本节描述了如何安装服务器端 Windows 认证插件。关于插件安装的常规信息，请见第7.6.1节，“安装和卸载插件”。

为了使插件库文件可被服务器使用，它必须位于 MySQL 插件目录中（由plugin_dir系统变量指定的目录）。如果必要，可以通过设置plugin_dir的值来配置插件目录位置。

要在服务器启动时加载插件，可以使用--plugin-load-add选项来指定包含插件的库文件。使用这个插件加载方法时，该选项必须在每次启动服务器时给出。例如，在服务器my.cnf文件中添加以下行：

[mysqld]
plugin-load-add=authentication_windows.dll

修改my.cnf文件后，重新启动服务器以使新的设置生效。

或者，可以在运行时加载插件，使用以下语句：

INSTALL PLUGIN authentication_windows SONAME 'authentication_windows.dll';

INSTALL PLUGIN立即加载插件，并将其注册到mysql.plugins系统表中，以便在每次正常启动服务器时自动加载插件，而不需要--plugin-load-add。

验证插件安装，可以查看信息架构PLUGINS表或使用SHOW PLUGINS语句（见第7.6.2节，“获取服务器插件信息”）。例如：

mysql> SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE '%windows%';
+------------------------+---------------+
| PLUGIN_NAME            | PLUGIN_STATUS |
+------------------------+---------------+
| authentication_windows | ACTIVE        |
+------------------------+---------------+

如果插件无法初始化，请检查服务器错误日志以获取诊断信息。

将 MySQL 账户与 Windows 认证插件关联，见使用 Windows 插件式认证。插件控制还提供了authentication_windows_use_principal_name和authentication_windows_log_level系统变量。见第7.1.8节，“服务器系统变量”。

卸载 Windows 认证插件的方法取决于您如何安装它：

此外，还需要删除设置 Windows 插件相关系统变量的启动选项。

Windows 认证插件支持使用 MySQL 账户，以便用户可以在不需要指定额外密码的情况下连接到 MySQL 服务器。假设服务器正在使用服务器端插件，详见安装 Windows 插件式认证。DBA 一旦启用了服务器端插件，并设置了账户以使用它，客户端可以使用账户连接到 MySQL 服务器而无需进行其他设置。

在CREATE USER语句的IDENTIFIED WITH子句中引用 Windows 认证插件，请使用名称authentication_windows。假设 Windows 用户Rafal和Tasha应该允许连接到 MySQL，同时也包括Administrators或Power Users组中的所有用户。要设置这个，请创建名为sql_admin的 MySQL 账户，该账户使用 Windows 插件进行身份验证：

CREATE USER sql_admin
  IDENTIFIED WITH authentication_windows
  AS 'Rafal, Tasha, Administrators, "Power Users"';

插件名称是 authentication_windows。在AS关键字后面的字符串是身份验证字符串。它指定了 Windows 用户名为 Rafal 或 Tasha 的用户，以及任何在 Administrators 或 Power Users 组中的 Windows 用户，可以作为 MySQL 用户 sql_admin 进行身份验证。后者组名包含空格，因此必须使用双引号将其括起来。

创建 sql_admin 账户后，使用 Windows 登录的用户可以尝试使用该账户连接到服务器：

C:\> mysql --user=sql_admin

在这里不需要密码。authentication_windows 插件使用 Windows 安全 API 检查连接的 Windows 用户。如果该用户名为 Rafal 或 Tasha，或是 Administrators 或 Power Users 组的成员，服务器授予访问权限，客户端将被身份验证为 sql_admin，并拥有 sql_admin 账户授予的所有权限。否则，服务器拒绝访问。

Windows身份验证插件的身份验证字符串语法遵循以下规则：

当服务器调用插件来身份验证客户端时，插件从左到右扫描身份验证字符串，寻找 Windows 用户或组匹配。如果找到匹配，插件将返回对应的 mysql_user_name 到 MySQL 服务器。如果没有匹配，身份验证失败。

用户名称匹配优先于组名称匹配。假设 Windows 用户名为 win_user 是 win_group 的成员，身份验证字符串如下：

'win_group = sql_user1, win_user = sql_user2'

当win_user连接到 MySQL 服务器时，存在对win_group和win_user的匹配。插件将用户身份验证为sql_user2，因为更具体的用户匹配优先于组匹配，即使组在身份验证字符串中排列首位。

Windows身份验证总是适用于来自服务器运行计算机的连接。对于跨计算机连接，两个计算机都必须注册到 Microsoft Active Directory。如果它们在同一个 Windows 域中，不需要指定域名。也可以允许来自不同域的连接，例如：

CREATE USER sql_accounting
  IDENTIFIED WITH authentication_windows
  AS 'SomeDomain\\Accounting';

在这里，SomeDomain是另一个域的名称。反斜杠字符是因为在字符串中是 MySQL.escape 字符。

MySQL 支持代理用户概念，即客户端可以连接到 MySQL 服务器使用一个帐户，但在连接时具有另一个帐户的权限（见第8.2.19节，“代理用户”）。假设您想让 Windows 用户使用单个用户名连接，但根据 Windows 用户和组名称映射到特定的 MySQL 帐户如下：

要设置此项，请创建一个 Windows 用户连接到 MySQL 服务器的代理帐户，并配置该帐户，以便用户和组映射到适当的 MySQL 帐户（local_wlad，local_dev，local_admin）。此外，还需要授予 MySQL 帐户执行操作所需的权限。以下示例使用win_proxy作为代理帐户，local_wlad，local_dev和local_admin作为代理帐户。

现在，Windows用户local_user和MyDomain\domain_user可以连接到MySQL服务器作为win_proxy，并在身份验证后拥有该身份验证字符串中指定的账户的特权（在这个例子中是local_wlad）。MyDomain\Developers组中的用户连接到win_proxy时拥有local_dev账户的特权。BUILTIN\Administrators组中的用户拥有local_admin账户的特权。

要配置身份验证，使所有没有自己的MySQL账户的Windows用户通过代理账户，请将默认代理账户（''@''）替换为win_proxy在前面的指令中。关于默认代理账户的信息，请见第8.2.19节，“代理用户”。

要使用Windows身份验证插件与Connector/NET连接字符串在Connector/NET 8.4及更高版本中，请见Connector/NET身份验证。