Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server
Область применения:
SQL Server
В этой статье перечислены разрешения azure для наборов SQL Server для учетной NT Service\SQLServerExtension записи. Эта учетная запись используется при использовании SQL Server, включенной Azure Arc с минимальными привилегиями.
Примечание.
Существующие серверы с расширением с выпуска 2024 ноября 2024 г. или более поздней версии автоматически применяются к конфигурации с минимальными привилегиями. Это приложение будет происходить постепенно.
Чтобы предотвратить автоматическое применение минимальных привилегий, заблокируйте обновление расширений до выпуска за ноябрь 2024 г.
Настройка разрешений для учетной записи агента вручную не поддерживается.
Расширение задает разрешения при включении функций в портал Azure. Если вы не включите функцию, расширение не задает разрешения для этой функции. Если отключить функцию, расширение удаляет разрешения.
Разрешения SQL перечисляют разрешения, связанные с функциями, предоставляемыми расширением при включении функций.
Примечание.
NT Authority\System должен иметь доступ к изменению разрешений на перечисленные каталоги и разделы реестра. Это необходимо, чтобы NT Authority\System предоставить необходимый доступ к учетной NT Service\SqlServerExtension записи для режима наименьших привилегий.
Разрешения каталога
| Путь к каталогу | Необходимые разрешения | Сведения | Функция |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Полный контроль | Связанные с расширением библиотеки DLL и exe-файлы. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Полный контроль | Файл параметров расширения. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Полный контроль | Файл состояния расширения. | По умолчанию. |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Полный контроль | Файлы журнала расширений. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Полный контроль | Файл пульса расширения. | По умолчанию. |
%ProgramFiles%\Sql Server Extension |
Полный контроль | Файлы службы расширений. | По умолчанию. |
<SystemDrive>\Windows\system32\extensionUpload |
Полный контроль | Требуется для записи файла использования, необходимого для выставления счетов. | По умолчанию. |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Полный контроль | Папка предварительного журнала, созданная расширением. | По умолчанию. |
<ProgramData>\AzureConnectedMachineAgent\Config |
Читать | Каталог файлов конфигурации Arc. | По умолчанию. |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Полный контроль | Требуется для записи отчетов об оценке и состояния. | По умолчанию. |
Каталог журнала SQL (как задано в реестре) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Читать | Требуется для извлечения сведений о виртуальных ядрах SQL из журналов SQL. | По умолчанию. |
Каталог резервного копирования SQL (как задано в реестре) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Требуется для резервного копирования | Резервное копирование |
1 Дополнительные сведения см. в разделе "Расположения файлов" и "Сопоставление реестра".
Разрешения для реестра
Базовый ключ: HKEY_LOCAL_MACHINE
| Раздел реестра | Требования к разрешениям | Сведения | Функция |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Читать | Чтение свойств SQL Server, таких как installedInstances. |
По умолчанию. |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Полный контроль | Идентификатор Microsoft Entra и Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Полный контроль | Требуется для идентификатора Microsoft Entra. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Читать | Имя учетной записи SQL Server. | По умолчанию. |
SOFTWARE\Microsoft\AzureDefender\SQL |
Читать | Состояние Azure Defender и время последнего обновления. | По умолчанию. |
SOFTWARE\Microsoft\SqlServerExtension |
Полный контроль | Значения, связанные с расширением. | По умолчанию. |
SOFTWARE\Policies\Microsoft\Windows |
Чтение и запись | Включение автоматического обновления Windows с помощью расширения. | Автоматические обновления |
Разрешения группы
NT Service\SQLServerExtension добавляется в приложения расширения гибридного агента. Это позволяет подтверждения службы метаданных экземпляра Azure (IMDS) получить маркер управляемого удостоверения ресурса компьютера, необходимый для обмена данными со службами плоскости данных Azure, такими как служба обработки данных (DPS) и конечная точка телеметрии для выставления счетов, журналов расширений и сбора данных панели мониторинга мониторинга.
Разрешения SQL
NT Service\SQLServerExtension добавлено:
- Как имя входа SQL для всех экземпляров, присутствующих на компьютере
- Как пользователь в каждой базе данных
Расширение также предоставляет разрешения для объектов экземпляра и базы данных, так как функции включены. В приведенной ниже таблице приведены сведения.
Примечание.
Минимальные разрешения зависят от включенных функций. Разрешения обновляются, когда они больше не нужны. Необходимые разрешения предоставляются при включении функций.
