Freigeben über


Erstellen eines Anmeldenamens

Gilt für: SQL Server Azure SQL-Datenbank Azure SQL Managed Instance Azure Synapse Analytics Analytics Platform System (PDW)

In diesem Artikel wird beschrieben, wie man eine Anmeldung in SQL Server oder Azure SQL Database mit Hilfe von SQL Server Management Studio (SSMS) oder Transact-SQL erstellt. Ein Anmeldename ist die Identität von Personen oder Prozessen, die eine Verbindung zu einer Instanz von SQL Server herstellen.

Hinweis

Microsoft Entra ID war bisher unter Azure Active Directory (Azure AD) bekannt.

Hintergrund

Eine Anmeldung ist ein Sicherheitsprinzipal oder eine Entität, die von einem sicheren System authentifiziert werden kann. Benutzer benötigen einen Anmeldenamen, um eine Verbindung mit SQL Server herstellen zu können. Sie können auf Grundlage eines Windows-Prinzipals (z. B. ein Domänenbenutzer oder eine Windows-Domänengruppe) eine Anmeldung erstellen, oder Sie können eine Anmeldung erstellen, die nicht auf einem Windows-Prinzipal (z. B. eine SQL Server-Anmeldung) basiert.

Hinweis

Für die Verwendung der SQL Server-Authentifizierung muss Database Engine die Authentifizierung im gemischten Modus verwenden. Weitere Informationen finden Sie unter Auswählen eines Authentifizierungsmodus.

Azure SQL hat Microsoft Entra-Serverprinzipale (Anmeldungen) für die Authentifizierung bei Azure SQL Database, Azure SQL Managed Instance und Azure Synapse Analytics (nur dedizierte SQL-Pools) eingeführt.

Mit SQL Server 2022 wird auch die Microsoft Entra-Authentifizierung für SQL Server eingeführt.

Als Sicherheitsprinzipale können Anmeldenamen Berechtigungen gewährt werden. Der Gültigkeitsbereich eines Anmeldenamens ist das gesamte Database Engine. Um eine bestimmte Datenbank mit einer Instanz von SQL Server zu verbinden, muss ein Anmeldename einem Datenbankbenutzer zugeordnet werden. Die Berechtigungen innerhalb der Datenbank werden dem Datenbankbenutzer, nicht dem Anmeldenamen, gewährt bzw. verweigert. Einer Anmeldung können Berechtigungen gewährt werden, bei denen der Gültigkeitsbereich die gesamte Instanz von SQL Server abdeckt (z.B. die CREATE ENDPOINT-Berechtigung).

Hinweis

Wenn eine Anmeldung eine Verbindung mit SQL Server herstellt, wird die Identität in der master-Datenbank überprüft. Verwenden Sie eigenständige Datenbankbenutzer, um SQL Server und SQL Database-Verbindungen auf Datenbankebene zu authentifizieren. Eine Anmeldung ist nicht erforderlich, wenn Sie eigenständige Datenbankbenutzer verwenden. Eine eigenständige Datenbank ist eine Datenbank, die von anderen Datenbanken und der SQL Server-Instanz oder SQL Database (und der master-Datenbank), die die Datenbank hostet, isoliert ist. SQL Server unterstützt eigenständige Datenbankbenutzer sowohl für die Windows- als auch für die SQL Server-Authentifizierung. Kombinieren Sie bei Verwendung von SQL Database eigenständige Datenbankbenutzer mit den Firewallregeln auf Datenbankebene. Weitere Informationen finden Sie unter Eigenständige Datenbankbenutzer – machen Sie Ihre Datenbank portabel.

Berechtigungen

SQL Server erfordert eine ALTER ANY LOGIN- oder ALTER LOGIN-Berechtigung auf dem Server oder die feste Serverrolle ##MS_LoginManager## (SQL Server 2022 und höher).

SQL Database erfordert die Mitgliedschaft in der loginmanager-Rolle oder der festen Serverrolle ##MS_LoginManager##.

Erstellen einer Anmeldung mit SSMS für SQL Server

  1. Erweitern Sie im Objekt-Explorer den Ordner der Serverinstanz, in dem Sie eine neue Anmeldung erstellen möchten.

  2. Klicken Sie mit der rechten Maustaste auf den Ordner Sicherheit, zeigen Sie auf Neu, und wählen Sie dann Anmeldung... aus.

