你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 SQL 发现和评估预配具有最低特权的自定义帐户
本文介绍如何创建具有最低发现和评估权限的自定义帐户。
为准备进行发现,需要为 Azure Migrate 设备配置帐户,以便与 SQL Server 实例建立连接。 如果希望避免使用具有 sysadmin 权限的帐户,则可以创建一个拥有最低权限集的自定义帐户,以获取发现和评估所需的元数据。 在 SQL 发现和评估的设备配置中添加此自定义帐户。 最低权限帐户预配实用工具可以帮助预配这些自定义帐户。
先决条件
包含 SQL Server 实例列表的已准备好的 CSV。 确保所有列出的 SQL Server 都已启用 TCP/IP 协议。
对 CSV 中列出的所有 SQL Server 实例具有 sysadmin 权限的帐户。
注意
- 管理员级帐户仅用于预配最低权限帐户。 创建最低权限帐户后,在设备配置中提供该帐户,以便进行实际发现和评估。
- 如果需要多个管理员级别的帐户,请使用相同的 CSV 文件再次运行实用程序,并使用下一个管理员级别凭据。 已跳过已成功更新的实例。 使用不同的管理员级凭据重复此操作,直到所有 sql 实例的“Status”字段设置为“Success”。
准备 SQL Server 实例列表
该实用工具需要创建为 CSV 的 SQL Server 实例列表,并按指定顺序列出以下列:
- FqdnOrIpAddress(必需):此字段应包含运行 SQL Server 实例的服务器的完全限定域名(或用于 SQL Server 身份验证的 IP 地址)。
- InstanceName(必需):此字段应包含命名实例的实例名称或默认实例的 MSSQLSERVER。
- 端口(必需):SQL Server 正在侦听的端口。
- 状态(可选/输出):此字段最初可以留空。 除“Success”之外的任何值都允许实用工具尝试针对相应实例预配最低权限帐户。 执行结束后,将在该字段中更新成功或失败。
- ErrorSummary(可选/输出):留空。 该实用工具会更新此字段,其中包含预配最低权限帐户时遇到的错误(如果有)。
- ErrorGuidance(可选/输出):留空。 该实用工具会更新此字段,其中包含预配最低权限帐户时遇到的详细错误消息(如果有)。
预配自定义帐户
- 打开命令提示符并导航到 %ProgramFiles%\Microsoft Azure Appliance Configuration Manager\Tools\SQLMinPrivilege 文件夹。
- 使用以下命令启动最低权限帐户预配实用工具:
MinimumPrivilegedUser.exe
- 选择环境类型,如果是从 AzureMigrate 设备运行,则输入 1,否则输入 2。
- 提供 SQL Server 实例 CSV 列表的路径。
- 提供用于为自定义帐户创建自定义安全标识符(SID) 的唯一标识符(GUID)。 建议对实用工具的所有执行使用相同的已知 GUID。 例如,可以使用 Azure 订阅 ID。
- 提供具有管理员级权限的帐户凭据。
- 为 SQL 帐户输入 1,为 Windows/域帐户输入 2,以选择凭据类型。
- 提供管理员级帐户的用户名和密码
- 现在提供要创建的最低权限帐户的凭据。
- 为 SQL 帐户输入 1,为 Windows/域帐户输入 2,以选择凭据类型。
- 如果在上一步中选择了 SQL 帐户,则列表中的 SQL Server 实例应已启用 SQL Server 身份验证(混合模式)。 如果列表中的 SQL Server 实例未启用 SQL 身份验证,脚本可以选择性地预配帐户并启用 SQL 身份验证。 但是,在使用新的 SQL 帐户之前,应重启实例。 如果不想继续执行 SQL 帐户预配,请输入 N 或 n 返回到上一步,然后再次选择凭据类型。
- 提供要预配的最低权限帐户的用户名和密码。
- 如果有更多要使用的管理员级凭据,请再次使用同一 CSV 文件。 该实用工具跳过已成功配置的实例。
注意
建议使用相同的最低权限帐户凭据来简化 Azure Migrate 设备的配置。
使用自定义帐户进行发现和评估
预配自定义帐户后,在设备配置中提供此凭据。