設定適用於 SQL Server 的 Azure 擴充功能的 Windows 服務帳戶和許可權
適用於:
SQL Server
本文列出帳戶 SQL Server 集合 NT Service\SQLServerExtension 的 Azure 擴充功能許可權。 當您以最低許可權操作由 Azure Arc 啟用的 SQL Server 時,會使用此帳戶。
注意
從 2024 年 11 月版本或更新版本開始使用延伸項目的現有伺服器,將自動套用最低權限設定。 此應用程式會逐漸套用。
為了防止自動套用最小權限,請封鎖延伸升級至 2024 年 11 月版。
不支援手動設定代理程式帳戶的許可權。
當您在 Azure 入口網站 上啟用功能時,擴充功能會設定許可權。 如果您未啟用功能,擴充功能不會設定該功能的許可權。 如果您停用功能,擴充功能會移除許可權。
SQL 許可權 會列出延伸模組在啟用功能時授與的功能所系結的許可權。
注意
NT Authority\System 必須具有修改所列出目錄和登錄機碼之許可權的存取權。 這是必要的, NT Authority\System 以便授與最低許可權模式帳戶 NT Service\SqlServerExtension 的必要存取權。
目錄許可權
| 目錄路徑 | 所需的權限 | 詳細資料 | 功能 |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
完全控制 | 擴展名相關的 dll 和 exe 檔案。 | 預設 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
完全控制 | 延伸模組配置檔。 | 預設 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
完全控制 | 擴充功能狀態檔。 | 預設 |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
完全控制 | 擴充功能記錄檔。 | 預設 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
完全控制 | 擴充活動訊號檔案。 | 預設 |
%ProgramFiles%\Sql Server Extension |
完全控制 | 擴充服務檔案。 | 預設 |
<SystemDrive>\Windows\system32\extensionUpload |
完全控制 | 需要寫入計費所需的使用量檔案。 | 預設 |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
完全控制 | 擴充功能所建立的預先記錄資料夾。 | 預設 |
<ProgramData>\AzureConnectedMachineAgent\Config |
參閱 | Arc 組態檔目錄。 | 預設 |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
完全控制 | 撰寫評量報告和狀態的必要專案。 | 預設 |
SQL 記錄目錄 (如登入中的設定) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
參閱 | 需要從 SQL 記錄擷取 SQL 虛擬核心資訊。 | 預設 |
SQL 備份目錄 (如登入中的設定) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | 備份的必要專案 | Backup |
1 如需詳細資訊,請參閱 檔案位置和登錄對應。
登錄權限
基底鍵: HKEY_LOCAL_MACHINE
| 登錄機碼 | 所需權限 | 詳細資料 | 功能 |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
參閱 | 讀取 SQL Server 屬性, 例如 installedInstances。 |
預設 |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
完全控制 | Microsoft Entra ID 和 Purview。 | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
完全控制 | Microsoft Entra ID 的必要專案。 | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
參閱 | SQL Server 帳戶名稱。 | 預設 |
SOFTWARE\Microsoft\AzureDefender\SQL |
參閱 | Azure Defender 狀態和上次更新時間。 | 預設 |
SOFTWARE\Microsoft\SqlServerExtension |
完全控制 | 延伸模組相關值。 | 預設 |
SOFTWARE\Policies\Microsoft\Windows |
讀取和寫入 | 透過擴充功能啟用自動 Windows 更新。 | 自動更新 |
群組許可權
NT Service\SQLServerExtension 會新增至混合式代理程序擴充功能應用程式。 這可讓 Azure 實例元數據服務 (IMDS) 交握擷取與 Azure 數據平面服務通訊所需的機器資源受控識別令牌,例如數據處理服務 (DPS) 和計費使用量、延伸模組記錄和監視儀錶板數據收集的遙測端點。
SQL 權限
NT Service\SQLServerExtension 已新增:
- 作為目前電腦上所有實例的 SQL 登入
- 身為每個資料庫中的使用者
擴充功能也會在啟用功能時授與實例和資料庫對象的許可權。 下表提供詳細數據。