  3. Geben Sie in das Dialogfeld Anmeldung - Neu auf der Seite Allgemein einen Benutzernamen in das Feld Anmeldename ein. Klicken Sie alternativ auf Suchen..., um das Dialogfeld Benutzer oder Gruppe auswählen zu öffnen.

    Hinweis

    Bestimmte Ports müssen für die Kommunikation mit dem Domänencontroller zugelassen werden, wenn Sie nach einem Windows-Prinzipal suchen. Wenn Sie Probleme haben, Ergebnisse für die Suche zu erhalten, siehe Dienstübersicht und Netzwerkanschlussanforderungen für Windows.

    Wenn Sie Suche … auswählen:

    1. Klicken Sie unter Wählen Sie den Objekttyp aus auf Objekttypen..., um das Dialogfeld Objekttypen zu öffnen, und wählen Sie beliebige oder alle der folgenden Optionen aus: Integrierte Sicherheitsprinzipale, Gruppen und Benutzer. Die OptionenIntegrierte Sicherheitsprinzipale und Benutzer sind standardmäßig ausgewählt. Wenn Sie fertig sind, wählen Sie OK aus.

    2. Klicken Sie unter Suchpfad auf Speicherorte..., um das Dialogfeld Speicherorte zu öffnen, und wählen Sie einen der verfügbaren Serverspeicherorte aus. Wenn Sie fertig sind, wählen Sie OK aus.

    3. Geben Sie unter Geben Sie die zu verwendenden Objektnamen ein (Beispiele)den Benutzer- oder Gruppennamen ein, den Sie suchen möchten. Weitere Informationen finden Sie unter Benutzer, Computer oder Gruppen auswählen (Dialogfeld).

    4. Klicken Sie auf Erweitert... für erweiterte Suchoptionen. Weitere Informationen finden Sie unter Auswählen von Benutzern, Computern oder Gruppen (Dialogfeld) – Erweitert (Seite).

    5. Wählen Sie OK aus.

  4. Um auf Grundlage eines Windows-Prinzipals eine Anmeldung zu erstellen, wählen Sie Windows-Authentifizierungaus. Dies ist die Standardauswahl.

  5. Um eine Anmeldung zu erstellen, die auf einer -Datenbank gespeichert wird, wählen Sie SQL Server-Authentifizierung aus.

    1. Geben Sie im Feld Kennwort ein Kennwort für den neuen Benutzer ein. Geben Sie dieses Kennwort erneut im Feld Kennwort bestätigen ein.

    2. Wenn Sie ein vorhandenes Kennwort ändern, wählen Sie Altes Kennwort angebenaus, und geben Sie dann das alte Kennwort im Feld Altes Kennwort ein.

    3. Um Kennwortrichtlinienoptionen für Komplexität und Erzwingung zu erzwingen, wählen Sie Kennwortrichtlinie erzwingenaus. Weitere Informationen finden Sie unter Password Policy. Dies ist eine Standardoption, wenn SQL Server-Authentifizierung ausgewählt wird.

    4. Um den Ablauf von Kennwortrichtlinienoptionen zu erzwingen, wählen Sie Ablauf des Kennworts erzwingenaus. Kennwortrichtlinie erzwingen muss ausgewählt sein, damit dieses Kontrollkästchen aktiviert werden kann. Dies ist eine Standardoption, wenn SQL Server-Authentifizierung ausgewählt wird.

    5. Wählen Sie Benutzer muss das Kennwort bei der nächsten Anmeldung ändernaus, um den Benutzer zu zwingen, nach der ersten Anmeldung ein neues Kennwort zu erstellen. Die OptionAblauf des Kennworts erzwingen muss ausgewählt sein, damit dieses Kontrollkästchen aktiviert werden kann. Dies ist eine Standardoption, wenn SQL Server-Authentifizierung ausgewählt wird.

  6. Um einem eigenständigen Sicherheitszertifikat die Anmeldung zuzuordnen, wählen Sie Zugeordnet zu Zertifikat aus, und wählen Sie anschließend den Namen eines vorhandenen Zertifikats aus der Liste aus.

  7. Um einem eigenständigen asymmetrischen Schlüssel die Anmeldung zuzuordnen, wählen Sie Zugeordnet zu asymmetrischem Schlüssel aus, und wählen Sie anschließend den Namen eines vorhandenen Schlüssels aus der Liste aus.

