• Artikel

Auswählen eines Authentifizierungsmodus

Während des Setups müssen Sie einen Authentifizierungsmodus für Database Engine (Datenbankmodul) auswählen. Es gibt zwei mögliche Modi: den Windows-Authentifizierungsmodus und den gemischten Modus. Der Windows-Authentifizierungsmodus aktiviert die Windows-Authentifizierung und deaktiviert die SQL Server-Authentifizierung. Der gemischte Modus aktiviert sowohl die Windows-Authentifizierung als auch die SQL Server-Authentifizierung. Die Windows-Authentifizierung ist immer verfügbar und kann nicht deaktiviert werden.

Konfigurieren des Authentifizierungsmodus

Bei Auswahl der Authentifizierung im gemischten Modus während des Setups müssen Sie ein sicheres Kennwort für das vordefinierte SQL Server-Systemadministratorkonto mit der Bezeichnung sa angeben und dann bestätigen. Das sa-Konto stellt eine Verbindung mithilfe der SQL Server-Authentifizierung her.

Wenn Sie während des Setups Windows-Authentifizierung auswählen, erstellt Setup das sa-Konto für die SQL Server-Authentifizierung, die aber deaktiviert ist. Wenn Sie später zur Authentifizierung im gemischten Modus wechseln und das sa-Konto verwenden möchten, müssen Sie es aktivieren. Jedes Windows- oder SQL Server-Konto kann als Systemadministrator konfiguriert werden. Da das sa-Konto bekannt und oft das Ziel böswilliger Benutzer ist, aktivieren Sie das sa-Konto nur, wenn Ihre Anwendung dies erfordert. Legen Sie auf keinen Fall ein leeres oder unsicheres Kennwort für das sa-Konto fest. Informationen zum Wechseln vom Windows-Authentifizierungsmodus zur Authentifizierung im gemischten Modus und zum Verwenden von SQL Server-Authentifizierung finden Sie unter Vorgehensweise: Ändern des Serverauthentifizierungsmodus.

Herstellen von Verbindungen mithilfe der Windows-Authentifizierung

Wenn ein Benutzer eine Verbindung über ein Windows-Benutzerkonto herstellt, überprüft SQL Server Kontonamen und Kennwort mithilfe des Tokens für den Windows-Prinzipal im Betriebssystem. Dies bedeutet, dass die Benutzeridentität durch Windows bestätigt wird. SQL Server fragt das Kennwort nicht ab und führt keine Identitätsüberprüfung durch. Die Windows-Authentifizierung ist der Standardauthentifizierungsmodus und bietet eine höhere Sicherheit als SQL Server-Authentifizierung. Die Windows-Authentifizierung verwendet das Kerberos-Sicherheitsprotokoll, stellt Maßnahmen zur Durchsetzung von Kennwortrichtlinien, z. B. zur Überprüfung der Komplexität sicherer Kennwörter, bereit und bietet Unterstützung für Kontosperrungen und Ablauf von Kennwörtern. Eine mit Windows-Authentifizierung hergestellte Verbindung wird manchmal als vertrauenswürdige Verbindung bezeichnet, da SQL Server den von Windows bereitgestellten Anmeldeinformationen vertraut.

SicherheitshinweisSicherheitshinweis

Verwenden Sie nach Möglichkeit die Windows-Authentifizierung.

Herstellen von Verbindungen mithilfe der SQL Server-Authentifizierung

Bei der Verwendung der SQL Server-Authentifizierung, werden Anmeldeinformationen in SQL Server erstellt, die nicht auf Windows-Benutzerkonten basieren. Sowohl der Benutzername als auch das Kennwort werden mit SQL Server erstellt und werden in SQL Server gespeichert. Benutzer, die mit SQL Server-Authentifizierung eine Verbindung herstellen, müssen jedes Mal ihre Anmeldeinformationen (Anmeldename und Kennwort) bereitstellen, wenn sie eine Verbindung herstellen. Bei der Verwendung von SQL Server-Authentifizierung müssen Sie sichere Kennwörter für alle SQL Server-Konten festlegen. Richtlinien zu sicheren Kennwörtern finden Sie unter Konfiguration des Datenbankmoduls - Kontobereitstellung.

