MSSQL受限用户被牢牢禁闭（mssql 受限制用户）

MSSQL受限用户是系统管理人员用来控制访问数据库资源与安全访问及拥有权限的账号。受限用户不允许使用特权命令或使用外部程序去访问数据库，只能在SQL语句中控制表的增删改查。例如用户只能进行普通用户查询，不能处理更复杂的查询，执行存储过程，对数据修改等。

MSSQL受限用户主要应用在多路登陆模式下，创建受限用户可使服务器安全性提升，可限制用户登录或实施限制访问所需资源，以此避免恶意用户拥有过多不同权限，带来安全风险。例如用户数据、系统表、某些存储过程等均可被受限用户约束，以此减少被非法盗取用户数据的可能性。

创建MSSQL受限用户的语法可分为用户创建语法及登陆失败策略语法。下面分别介绍：

在数据库服务器上创建受限用户时，需要在控制台或新连接建立新用户实例。下面是用户创建语法：

Create user [用户名]

with password = ‘4e89g4f’

restricted

FOR LOGIN [用户名]

WITH DEFAULT_SCHEMA=[dbo]

为了保护MSSQL受限用户不被破解获取数据，需要进行更强的登录失败策略限制，具体可以通过下面登陆失败策略语法来进行设置。

exec sp_add_login_failed_lock_policy @failed_attempts=4, @lock_period=1

其中，failed_attempts 代表未能登录成功的次数，lock_period代表开启受限模式的有效期(单位：分钟)。

综上所述，MSSQL受限用户是系统管理人员用来限制用户访问数据库资源与安全访问及拥有权限的重要方式，可有效限制恶意用户拥有过多权限，带来的安全风险。