自訂SQL Server帳號密碼原則 - ApsaraDB RDS

帳號密碼原則用於在Windows主機層面管理密碼設定，RDS SQL Server支援通過控制台或API配置帳號密碼原則，精細化管理密碼有效期間以增強安全性。使用者帳號密碼預設永不到期，您可以設定密碼原則後為其手動應用；主機帳號密碼預設僅42天有效，密碼到期會導致登入失敗，建議您提前設定密碼原則，主機帳號將自動應用該策略，無需手動設定。

前提條件

RDS SQL Server需滿足如下條件：

執行個體規格：通用型、獨享型（不支援共用型）
計費方式：訂用帳戶或隨用隨付（不支援Serverless執行個體）
執行個體版本：RDS SQL Server 2008 R2以外的其他版本

注意事項

在建立帳號時，如果選擇應用密碼原則，帳號密碼中不能包含帳號名本身。例如帳號名為Test240903，則帳號密碼不支援設定為Test240903abc等形式。

步驟一：設定帳號密碼原則

訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。
在左側導覽列，單擊帳號管理。

單擊帳號密碼原則，設定如下參數，勾選目標策略後，單擊確定。

支援僅設定密碼的最長或最短使用時間，也支援同時設定兩個策略。

配置項	說明	取值範圍（天）
最長密碼使用時間	設定密碼的最長使用時間，超過此時間後需要修改密碼。	0~999
最短密碼使用時間	設定密碼的最短使用時間，在此時間內不能再次修改密碼。說明該值不能大於最長使用時間。	0~998

樣本一：僅設定密碼最長使用時間

如果使用者期望密碼的最長使用時間是60天，超過60天密碼將到期，使用者需要及時修改密碼，則可以將最長密碼使用時間設定為60天。

樣本二：僅設定密碼最短使用時間

如果使用者期望密碼最短可以使用30天，30天內不能再修改密碼，則可以將最短密碼使用時間設定為30天。

樣本三：同時設定密碼的最長和最短使用時間

如果使用者期望每90天修改一次密碼，且修改後的密碼必須使用至少30天，則可以將最長密碼使用時間設定為90天，同時最短密碼使用時間設定為30天。

步驟二：為使用者帳號應用帳號密碼原則

對於使用者帳號，您需要手動為其應用密碼原則；主機帳號會自動應用密碼原則，無需手動設定。

建立使用者帳號時應用密碼原則

在帳號管理 > 使用者帳號頁面中，建立普通許可權帳號、高許可權帳號、SA許可權的資料庫帳號時應用密碼原則。

為已有使用者帳號應用密碼原則

在帳號管理 > 使用者帳號頁面中，為已有帳號應用密碼原則。

常見問題

RDS SQL Server主機帳號的預設密碼到期時間是多久？

預設情況下，主機帳號使用Windows系統的密碼原則（Password Policy），預設到期時間為42天。如果RDS SQL Server建立了主機登入帳號，則預設會有42天的密碼到期時間，到期後需重設密碼。

RDS SQL Server主機帳號的預設密碼到期時間，如何修改？

RDS SQL Server支援自訂帳號密碼原則，使用者可以在RDS控制台中按需修改最長或最短密碼使用時間。修改後主機帳號將自動應用新策略，且立即生效。如果使用者帳號也應用了密碼原則，也同樣會立即生效。但需注意，共用型、2008 R2版本執行個體和Serverless執行個體不支援此功能。

RDS SQL Server使用者帳號/主機賬戶的密碼到期策略是否可以通過RDS控制台設定？

可以的。SQL Server本身不管理獨立的密碼到期策略，而是繼承Windows的設定。但使用者可以通過RDS控制台的帳號密碼原則進行配置，也可以直接登入Windows主機修改密碼原則。但需注意，共用型、2008 R2版本執行個體和Serverless執行個體不支援此功能。

RDS SQL Server控制台建立的使用者帳號是否有預設密碼到期策略，是否有到期時間？

預設情況下，通過RDS控制台建立的使用者帳號未啟用Windows密碼原則。如果需要啟用密碼到期策略，可以通過修改使用者的CHECK_POLICY和CHECK_EXPIRATION為ON來啟用。當通過RDS控制台對使用者應用密碼原則後，對應賬戶的CHECK_POLICY和CHECK_EXPIRATION會被設定為ON，從而使用Windows策略。

例如，如果通過RDS控制台將最短密碼使用時間設定為1天，最長密碼使用時間設定為2天，則對應的Windows密碼原則中，Minimum password age（最小密碼使用到期日）將被設定為1天，Maximum password age（最大密碼使用到期日）將被設定為2天。

RDS SQL Server如何查看使用者是否啟用了密碼原則？例如是否到期了？密碼何時被修改過？

使用者可以通過以下SQL查詢語句查看使用者的密碼原則狀態及相關資訊，包括是否啟用策略、是否到期等：

-- 查詢使用者密碼策略狀態及相關資訊
SELECT 
    name,
    is_policy_checked, -- 是否啟用了密碼複雜性策略
    is_expiration_checked, -- 是否啟用了密碼到期策略
    LOGINPROPERTY(name, 'IsMustChange') AS IsMustChange, -- 密碼是否必須在下次登入時更改
    LOGINPROPERTY(name, 'IsLocked') AS IsLocked, -- 賬戶是否被鎖定
    LOGINPROPERTY(name, 'LockoutTime') AS LockoutTime, -- 賬戶被鎖定的時間（如果未鎖定則為NULL）
    LOGINPROPERTY(name, 'PasswordLastSetTime') AS PasswordLastSetTime, -- 密碼最後一次修改時間
    LOGINPROPERTY(name, 'IsExpired') AS IsExpired, -- 密碼是否已到期
    LOGINPROPERTY(name, 'BadPasswordCount') AS BadPasswordCount, -- 錯誤密碼嘗試次數
    LOGINPROPERTY(name, 'BadPasswordTime') AS BadPasswordTime, -- 最後一次錯誤密碼嘗試時間
    LOGINPROPERTY(name, 'HistoryLength') AS HistoryLength, -- 密碼記錄長度（防止重複使用舊密碼）
    modify_date -- 使用者賬戶最後修改時間
FROM 
    sys.sql_logins; -- 從系統檢視表中查詢SQL Server登入使用者資訊

ApsaraDB RDS：自訂帳號密碼原則