Es sind drei optionale Kennwortrichtlinien für SQL Server-Anmeldungen verfügbar.

  • Benutzer muss das Kennwort bei der nächsten Anmeldung ändern

    Erfordert das Ändern des Kennworts durch den Benutzer beim nächsten Herstellen einer Verbindung. Die Möglichkeit, das Kennwort zu ändern, wird von SQL Server Management Studio bereitgestellt. Softwareentwickler von Drittanbietern sollten dieses Feature bereitstellen, wenn diese Option verwendet wird.

  • Ablauf des Kennworts erzwingen

    Die Richtlinie des Computers für das maximale Kennwortalter wird für SQL Server-Anmeldungen erzwungen.

  • Kennwortrichtlinie erzwingen

    Die Windows-Kennwortrichtlinien des Computers werden für SQL Server-Anmeldungen erzwungen. Dies schließt Kennwortlänge und -komplexität ein. Diese Funktionalität hängt von der NetValidatePasswordPolicy-API ab, die nur unter Windows Server 2003 oder höher verfügbar ist.

So bestimmen Sie die Kennwortrichtlinien für den lokalen Computer

  1. Klicken Sie im Menü Start auf den Befehl Ausführen.

  2. Geben Sie secpol.msc im Dialogfeld Ausführen ein, und klicken Sie dann auf OK.

  3. Erweitern Sie in der Anwendung Lokale Sicherheitseinstellung die Sicherheitseinstellungen, erweitern Sie Kontorichtlinien, und klicken Sie dann auf Kennwortrichtlinie.

    Die Kennwortrichtlinien werden im Ergebnisbereich beschrieben.

Nachteile der SQL Server-Authentifizierung

  • Wenn ein Benutzer ein Windows-Domänenbenutzer ist und über einen Anmeldenamen und ein Kennwort für Windows verfügt, muss er trotzdem einen weiteren (SQL Server)-Anmeldenamen und ein weiteres Kennwort angeben, um eine Verbindung herzustellen. Das Nachverfolgen mehrerer Namen und Kennwörter ist für viele Benutzer schwierig. Bei jedem Herstellen einer Verbindung SQL Server-Anmeldeinformationen angeben zu müssen, kann ärgerlich sein.

  • Die SQL Server-Authentifizierung kann kein Kerberos-Sicherheitsprotokoll verwenden.

  • Windows bietet zusätzliche Kennwortrichtlinien an, die nicht verfügbar für SQL Server-Anmeldungen sind.

Vorteile der SQL Server-Authentifizierung

  • Ermöglicht SQL Server, ältere Anwendungen und Anwendungen zu unterstützen, die von Drittanbietern bereitgestellt werden, die SQL Server-Authentifizierung erfordern.

  • Ermöglicht SQL Server, Umgebungen mit gemischten Betriebssystemen zu unterstützen, in denen nicht alle Benutzer von einer Windows-Domäne authentifiziert werden.

  • Ermöglicht es Benutzern, eine Verbindung von unbekannten oder nicht vertrauenswürdigen Domänen herzustellen. Zum Beispiel von einer Anwendung, bei der bestehende Kunden Verbindungen mit zugewiesenen SQL Server-Anmeldeinformationen herstellen, um den Status Ihrer Bestellungen abzufragen.

  • Ermöglicht SQL Server, webbasierte Anwendungen zu unterstützen, bei denen Benutzer ihre eigenen Identitäten erstellen.

  • Ermöglicht es Softwareentwicklern, ihre Anwendungen mit einer komplexen Berechtigungshierarchie auf der Basis von bekannten, voreingestellten SQL Server-Anmeldeinformationen zu verteilen.

    HinweisHinweis

    Das Verwenden von SQL Server-Authentifizierung schränkt die Berechtigungen lokaler Administratoren für den Computer nicht ein, wenn SQL Server installiert ist.