<\/p>\n
Im Beitrag „SQL Server: Sicherheit und Benutzerverwaltung“ haben wir gezeigt, wie Sie grundsätzlich mit Benutzern, Benutzergruppen und den Berechtigungen an den einzelnen Elementen einer SQL Server-Datenbank und dem SQL Server selbst umgehen. Dort sind wir allerdings nur auf den Zugriff per Windows-Authentifizierung eingegangen. Viele Szenarios erfordern es allerdings, dass Sie die SQL Server-Authentifizierung verwenden, was bedeutet, dass Sie unter dem SQL Server eigene Konten für Benutzergruppen und Benutzer anlegen – unabhängig von den Windows-Benutzergruppen und -Benutzern. Dieser Beitrag liefert die Grundlagen rund um die Verwendung der SQL Server-Authentifizierung.<\/b><\/p>\nVoraussetzung<\/h2>\n
Für die Beispiele in diesem Artikel benötigen Sie die Datenbank Suedsturm_SQL<\/b>, die Sie im Download zu diesem Artikel finden und wie im Beitrag SQL Server-Datenbank kopieren <\/b>(www.access-im-unternehmen.de\/1153<\/b>) beschrieben installieren können. Dazu benötigen Sie außerdem eine SQL Server-Instanz auf Ihrem Rechner sowie das SQL Server Management Studio.<\/p>\nWarum SQL Server-Authentifizierung<\/h2>\n
Die im Beitrag SQL Server: Sicherheit und Benutzerverwaltung <\/b>(www.access-im-unternehmen.de\/1154<\/b>) beschriebene Windows-Authentifizierung setzt voraus, dass es für jedes im SQL Server eingerichtete Konto, sei es ein Benutzer- oder ein Benutzergruppenkonto, ein entsprechendes Konto unter Windows eingerichtet ist. Das ist in Umgebungen, wo der SQL Server auf der gleichen Maschine arbeitet, auf welcher der Benutzer angemeldet ist, ohne Problem möglich. Soll jedoch auch über das Netzwerk auf die Datenbank zugegriffen werden, gelingt dies unter der Windows-Authentifizierung nur, wenn der Zugriff im Kontext einer Windows-Domäne erfolgt. Dies ist jedoch nicht immer möglich. Keinesfalls ist dies der Fall, wenn der Zugriff etwa über das Internet erfolgt – dann und in anderen Fällen gibt es allerdings eine Alternative.<\/p>\n
Dabei handelt es sich um die sogenannte SQL Server-Authentifizierung. Hier werden auf dem SQL Server von den Windows-Benutzern und -Benutzergruppen unabhängige Benutzer und Benutzergruppen angelegt (Sie kommen natürlich auch nur mit Benutzern aus). Im Unterschied zur Windows-Authentifizierung, wo es ausreicht, für die Mitglieder einer Windows-Gruppe eine entsprechende Anmeldung für die Gruppe im SQL Server einzurichten, müssen Sie bei der SQL Server-Authentifizierung für jeden Benutzer ein Konto anlegen. Sie können natürlich zusätzlich zum Benutzer auch Benutzergruppen anlegen und die Berechtigungen dann je nach Anforderung für den Benutzer oder auch für die Benutzergruppe eines Benutzers definieren.<\/p>\n
Wie auch bei der Windows-Authentifizierung bietet auch die SQL Server-Authentifizierung ein zweistufiges Sicherheitsverfahren an, bei dem der Benutzer zunächst über die Berechtigung für die Anmeldung am SQL Server und dann noch über die Berechtigungen für die gewünschte Datenbank verfügen muss.<\/p>\n
