Windows-serviceaccounts en -machtigingen configureren voor Azure-extensie voor SQL Server
van toepassing op:
SQL Server-
In dit artikel worden de machtigingen vermeld voor de Azure-extensie voor SQL Server-sets voor het NT Service\SQLServerExtension-account. Dit account wordt gebruikt wanneer u SQL Server uitvoeren die is ingeschakeld door Azure Arc met minimale bevoegdheden.
Notitie
Bestaande servers met de extensie uit de release van november 2024 of hoger hebben automatisch de configuratie met minimale bevoegdheden toegepast. Deze toepassing wordt geleidelijk uitgevoerd.
Als u automatische toepassing van minimale bevoegdheden wilt voorkomen, blokkeert u uitbreidingsupgrades naar de release van november 2024.
Het handmatig instellen van de machtigingen voor het agentaccount wordt niet ondersteund.
Met de extensie worden machtigingen ingesteld wanneer u functies inschakelt in Azure Portal. Als u een functie niet inschakelt, stelt de extensie de machtigingen voor die functie niet in. Als u een functie uitschakelt, worden de machtigingen door de extensie verwijderd.
SQL-machtigingen de machtigingen vermeld die zijn gekoppeld aan functies die de extensie verleent wanneer functies zijn ingeschakeld.
Notitie
NT Authority\System moet toegang hebben tot het wijzigen van machtigingen voor vermelde mappen en registersleutels. Dit is nodig zodat NT Authority\System vereiste toegang kan verlenen tot NT Service\SqlServerExtension account voor de modus met minimale bevoegdheden.
Mapmachtigingen
| Mappad | Vereiste machtigingen | Bijzonderheden | Gelaatstrek |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Volledig beheer | Extensie-gerelateerde dll's en exe-bestanden. | Verstek |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Volledig beheer | Bestand met extensie-instellingen. | Verstek |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Volledig beheer | Extensiestatusbestand. | Verstek |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Volledig beheer | Extensielogboekbestanden. | Verstek |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Volledig beheer | Heartbeat-extensiebestand. | Verstek |
%ProgramFiles%\Sql Server Extension |
Volledig beheer | Extensieservicebestanden. | Verstek |
<SystemDrive>\Windows\system32\extensionUpload |
Volledig beheer | Vereist voor het schrijven van het gebruiksbestand dat nodig is voor facturering. | Verstek |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Volledig beheer | Map vóór logboek gemaakt met extensie. | Verstek |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lezen | Map met Arc-configuratiebestanden. | Verstek |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Volledig beheer | Vereist voor het schrijven van evaluatierapporten en -status. | Verstek |
SQL-logboekmap (zoals ingesteld in register) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lezen | Vereist voor het extraheren van SQL vCores-gegevens uit SQL-logboeken. | Verstek |
SQL-back-upmap (zoals ingesteld in register) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write/Delete | Vereist voor back-ups | Backup |
1 Zie Bestandslocaties en registertoewijzingvoor meer informatie.
Registermachtigingen
Basissleutel: HKEY_LOCAL_MACHINE
| Registersleutel | Vereiste machtiging | Bijzonderheden | Gelaatstrek |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lezen | LEES SQL Server-eigenschappen zoals installedInstances. |
Verstek |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Volledig beheer | Microsoft Entra ID en Purview. | Microsoft Entra-id Purview |
SOFTWARE\Microsoft\SystemCertificates |
Volledig beheer | Vereist voor Microsoft Entra-id. | Microsoft Entra-id |
SYSTEM\CurrentControlSet\Services |
Lezen | Sql Server-accountnaam. | Verstek |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lezen | Azure Defender-status en laatste updatetijd. | Verstek |
SOFTWARE\Microsoft\SqlServerExtension |
Volledig beheer | Extensiegerelateerde waarden. | Verstek |
SOFTWARE\Policies\Microsoft\Windows |
Lezen en schrijven | Automatische Windows Update inschakelen via extensie. | Automatische updates |
Groepsmachtigingen
NT Service\SQLServerExtension wordt toegevoegd aan hybride agentuitbreidingstoepassingen. Hierdoor kan de handshake van Azure Instance Metadata Service (IMDS) het beheerde identiteitstoken van de machineresource ophalen dat is vereist om te communiceren met Azure-gegevensvlakservices, zoals de Data Processing Service (DPS) en het telemetrie-eindpunt voor facturering, extensielogboeken en het verzamelen van dashboardgegevens.
