Konfigurieren von Windows-Dienstkonten und -Berechtigungen für die Azure-Erweiterung für SQL Server
Gilt für:
SQL Server
In diesem Artikel werden die Berechtigungen der Azure-Erweiterung für SQL Server-Sätze für das NT Service\SQLServerExtension Konto aufgeführt. Dieses Konto wird verwendet, wenn Sie SQL Server betreiben, der von Azure Arc mit geringsten Berechtigungen aktiviert ist.
Hinweis
Vorhandene Server mit der Erweiterung der Version vom November 2024 oder höher werden automatisch mit den geringsten Berechtigungen konfiguriert. Diese Anwendung wird schrittweise erfolgen.
Um die automatische Anwendung der geringsten Rechte zu verhindern, blockieren Sie Erweiterungsupgrades auf der Version vom November 2024 oder höher.
Das manuelle Festlegen der Berechtigungen für das Agentkonto wird nicht unterstützt.
Die Erweiterung legt Berechtigungen fest, wenn Sie Features für die Azure-Portal aktivieren. Wenn Sie ein Feature nicht aktivieren, legt die Erweiterung nicht die Berechtigungen für dieses Feature fest. Wenn Sie ein Feature deaktivieren, entfernt die Erweiterung die Berechtigungen.
SQL-Berechtigungen listet die Berechtigungen auf, die an Features gebunden sind, die von der Erweiterung gewährt werden, wenn Features aktiviert sind.
Hinweis
NT Authority\System müssen Zugriff auf das Ändern von Berechtigungen für aufgelistete Verzeichnisse und Registrierungsschlüssel haben. Dies ist erforderlich, damit NT Authority\System der erforderliche Zugriff auf den Modus mit NT Service\SqlServerExtension den geringsten Berechtigungen gewährt werden kann.
Directory-Berechtigungen
| Verzeichnispfad | Erforderliche Berechtigungen | Details | Funktion |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Vollzugriff | Erweiterung verwandte dlls und exe Dateien. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Vollzugriff | Erweiterungseinstellungsdatei. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Vollzugriff | Erweiterungsstatusdatei. | Standard |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Vollzugriff | Erweiterungsprotokolldateien. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Vollzugriff | Erweiterungstaktdatei. | Standard |
%ProgramFiles%\Sql Server Extension |
Vollzugriff | Erweiterungsdienstdateien. | Standard |
<SystemDrive>\Windows\system32\extensionUpload |
Vollzugriff | Erforderlich zum Schreiben der Verwendungsdatei, die für die Abrechnung erforderlich ist. | Standard |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Vollzugriff | Ordner vor dem Protokollieren, der mit der Erweiterung erstellt wurde. | Standard |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lesen Sie | Arc config files directory. | Standard |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Vollzugriff | Erforderlich zum Schreiben von Bewertungsberichten und -status. | Standard |
SQL-Protokollverzeichnis (wie in der Registrierung festgelegt) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lesen Sie | Erforderlich zum Extrahieren von SQL-vCores-Informationen aus SQL-Protokollen. | Standard |
SQL-Sicherungsverzeichnis (wie in der Registrierung festgelegt) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Erforderlich für Sicherungen | Backup |
1 Weitere Informationen finden Sie unter Dateispeicherorte und Registrierungszuordnung.
Registrierungsberechtigungen
Basisschlüssel: HKEY_LOCAL_MACHINE
| Registrierungsschlüssel | Erforderliche Berechtigung | Details | Funktion |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lesen Sie | Lesen von SQL Server-Eigenschaften wie installedInstances. |
Standard |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Vollzugriff | Microsoft Entra ID und Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Vollzugriff | Erforderlich für Die Microsoft Entra-ID. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lesen Sie | Name des SQL Server-Kontos. | Standard |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lesen Sie | Azure Defender-Status und zeitpunkt der letzten Aktualisierung. | Standard |
SOFTWARE\Microsoft\SqlServerExtension |
Vollzugriff | Erweiterungsbezogene Werte. | Standard |
SOFTWARE\Policies\Microsoft\Windows |
Lesen und Schreiben | Aktivieren der automatischen Windows-Aktualisierung über erweiterung. | Automatische Aktualisierungen |
Gruppenberechtigungen
NT Service\SQLServerExtension wird hybriden Agent-Erweiterungsanwendungen hinzugefügt. Auf diese Weise kann der Handshake des Azure Instance Metadata Service (IMDS) das vom Computer verwaltete Identitätstoken abrufen, das erforderlich ist, um mit Azure-Datenebenendiensten wie dem Data Processing Service (DPS) und dem Telemetrieendpunkt für die Abrechnungsnutzung, Erweiterungsprotokolle und überwachungsdashboard-Datensammlung zu kommunizieren.
SQL-Berechtigungen
NT Service\SQLServerExtension wird hinzugefügt:
- Als SQL-Anmeldung bei allen Instanzen, die derzeit auf dem Computer vorhanden sind
- Als Benutzer in jeder Datenbank
Die Erweiterung gewährt auch Berechtigungen für Instanzen und Datenbankobjekte, da Features aktiviert sind. Die folgende Tabelle enthält Details.