Wenn Sie eine neue Benutzergruppe im SQL Server anlegen möchten, öffnen Sie über den Kontextmenü-Eintrag Sicherheit|Neu|Anmeldung… <\/b>den Dialog Anmeldung – Neu<\/b> (siehe Bild 1). Hier aktivieren Sie zunächst die Option SQL Server-Authentifizierung<\/b>. Daran, dass nun die Schaltflächen Suchen neben dem Feld Anmeldename <\/b>verschwindet, erkennen Sie schon, dass wir hier nicht mehr auf die vorhandenen Windows-Benutzerkonten zugreifen können. Also geben wir hier einen benutzerdefinierten Anmeldenamen ein. Da wir im Beitrag SQL Server: Sicherheit und Benutzerverwaltung <\/b>bereits die Benutzer namens Benutzer1 <\/b>und Benutzer2 <\/b>verwendet haben, nutzen wir nun zunächst Benutzer3<\/b>. Unter der Option SQL Server-Authentifizierung <\/b>geben Sie außerdem das Kennwort ein – hier haben wir schlicht password <\/b>verwendet. Unten wählen wir wieder die Zieldatenbank als Standarddatenbank aus, also Suedsturm_SQL<\/b>. Auf der nächsten Seite unter Serverrollen behalten wir die Serverrolle public <\/b>bei, da der Benutzer keine weiteren Rechte für die Administration des SQL Servers erhalten soll.<\/p>\n
![\"Anlegen](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_001.png\")
<\/p>\n
Bild 1: Anlegen eines neuen Benutzers unter der SQL Server-Authentifizierung<\/span><\/b><\/p>\n Auf der Seite Benutzerzuordnung <\/b>wählen wir schließlich die Datenbank Suedsturm_SQL <\/b>aus, auf die der Benutzer zugreifen können soll (siehe Bild 2). Daraufhin erscheinen im unteren Bereich die verschiedenen allgemeinen Datenbankrollen für die Datenbank Suedsturm_SQL<\/b>. Hier wählen wir zusätzlich zu public <\/b>noch db_datareader <\/b>und db_datawriter <\/b>aus, damit der Benutzer in allen Tabellen lesen und schreiben darf.<\/p>\n <\/p>\n Bild 2: Zuweisen der Datenbank und der Berechtigungen für diese Datenbank<\/span><\/b><\/p>\n Hier wird auch gleich ein entscheidender Unterschied zwischen der Windows-Authentifizierung und der SQL Server-Authentifizierung deutlich: Bei der Windows-Authentifizierung können Sie sowohl Windows-Benutzer als auch Windows-Benutzergruppen mit dem Suchen-Dialog auffinden und als Anmeldungen anlegen.<\/p>\n Wenn Sie jedoch die Option SQL Server-Authentifizierung <\/b>wählen, verschwindet mit dem Suchen<\/b>-Button die Möglichkeit, Gruppen hinzuzufügen – und ein neuer Anmeldename ist bei der SQL Server-Authentifzierung immer ein neuer Benutzer, aber niemals eine Benutzergruppe.<\/p>\n Damit erhalten wir auch den Nachteil, dass wir bei SQL Server-Authentifizierung nicht den Vorzug genießen, Berechtigungen gleich für eine ganze Gruppe von Benutzern anlegen zu können. <\/p>\n Nachdem Sie die Anmeldung für den Benutzer für die SQL Server-Instanz erstellt haben, benötigen wir noch die zweite Stufe. Dazu wählen Sie aus dem Kontextmenü des Eintrags Datenbanken|Suedsturm_SQL|Sicherheit <\/b>den Befehl Neu|Benutzer…<\/b> aus (siehe Bild 3). Alternativ können Sie auch den Kontextmenü-Befehl Neuer Benutzer… <\/b>des Eintrags …|Sicherheit|Benutzer <\/b>wählen.<\/p>\n Bild 3: Hinzufügen des neuen Benutzers für die Datenbank<\/span><\/b><\/p>\n Aber Moment: Haben wir nicht weiter oben schon … doch, wir haben: Auf der Seite Benutzerzuordnung <\/b>des Dialogs Anmeldung – Neu <\/b>haben wir bereits die Datenbank Suedsturm_SQL <\/b>ausgewählt. Ein Blick auf die Liste unterhalb des Eintrags Da-ten-banken|Sicherheit|Benutzer<\/b> liefert dann auch den Benutzer namens Benutzer3 <\/b>(siehe Bild 4).<\/p>\n Bild 4: Der Benutzer namens Benutzer3 ist schon in der Datenbank vorhanden.