Konfigurowanie kont usług systemu Windows i uprawnień dla rozszerzenia platformy Azure dla programu SQL Server
Dotyczy:
programu SQL Server
W tym artykule wymieniono uprawnienia rozszerzenia platformy Azure dla zestawów programu SQL Server dla konta NT Service\SQLServerExtension. To konto jest używane podczas obsługi programu SQL Server włączonego przez usługę Azure Arc z najniższymi uprawnieniami.
Nuta
Istniejące serwery z rozszerzeniem z listopada 2024 r. lub nowszym będą automatycznie miały zastosowaną konfigurację o najniższych uprawnieniach. Ta aplikacja będzie miała miejsce stopniowo.
Aby zapobiec automatycznemu stosowaniu najniższych uprawnień, blokuj uaktualnienia rozszerzeń do wersji z listopada 2024 r.
Ręczne ustawianie uprawnień dla konta agenta nie jest obsługiwane.
Rozszerzenie ustawia uprawnienia po włączeniu funkcji w witrynie Azure Portal. Jeśli nie włączysz funkcji, rozszerzenie nie ustawia uprawnień dla tej funkcji. Jeśli wyłączysz funkcję, rozszerzenie usunie uprawnienia.
uprawnienia SQL zawiera listę uprawnień powiązanych z funkcjami, które rozszerzenie przyznaje po włączeniu funkcji.
Nuta
NT Authority\System musi mieć dostęp do modyfikowania uprawnień na liście katalogów i kluczy rejestru. Jest to konieczne, aby NT Authority\System mógł udzielić wymaganego dostępu do NT Service\SqlServerExtension konta w trybie najmniejszych uprawnień.
Uprawnienia do katalogu
| Ścieżka katalogu | Wymagane uprawnienia | Szczegóły | Cecha |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Pełna kontrola | Powiązane z rozszerzeniami bibliotek dll i pliki exe. | Domyślny |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Pełna kontrola | Plik ustawień rozszerzenia. | Domyślny |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Pełna kontrola | Plik stanu rozszerzenia. | Domyślny |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Pełna kontrola | Pliki dziennika rozszerzeń. | Domyślny |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Pełna kontrola | Plik pulsu rozszerzenia. | Domyślny |
%ProgramFiles%\Sql Server Extension |
Pełna kontrola | Pliki usługi rozszerzenia. | Domyślny |
<SystemDrive>\Windows\system32\extensionUpload |
Pełna kontrola | Wymagane do zapisania pliku użycia wymaganego do rozliczeń. | Domyślny |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Pełna kontrola | Folder przed dziennikami utworzony przez rozszerzenie. | Domyślny |
<ProgramData>\AzureConnectedMachineAgent\Config |
Czytać | Katalog plików konfiguracji usługi Arc. | Domyślny |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Pełna kontrola | Wymagane do pisania raportów i stanu oceny. | Domyślny |
Katalog dziennika SQL (zgodnie z ustawieniem w rejestrze) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Czytać | Wymagane do wyodrębnienia informacji o rdzeniach wirtualnych SQL z dzienników SQL. | Domyślny |
Katalog kopii zapasowych SQL (zgodnie z zestawem w rejestrze) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Wymagane do tworzenia kopii zapasowych | Kopia zapasowa |
1 Aby uzyskać więcej informacji, zobacz Lokalizacje plików i mapowanie rejestru.
Uprawnienia rejestru
Klucz podstawowy: HKEY_LOCAL_MACHINE
| Klucz rejestru | Wymagane uprawnienie | Szczegóły | Cecha |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Czytać | Przeczytaj właściwości programu SQL Server, takie jak installedInstances. |
Domyślny |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Pełna kontrola | Microsoft Entra ID i Purview. | Microsoft Entra ID Kompetencji |
SOFTWARE\Microsoft\SystemCertificates |
Pełna kontrola | Wymagany dla identyfikatora Entra firmy Microsoft. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Czytać | Nazwa konta programu SQL Server. | Domyślny |
SOFTWARE\Microsoft\AzureDefender\SQL |
Czytać | Stan usługi Azure Defender i czas ostatniej aktualizacji. | Domyślny |
SOFTWARE\Microsoft\SqlServerExtension |
Pełna kontrola | Wartości powiązane z rozszerzeniem. | Domyślny |
SOFTWARE\Policies\Microsoft\Windows |
Odczyt i zapis | Włączanie automatycznej aktualizacji systemu Windows za pomocą rozszerzenia. | Aktualizacje automatyczne |
Uprawnienia grupy
NT Service\SQLServerExtension jest dodawany do aplikacji rozszerzenia agenta hybrydowego. Dzięki temu uzgadnianie usługi Azure Instance Metadata Service (IMDS) umożliwia pobranie tokenu tożsamości zarządzanej zasobu maszyny wymaganego do komunikowania się z usługami płaszczyzny danych platformy Azure, takimi jak usługa przetwarzania danych (DPS) i punkt końcowy telemetrii na potrzeby użycia rozliczeń, dzienników rozszerzeń i zbierania danych pulpitu nawigacyjnego monitorowania.
Uprawnienia SQL
dodano NT Service\SQLServerExtension:
- Jako identyfikator logowania SQL do wszystkich wystąpień znajdujących się obecnie na maszynie
- Jako użytkownik w każdej bazie danych
Rozszerzenie przyznaje również uprawnienia do obiektów wystąpień i baz danych w miarę włączania funkcji. Poniższa tabela zawiera szczegółowe informacje.