  8. Um Sicherheitsanmeldeinformationen die Anmeldung zuzuordnen, aktivieren Sie das Kontrollkästchen Zugeordnet zu Anmeldeinformationen, und wählen Sie anschließend entweder einen vorhandenen Anmeldenamen aus der Liste aus, oder klicken Sie auf Hinzufügen, um einen neuen Anmeldenamen zu erstellen. Um eine Zuordnung zu Sicherheitsanmeldeinformationen aus der Anmeldung zu entfernen, wählen Sie die Anmeldeinformationen aus der Liste Zugeordnete Anmeldeinformationen aus, und klicken Sie auf Entfernen. Weitere Informationen über Anmeldenamen im Allgemeinen finden Sie unter Anmeldeinformationen (Datenbank-Engine).

  9. Wählen Sie eine Standarddatenbank für die Anmeldung aus der Liste Standarddatenbank aus. Der Standardwert für diese Option ist master.

  10. Wählen Sie eine Standardsprache für die Anmeldung aus der Liste Standardsprache aus.

  11. Wählen Sie OK aus.

Zusätzliche Optionen

Im Dialogfeld Anmeldung - Neu sind auch Optionen auf vier weiteren Seiten verfügbar: Serverrollen, Benutzerzuordnung, Sicherungsfähige Elementeund Status.

Serverrollen

Hinweis

Diese Serverrollen sind für SQL Database nicht verfügbar. Es sind feste Rollen auf Serverebene für SQL Database verfügbar. Weitere Informationen finden Sie unter Azure SQL Database Serverrollen für die Berechtigungsverwaltung.

Die Seite Serverrollen listet alle möglichen Rollen auf, die der neuen Anmeldung zugewiesen werden können. Die folgenden Optionen sind verfügbar:

Kontrollkästchenbulkadmin
Mitglieder der festen Serverrolle bulkadmin können die BULK INSERT-Anweisung ausführen.

Kontrollkästchendbcreator
Mitglieder der festen Serverrolle dbcreator können beliebige Datenbanken erstellen, ändern, löschen und wiederherstellen.

Kontrollkästchendiskadmin
Mitglieder der festen Serverrolle diskadmin können Datenträgerdateien verwalten.

Kontrollkästchenprocessadmin
Mitglieder der festen Serverrolle processadmin können Prozesse beenden, die in einer Instanz von Database Engine ausgeführt werden.

Kontrollkästchenpublic
Alle SQL Server-Benutzer, -Gruppen und -Rollen gehören standardmäßig zur festen Serverrolle public .

Kontrollkästchensecurityadmin
Mitglieder der festen Serverrolle securityadmin können Anmeldungen und deren Eigenschaften verwalten. Sie verfügen für Berechtigungen auf Serverebene über die Berechtigungen GRANT, DENY und REVOKE. Sie verfügen für Berechtigungen auf Datenbankebene ebenfalls über die Berechtigungen GRANT, DENY und REVOKE. Sie können außerdem Kennwörter für SQL Server-Anmeldungen zurücksetzen.

Kontrollkästchenserveradmin
Mitglieder der festen Serverrolle serveradmin können serverweite Konfigurationsoptionen ändern und den Server herunterfahren.

Kontrollkästchensetupadmin
Mitglieder der festen Serverrolle setupadmin können Verbindungsserver hinzufügen und entfernen, und sie können einige gespeicherte Systemprozeduren ausführen.

Kontrollkästchensysadmin
Mitglieder der festen Serverrolle sysadmin können alle Aktivitäten auf dem Database Engine ausführen.

Benutzerzuordnung

Die Seite Benutzerzuordnung listet alle möglichen Datenbanken und die Mitgliedschaften in der Datenbankrolle auf jenen Datenbanken auf, die für die Anmeldung übernommen werden können. Die ausgewählten Datenbanken bestimmen die Rollenmitgliedschaften, die für die Anmeldung verfügbar sind. Die folgenden Optionen sind auf dieser Seite verfügbar:

Benutzer, die dieser Anmeldung zugeordnet sind
Wählt die Datenbanken aus, auf die von dieser Anmeldung zugegriffen werden kann. Wenn Sie eine Datenbank auswählen, werden die gültigen Datenbankrollen im Bereich Mitgliedschaft in Datenbankrolle für: Datenbankname angezeigt.

Map
Ermöglicht der Anmeldung den Zugriff auf die nachfolgend aufgeführten Datenbanken.