<\/span><\/b><\/p>\n Und weiter oben haben wir auch bereits die Berechtigungen für diesen Benutzer für die Datenbank Suedsturm_SQL <\/b>eingerichtet.<\/p>\n Nun wollen wir prüfen, wie wir unter einem anderen Benutzer auf die Datenbank zugreifen können, wenn wir dies über das SQL Server Management Studio erledigen wollen. Da wir aktuell als Administrator eingeloggt sind, legen wir eine neue Verbindung zur SQL Server-Instanz an. Dazu klicken Sie oben im Objekt-Explorer auf den Eintrag Verbinden|Datenbankmodul…<\/b> (siehe Bild 5).<\/p>\n Bild 5: Verbinden mit dem Datenbankmodul<\/span><\/b><\/p>\n Es erscheint der Dialog Verbindung mit Server herstellen<\/b>, der wie üblich zunächst anbietet, per Windows-Authentifizierung zu verbinden. Wir können jedoch für die Eigenschaft Authentifizierung <\/b>auch den Wert SQL Server-Authentifizierung<\/b> auswählen (siehe Bild 6).<\/p>\n Bild 6: Auswahl der Authentifizierungsart<\/span><\/b><\/p>\n Nach dieser Auswahl erscheinen die erwarteten Textfelder zur Eingabe des Benutzernamens und des Kennworts (siehe Bild 7). Nachdem wir diese eingegeben haben, klicken wir auf die Schaltfläche Verbinden<\/b>.<\/p>\n Bild 7: Eingabe von Benutzername und Kennwort<\/span><\/b><\/p>\n Anschließend erfolgt allerdings nicht direkt die Verbindung, sondern wir müssen noch ein neues Kennwort eingeben (siehe Bild 8). Das geschieht immer bei der ersten Anmeldung. Sie können auch nochmal das gleiche Kennwort wie zuvor eingeben – es wird dennoch akzeptiert. Bei dieser Aktion geht es lediglich darum, dass der Benutzer sein eigenes Kennwort eingeben kann.<\/p>\n Bild 8: Anforderung eines neuen Kennworts<\/span><\/b><\/p>\n Nach der Eingabe des neuen Kennworts kann der Benutzer Benutzer3<\/b> wie erwartet auf die Tabellen der Datenbank Suedsturm_SQL <\/b>zugreifen (siehe Bild 9).<\/p>\n Bild 9: Der Zugriff auf die freigegebene Datenbank gelingt ohne Probleme.<\/span><\/b><\/p>\n Aber ist auch der Zugriff auf die anderen Datenbanken abgeriegelt Um dies zu prüfen, klicken wir auch noch auf einen der anderen Datenbankeinträge, um die enthaltenen Elemente anzuzeigen. Die daraufhin erscheinende Meldung zeigt, dass dies nicht der Fall ist – die Absicherung durch die SQL Server-Authentifizierung funktioniert (siehe Bild 10).<\/p>\n Bild 10: Kein Zugriff auf andere Datenbanken außer Suedsturm_SQL möglich.<\/span><\/b><\/p>\n Wollen Sie von Access aus auf einen SQL Server mit SQL Server-Authentifizierung zugreifen, ergeben sich gegenüber dem Zugriff mit der Windows-Authentifizierung einige wichtige änderungen.<\/p>\n Unter Windows-Authentifizierung geben Sie in der Verbindungszeichenfolge den Parameter Trusted_Connection=Yes;<\/b>. Wenn Sie die SQL Server-Authentifizierung verwenden, müssen Sie Benutzername und Kennwort als einzelne Parameter angeben, in unserem Beispiel also etwa UID=Benutzer3;PWD=password;<\/b>.<\/p>\n Das bringt für verschiedene Szenarien Nachteile mit sich. Wenn Sie etwa die Tabellen der SQL Server-Datenbank per ODBC verknüpfen wollen, müssten Sie entweder den Benutzernamen und das Kennwort in der Systemtabelle MSysObjects <\/b>speichern – oder der Benutzer muss diese immer beim ersten Zugriff auf eine der Tabellen der Datenbank eingeben.