Auswählen eines AuthentifizierungsmodusChoose an Authentication Mode

Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions)

Während des Setups müssen Sie einen Authentifizierungsmodus für Datenbank-EngineDatabase Engineauswählen.During setup, you must select an authentication mode for the Datenbank-EngineDatabase Engine. Es gibt zwei mögliche Modi: den Windows-Authentifizierungsmodus und den gemischten Modus.There are two possible modes: Windows Authentication mode and mixed mode. Der Windows-Authentifizierungsmodus aktiviert die Windows-Authentifizierung und deaktiviert die SQL ServerSQL Server -Authentifizierung.Windows Authentication mode enables Windows Authentication and disables SQL ServerSQL Server Authentication. Der gemischte Modus aktiviert sowohl die Windows-Authentifizierung als auch die SQL ServerSQL Server -Authentifizierung.Mixed mode enables both Windows Authentication and SQL ServerSQL Server Authentication. Die Windows-Authentifizierung ist immer verfügbar und kann nicht deaktiviert werden.Windows Authentication is always available and cannot be disabled.

Konfigurieren des AuthentifizierungsmodusConfiguring the Authentication Mode

Bei Auswahl der Authentifizierung im gemischten Modus während des Setups müssen Sie ein sicheres Kennwort für das vordefinierte SQL ServerSQL Server -Systemadministratorkonto mit der Bezeichnung sa angeben und dann bestätigen.If you select Mixed Mode Authentication during setup, you must provide and then confirm a strong password for the built-in SQL ServerSQL Server system administrator account named sa. Das sa-Konto stellt eine Verbindung mithilfe der SQL ServerSQL Server -Authentifizierung her.The sa account connects by using SQL ServerSQL Server Authentication.

Wenn Sie während des Setups Windows-Authentifizierung auswählen, erstellt Setup das sa-Konto für die SQL ServerSQL Server -Authentifizierung, die aber deaktiviert ist.If you select Windows Authentication during setup, Setup creates the sa account for SQL ServerSQL Server Authentication but it is disabled. Wenn Sie später zur Authentifizierung im gemischten Modus wechseln und das sa-Konto verwenden möchten, müssen Sie es aktivieren.If you later change to Mixed Mode Authentication and you want to use the sa account, you must enable the account. Jedes Windows- oder SQL ServerSQL Server -Konto kann als Systemadministrator konfiguriert werden.Any Windows or SQL ServerSQL Server account can be configured as a system administrator. Da das sa-Konto bekannt und oft das Ziel böswilliger Benutzer ist, aktivieren Sie das sa-Konto nur, wenn Ihre Anwendung dies erfordert.Because the sa account is well known and often targeted by malicious users, do not enable the sa account unless your application requires it. Legen Sie auf keinen Fall ein leeres oder unsicheres Kennwort für das sa-Konto fest.Never set a blank or weak password for the sa account. Informationen zum Wechseln vom Windows-Authentifizierungsmodus zur Authentifizierung im gemischten Modus und zum Verwenden der SQL ServerSQL Server -Authentifizierung finden Sie unter Ändern des Serverauthentifizierungsmodus.To change from Windows Authentication mode to Mixed Mode Authentication and use SQL ServerSQL Server Authentication, see Change Server Authentication Mode.

Herstellen von Verbindungen mithilfe der Windows-AuthentifizierungConnecting Through Windows Authentication

Wenn ein Benutzer eine Verbindung über ein Windows-Benutzerkonto herstellt, überprüft SQL ServerSQL Server Kontonamen und Kennwort mithilfe des Tokens für den Windows-Prinzipal im Betriebssystem.When a user connects through a Windows user account, SQL ServerSQL Server validates the account name and password using the Windows principal token in the operating system. Dies bedeutet, dass die Benutzeridentität von Windows bestätigt wird.This means that the user identity is confirmed by Windows. SQL ServerSQL Server werden Sie nicht nach dem Kennwort gefragt, und es wird keine Identitätsüberprüfung ausgeführt.does not ask for the password, and does not perform the identity validation. Die Windows-Authentifizierung ist der Standardauthentifizierungsmodus und bietet eine höhere Sicherheit als SQL ServerSQL Server -Authentifizierung.Windows Authentication is the default authentication mode, and is much more secure than SQL ServerSQL Server Authentication. Die Windows-Authentifizierung verwendet das Kerberos-Sicherheitsprotokoll, stellt Maßnahmen zur Durchsetzung von Kennwortrichtlinien, z. B. zur Überprüfung der Komplexität sicherer Kennwörter, bereit und bietet Unterstützung für Kontosperrungen und Ablauf von Kennwörtern.Windows Authentication uses Kerberos security protocol, provides password policy enforcement with regard to complexity validation for strong passwords, provides support for account lockout, and supports password expiration. Eine mit Windows-Authentifizierung hergestellte Verbindung wird manchmal als vertrauenswürdige Verbindung bezeichnet, da die von Windows bereitgestellten Anmeldeinformationen von SQL ServerSQL Server als vertrauenswürdig angesehen werden.A connection made using Windows Authentication is sometimes called a trusted connection, because SQL ServerSQL Server trusts the credentials provided by Windows.

