Konfigurieren von Windows-Dienstkonten und -Berechtigungen für die Azure-Erweiterung für SQL Server
Gilt für: SQL Server
In diesem Artikel werden die Berechtigungen der Azure-Erweiterung für SQL Server-Sätze für das NT Service\SQLServerExtension
Konto aufgeführt. Dieses Konto wird verwendet, wenn Sie SQL Server betreiben, der von Azure Arc mit geringsten Berechtigungen aktiviert ist.
Hinweis
Vorhandene Server mit der Erweiterung der Version vom November 2024 oder höher werden automatisch mit den geringsten Berechtigungen konfiguriert. Diese Anwendung wird schrittweise erfolgen.
Um die automatische Anwendung der geringsten Rechte zu verhindern, blockieren Sie Erweiterungsupgrades auf der Version vom November 2024 oder höher.
Das manuelle Festlegen der Berechtigungen für das Agentkonto wird nicht unterstützt.
Die Erweiterung legt Berechtigungen fest, wenn Sie Features für die Azure-Portal aktivieren. Wenn Sie ein Feature nicht aktivieren, legt die Erweiterung nicht die Berechtigungen für dieses Feature fest. Wenn Sie ein Feature deaktivieren, entfernt die Erweiterung die Berechtigungen.
SQL-Berechtigungen listet die Berechtigungen auf, die an Features gebunden sind, die von der Erweiterung gewährt werden, wenn Features aktiviert sind.
Hinweis
NT Authority\System
müssen Zugriff auf das Ändern von Berechtigungen für aufgelistete Verzeichnisse und Registrierungsschlüssel haben. Dies ist erforderlich, damit NT Authority\System
der erforderliche Zugriff auf den Modus mit NT Service\SqlServerExtension
den geringsten Berechtigungen gewährt werden kann.
Directory-Berechtigungen
Verzeichnispfad | Erforderliche Berechtigungen | Details | Funktion |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Vollzugriff | Erweiterung verwandte dlls und exe Dateien. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Vollzugriff | Erweiterungseinstellungsdatei. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Vollzugriff | Erweiterungsstatusdatei. | Standard |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Vollzugriff | Erweiterungsprotokolldateien. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Vollzugriff | Erweiterungstaktdatei. | Standard |
%ProgramFiles%\Sql Server Extension |
Vollzugriff | Erweiterungsdienstdateien. | Standard |
<SystemDrive>\Windows\system32\extensionUpload |
Vollzugriff | Erforderlich zum Schreiben der Verwendungsdatei, die für die Abrechnung erforderlich ist. | Standard |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Vollzugriff | Ordner vor dem Protokollieren, der mit der Erweiterung erstellt wurde. | Standard |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lesen Sie | Arc config files directory. | Standard |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Vollzugriff | Erforderlich zum Schreiben von Bewertungsberichten und -status. | Standard |
SQL-Protokollverzeichnis (wie in der Registrierung festgelegt) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lesen Sie | Erforderlich zum Extrahieren von SQL-vCores-Informationen aus SQL-Protokollen. | Standard |
SQL-Sicherungsverzeichnis (wie in der Registrierung festgelegt) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Erforderlich für Sicherungen | Backup |
1 Weitere Informationen finden Sie unter Dateispeicherorte und Registrierungszuordnung.
Registrierungsberechtigungen
Basisschlüssel: HKEY_LOCAL_MACHINE
Registrierungsschlüssel | Erforderliche Berechtigung | Details | Funktion |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lesen Sie | Lesen von SQL Server-Eigenschaften wie installedInstances . |
Standard |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Vollzugriff | Microsoft Entra ID und Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Vollzugriff | Erforderlich für Die Microsoft Entra-ID. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lesen Sie | Name des SQL Server-Kontos. | Standard |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lesen Sie | Azure Defender-Status und zeitpunkt der letzten Aktualisierung. | Standard |
SOFTWARE\Microsoft\SqlServerExtension |
Vollzugriff | Erweiterungsbezogene Werte. | Standard |
SOFTWARE\Policies\Microsoft\Windows |
Lesen und Schreiben | Aktivieren der automatischen Windows-Aktualisierung über erweiterung. | Automatische Aktualisierungen |
Gruppenberechtigungen
NT Service\SQLServerExtension
wird hybriden Agent-Erweiterungsanwendungen hinzugefügt. Unterstützt den Handshake des Azure Instance Metadata Service (IMDS).
SQL-Berechtigungen
NT Service\SQLServerExtension
wird hinzugefügt:
- Als SQL-Anmeldung bei allen Instanzen, die derzeit auf dem Computer vorhanden sind
- Als Benutzer in jeder Datenbank
Die Erweiterung gewährt auch Berechtigungen für Instanzen und Datenbankobjekte, da Features aktiviert sind. Die folgende Tabelle enthält Details.
Funktion | Berechtigung | Ebene | Anforderung |
---|---|---|---|
Standard | VIEW DATABASE STATE |
Serverebene | Essential |
VIEW SERVER STATE |
Serverebene | Essential | |
CONNECT SQL |
Serverebene | Essential | |
Datenbank als Ressource | Öffentliche Standardrolle | Serverebene (Dies wird standardmäßig neu hinzugefügten Anmeldungen gewährt) | Essential |
Best Practices-Bewertung | VIEW ANY DEFINITION |
Serverebene | Feature abhängig |
VIEW ANY DATABASE |
Serverebene | Feature abhängig | |
SELECT |
master |
Feature abhängig | |
SELECT |
msdb |
Feature abhängig | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Feature abhängig | |
EXECUTE ON sys.xp_readerrorlog |
master |
Feature abhängig | |
Backup | CREATE ANY DATABASE |
Serverebene | Feature abhängig |
rolle db_backupoperator | Alle Datenbanken | Feature abhängig | |
dbcreator | Serverrolle | Feature abhängig | |
Azure Control Plane | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
Rolle db_datawriter | msdb |
Feature abhängig | |
rolle db_datareader | msdb |
Feature abhängig | |
Verfügbarkeitsgruppenermittlung | VIEW ANY DEFINITION |
Serverebene | Essential |
Purview | SELECT |
Alle Datenbanken | Feature abhängig |
EXECUTE |
Alle Datenbanken | Feature abhängig | |
CONNECT ANY DATABASE |
Serverebene | Feature abhängig | |
VIEW ANY DATABASE |
Serverebene | Feature abhängig | |
Überwachung | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Serverebene | Essential | |
VIEW ANY DATABASE |
Serverebene | Essential | |
VIEW ANY DEFINITION |
Serverebene | Essential | |
Migrationseignung | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Alle Datenbanken | Essential |
Hinweis
Mindestberechtigungen sind von aktivierten Features abhängig. Berechtigungen werden aktualisiert, wenn sie nicht mehr erforderlich sind. Erforderliche Berechtigungen werden erteilt, wenn Features aktiviert sind.
Zusätzliche Berechtigungen
- Berechtigungen für das Dienstkonto für den Zugriff auf den Erweiterungsdienst und konfigurieren Autorecovery.
- Anmelde-as-Service-Rechte für das Dienstkonto.