<\/p>\n Diesen Nachteil kann man ausgleichen, indem man eine Technik verwendet, bei der die Verknüpfungen immer erst nach dem öffnen der Datenbankanwendung und der Eingabe der Verbindungsdaten durch den Benutzer erstellt und wo die Verknüpfungen beim Schließen der Datenbank wieder gelöscht werden.<\/p>\n Wie dies im Detail funktioniert, erfahren Sie im Beitrag SQL Server-Zugriff ohne gespeichertes Kennwort <\/b>(www.access-im-unternehmen.de\/1156<\/b>).<\/p>\n Wenn Sie eine SQL Server-Datenbank in einer Konstellation einsetzen wollen, die sich auf mehr als den Benutzer des Rechners mit dem SQL Server oder ein Netzwerk mit einer Windows-Domäne erstreckt, können Sie nicht mehr die Windows-Authentifizierung verwenden, sondern müssen auf die SQL Server-Authentifizierung umsteigen.<\/p>\n Das ist zum Beispiel der Fall in Netzwerken ohne Domäne oder beim Zugriff über das Internet. Die Nutzung der SQL Server-Authentifizierung bringt ein paar Nachteile mit sich, aber die Sicherheit der Daten ist dennoch gewährt.<\/p>\n Für den Zugriff per ODBC-Verknüpfung von einer Access-Datenbank aus kann eine spezielle Technik weiterhelfen, die wir im Beitrag SQL Server-Zugriff ohne gespeichertes Kennwort <\/b>(www.access-im-unternehmen.de\/1156<\/b>)vorstellen.<\/p>\n","protected":false},"excerpt":{"rendered":" Im Beitrag „SQL Server: Sicherheit und Benutzerverwaltung“ haben wir gezeigt, wie Sie grundsätzlich mit Benutzern, Benutzergruppen und den Berechtigungen an den einzelnen Elementen einer SQL Server-Datenbank umd dem SQL Server selbst umgehen. Dort sind wir allerdings nur auf den Zugriff per Windows-Authentifizierung eingegangen. Viele Szenarios erfordern es allerdings, dass Sie die SQL Server-Authentifizierung verwenden, was bedeutet, dass Sie unter dem SQL Server eigene Konten für Benutzergruppen und Benutzer anlegen – unabhängig von den Windows-Benutzergruppen und -Benutzern. Dieser Beitrag liefert die Grundlagen rund um die Verwendung der SQL Server-Authentifizierung.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[662018,66052018,44000022],"tags":[],"class_list":["post-55001155","post","type-post","status-publish","format-standard","hentry","category-662018","category-66052018","category-SQL_Server_und_Co"],"yoast_head":"\n![\"Zuweisen](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_004.png\")
<\/p>\nNur Benutzer, keine Gruppen<\/h2>\n
Benutzerberechtigungen für eine Datenbank<\/h2>\n
![\"Hinzufügen](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_002.png\")
<\/p>\n![\"Der](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_003.png\")
<\/p>\nZugriff auf die Datenbank per SQL Server Management Studio<\/h2>\n
![\"Verbinden](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_005.png\")
<\/p>\n![\"Auswahl](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_006.png\")
<\/p>\n![\"Eingabe](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_007.png\")
<\/p>\n![\"Anforderung](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_008.png\")
<\/p>\n![\"Der](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_009.png\")
<\/p>\n![\"Kein](\"..\/fileadmin\/_temp_\/2018_05\/pic_1155_010.png\")
<\/p>\nAccess und die SQL Server-Authentifizierung<\/h2>\n
Zusammenfassung und Ausblick<\/h2>\n