Durch die Verwendung der Windows-Authentifizierung können Windows-Gruppen auf Domänenebene und eine Anmeldung in SQL ServerSQL Server für die gesamte Gruppe erstellt werden.By using Windows Authentication, Windows groups can be created at the domain level, and a login can be created on SQL ServerSQL Server for the entire group. Die Zugriffsverwaltung auf Domänenebene kann die Kontoverwaltung vereinfachen.Managing access from at the domain level can simplify account administration.

Wichtig

Verwenden Sie nach Möglichkeit die Windows-Authentifizierung.When possible, use Windows authentication.

Herstellen von Verbindungen mithilfe der SQL Server-AuthentifizierungConnecting Through SQL Server Authentication

Bei Verwendung der SQL ServerSQL Server -Authentifizierung werden Anmeldungen in SQL ServerSQL Server erstellt, die nicht auf Windows-Benutzerkonten basieren.When using SQL ServerSQL Server Authentication, logins are created in SQL ServerSQL Server that are not based on Windows user accounts. Sowohl der Benutzername als auch das Kennwort werden mit SQL ServerSQL Server erstellt und werden in SQL ServerSQL Servergespeichert.Both the user name and the password are created by using SQL ServerSQL Server and stored in SQL ServerSQL Server. Benutzer, die mit SQL ServerSQL Server -Authentifizierung eine Verbindung herstellen, müssen jedes Mal ihre Anmeldeinformationen (Anmeldename und Kennwort) bereitstellen, wenn sie eine Verbindung herstellen.Users connecting using SQL ServerSQL Server Authentication must provide their credentials (login and password) every time that they connect. Bei der Verwendung von SQL ServerSQL Server -Authentifizierung müssen Sie sichere Kennwörter für alle SQL ServerSQL Server -Konten festlegen.When using SQL ServerSQL Server Authentication, you must set strong passwords for all SQL ServerSQL Server accounts. Richtlinien zu sicheren Kennwörtern finden Sie unter Strong Passwords.For strong password guidelines, see Strong Passwords.

Es sind drei optionale Kennwortrichtlinien für SQL ServerSQL Server -Anmeldungen verfügbar.Three optional password policies are available for SQL ServerSQL Server logins.

  • Benutzer muss das Kennwort bei der nächsten Anmeldung ändernUser must change password at next login

    Erfordert das Ändern des Kennworts durch den Benutzer beim nächsten Herstellen einer Verbindung.Requires the user to change the password the next time that the user connects. Die Möglichkeit, das Kennwort zu ändern, wird von SQL Server Management StudioSQL Server Management Studiobereitgestellt.The ability to change the password is provided by SQL Server Management StudioSQL Server Management Studio. Softwareentwickler von Drittanbietern sollten diese Funktion bereitstellen, wenn diese Option verwendet wird.Third-party software developers should provide this feature if this option is used.

  • Ablauf des Kennworts erzwingenEnforce password expiration

    Die Richtlinie des Computers für das maximale Kennwortalter wird für SQL ServerSQL Server -Anmeldungen erzwungen.The maximum password age policy of the computer is enforced for SQL ServerSQL Server logins.

  • Kennwortrichtlinie erzwingenEnforce password policy

    Die Windows-Kennwortrichtlinien des Computers werden für SQL ServerSQL Server -Anmeldungen erzwungen.The Windows password policies of the computer are enforced for SQL ServerSQL Server logins. Dies schließt Kennwortlänge und -komplexität ein.This includes password length and complexity. Diese Funktionalität hängt von der NetValidatePasswordPolicy -API ab, die nur unter Windows Server 2003Windows Server 2003 oder höher verfügbar ist.This functionality depends on the NetValidatePasswordPolicy API, which is only available in Windows Server 2003Windows Server 2003 and later versions.

So bestimmen Sie die Kennwortrichtlinien für den lokalen ComputerTo determine the password policies of the local computer

  1. Klicken Sie im Menü Start auf Ausführen.On the Start menu, click Run.

  2. Geben Sie secpol.msc im Dialogfeld Ausführenein, und klicken Sie dann auf OK.In the Run dialog box, type secpol.msc, and then click OK.

