Auswählen eines Authentifizierungsmodus

Gilt für:SQL Server

Während des Setups müssen Sie einen Authentifizierungsmodus für die Datenbank-Engine auswählen. Es gibt zwei mögliche Modi: den Windows-Authentifizierungsmodus und den gemischten Modus. Der Windows-Authentifizierungsmodus aktiviert die Windows-Authentifizierung und deaktiviert die SQL Server-Authentifizierung. Der gemischte Modus ermöglicht sowohl die Windows-Authentifizierung als auch die SQL Server-Authentifizierung. Die Windows-Authentifizierung ist immer verfügbar und kann nicht deaktiviert werden.

Konfigurieren des Authentifizierungsmodus

Wenn Sie während des Setups die Gemischte Modusauthentifizierung (SQL Server- und Windows-Authentifizierungsmodus) auswählen, müssen Sie ein sicheres Kennwort für das integrierte SQL Server-Systemadministratorkonto mit dem Namen saangeben und bestätigen. Das sa Konto stellt mithilfe der SQL Server-Authentifizierung eine Verbindung herzustellen.

Wenn Sie während des Setups die Windows-Authentifizierung auswählen, erstellt das Setup das Konto für die sa SQL Server-Authentifizierung, ist aber deaktiviert. Wenn Sie später zur Authentifizierung im gemischten Modus wechseln und das sa Konto verwenden möchten, müssen Sie das Konto aktivieren. Jedes Windows- oder SQL Server-Konto kann als Systemadministrator konfiguriert werden. Da das sa Konto bekannt ist und häufig von böswilligen Benutzern gezielt ist, aktivieren Sie das sa Konto nur, wenn die Anwendung es erfordert. Legen Sie niemals ein leeres oder schwaches Kennwort für das sa Konto fest. Informationen zum Wechseln vom Windows-Authentifizierungsmodus in die Authentifizierung im gemischten Modus und zur Verwendung der SQL Server-Authentifizierung finden Sie unter Ändern des Serverauthentifizierungsmodus.

Verbinden über die Windows-Authentifizierung

Wenn ein Benutzer eine Verbindung über ein Windows-Benutzerkonto herstellt, überprüft SQL Server den Kontonamen und das Kennwort mithilfe des Windows-Prinzipaltokens im Betriebssystem. Dies bedeutet, dass die Benutzeridentität von Windows bestätigt wird. SQL Server fragt nicht nach dem Kennwort und führt keine Identitätsüberprüfung durch. Die Windows-Authentifizierung ist der Standardauthentifizierungsmodus und ist viel sicherer als die SQL Server-Authentifizierung. Die Windows-Authentifizierung verwendet das Kerberos-Sicherheitsprotokoll, stellt Maßnahmen zur Durchsetzung von Kennwortrichtlinien, z. B. zur Überprüfung der Komplexität sicherer Kennwörter, bereit und bietet Unterstützung für Kontosperrungen und Ablauf von Kennwörtern. Eine mit Windows-Authentifizierung hergestellte Verbindung wird manchmal als vertrauenswürdige Verbindung bezeichnet, da die von Windows bereitgestellten Anmeldeinformationen von SQL Server als vertrauenswürdig angesehen werden.

Mithilfe der Windows-Authentifizierung können Windows-Gruppen auf der Do Standard-Ebene erstellt werden, und eine Anmeldung kann auf SQL Server für die gesamte Gruppe erstellt werden. Das Verwalten des Zugriffs auf der Do Standard-Ebene kann die Kontoverwaltung vereinfachen.

Wichtig

Verwenden Sie nach Möglichkeit die Windows-Authentifizierung.

Verbinden über die SQL Server-Authentifizierung

Bei Verwendung der SQL Server-Authentifizierung werden in SQL Server Anmeldungen erstellt, die nicht auf Windows-Benutzerkonten basieren. Der Benutzername und das Kennwort werden mithilfe von SQL Server erstellt und in SQL Server gespeichert. Benutzer, die eine Verbindung mit SQL Server-Authentifizierung herstellen, müssen ihre Anmeldeinformationen (Anmeldung und Kennwort) jedes Mal angeben, wenn sie eine Verbindung herstellen. Bei Verwendung der SQL Server-Authentifizierung müssen Sie sichere Kennwörter für alle SQL Server-Konten festlegen. Richtlinien zu sicheren Kennwörtern finden Sie unter Strong Passwords.