Datenbank
Führt die auf dem Server verfügbaren Datenbanken in einer Liste auf.

Benutzer
Geben Sie einen Datenbankbenutzer an, der der Anmeldung zugeordnet werden soll. Standardmäßig ist der Name des Datenbankbenutzers mit dem Anmeldenamen identisch.

Standardschema
Gibt das Standardschema des Benutzers an. Wenn ein Benutzer zum ersten Mal erstellt wird, wird als Standardschema dboverwendet. Es kann auch ein Standardschema angegeben werden, das noch nicht vorhanden ist. Für Benutzer, die einer Windows-Gruppe, einem Zertifikat oder einem asymmetrischen Schlüssel zugeordnet sind, kann kein Standardschema angegeben werden.

Gastkonto aktiviert für: Datenbankname
Ein Nur-Lese-Attribut, das angibt, ob das Gastkonto für die ausgewählte Datenbank aktiviert ist. Verwenden Sie die Seite Status des Dialogfelds Anmeldungseigenschaften des Gastkontos, um das Gastkonto zu aktivieren oder zu deaktivieren.

Mitgliedschaft in Datenbankrolle für: Datenbankname
Wählen Sie die Rollen für den Benutzer in der angegebenen Datenbank aus. Alle Benutzer sind Mitglieder der public -Rolle in allen Datenbanken und können nicht entfernt werden. Weitere Informationen zu Datenbankrollen finden Sie unter Rollen auf Datenbankebene.

Sicherungsfähige Elemente

Auf der Seite Sicherungsfähige Elemente werden alle möglichen sicherungsfähigen Elemente und die Berechtigungen für diese sicherungsfähigen Elemente aufgelistet, die für die Anmeldung gewährt werden können. Die folgenden Optionen sind auf dieser Seite verfügbar:

Oberes Raster
Enthält ein oder mehrere Elemente, für die Berechtigungen festgelegt werden können. Die im oberen Raster angezeigten Spalten variieren je nach Prinzipal oder sicherungsfähigem Element.

So fügen Sie dem oberen Raster Elemente hinzu

  1. Klicken Sie auf Suchen.

  2. Wählen Sie im Dialogfeld Objekte hinzufügen eine der folgenden Optionen aus: Bestimmte Objekte..., Alle Objekte des Typs...oder Der ServerServername. Wählen Sie OK aus.

    Hinweis

    Wenn Sie die Option Der ServerServername auswählen, wird das obere Raster automatisch mit allen sicherungsfähigen Objekten des Servers gefüllt.

  3. Bei Auswahl der Option Bestimmte Objekte...:

    1. Klicken Sie im Dialogfeld Objekte auswählen unter Wählen Sie Objekttypen aus auf Objekttypen....

    2. Wählen Sie im Dialogfeld Objekttypen auswählen einen der folgenden Objekttypen aus: Endpunkte, Anmeldungen, Server, Verfügbarkeitsgruppenund Serverrollen. Wählen Sie OK aus.

    3. Klicken Sie unter Geben Sie die Namen der auszuwählenden Objekte ein (Beispiele)auf Durchsuchen....

    4. Wählen Sie im Dialogfeld Nach Objekten suchen eines der verfügbaren Objekte vom Typ aus, den Sie im Dialogfeld Objekttypen auswählen ausgewählt haben, und klicken Sie anschließend auf OK.

    5. Klicken Sie im Dialogfeld Objekte auswählen auf OK.

  4. Wenn Sie im Dialogfeld Objekttypen auswählen die Option Alle Objekte des Typs... auswählen, dann wählen Sie beliebige oder alle der folgenden Objekttypen aus: Endpunkte, Anmeldungen, Server, Verfügbarkeitsgruppen und Serverrollen. Wählen Sie OK aus.

Name
Die Namen der Prinzipale oder sicherungsfähigen Elemente, die dem Raster hinzugefügt werden.

Typ
Beschreibt den Typ jedes Elements.

Registerkarte 'Explizit'
Listet die möglichen Berechtigungen für die im oberen Raster ausgewählten sicherungsfähigen Elemente auf. Für einige explizite Berechtigungen sind nicht alle Optionen verfügbar.

Berechtigungen
Der Name der Berechtigung.

Grantor
Der Prinzipal, der die Berechtigung erteilt.