  3. Erweitern Sie in der Anwendung Lokale Sicherheitseinstellung die Sicherheitseinstellungen, erweitern Sie Kontorichtlinien, und klicken Sie dann auf Kennwortrichtlinie.In the Local Security Settings application, expand Security Settings, expand Account Policies, and then click Password Policy.

    Die Kennwortrichtlinien werden im Ergebnisbereich beschrieben.The password policies are described in the results pane.

Nachteile der SQL Server-AuthentifizierungDisadvantages of SQL Server Authentication

  • Wenn ein Benutzer ein Windows-Domänenbenutzer ist und über einen Anmeldenamen und ein Kennwort für Windows verfügt, muss er trotzdem einen weiteren (SQL ServerSQL Server)-Anmeldenamen und ein weiteres Kennwort angeben, um eine Verbindung herzustellen.If a user is a Windows domain user who has a login and password for Windows, they must still provide another (SQL ServerSQL Server) login and password to connect. Das Nachverfolgen mehrerer Namen und Kennwörter ist für viele Benutzer schwierig.Keeping track of multiple names and passwords is difficult for many users. Bei jedem Herstellen einer Verbindung SQL ServerSQL Server -Anmeldeinformationen angeben zu müssen, kann ärgerlich sein.Having to provide SQL ServerSQL Server credentials every time that one connects to the database can be annoying.

  • SQL ServerSQL Server -Authentifizierung kann kein Kerberos-Sicherheitsprotokoll verwenden.Authentication cannot use Kerberos security protocol.

  • Windows bietet zusätzliche Kennwortrichtlinien, die für SQL ServerSQL Server -Anmeldungen nicht verfügbar sind.Windows offers additional password policies that are not available for SQL ServerSQL Server logins.

  • Das verschlüsselte Anmeldekennwort für die SQL ServerSQL Server -Authentifizierung muss beim Herstellen der Verbindung über das Netzwerk übergeben werden.The encrypted SQL ServerSQL Server Authentication login password, must be passed over the network at the time of the connection. Einige Anwendungen, die automatisch eine Verbindung herstellen, speichern das Kennwort auf dem Client.Some applications that connect automatically will store the password at the client. So entstehen zusätzliche Angriffspunkte.These are additional attack points.

Vorteile der SQL Server-AuthentifizierungAdvantages of SQL Server Authentication

  • Ermöglicht SQL ServerSQL Server die Unterstützung von Anwendungen, die älter sind oder von Drittanbietern bereitgestellt werden und die SQL ServerSQL Server -Authentifizierung erfordern.Allows SQL ServerSQL Server to support older applications and applications provided by third parties that require SQL ServerSQL Server Authentication.

  • Ermöglicht SQL ServerSQL Server , Umgebungen mit gemischten Betriebssystemen zu unterstützen, in denen nicht alle Benutzer von einer Windows-Domäne authentifiziert werden.Allows SQL ServerSQL Server to support environments with mixed operating systems, where all users are not authenticated by a Windows domain.

  • Ermöglicht es Benutzern, von unbekannten oder nicht vertrauenswürdigen Domänen aus eine Verbindung herzustellen.Allows users to connect from unknown or untrusted domains. Zum Beispiel von einer Anwendung, bei der bestehende Kunden Verbindungen mit zugewiesenen SQL ServerSQL Server -Anmeldeinformationen herstellen, um den Status Ihrer Bestellungen abzufragen.For instance, an application where established customers connect with assigned SQL ServerSQL Server logins to receive the status of their orders.

  • Ermöglicht SQL ServerSQL Server , webbasierte Anwendungen zu unterstützen, bei denen Benutzer ihre eigenen Identitäten erstellen.Allows SQL ServerSQL Server to support Web-based applications where users create their own identities.

  • Ermöglicht es Softwareentwicklern, ihre Anwendungen mit einer komplexen Berechtigungshierarchie auf der Basis von bekannten, voreingestellten SQL ServerSQL Server -Anmeldeinformationen zu verteilen.Allows software developers to distribute their applications by using a complex permission hierarchy based on known, preset SQL ServerSQL Server logins.

    Hinweis

    Das Verwenden von SQL ServerSQL Server -Authentifizierung schränkt die Berechtigungen lokaler Administratoren für den Computer nicht ein, wenn SQL ServerSQL Server installiert ist.Using SQL ServerSQL Server Authentication does not limit the permissions of local administrators on the computer where SQL ServerSQL Server is installed.

Weitere InformationenSee Also

Überlegungen zur Sicherheit bei SQL Server-InstallationenSecurity Considerations for a SQL Server Installation