Hinweis
Mindestberechtigungen sind von aktivierten Features abhängig. Berechtigungen werden aktualisiert, wenn sie nicht mehr erforderlich sind. Erforderliche Berechtigungen werden erteilt, wenn Features aktiviert sind.
SQL-Berechtigungen nach Feature
Mindestsystemanforderungen
Diese Berechtigungen sind für die grundlegende Funktionalitätsstufe erforderlich, die von der Azure-Erweiterung für SQL Server bereitgestellt wird und angewendet werden muss.
| Objekttyp | Datenbank- oder Objektname | Privileg |
|---|---|---|
| Datenbank | Meister | VIEW DATABASE STATE |
| Datenbank | Msdb | ALTER ANY SCHEMA |
| Datenbank | Msdb | CREATE TABLE |
| Datenbank | Msdb | CREATE TYPE |
| Datenbank | Msdb | DB DATA READER |
| Datenbank | Msdb | DB DATA WRITER |
| Datenbank | Msdb | EXECUTE |
| Datenbank | Msdb | SELECT dbo.backupfile |
| Datenbank | Msdb | SELECT dbo.backupmediaset |
| Datenbank | Msdb | SELECT dbo.backupmediafamily |
| Datenbank | Msdb | SELECT dbo.backupset |
| Datenbank | Msdb | SELECT dbo.syscategories |
| Datenbank | Msdb | SELECT dbo.sysjobactivity |
| Datenbank | Msdb | SELECT dbo.sysjobhistory |
| Datenbank | Msdb | SELECT dbo.sysjobs |
| Datenbank | Msdb | SELECT dbo.sysjobsteps |
| Datenbank | Msdb | SELECT dbo.syssessions |
| Datenbank | Msdb | SELECT dbo.sysoperators |
| Datenbank | Msdb | SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Best Practices-Bewertung
Die Bewertung der bewährten Methoden ist standardmäßig deaktiviert. Wenn sie aktiviert ist, werden diese Berechtigungen automatisch erteilt, wenn sie noch nicht erteilt wurden.
| Objekttyp | Datenbank- oder Objektname | Privileg |
|---|---|---|
| Datenbank | Meister | SELECT |
| Datenbank | Meister | VIEW DATABASE STATE |
| Datenbank | Msdb | SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Backup
Automatische Sicherungen sind standardmäßig deaktiviert. Sicherungsberechtigungen werden allen Datenbanken gewährt, für die Sicherungen aktiviert sind. Durch aktivieren des Sicherungsfeatures wird auch das Feature für die Point-in-Time-Wiederherstellung aktiviert, sodass auch die Berechtigung zum Erstellen einer Datenbank gewährt wird.
| Objekttyp | Datenbank- oder Objektname | Privileg |
|---|---|---|
| Datenbank | Alle Datenbanken | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | Meister | DB CREATOR |
Verfügbarkeitsgruppen
Verfügbarkeitsgruppen-Ermittlungs- und Verwaltungsfeatures, z. B. Fehlerübergabe, sind standardmäßig aktiviert, können aber über das feature-Flag AvailabilityGroupDiscovery deaktiviert werden.
| Objekttyp | Datenbank- oder Objektname | Privileg |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
Purview
Die Purview-Features sind standardmäßig deaktiviert.
| Objekttyp | Datenbank- oder Objektname | Privileg |
|---|---|---|
| Datenbank | Alle Datenbanken | EXECUTE |
| Datenbank | Alle Datenbanken | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Migrationseignung
Migrationsbewertungen sind standardmäßig aktiviert. Wenn das Feature deaktiviert ist, werden die unten aufgeführten Berechtigungen entfernt, es sei denn, andere aktivierte Features erfordern sie.
| Objekttyp | Datenbank- oder Objektname | Privileg |
|---|---|---|
| Datenbank | Alle Datenbanken | SELECT sys.sqlexpressiondependencies |
| Datenbank | Msdb | EXECUTE dbo.agentdatetime |
| Datenbank | Msdb | SELECT dbo.syscategories |
| Datenbank | Msdb | SELECT dbo.sysjobhistory |
| Datenbank | Msdb | SELECT dbo.sysjobs |
| Datenbank | Msdb | SELECT dbo.sysjobsteps |
| Datenbank | Msdb | SELECT dbo.sysmailaccount |
| Datenbank | Msdb | SELECT dbo.sysmailprofile |
| Datenbank | Msdb | SELECT dbo.sysmailprofileaccount |
| Datenbank | Msdb | SELECT dbo.syssubsystems |
Zusätzliche Berechtigungen
- Berechtigungen für das Dienstkonto für den Zugriff auf den Erweiterungsdienst und konfigurieren Autorecovery.
- Anmelde-as-Service-Rechte für das Dienstkonto.