Привилегии SQL по компоненту
Минимальные требования к системе
Эти разрешения необходимы для базового уровня функциональных возможностей, предоставляемых расширением Azure для SQL Server и должны применяться.
| Тип объекта | Имя базы данных или объекта | Привилегия |
|---|---|---|
| База данных | Хозяин | VIEW DATABASE STATE |
| База данных | Msdb | ALTER ANY SCHEMA |
| База данных | Msdb | CREATE TABLE |
| База данных | Msdb | CREATE TYPE |
| База данных | Msdb | DB DATA READER |
| База данных | Msdb | DB DATA WRITER |
| База данных | Msdb | EXECUTE |
| База данных | Msdb | SELECT dbo.backupfile |
| База данных | Msdb | SELECT dbo.backupmediaset |
| База данных | Msdb | SELECT dbo.backupmediafamily |
| База данных | Msdb | SELECT dbo.backupset |
| База данных | Msdb | SELECT dbo.syscategories |
| База данных | Msdb | SELECT dbo.sysjobactivity |
| База данных | Msdb | SELECT dbo.sysjobhistory |
| База данных | Msdb | SELECT dbo.sysjobs |
| База данных | Msdb | SELECT dbo.sysjobsteps |
| База данных | Msdb | SELECT dbo.syssessions |
| База данных | Msdb | SELECT dbo.sysoperators |
| База данных | Msdb | SELECT dbo.suspectpages |
| Сервер | CONNECT ANY DATABASE |
|
| Сервер | CONNECT SQL |
|
| Сервер | VIEW ANY DATABASE |
|
| Сервер | VIEW ANY DEFINITION |
|
| Сервер | VIEW SERVER STATE |
Оценка рекомендаций
Оценка рекомендаций отключена по умолчанию. Если он включен, эти разрешения будут автоматически предоставлены, если они еще не предоставлены.
| Тип объекта | Имя базы данных или объекта | Привилегия |
|---|---|---|
| База данных | Хозяин | SELECT |
| База данных | Хозяин | VIEW DATABASE STATE |
| База данных | Msdb | SELECT |
| Сервер | VIEW ANY DATABASE |
|
| Сервер | VIEW ANY DEFINITION |
|
| Сервер | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Резервное копирование
Автоматические резервные копии отключены по умолчанию. Разрешения на резервное копирование будут предоставлены любой базе данных, для которых включены резервные копии. Включение функции резервного копирования также включает функцию восстановления на определенный момент времени, поэтому также предоставляется разрешение на создание базы данных.
| Тип объекта | Имя базы данных или объекта | Привилегия |
|---|---|---|
| База данных | Все базы данных | DB BACKUP OPERATOR |
| Сервер | CREATE ANY DATABASE |
|
| Сервер | Хозяин | DB CREATOR |
Группы доступности
Функции обнаружения и управления группами доступности, такие как отработка отказа, включены по умолчанию, но их можно отключить с помощью флага функции AvailabilityGroupDiscovery.
| Тип объекта | Имя базы данных или объекта | Привилегия |
|---|---|---|
| Сервер | ALTER ANY AVAILABILITY GROUP |
|
| Сервер | VIEW ANY DEFINITION |
Purview
Функции Purview отключены по умолчанию.
| Тип объекта | Имя базы данных или объекта | Привилегия |
|---|---|---|
| База данных | Все базы данных | EXECUTE |
| База данных | Все базы данных | SELECT |
| Сервер | CONNECT ANY DATABASE |
|
| Сервер | VIEW ANY DATABASE |
Оценка миграции
Оценки миграции включены по умолчанию. Если функция отключена, указанные ниже разрешения будут удалены, если другие включенные функции не требуют их.
| Тип объекта | Имя базы данных или объекта | Привилегия |
|---|---|---|
| База данных | Все базы данных | SELECT sys.sqlexpressiondependencies |
| База данных | Msdb | EXECUTE dbo.agentdatetime |
| База данных | Msdb | SELECT dbo.syscategories |
| База данных | Msdb | SELECT dbo.sysjobhistory |
| База данных | Msdb | SELECT dbo.sysjobs |
| База данных | Msdb | SELECT dbo.sysjobsteps |
| База данных | Msdb | SELECT dbo.sysmailaccount |
| База данных | Msdb | SELECT dbo.sysmailprofile |
| База данных | Msdb | SELECT dbo.sysmailprofileaccount |
| База данных | Msdb | SELECT dbo.syssubsystems |
Дополнительные разрешения
- Разрешения учетной записи службы для доступа к службе расширений и настройке автоматического восстановления.
- Права на вход как услуга в учетную запись службы.