Konfigurera Windows-tjänstkonton och behörigheter för Azure-tillägget för SQL Server
gäller för:
SQL Server
Den här artikeln innehåller behörigheter för Azure-tillägget för SQL Server-uppsättningar för NT Service\SQLServerExtension-kontot. Det här kontot används när du Använda SQL Server som aktiveras av Azure Arc med minst behörighet.
Not
Befintliga servrar med tillägget från november 2024-versionen eller senare har automatiskt minst privilegierad konfiguration. Det här programmet kommer att ske gradvis.
Blockera tilläggsuppgraderingar till november 2024-versionen för att förhindra automatisk tillämpning av lägsta behörighet.
Det går inte att ange behörigheterna för agentkontot manuellt.
Tillägget anger behörigheter när du aktiverar funktioner i Azure-portalen. Om du inte aktiverar en funktion anger tillägget inte behörigheterna för den funktionen. Om du inaktiverar en funktion tar tillägget bort behörigheterna.
SQL-behörigheter visar en lista över de behörigheter som är kopplade till funktioner som tillägget beviljar när funktioner är aktiverade.
Not
NT Authority\System måste ha åtkomst till att ändra behörigheter för kataloger och registernycklar i listan. Detta krävs för att NT Authority\System ska kunna bevilja nödvändig åtkomst till NT Service\SqlServerExtension konto för läget för lägsta behörighet.
Katalogbehörigheter
| Katalogsökväg | Nödvändiga behörigheter | Detaljer | Drag |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Fullständig kontroll | Tilläggsrelaterade dll-filer och exe-filer. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Fullständig kontroll | Fil för tilläggsinställningar. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Fullständig kontroll | Statusfil för tillägg. | Standard |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Fullständig kontroll | Tilläggsloggfiler. | Standard |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Fullständig kontroll | Fil för fil för filnamnstilläggsslag. | Standard |
%ProgramFiles%\Sql Server Extension |
Fullständig kontroll | Tilläggstjänstfiler. | Standard |
<SystemDrive>\Windows\system32\extensionUpload |
Fullständig kontroll | Krävs för att skriva användningsfilen som krävs för fakturering. | Standard |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Fullständig kontroll | Förloggmapp som skapats av tillägget. | Standard |
<ProgramData>\AzureConnectedMachineAgent\Config |
Läsa | Katalog för Arc-konfigurationsfiler. | Standard |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Fullständig kontroll | Krävs för att skriva utvärderingsrapporter och status. | Standard |
SQL-loggkatalog (som anges i registret) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Läsa | Krävs för att extrahera SQL vCores-information från SQL-loggar. | Standard |
SQL Backup-katalog (som anges i registret) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Krävs för säkerhetskopior | Säkerhetskopia |
1 Mer information finns i Filplatser och Registermappning.
Registerbehörigheter
Basnyckel: HKEY_LOCAL_MACHINE
| Registernyckel | Behörighet krävs | Detaljer | Drag |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Läsa | Läs SQL Server-egenskaper som installedInstances. |
Standard |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Fullständig kontroll | Microsoft Entra ID och Purview. | Microsoft Entra-ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Fullständig kontroll | Krävs för Microsoft Entra-ID. | Microsoft Entra-ID |
SYSTEM\CurrentControlSet\Services |
Läsa | SQL Server-kontonamn. | Standard |
SOFTWARE\Microsoft\AzureDefender\SQL |
Läsa | Azure Defender-status och senaste uppdateringstid. | Standard |
SOFTWARE\Microsoft\SqlServerExtension |
Fullständig kontroll | Tilläggsrelaterade värden. | Standard |
SOFTWARE\Policies\Microsoft\Windows |
Läsa och skriva | Aktivera automatisk Windows-uppdatering via tillägg. | Automatiska uppdateringar |
Gruppbehörigheter
NT Service\SQLServerExtension läggs till i hybridagenttilläggsprogram. Detta gör det möjligt för IMDS-handskakningen (Azure Instance Metadata Service) att hämta den datorresurshanterade identitetstoken som krävs för att kommunicera med Azure-dataplanstjänster, till exempel Data Processing Service (DPS) och telemetrislutpunkten för faktureringsanvändning, tilläggsloggar och övervakning av datainsamling på instrumentpanelen.
SQL-behörigheter
NT Service\SQLServerExtension läggs till:
- Som en SQL-inloggning till alla instanser som för närvarande finns på datorn
- Som användare i varje databas
Tillägget ger också behörighet till instans- och databasobjekt när funktioner är aktiverade. Tabellen nedan innehåller information.
