09

答案

  • 联机帮助的语法说明上写得很清楚了

    如果 CHECK_POLICY 更改为 ON,则将出现以下行为:

    • CHECK_EXPIRATION 也设置为 ON,除非它被显式设置为 OFF。
    • 密码历史记录使用当前的密码哈希值初始化。

    如果 CHECK_POLICY 更改为 OFF,则将出现以下行为:

    • CHECK_EXPIRATION 也设置为 OFF。
    • 清除密码历史记录。
    • lockout_time 的值被重置。

    2015年9月9日 1:19

全部回复

  • For 1 and 2, depends on related settings in domain group policy. For 3, can run it under any db.
    2015年9月8日 20:45
  • 联机帮助的语法说明上写得很清楚了

    如果 CHECK_POLICY 更改为 ON,则将出现以下行为:

    • CHECK_EXPIRATION 也设置为 ON,除非它被显式设置为 OFF。
    • 密码历史记录使用当前的密码哈希值初始化。

    如果 CHECK_POLICY 更改为 OFF,则将出现以下行为:

    • CHECK_EXPIRATION 也设置为 OFF。
    • 清除密码历史记录。
    • lockout_time 的值被重置。

    2015年9月9日 1:19
  • 问题1在联机帮助上有一个唯一需要注意的,可能会达不到效果的(这个在出在应该不是什么问题)

    只有在 Windows Server 2003 及更高版本上才会强制执行 CHECK_EXPIRATION 和 CHECK_POLICY

    2015年9月9日 1:21
  • 查了联机文档

    如果 CHECK_POLICY 更改为 ON,则将出现以下行为:

    • CHECK_EXPIRATION 也设置为 ON,除非它被显式设置为 OFF。没有这一条

    2015年9月9日 15:54
  • 想知道 CHECK_POLICY到底是强制执行与域账户相同的密码策略还是本地用户相同的密码策略

    CHECK_EXPIRATION强制过期,那多久过久是由什么决定和windows域账户一样?

    2015年9月9日 15:56
  • Depends on if sql server is in domain or not, domain policies will override local ones.
    2015年9月9日 18:09
  • 查了联机文档

    如果 CHECK_POLICY 更改为 ON,则将出现以下行为:

    • CHECK_EXPIRATION 也设置为 ON,除非它被显式设置为 OFF。没有这一条

    https://msdn.microsoft.com/zh-cn/library/ms189828%28v=sql.120%29.aspx?f=255&MSPPError=-2147217396

    你可以自己 create /alter login 试试就清楚了

    2015年9月10日 1:55