SQL-machtigingen
NT Service\SQLServerExtension wordt toegevoegd:
- Als SQL-aanmelding voor alle exemplaren die momenteel aanwezig zijn op de computer
- Als gebruiker in elke database
De extensie verleent ook machtigingen voor exemplaren en databaseobjecten wanneer functies zijn ingeschakeld. De onderstaande tabel bevat details.
Notitie
Minimale machtigingen zijn afhankelijk van ingeschakelde functies. Machtigingen worden bijgewerkt wanneer ze niet meer nodig zijn. De benodigde machtigingen worden verleend wanneer functies zijn ingeschakeld.
SQL-bevoegdheden per functie
Minimale systeemvereisten
Deze machtigingen zijn vereist voor het basisniveau van de functionaliteit van de Azure-extensie voor SQL Server en moet worden toegepast.
| Objecttype | Database- of objectnaam | Privilege |
|---|---|---|
| Databank | Meester | VIEW DATABASE STATE |
| Databank | Msdb | ALTER ANY SCHEMA |
| Databank | Msdb | CREATE TABLE |
| Databank | Msdb | CREATE TYPE |
| Databank | Msdb | DB DATA READER |
| Databank | Msdb | DB DATA WRITER |
| Databank | Msdb | EXECUTE |
| Databank | Msdb | SELECT dbo.backupfile |
| Databank | Msdb | SELECT dbo.backupmediaset |
| Databank | Msdb | SELECT dbo.backupmediafamily |
| Databank | Msdb | SELECT dbo.backupset |
| Databank | Msdb | SELECT dbo.syscategories |
| Databank | Msdb | SELECT dbo.sysjobactivity |
| Databank | Msdb | SELECT dbo.sysjobhistory |
| Databank | Msdb | SELECT dbo.sysjobs |
| Databank | Msdb | SELECT dbo.sysjobsteps |
| Databank | Msdb | SELECT dbo.syssessions |
| Databank | Msdb | SELECT dbo.sysoperators |
| Databank | Msdb | SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Evaluatie van best practices
De evaluatie van best practices is standaard uitgeschakeld. Als deze optie is ingeschakeld, worden deze machtigingen automatisch verleend als ze nog niet zijn verleend.
| Objecttype | Database- of objectnaam | Privilege |
|---|---|---|
| Databank | Meester | SELECT |
| Databank | Meester | VIEW DATABASE STATE |
| Databank | Msdb | SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Backup
Automatische back-ups zijn standaard uitgeschakeld. Back-upmachtigingen worden verleend aan elke database waarvoor back-ups zijn ingeschakeld. Als u de back-upfunctie inschakelt, wordt ook de functie voor herstel naar een bepaald tijdstip ingeschakeld, zodat ook de machtiging voor het maken van een database wordt verleend.
| Objecttype | Database- of objectnaam | Privilege |
|---|---|---|
| Databank | Alle databases | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | Meester | DB CREATOR |
Beschikbaarheidsgroepen
Detectie- en beheerfuncties van beschikbaarheidsgroepen, zoals failover, zijn standaard ingeschakeld, maar ze kunnen worden uitgeschakeld via de AvailabilityGroupDiscovery functievlag.
| Objecttype | Database- of objectnaam | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
Purview
De Functies van Purview zijn standaard uitgeschakeld.
| Objecttype | Database- of objectnaam | Privilege |
|---|---|---|
| Databank | Alle databases | EXECUTE |
| Databank | Alle databases | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Migratie-evaluatie
Migratie-evaluaties zijn standaard ingeschakeld. Als de functie is uitgeschakeld, worden de onderstaande machtigingen verwijderd, tenzij andere ingeschakelde functies deze vereisen.
| Objecttype | Database- of objectnaam | Privilege |
|---|---|---|
| Databank | Alle databases | SELECT sys.sqlexpressiondependencies |
| Databank | Msdb | EXECUTE dbo.agentdatetime |
| Databank | Msdb | SELECT dbo.syscategories |
| Databank | Msdb | SELECT dbo.sysjobhistory |
| Databank | Msdb | SELECT dbo.sysjobs |
| Databank | Msdb | SELECT dbo.sysjobsteps |
| Databank | Msdb | SELECT dbo.sysmailaccount |
| Databank | Msdb | SELECT dbo.sysmailprofile |
| Databank | Msdb | SELECT dbo.sysmailprofileaccount |
| Databank | Msdb | SELECT dbo.syssubsystems |
Aanvullende machtigingen
- Machtigingen voor het serviceaccount voor toegang tot de extensieservice en het configureren van autoherstel.
- Log-on-as-servicerechten voor serviceaccount.