Вы не можете использовать переменные для имен объектов. Вы можете обмануть
exec sp_addlogin @User_name, @password;
Либо это, либо построить динамический SQL, но обязательно используйте QUOTENAME для предотвращения SQL-инъекции.