Välj ett autentiseringsläge
gäller för:
SQL Server
Under installationen måste du välja ett autentiseringsläge för databasmotorn. Det finns två möjliga lägen: Windows-autentiseringsläge och blandat läge. Windows-autentiseringsläget aktiverar Windows-autentisering och inaktiverar SQL Server-autentisering. Blandat läge möjliggör både Windows-autentisering och SQL Server-autentisering. Windows-autentisering är alltid tillgängligt och kan inte inaktiveras.
Konfigurera autentiseringsläget
Om du väljer autentisering i blandat läge (SQL Server och Windows-autentiseringsläge) under installationen måste du ange och sedan bekräfta ett starkt lösenord för det inbyggda SQL Server-systemadministratörskontot med namnet sa. Det sa kontot ansluter med hjälp av SQL Server-autentisering.
Om du väljer Windows-autentisering under installationen skapar installationen det sa kontot för SQL Server-autentisering, men det är inaktiverat. Om du senare ändrar till autentisering i blandat läge och vill använda sa-kontot måste du aktivera kontot. Alla Windows- eller SQL Server-konton kan konfigureras som systemadministratör. Eftersom sa kontot är välkänt och ofta mål för skadliga användare ska du inte aktivera sa-kontot om inte programmet kräver det. Ange aldrig ett tomt eller svagt lösenord för sa-kontot. Information om hur du ändrar från Windows-autentiseringsläge till autentisering i blandat läge och använder SQL Server-autentisering finns i Ändra serverautentiseringsläge.
Ansluta via Windows-autentisering
När en användare ansluter via ett Windows-användarkonto verifierar SQL Server kontonamnet och lösenordet med hjälp av Windows-huvudtoken i operativsystemet. Det innebär att användaridentiteten bekräftas av Windows. SQL Server ber inte om lösenordet och utför inte identitetsverifieringen. Windows-autentisering är standardautentiseringsläget och är mycket säkrare än SQL Server-autentisering. Windows-autentisering använder New Technology LAN Manager (NTLM) eller Kerberos säkerhetsprotokoll, tillhandahåller lösenordsprincipframtvingande när det gäller komplexitetsvalidering för starka lösenord, ger stöd för kontoutelåsning och stöder lösenordsförfallotid. En anslutning som görs med Windows-autentisering kallas ibland för en betrodd anslutning eftersom SQL Server litar på de autentiseringsuppgifter som tillhandahålls av Windows.
Information om hur du konfigurerar Kerberos finns i Registrera ett tjänsthuvudnamn för Kerberos-anslutningar.
Genom att använda Windows-autentisering kan Windows-grupper skapas på domännivå och en inloggning kan skapas på SQL Server för hela gruppen. Att hantera åtkomst på domännivå kan förenkla kontoadministration.
Viktig
Använd Windows-autentisering när det är möjligt.
Ansluta via SQL Server-autentisering
När du använder SQL Server-autentisering skapas inloggningar i SQL Server som inte baseras på Windows-användarkonton. Både användarnamnet och lösenordet skapas med hjälp av SQL Server och lagras i SQL Server. Användare som ansluter med SQL Server-autentisering måste ange sina autentiseringsuppgifter (inloggning och lösenord) varje gång de ansluter. När du använder SQL Server-autentisering måste du ange starka lösenord för alla SQL Server-konton. Riktlinjer för starka lösenord finns i Starka lösenord.
Det finns tre valfria lösenordsprinciper för SQL Server-inloggningar.
Användaren måste ändra lösenord vid nästa inloggning
Kräver att användaren ändrar lösenordet nästa gång användaren ansluter. Möjligheten att ändra lösenordet tillhandahålls av SQL Server Management Studio. Andra utvecklare av företagsprogramvara bör tillhandahålla den här funktionen om det här alternativet används.
Framtvinga förfallodatum för lösenord
Den maximala principen för lösenordsålder för datorn tillämpas för SQL Server-inloggningar.
Framtvinga lösenordsprincip
Windows-lösenordsprinciperna för datorn tillämpas för SQL Server-inloggningar. Detta omfattar lösenordslängd och komplexitet. Den här funktionen beror på
NetValidatePasswordPolicy-API:et, som endast är tillgängligt i Windows Server 2003 och senare versioner.
Så här fastställer du lösenordsprinciperna för den lokala datorn
På menyn Start väljer du Kör.
I dialogrutan Kör skriver du secpol.mscoch väljer sedan OK.
I programmet Lokala säkerhetsinställningar expanderar du Säkerhetsinställningar, expanderar Kontoprinciperoch väljer sedan Lösenordsprincip.
Lösenordsprinciperna beskrivs i resultatfönstret.
Nackdelar med SQL Server-autentisering
Om en användare är en Windows-domänanvändare som har en inloggning och ett lösenord för Windows måste de fortfarande ange en annan (SQL Server) inloggning och lösenord för att ansluta. Det är svårt för många användare att hålla reda på flera namn och lösenord. Att behöva ange SQL Server-autentiseringsuppgifter varje gång användaren ansluter till databasen kan vara irriterande.
SQL Server-autentisering kan inte använda Kerberos säkerhetsprotokoll.
Windows erbjuder ytterligare lösenordsprinciper som inte är tillgängliga för SQL Server-inloggningar.
Det krypterade inloggningslösenordet för SQL Server-autentisering måste skickas över nätverket vid tidpunkten för anslutningen. Vissa program som ansluter automatiskt lagrar lösenordet på klienten. Det här är ytterligare attackpunkter.
Fördelar med SQL Server-autentisering
Tillåter att SQL Server stöder äldre program och program som tillhandahålls av tredje part och som kräver SQL Server-autentisering.
Gör att SQL Server kan stödja miljöer med blandade operativsystem, där alla användare inte autentiseras av en Windows-domän.
Tillåter användare att ansluta från okända eller ej betrodda domäner. Till exempel ett program där etablerade kunder ansluter med tilldelade SQL Server-inloggningar för att få status för sina beställningar.
Gör att SQL Server kan stödja webbaserade program där användarna skapar sina egna identiteter.
Gör att programutvecklare kan distribuera sina program med hjälp av en komplex behörighetshierarki baserat på kända, förinställda SQL Server-inloggningar.
Anteckning
Användning av SQL Server-autentisering begränsar inte behörigheterna för lokala administratörer på den dator där SQL Server är installerat.