本节介绍如何安装服务器端 Windows 身份验证插件。有关安装插件的一般信息，请参阅第 5.6.1 节，“安装和卸载插件”。

为了被服务器使用，插件库文件必须位于MySQL插件目录（由plugin_dir系统变量命名的目录）中。plugin_dir如有必要，通过在服务器启动时 设置值来配置插件目录位置 。

要在服务器启动时加载插件，请使用 --plugin-load-add选项命名包含它的库文件。使用这种插件加载方法，每次服务器启动时都必须给出该选项。例如，将这些行放在服务器 my.cnf文件中：

[mysqld]
plugin-load-add=authentication_windows.dll

修改my.cnf后重启服务器使新设置生效。

或者，要在运行时加载插件，请使用以下语句：

INSTALL PLUGIN authentication_windows SONAME 'authentication_windows.dll';

INSTALL PLUGIN立即加载插件，并将其注册在 mysql.plugins系统表中，使服务器在后续每次正常启动时加载它，而无需--plugin-load-add.

要验证插件安装，请检查 INFORMATION_SCHEMA.PLUGINS表格或使用SHOW PLUGINS 语句（请参阅 第 5.6.2 节，“获取服务器插件信息”）。例如：

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE '%windows%';
+------------------------+---------------+
| PLUGIN_NAME            | PLUGIN_STATUS |
+------------------------+---------------+
| authentication_windows | ACTIVE        |
+------------------------+---------------+

如果插件无法初始化，请检查服务器错误日志以获取诊断消息。

要将 MySQL 帐户与 Windows 身份验证插件相关联，请参阅 使用 Windows 可插入身份验证。authentication_windows_use_principal_name 和 authentication_windows_log_level 系统变量提供了额外的插件控制 。请参阅 第 5.1.8 节，“服务器系统变量”。

用于卸载 Windows 身份验证插件的方法取决于您的安装方式：

此外，删除任何设置 Windows 插件相关系统变量的启动选项。

Windows 身份验证插件支持使用 MySQL 帐户，以便已登录 Windows 的用户无需额外指定密码即可连接到 MySQL 服务器。假定服务器在启用服务器端插件的情况下运行，如 安装 Windows 可插入身份验证中所述。一旦 DBA 启用了服务器端插件并设置帐户来使用它，客户端就可以使用这些帐户进行连接，而无需进行其他设置。

IDENTIFIED WITH要在语句的子句中 引用 Windows 身份验证插件 CREATE USER，请使用名称authentication_windows. 假设 Windows 用户Rafal和 Tasha应该被允许连接到 MySQL，以及 Administrators或Power Users组中的任何用户。要设置它，请创建一个名为的 MySQL 帐户sql_admin，该帐户使用 Windows 插件进行身份验证：

CREATE USER sql_admin
  IDENTIFIED WITH authentication_windows
  AS 'Rafal, Tasha, Administrators, "Power Users"';

插件名称是authentication_windows. AS关键字后面的字符串是身份验证字符串。它指定名为Rafalor的 Windows 用户Tasha被允许作为 MySQL 用户向服务器进行身份验证 ，就像or组sql_admin中的任何 Windows 用户一样 。后面的组名包含空格，所以必须用双引号字符引起来。 AdministratorsPower Users

创建sql_admin帐户后，登录到 Windows 的用户可以尝试使用该帐户连接到服务器：

C:\> mysql --user=sql_admin

这里不需要密码。该 authentication_windows插件使用 Windows 安全 API 来检查哪个 Windows 用户正在连接。如果该用户名为Rafalor Tasha，或者是 AdministratorsorPower Users组的成员，则服务器授予访问权限，并且客户端经过身份验证sql_admin并具有授予该 sql_admin帐户的任何特权。否则，服务器拒绝访问。

Windows 身份验证插件的身份验证字符串语法遵循以下规则：

当服务器调用以验证客户端时，插件会从左到右扫描验证字符串以查找与 Windows 用户匹配的用户或组。如果匹配，插件返回对应 mysql_user_name的 MySQL 服务器。如果没有匹配项，则身份验证失败。

用户名匹配优先于组名匹配。假设名为的 Windows 用户 win_user是的成员 win_group并且身份验证字符串如下所示：

'win_group = sql_user1, win_user = sql_user2'

当win_user连接到 MySQL 服务器时，towin_group和 to 都匹配win_user。该插件对用户进行身份验证，sql_user2因为更具体的用户匹配优先于组匹配，即使该组在身份验证字符串中列在第一位。

Windows 身份验证始终适用于来自运行服务器的同一台计算机的连接。对于跨计算机连接，两台计算机都必须在 Microsoft Active Directory 中注册。如果它们在同一个 Windows 域中，则无需指定域名。也可以允许来自不同域的连接，如本例所示：

CREATE USER sql_accounting
  IDENTIFIED WITH authentication_windows
  AS 'SomeDomain\\Accounting';

这SomeDomain是另一个域的名称。反斜杠字符加倍，因为它是字符串中的 MySQL 转义字符。

MySQL 支持代理用户的概念，客户端可以使用一个帐户连接到 MySQL 服务器并进行身份验证，但在连接时具有另一个帐户的权限（请参阅 第 6.2.19 节，“代理用户”）。假设您希望 Windows 用户使用单个用户名进行连接，但基于他们的 Windows 用户名和组名映射到特定的 MySQL 帐户，如下所示：

要设置它，请为 Windows 用户创建一个代理帐户以连接，并配置此帐户，以便用户和组映射到适当的 MySQL 帐户（local_wlad、、、local_dev） local_admin。此外，授予 MySQL 帐户适合他们需要执行的操作的权限。以下说明使用 win_proxy作为代理帐户，和 local_wlad、local_dev和local_admin作为代理帐户。

local_user现在， Windows 用户MyDomain\domain_user可以在经过身份验证时连接到 MySQL 服务器，win_proxy并拥有身份验证字符串中给定的帐户的权限（在本例中为 local_wlad）。MyDomain\Developers组中以 身份连接 的用户 win_proxy具有该 local_dev帐户的权限。该 BUILTIN\Administrators组中的用户具有该local_admin帐户的权限。

要配置身份验证以便所有没有自己的 MySQL 帐户的 Windows 用户都通过代理帐户，请将前面的说明中的默认代理帐户 ( ''@'') 替换为。win_proxy有关默认代理帐户的信息，请参阅第 6.2.19 节，“代理用户”。

要在 Connector/NET 8.0 及更高版本中将 Windows 身份验证插件与 Connector/NET 连接字符串一起使用，请参阅 Connector/NET 身份验证。