Ein Vergleich von Windows- und Datenbankauthentifizierung in SQL Server
Die Windows-Authentifizierung ist eine Methode zur Identifizierung einer Anmeldung mithilfe der Anmeldedaten, die vom Windows-Betriebssystem des verbundenen Computers übermittelt werden.
Tipp:Windows-authentifizierte Anmeldungen sind Standard und daher der für SQL Server-Datenbanken empfohlene Benutzertyp. Wenn Sie Ihre SQL Server-Instanz erstellen, ist dies standardmäßig der einzige zulässige Anmeldungstyp.
Datenbankanmeldenamen sind im Datenbankmanagementsystem erstellte Konten. Diese Konten sind getrennt vom Anmeldekonto, mit dem Sie eine Verbindung mit dem Betriebssystem herstellen.
Die Windows-Authentifizierung bietet einige Vorteile im Vergleich zur Datenbankauthentifizierung in SQL Server. Zu diesen Vorteilen zählen folgende:
- Die Windows-Authentifizierung ist in SQL Server-Datenbanken in der Regel sicherer als die Datenbankauthentifizierung, da dabei ein auf Zertifikaten basierender Sicherheitsmechanismus eingesetzt wird. Bei Windows-authentifizierten Anmeldungen wird ein Zugangs-Token anstatt eines Namens und Kennwortes an SQL Server übergeben. Der Zugangs-Token wird von Windows (Active Directory-Domäne oder lokales Betriebssystem) zugewiesen, wenn sich der Benutzer anmeldet.Er enthält eine eindeutige Sicherheits-ID (SID) für diesen Benutzer und die SIDs jeder lokalen oder Domänen-Windows-Gruppe, der der Benutzer angehört. Diese symbolischen SIDs werden in der Systemsicht "sys.server_principals" mit allen SIDs verglichen. Je nach Ergebnis des Vergleichs wird der Zugriff auf SQL Server entweder verweigert oder gewährt.
- Wenn Domänenkonten verwendet werden, erfolgt das Management von Kennwörtern und Konten zentral. Der Domänenadministrator verwaltet alle Anmeldungen, die in der Organisation verwendet werden. Der Datenbankadministrator muss keine getrennten Konten verwalten.
- Außerdem muss der Benutzer bei der Datenbankverbindung keinen Benutzernamen und kein Kennwort angeben. Eine einmalige Anmeldung bietet Zugriff auf alle Services, die die Windows-Authentifizierung unterstützen.
Einschränkungen, die bei der Windows-Authentifizierung in Verbindung mit Enterprise-Geodatabases beachtet werden müssen:
- Sie müssen sich bei der Verbindungsherstellung mit der Geodatabase als Windows-Benutzer mit Ihren aktuellen Anmeldedaten anmelden. Beispiel: Wenn Sie bei Windows als TERRA\Jens angemeldet sind, können Sie keine Windows-authentifizierte Verbindung als TERRA\Sven herstellen. Wenn Sie die Datenbankauthentifizierung verwenden, können Sie sich beim Computer als ein bestimmter Benutzer anmelden, aber durch Angabe eines anderen Benutzernamens und eines Kennworts eine Verbindung mit der Geodatabase als anderer Benutzer herstellen.
- Sie können keine Windows-authentifizierten Benutzer verwenden, wenn Sie einen ArcSDE-Service verwenden und der ArcSDE-Anwendungsserver auf einem anderen Server als dem SQL Server installiert ist. Wenn Sie Windows-authentifizierte Benutzer verwenden möchten, können Sie entweder Direktverbindungen zur Datenbank nutzen oder den ArcSDE-Anwendungsserver und den SQL Server auf dem gleichen Computer installieren.