注意
最低許可權取決於已啟用的功能。 不再需要許可權時會更新。 啟用功能時會授與必要的許可權。
依功能排序的 SQL 許可權
最低系統需求
這些許可權是 SQL Server 的 Azure 延伸模組所提供的基本功能層級的必要許可權,而且必須套用。
| 物件類型 | 資料庫或物件名稱 | 特權 |
|---|---|---|
| 資料庫 | 主人 | VIEW DATABASE STATE |
| 資料庫 | Msdb | ALTER ANY SCHEMA |
| 資料庫 | Msdb | CREATE TABLE |
| 資料庫 | Msdb | CREATE TYPE |
| 資料庫 | Msdb | DB DATA READER |
| 資料庫 | Msdb | DB DATA WRITER |
| 資料庫 | Msdb | EXECUTE |
| 資料庫 | Msdb | SELECT dbo.backupfile |
| 資料庫 | Msdb | SELECT dbo.backupmediaset |
| 資料庫 | Msdb | SELECT dbo.backupmediafamily |
| 資料庫 | Msdb | SELECT dbo.backupset |
| 資料庫 | Msdb | SELECT dbo.syscategories |
| 資料庫 | Msdb | SELECT dbo.sysjobactivity |
| 資料庫 | Msdb | SELECT dbo.sysjobhistory |
| 資料庫 | Msdb | SELECT dbo.sysjobs |
| 資料庫 | Msdb | SELECT dbo.sysjobsteps |
| 資料庫 | Msdb | SELECT dbo.syssessions |
| 資料庫 | Msdb | SELECT dbo.sysoperators |
| 資料庫 | Msdb | SELECT dbo.suspectpages |
| 伺服器 | CONNECT ANY DATABASE |
|
| 伺服器 | CONNECT SQL |
|
| 伺服器 | VIEW ANY DATABASE |
|
| 伺服器 | VIEW ANY DEFINITION |
|
| 伺服器 | VIEW SERVER STATE |
最佳做法評估
最佳做法評定預設為停用。 如果已啟用,如果尚未授與這些許可權,這些許可權就會自動授與。
| 物件類型 | 資料庫或物件名稱 | 特權 |
|---|---|---|
| 資料庫 | 主人 | SELECT |
| 資料庫 | 主人 | VIEW DATABASE STATE |
| 資料庫 | Msdb | SELECT |
| 伺服器 | VIEW ANY DATABASE |
|
| 伺服器 | VIEW ANY DEFINITION |
|
| 伺服器 | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Backup
預設會停用自動備份。 備份許可權會授與任何已啟用備份的資料庫。 啟用備份功能也會啟用時間點還原功能,因此也會授與建立資料庫的許可權。
| 物件類型 | 資料庫或物件名稱 | 特權 |
|---|---|---|
| 資料庫 | 所有資料庫 | DB BACKUP OPERATOR |
| 伺服器 | CREATE ANY DATABASE |
|
| 伺服器 | 主人 | DB CREATOR |
可用性群組
可用性群組探索和管理功能,例如預設會啟用故障轉移,但可以透過 AvailabilityGroupDiscovery 功能旗標加以停用。
| 物件類型 | 資料庫或物件名稱 | 特權 |
|---|---|---|
| 伺服器 | ALTER ANY AVAILABILITY GROUP |
|
| 伺服器 | VIEW ANY DEFINITION |
Purview
Purview 功能預設為停用。
| 物件類型 | 資料庫或物件名稱 | 特權 |
|---|---|---|
| 資料庫 | 所有資料庫 | EXECUTE |
| 資料庫 | 所有資料庫 | SELECT |
| 伺服器 | CONNECT ANY DATABASE |
|
| 伺服器 | VIEW ANY DATABASE |
移轉評估
默認會啟用移轉評定。 如果停用此功能,除非其他啟用的功能需要這些許可權,否則將會移除下列許可權。
| 物件類型 | 資料庫或物件名稱 | 特權 |
|---|---|---|
| 資料庫 | 所有資料庫 | SELECT sys.sqlexpressiondependencies |
| 資料庫 | Msdb | EXECUTE dbo.agentdatetime |
| 資料庫 | Msdb | SELECT dbo.syscategories |
| 資料庫 | Msdb | SELECT dbo.sysjobhistory |
| 資料庫 | Msdb | SELECT dbo.sysjobs |
| 資料庫 | Msdb | SELECT dbo.sysjobsteps |
| 資料庫 | Msdb | SELECT dbo.sysmailaccount |
| 資料庫 | Msdb | SELECT dbo.sysmailprofile |
| 資料庫 | Msdb | SELECT dbo.sysmailprofileaccount |
| 資料庫 | Msdb | SELECT dbo.syssubsystems |
其他使用權限
- 存取擴充功能服務的服務帳戶許可權,並設定自動復原。
- 服務帳戶的登入即服務許可權。