Nuta
Minimalne uprawnienia zależą od funkcji z włączoną obsługą. Uprawnienia są aktualizowane, gdy nie są już potrzebne. Wymagane uprawnienia są przyznawane po włączeniu funkcji.
Uprawnienia SQL według funkcji
Minimalne wymagania systemowe
Te uprawnienia są wymagane dla podstawowego poziomu funkcjonalności udostępnianego przez rozszerzenie platformy Azure dla programu SQL Server i muszą być stosowane.
| Typ obiektu | Nazwa bazy danych lub obiektu | Przywilej |
|---|---|---|
| Baza danych | Pan | VIEW DATABASE STATE |
| Baza danych | Msdb | ALTER ANY SCHEMA |
| Baza danych | Msdb | CREATE TABLE |
| Baza danych | Msdb | CREATE TYPE |
| Baza danych | Msdb | DB DATA READER |
| Baza danych | Msdb | DB DATA WRITER |
| Baza danych | Msdb | EXECUTE |
| Baza danych | Msdb | SELECT dbo.backupfile |
| Baza danych | Msdb | SELECT dbo.backupmediaset |
| Baza danych | Msdb | SELECT dbo.backupmediafamily |
| Baza danych | Msdb | SELECT dbo.backupset |
| Baza danych | Msdb | SELECT dbo.syscategories |
| Baza danych | Msdb | SELECT dbo.sysjobactivity |
| Baza danych | Msdb | SELECT dbo.sysjobhistory |
| Baza danych | Msdb | SELECT dbo.sysjobs |
| Baza danych | Msdb | SELECT dbo.sysjobsteps |
| Baza danych | Msdb | SELECT dbo.syssessions |
| Baza danych | Msdb | SELECT dbo.sysoperators |
| Baza danych | Msdb | SELECT dbo.suspectpages |
| Serwer | CONNECT ANY DATABASE |
|
| Serwer | CONNECT SQL |
|
| Serwer | VIEW ANY DATABASE |
|
| Serwer | VIEW ANY DEFINITION |
|
| Serwer | VIEW SERVER STATE |
Ocena najlepszych rozwiązań
Ocena najlepszych rozwiązań jest domyślnie wyłączona. Jeśli ta opcja jest włączona, te uprawnienia zostaną automatycznie przyznane, jeśli nie zostały jeszcze przyznane.
| Typ obiektu | Nazwa bazy danych lub obiektu | Przywilej |
|---|---|---|
| Baza danych | Pan | SELECT |
| Baza danych | Pan | VIEW DATABASE STATE |
| Baza danych | Msdb | SELECT |
| Serwer | VIEW ANY DATABASE |
|
| Serwer | VIEW ANY DEFINITION |
|
| Serwer | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Kopia zapasowa
Automatyczne kopie zapasowe są domyślnie wyłączone. Uprawnienia do tworzenia kopii zapasowej zostaną przyznane każdej bazie danych, dla których są włączone kopie zapasowe. Włączenie funkcji tworzenia kopii zapasowej umożliwia również funkcję przywracania do punktu w czasie, więc uprawnienie do tworzenia bazy danych również jest przyznawane.
| Typ obiektu | Nazwa bazy danych lub obiektu | Przywilej |
|---|---|---|
| Baza danych | Wszystkie bazy danych | DB BACKUP OPERATOR |
| Serwer | CREATE ANY DATABASE |
|
| Serwer | Pan | DB CREATOR |
Grupy dostępności
Funkcje odnajdywania i zarządzania grupami dostępności, takie jak przełączanie w tryb failover, są domyślnie włączone, ale można je wyłączyć za pomocą flagi funkcji AvailabilityGroupDiscovery.
| Typ obiektu | Nazwa bazy danych lub obiektu | Przywilej |
|---|---|---|
| Serwer | ALTER ANY AVAILABILITY GROUP |
|
| Serwer | VIEW ANY DEFINITION |
Kompetencji
Funkcje usługi Purview są domyślnie wyłączone.
| Typ obiektu | Nazwa bazy danych lub obiektu | Przywilej |
|---|---|---|
| Baza danych | Wszystkie bazy danych | EXECUTE |
| Baza danych | Wszystkie bazy danych | SELECT |
| Serwer | CONNECT ANY DATABASE |
|
| Serwer | VIEW ANY DATABASE |
Ocena migracji
Oceny migracji są domyślnie włączone. Jeśli ta funkcja jest wyłączona, poniższe uprawnienia zostaną usunięte, chyba że będą one wymagały innych funkcji z włączoną obsługą.
| Typ obiektu | Nazwa bazy danych lub obiektu | Przywilej |
|---|---|---|
| Baza danych | Wszystkie bazy danych | SELECT sys.sqlexpressiondependencies |
| Baza danych | Msdb | EXECUTE dbo.agentdatetime |
| Baza danych | Msdb | SELECT dbo.syscategories |
| Baza danych | Msdb | SELECT dbo.sysjobhistory |
| Baza danych | Msdb | SELECT dbo.sysjobs |
| Baza danych | Msdb | SELECT dbo.sysjobsteps |
| Baza danych | Msdb | SELECT dbo.sysmailaccount |
| Baza danych | Msdb | SELECT dbo.sysmailprofile |
| Baza danych | Msdb | SELECT dbo.sysmailprofileaccount |
| Baza danych | Msdb | SELECT dbo.syssubsystems |
Dodatkowe uprawnienia
- Uprawnienia do konta usługi w celu uzyskiwania dostępu do usługi rozszerzenia i konfigurowania autorecovery.
- Log-on-as- prawa usługi do konta usługi.