Erteilen
Aktivieren Sie diese Option, um der Anmeldung diese Berechtigung zu erteilen. Deaktivieren Sie diese Option, um diese Berechtigung aufzuheben.

Mit Erteilung
Zeigt den Status der WITH GRANT-Option für die angezeigte Berechtigung an. Dieses Feld ist schreibgeschützt. Verwenden Sie die GRANT -Anweisung, um diese Berechtigung anzuwenden.

Deny (Verweigern)
Aktivieren Sie diese Option, um der Anmeldung diese Berechtigung zu verweigern. Deaktivieren Sie diese Option, um diese Berechtigung aufzuheben.

Status

Die Seite Status enthält einige Authentifizierungs- und Autorisierungsoptionen, die auf der ausgewählten SQL Server-Anmeldung konfiguriert werden können.

Die folgenden Optionen sind auf dieser Seite verfügbar:

Berechtigung zum Herstellen einer Verbindung mit Datenbank-Engine
Wenn Sie diese Einstellung verwenden, müssen Sie die ausgewählte Anmeldung als einen Prinzipal betrachten, dem für das sicherungsfähige Element Berechtigungen erteilt oder verweigert werden können.

Wählen Sie Erteilen aus, um der Anmeldung die CONNECT SQL-Berechtigung zu erteilen. Wählen Sie Verweigern aus, um der Anmeldung die CONNECT SQL-Berechtigung zu verweigern.

Anmeldung
Wenn Sie diese Einstellung verwenden, muss der ausgewählte Anmeldename als Datensatz in einer Tabelle betrachtet werden. Änderungen an den hier aufgeführten Werten werden auf den Datensatz angewendet.

Ein deaktivierter Anmeldename bleibt weiterhin als Datensatz bestehen. Beim Herstellen der Verbindung mit SQL Server wird der Anmeldename jedoch nicht authentifiziert.

Wählen Sie diese Option aus, um diesen Anmeldenamen zu aktivieren oder zu deaktivieren. Für diese Option wird die Anweisung ALTER LOGIN mit der Option AKTIVIEREN oder DEAKTIVIEREN verwendet.

SQL Server-Authentifizierung
Das Kontrollkästchen Anmeldung ist gesperrt ist nur verfügbar, wenn der ausgewählte Anmeldename die Verbindung mithilfe der SQL Server-Authentifizierung herstellt, und wenn der Anmeldename gesperrt ist. Diese Einstellung ist schreibgeschützt. Um eine gesperrte Anmeldung zu entsperren, führen Sie ALTER LOGIN mit der Option ENTSPERREN aus.

Erstellen einer Anmeldung mit Windows-Authentifizierung über T-SQL

  1. Stellen Sie im Objekt-Explorer eine Verbindung mit einer Datenbank-Engine-Instanz her.

  2. Klicken Sie in der Standardleiste auf Neue Abfrage.

  3. Kopieren Sie das folgende Beispiel in das Abfragefenster, und klicken Sie dann auf Ausführen.

    -- Create a login for SQL Server by specifying a server name and a Windows domain account name.
    
    CREATE LOGIN [<domainName>\<loginName>] FROM WINDOWS;
    GO
    

Erstellen einer Anmeldung mit SQL Server-Authentifizierung mit T-SQL

  1. Stellen Sie im Objekt-Explorer eine Verbindung mit einer Datenbank-Engine-Instanz her.

  2. Klicken Sie in der Standardleiste auf Neue Abfrage.

  3. Kopieren Sie das folgende Beispiel in das Abfragefenster, und klicken Sie dann auf Ausführen.

    -- Creates the user "shcooper" for SQL Server using the security credential "RestrictedFaculty"
    -- The user login starts with the password "Baz1nga," but that password must be changed after the first login.
    
    CREATE LOGIN shcooper
       WITH PASSWORD = 'Baz1nga' MUST_CHANGE,
       CREDENTIAL = RestrictedFaculty;
    GO
    

Weitere Informationen finden Sie unter CREATE LOGIN (Transact-SQL).

Nachverfolgung: Erforderliche Schritte nach Erstellen eines Anmeldenamens

Die Anmeldung kann nach Erstellung einer Anmeldung eine Verbindung mit SQL Server herstellen, verfügt jedoch nicht unbedingt über ausreichende Berechtigungen, um sinnvolle Aufgaben ausführen zu können. Die folgende Liste enthält Links zu häufigen Anmeldeaktionen.