Not
Minsta behörigheter beror på aktiverade funktioner. Behörigheter uppdateras när de inte längre behövs. Nödvändiga behörigheter beviljas när funktioner är aktiverade.
SQL-privilegier efter funktion
Lägsta systemkrav
Dessa behörigheter krävs för den grundläggande funktionalitetsnivån som tillhandahålls av Azure-tillägget för SQL Server och måste tillämpas.
| Objekttyp | Databas- eller objektnamn | Privilegium |
|---|---|---|
| Databas | Mästare | VIEW DATABASE STATE |
| Databas | Msdb | ALTER ANY SCHEMA |
| Databas | Msdb | CREATE TABLE |
| Databas | Msdb | CREATE TYPE |
| Databas | Msdb | DB DATA READER |
| Databas | Msdb | DB DATA WRITER |
| Databas | Msdb | EXECUTE |
| Databas | Msdb | SELECT dbo.backupfile |
| Databas | Msdb | SELECT dbo.backupmediaset |
| Databas | Msdb | SELECT dbo.backupmediafamily |
| Databas | Msdb | SELECT dbo.backupset |
| Databas | Msdb | SELECT dbo.syscategories |
| Databas | Msdb | SELECT dbo.sysjobactivity |
| Databas | Msdb | SELECT dbo.sysjobhistory |
| Databas | Msdb | SELECT dbo.sysjobs |
| Databas | Msdb | SELECT dbo.sysjobsteps |
| Databas | Msdb | SELECT dbo.syssessions |
| Databas | Msdb | SELECT dbo.sysoperators |
| Databas | Msdb | SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Utvärdering av metodtips
Utvärderingen av bästa praxis är inaktiverad som standard. Om den är aktiverad beviljas dessa behörigheter automatiskt om de inte redan har beviljats.
| Objekttyp | Databas- eller objektnamn | Privilegium |
|---|---|---|
| Databas | Mästare | SELECT |
| Databas | Mästare | VIEW DATABASE STATE |
| Databas | Msdb | SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Säkerhetskopia
Automatiserade säkerhetskopieringar är inaktiverade som standard. Säkerhetskopieringsbehörigheter beviljas till alla databaser som säkerhetskopieringar är aktiverade för. Om du aktiverar säkerhetskopieringsfunktionen aktiveras även funktionen för återställning till tidpunkt, så behörigheten att skapa en databas beviljas också.
| Objekttyp | Databas- eller objektnamn | Privilegium |
|---|---|---|
| Databas | Alla databaser | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | Mästare | DB CREATOR |
Tillgänglighetsgrupper
Identifierings- och hanteringsfunktioner för tillgänglighetsgrupper, till exempel redväxling, är aktiverade som standard, men de kan inaktiveras via AvailabilityGroupDiscovery funktionsflagga.
| Objekttyp | Databas- eller objektnamn | Privilegium |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
Purview
Purview-funktionerna är inaktiverade som standard.
| Objekttyp | Databas- eller objektnamn | Privilegium |
|---|---|---|
| Databas | Alla databaser | EXECUTE |
| Databas | Alla databaser | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Migreringsutvärdering
Migreringsutvärderingar är aktiverade som standard. Om funktionen är inaktiverad tas behörigheterna nedan bort om inte andra aktiverade funktioner kräver dem.
| Objekttyp | Databas- eller objektnamn | Privilegium |
|---|---|---|
| Databas | Alla databaser | SELECT sys.sqlexpressiondependencies |
| Databas | Msdb | EXECUTE dbo.agentdatetime |
| Databas | Msdb | SELECT dbo.syscategories |
| Databas | Msdb | SELECT dbo.sysjobhistory |
| Databas | Msdb | SELECT dbo.sysjobs |
| Databas | Msdb | SELECT dbo.sysjobsteps |
| Databas | Msdb | SELECT dbo.sysmailaccount |
| Databas | Msdb | SELECT dbo.sysmailprofile |
| Databas | Msdb | SELECT dbo.sysmailprofileaccount |
| Databas | Msdb | SELECT dbo.syssubsystems |
Ytterligare behörigheter
- Behörigheter till tjänstkonto för åtkomst till tilläggstjänsten och konfigurera automatisk återställning.
- Loggaon-as-tjänsträttigheter till tjänstkontot.