Сравнение аутентификации Windows и аутентификации в базе данных SQL Server
Аутентификация средствами Windows - это метод идентификации пользователей с использованием учетных записей, предоставленных операционной системой (ОС) подключающегося компьютера.
Подсказка:Учетные записи с аутентификацией в Windows используются по умолчанию и, поэтому, рекомендуются для работы с базами данных SQL Server. По умолчанию при создании экземпляра SQL Server это единственный разрешенный тип подключения.
Имена пользователей базы данных - это учетные записи, созданные в СУБД. Эти учетные записи отличаются от тех, которые используются для входа в ОС.
Аутентификация Windows имеет несколько преимуществ перед аутентификацией в базе данных SQL Server. Эти преимущества перечислены ниже:
- Аутентификация Windows более безопасна, чем аутентификация SQL Server, поскольку она использует механизм безопасности, основанный на сертификатах. При аутентификации Windows передается маркер доступа (token) вместо имени пользователя и пароля в SQL Server. Маркер доступа назначается Windows (доменом Active Directory Domain или локальной ОС) при входе. Он содержит уникальный защищенный ID (SID) пользователя и SID всех локальных или доменных групп Windows, к которым относится пользователь. Эти SID токена сравниваются со всеми SID в системном файле sys.server_principals. В зависимости от результатов сравнения, пользователю предоставляется или запрещается доступ к SQL Server.
- При использовании доменных учетных записей управление ими централизовано; администратор домена управляет всеми записями, которые используются в организации, поэтому администратору домена нет необходимости управлять отдельными записями.
- Когда пользователь подключается к базе данных, нет необходимости вводить имя пользователя и пароль. Один вход обеспечивает доступ ко всем сервисам, поддерживающим аутентификацию Windows.
При использовании аутентификации средствами Windows с корпоративными базами данных имеются некоторые ограничения:
- Вы не можете подключиться к базе геоданных из-под имени другого пользователя. Например, если вы входите как TERRA\Ian, вы не можете создать подключение TERRA\Sylvia с аутентификацией Windows. Если вы используете аутентификацию в базе данных, вы можете войти в компьютер под одним пользователем, а подключиться к базе геоданных под другим.
- Нельзя использовать аутентификацию Windows при работе с сервисом ArcSDE и с сервером приложений ArcSDE, установленным на другом сервере (не на сервере SQL Server). Если вы хотите использовать аутентификацию пользователей Windows, можно воспользоваться либо прямым подключением к базе геоданных, либо установить сервер приложений ArcSDE и SQL Server на один компьютер.