本節說明如何安裝伺服器端 Windows 驗證外掛程式。如需安裝外掛程式的一般資訊，請參閱第 7.6.1 節「安裝和解除安裝外掛程式」。

若要讓伺服器可以使用外掛程式，外掛程式程式庫檔案必須位於 MySQL 外掛程式目錄中 (由plugin_dir系統變數命名的目錄)。如有必要，請在伺服器啟動時設定plugin_dir的值來設定外掛程式目錄位置。

若要在伺服器啟動時載入外掛程式，請使用--plugin-load-add選項來命名包含它的程式庫檔案。使用此外掛程式載入方法時，每次伺服器啟動時都必須提供該選項。例如，將這些行放入伺服器 my.cnf 檔案中

[mysqld]
plugin-load-add=authentication_windows.dll

修改 my.cnf 之後，重新啟動伺服器，讓新設定生效。

或者，若要在執行階段載入外掛程式，請使用此陳述式

INSTALL PLUGIN authentication_windows SONAME 'authentication_windows.dll';

INSTALL PLUGIN 會立即載入外掛程式，並將其註冊到 mysql.plugins 系統資料表中，以在每次後續正常啟動時讓伺服器載入它，而無需--plugin-load-add。

若要驗證外掛程式安裝，請檢查 Information Schema PLUGINS 表格或使用SHOW PLUGINS 陳述式 (請參閱第 7.6.2 節「取得伺服器外掛程式資訊」)。例如

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE '%windows%';
+------------------------+---------------+
| PLUGIN_NAME            | PLUGIN_STATUS |
+------------------------+---------------+
| authentication_windows | ACTIVE        |
+------------------------+---------------+

如果外掛程式無法初始化，請檢查伺服器錯誤日誌中的診斷訊息。

若要將 MySQL 帳戶與 Windows 驗證外掛程式建立關聯，請參閱使用 Windows 可插拔驗證。authentication_windows_use_principal_name 和 authentication_windows_log_level 系統變數提供額外的外掛程式控制。請參閱第 7.1.8 節「伺服器系統變數」。

解除安裝 Windows 驗證外掛程式的方法取決於您安裝它的方式

此外，請移除任何設定 Windows 外掛程式相關系統變數的啟動選項。

Windows 驗證外掛程式支援使用 MySQL 帳戶，如此一來，已登入 Windows 的使用者可以連線到 MySQL 伺服器，而無需指定其他密碼。假設伺服器正在執行，並已啟用伺服器端外掛程式，如安裝 Windows 可插拔驗證中所述。一旦 DBA 啟用伺服器端外掛程式並設定使用它的帳戶後，用戶端就可以使用這些帳戶連線，而無需在其端進行其他設定。

若要在CREATE USER 陳述式的 IDENTIFIED WITH 子句中參照 Windows 驗證外掛程式，請使用名稱 authentication_windows。假設允許 Windows 使用者 Rafal 和 Tasha 連線到 MySQL，以及 Administrators 或 Power Users 群組中的任何使用者。若要進行此設定，請建立名為 sql_admin 的 MySQL 帳戶，該帳戶使用 Windows 外掛程式進行驗證

CREATE USER sql_admin
  IDENTIFIED WITH authentication_windows
  AS 'Rafal, Tasha, Administrators, "Power Users"';

外掛程式名稱為 authentication_windows。AS 關鍵字後面的字串是驗證字串。它指定名為 Rafal 或 Tasha 的 Windows 使用者，以及 Administrators 或 Power Users 群組中的任何 Windows 使用者，都允許以 MySQL 使用者 sql_admin 的身分驗證伺服器。後者群組名稱包含空格，因此必須使用雙引號字元括住。

在您建立 sql_admin 帳戶之後，已登入 Windows 的使用者可以嘗試使用該帳戶連線到伺服器

C:\> mysql --user=sql_admin

此處不需要密碼。authentication_windows 外掛程式使用 Windows 安全性 API 來檢查哪個 Windows 使用者正在連線。如果該使用者名為 Rafal 或 Tasha，或是 Administrators 或 Power Users 群組的成員，則伺服器會授與存取權，並且用戶端會以 sql_admin 的身分進行驗證，並具有授予 sql_admin 帳戶的任何權限。否則，伺服器會拒絕存取。

Windows 驗證外掛程式的驗證字串語法遵循以下規則

當伺服器叫用以驗證用戶端時，外掛程式會從左到右掃描驗證字串，以尋找與 Windows 使用者的使用者或群組相符的項目。如果有相符的項目，外掛程式會將對應的 mysql_user_name 傳回給 MySQL 伺服器。如果沒有相符的項目，則驗證失敗。

使用者名稱比對的優先順序高於群組名稱比對。假設名為 win_user 的 Windows 使用者是 win_group 的成員，且驗證字串如下所示

'win_group = sql_user1, win_user = sql_user2'

當 win_user 連線到 MySQL 伺服器時，win_group 和 win_user 都有相符的項目。外掛程式會將使用者驗證為 sql_user2，因為更具體的使用者比對優先於群組比對，即使群組在驗證字串中先列出也是如此。

Windows 驗證始終適用於從執行伺服器的同一部電腦連線。對於跨電腦連線，兩部電腦都必須在 Microsoft Active Directory 中註冊。如果它們位於同一個 Windows 網域中，則無需指定網域名稱。也可以允許從其他網域連線，如下例所示

CREATE USER sql_accounting
  IDENTIFIED WITH authentication_windows
  AS 'SomeDomain\\Accounting';

此處 SomeDomain 是其他網域的名稱。反斜線字元會加倍，因為它是字串內的 MySQL 逸出字元。

MySQL 支援 Proxy 使用者的概念，使用者可以使用一個帳戶連線並驗證到 MySQL 伺服器，但在連線時具有另一個帳戶的權限 (請參閱第 8.2.19 節「Proxy 使用者」)。假設您想要 Windows 使用者使用單一使用者名稱連線，但根據其 Windows 使用者和群組名稱對應到特定的 MySQL 帳戶，如下所示

若要進行此設定，請建立 Windows 使用者連線的 Proxy 帳戶，並設定此帳戶，使使用者和群組對應到適當的 MySQL 帳戶 (local_wlad、local_dev、local_admin)。此外，請授予 MySQL 帳戶執行其所需作業的適當權限。下列指示使用 win_proxy 作為 Proxy 帳戶，並使用 local_wlad、local_dev 和 local_admin 作為 Proxy 帳戶。

現在，Windows 使用者 local_user 和 MyDomain\domain_user 可以以 win_proxy 連接到 MySQL 伺服器，並且在身份驗證後，擁有身份驗證字串中給定帳戶（在本例中為 local_wlad）的權限。屬於 MyDomain\Developers 群組的使用者以 win_proxy 連接時，擁有 local_dev 帳戶的權限。屬於 BUILTIN\Administrators 群組的使用者擁有 local_admin 帳戶的權限。

若要設定身份驗證，使所有沒有自己的 MySQL 帳戶的 Windows 使用者都透過代理帳戶進行驗證，請在前面的說明中以預設代理帳戶 (''@'') 替代 win_proxy。有關預設代理帳戶的資訊，請參閱 第 8.2.19 節，「代理使用者」。

若要在 Connector/NET 9.0 和更高版本中使用 Windows 身份驗證外掛程式與 Connector/NET 連接字串，請參閱 Connector/NET 身份驗證。