Von der Azure-Erweiterung für die SQL Server-Installation erstellte Rollen
Gilt für: SQL Server
In diesem Artikel werden die Server- und Datenbankrollen und Zuordnungen aufgeführt, die von der Installation der Azure-Erweiterung für SQL Server erstellt werden.
Rollen
Bei der Installation der Azure-Erweiterung für SQL Server, macht die Installation Folgendes:
Erstellt eine Serverebenenrolle: SQLArcExtensionServerRole
Erstellt eine Rolle auf Datenbankebene: SQLArcExtensionUserRole
Fügt jeder Rolle ein NT AUTHORITY\SYSTEM*-Konto hinzu
Ordnet NT AUTHORITY\SYSTEM* auf Datenbankebene für jede Datenbank zu
Gewährt Mindestberechtigungen für die aktivierten Features.
*Alternativ können Sie SQL Server konfigurieren, der von Azure Arc aktiviert ist, um im Modus mit den geringsten Rechten ausgeführt zu werden (verfügbar in der Vorschau). Einzelheiten finden Sie unter Betreiben von SQL Server, aktiviert durch Azure Arc mit geringsten Rechten (Vorschau).
Darüber hinaus widerruft die Azure-Erweiterung für SQL Server für diese Rollen, wenn sie für bestimmte Features nicht mehr benötigt werden, Berechtigungen.
SqlServerExtensionPermissionProvider
ist eine Windows-Aufgabe. Sie gewährt oder widerruft Berechtigungen in SQL Server, wenn Folgendes erkannt wird:
- Eine neue SQL Server-Instanz wird auf dem Host installiert.
- SQL Server-Instanz wird vom Host deinstalliert.
- Ein Feature auf Instanzebene ist aktiviert oder deaktiviert oder Einstellungen wurden aktualisiert.
- Erweiterungsdienst wird neu gestartet
Hinweis
Vor der Version vom Juli 2024 handelt es sich bei SqlServerExtensionPermissionProvider
um eine geplante Aufgabe. Sie wird stündlich ausgeführt.
Ausführliche Informationen hierzu erhalten Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen für die Azure-Erweiterung für SQL Server.
Wenn Sie die Azure-Erweiterung für SQL Server deinstallieren, werden die Rollen auf Server- und Datenbankebene entfernt.
Berechtigungen
Funktion | Berechtigung | Ebene | Role |
---|---|---|---|
Standard | VIEW SERVER STATE | Serverebene | SQLArcExtensionServerRole |
CONNECT SQL | Serverebene | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION | Serverebene | SQLArcExtensionServerRole | |
VIEW ANY DATABASE | Serverebene | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE | Serverebene | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syssessions | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syscategories | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysoperators | msdb | SQLArcExtensionUserRole | |
SELECT dbo.suspectpages | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupset | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily | msdb | SQLArcExtensionUserRole | |
SELECT dbo.backupfile | msdb | SQLArcExtensionUserRole | |
Backup | CREATE ANY DATABASE | Serverebene | SQLArcExtensionServerRole |
db_backupoperator-Rolle | Alle Datenbanken | SQLArcExtensionUserRole | |
dbcreator | Serverebene | SQLArcExtensionServerRole | |
Azure Control Plane | CREATE TABLE | msdb | SQLArcExtensionUserRole |
ALTER ANY SCHEMA | msdb | SQLArcExtensionUserRole | |
CREATE TYPE | msdb | SQLArcExtensionUserRole | |
Führen Sie | msdb | SQLArcExtensionUserRole | |
db_datawriter-Rolle | msdb | SQLArcExtensionUserRole | |
db_datareader-Rolle | msdb | SQLArcExtensionUserRole | |
Verfügbarkeitsgruppenermittlung | VIEW ANY DEFINITION | Serverebene | SQLArcExtensionServerRole |
Purview | SELECT | Alle Datenbanken | SQLArcExtensionUserRole |
Führen Sie | Alle Datenbanken | SQLArcExtensionUserRole | |
Migrationseignung | EXECUTE dbo.agent_datetime | msdb | SQLArcExtensionUserRole |
SELECT dbo.sysjobs | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile | msdb | SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount | msdb | SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems | msdb | SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies | Alle Datenbanken | SQLArcExtensionUserRole |
Ausführung mit den geringsten Berechtigungen
Um die Azure-Erweiterung für SQL Server mit geringsten Berechtigungen auszuführen, befolgen Sie die Anweisungen unter "Sql Server betreiben", die von Azure Arc mit geringsten Berechtigungen aktiviert sind.
Zu diesem Zeitpunkt ist die geringste Berechtigungskonfiguration nicht die Standardkonfiguration.