Für SQL Server-Anmeldungen stehen drei optionale Kennwortrichtlinien zur Verfügung.

  • Benutzer muss das Kennwort bei der nächsten Anmeldung ändern

    Erfordert das Ändern des Kennworts durch den Benutzer beim nächsten Herstellen einer Verbindung. Die Möglichkeit zum Ändern des Kennworts wird von SQL Server Management Studio bereitgestellt. Softwareentwickler von Drittanbietern sollten diese Funktion bereitstellen, wenn diese Option verwendet wird.

  • Ablauf des Kennworts erzwingen

    Die Richtlinie für das maximale Kennwortalter des Computers wird für SQL Server-Anmeldungen erzwungen.

  • Kennwortrichtlinie erzwingen

    Die Windows-Kennwortrichtlinien des Computers werden für SQL Server-Anmeldungen erzwungen. Dies schließt Kennwortlänge und -komplexität ein. Diese Funktionalität hängt von der NetValidatePasswordPolicy API ab, die nur in Windows Server 2003 und höheren Versionen verfügbar ist.

So bestimmen Sie die Kennwortrichtlinien für den lokalen Computer

  1. Wählen Sie im StartmenüAusführen aus.

  2. Geben Sie im Dialogfeld "Ausführen" "secpol.msc" ein, und wählen Sie dann "OK" aus.

  3. Erweitern Sie in der Anwendung "Lokale Sicherheit Einstellungen" die Sicherheits-Einstellungen, erweitern Sie "Kontorichtlinien", und wählen Sie dann "Kennwortrichtlinie" aus.

    Die Kennwortrichtlinien werden im Ergebnisbereich beschrieben.

Nachteile der SQL Server-Authentifizierung

  • Wenn es sich bei einem Benutzer um einen Windows-Benutzer handelt Standard der über eine Anmeldung und ein Kennwort für Windows verfügt, muss er weiterhin eine andere (SQL Server)-Anmeldung und ein anderes Kennwort angeben, um eine Verbindung herzustellen. Das Nachverfolgen mehrerer Namen und Kennwörter ist für viele Benutzer schwierig. Die Angabe von SQL Server-Anmeldeinformationen jedes Mal, wenn der Benutzer eine Verbindung mit der Datenbank herstellt, kann lästig sein.

  • Die SQL Server-Authentifizierung kann kein Kerberos-Sicherheitsprotokoll verwenden.

  • Windows bietet zusätzliche Kennwortrichtlinien, die für SQL Server-Anmeldungen nicht verfügbar sind.

  • Das verschlüsselte Anmeldekennwort für die SQL Server-Authentifizierung muss zum Zeitpunkt der Verbindung über das Netzwerk übergeben werden. Einige Anwendungen, die automatisch eine Verbindung herstellen, speichern das Kennwort auf dem Client. So entstehen zusätzliche Angriffspunkte.

Vorteile der SQL Server-Authentifizierung

  • Ermöglicht SQL Server, ältere Anwendungen und Anwendungen zu unterstützen, die von Drittanbietern bereitgestellt werden, die SQL Server-Authentifizierung erfordern.

  • Ermöglicht SQL Server die Unterstützung von Umgebungen mit gemischten Betriebssystemen, bei denen alle Benutzer nicht von einer Windows-Do authentifiziert werden Standard.

  • Ermöglicht es Benutzern, von unbekannten oder nicht vertrauenswürdigen Domänen aus eine Verbindung herzustellen. Beispiel: Eine Anwendung, bei der etablierte Kunden eine Verbindung mit zugewiesenen SQL Server-Anmeldungen herstellen, um den Status ihrer Bestellungen zu erhalten.

  • Ermöglicht SQL Server die Unterstützung webbasierter Anwendungen, in denen Benutzer eigene Identitäten erstellen.

  • Ermöglicht Softwareentwicklern die Verteilung ihrer Anwendungen mithilfe einer komplexen Berechtigungshierarchie, die auf bekannten, voreingestellten SQL Server-Anmeldungen basiert.

    Hinweis

    Die Verwendung der SQL Server-Authentifizierung beschränkt nicht die Berechtigungen lokaler Administratoren auf dem Computer, auf dem SQL Server installiert ist.

Siehe auch