Аутентификация
Система безопасности Database Engine включает две различные подсистемы опасности:
безопасность Windows;
безопасность SQL Server.
Безопасность Windows задает безопасность на уровне операционной системы, т.е. метод, при помощи которого пользователи соединяются с операционной системой, используя учетную запись пользователя Windows. Аутентификация, которая используется в этой подсистеме, также называется доверенной аутентификацией, потому что система доверяет операционной системе, которая уже проверила учетную запись и соответствующий пароль.
Безопасность SQL Server задает дополнительную необходимую безопасность на уровне системы, т.е. когда пользователь, который уже вошел в операционную систему, может после этого соединяться с сервером базы данных. Служба безопасности SQL Server определяет учетную запись SQL Server, которая создается системой и связана с паролем. Некоторые учётные записи SQL Server идентичны учетным записям пользователя Windows. Аутентификация, которая используется в этой подсистеме, называется аутентификацией SQL Server.
Основываясь на этих двух системах безопасности, Database Engine может работать в одном из следующих режимов аутентификации:
режим Windows;
смешанный режим.
Режим Windows требует учетную запись пользователя Windows исключительно для соединения с системой. Система принимает учетную запись пользователя, предполагая, что она уже проверен на уровне операционной системы.
Этот вид соединения с системой базы данных называется доверительным соединением, потому что система доверяет тому, что операционная система уже проверила эту учетную запись и соответствующий ей пароль.
Смешанный режим дает пользователям возможность соединяться с Database Engine, используя аутентификацию Windows или аутентификацию SQL Server. Это означает, что некоторые учетные записи пользователя могут быть установлены для использования и в подсистеме безопасности SQL Server, и в подсистеме безопасности Windows.
Аутентификация SQL Server предоставляется только для обратной совместимости версий. По этой причине вместо нее следует использовать аутентификацию Windows.
Использование sql Server Management Studio для выбора одного из режимов аутентификации.
Чтобы установить режим Windows, щелкните правой кнопкой мыши по серверу и выберите пуни Properties.
В диалоговом окне Server Properties выберите страницу Security и щелкните по Windows Authentication Mode.
Для выбора смешанного режима нужно выбрать Server and Windows Authentication Mode в диалоговом окне Server Properties.
При подключении к SQL Server 2005 с использованием имени входа Windows, SQL Server полагается на проверку подлинности операционной системы и проверяет только, имеет ли пользователь Windows соответствующее имя входа, определенное в этом экземпляре сервера SQL Server, или принадлежит ли это имя входа группе Windows с соответствующим именем входа в этот экземпляр SQL Server.
Возможна ситуация, при которой пользователь или группа, сопоставленные имени входа Windows, будут удалены из операционной системы без уведомления SQL Server. SQL Server 2005 не выполняет проверку для такой ситуации, поэтому следует периодически проверять экземпляр SQL Server, чтобы выявить имена входа, утратившие связь с пользователями. Это можно выполнить при помощи системной хранимой процедуры sp_validatelogins.
По умолчанию, доступ к SQL Server предоставлен только членам локальной группы администраторов Windows и учетной записи службы, которая запускает службы SQL. Однако, существует возможность удалить права на удаленный доступ к SQL Server из списка прав членов группы администраторов
Ядро базы данных выполняет двухфазный процесс проверки подлинности.
Сначала проверяется, предоставили ли вы действующее имя пользователя учетной записи, имеющей разрешение на подключение к экземпляру SQL Server.
Далее, ядро базы данных проверяет, имеет ли данная учетная запись разрешение на доступ к той базе данных, к которой выполняется попытка подключения.