Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL Server
Tento článek uvádí oprávnění, která rozšíření Azure pro SQL Server uděluje účtu NT SERVICE\SqlServerExtension, když používáte pro instance SQL Server povolené Azure Arc. Při konfiguraci s nejnižšími oprávněními poskytuje rozšíření pouze potřebná oprávnění, pokud povolíte funkce na portálu Azure.
Note
NT AUTHORITY\SYSTEM musí mít přístup k úpravám oprávnění pro uvedené adresáře a klíče registru. Tento přístup je nezbytný, aby NT AUTHORITY\SYSTEM mohl udělit požadovaný přístup k NT SERVICE\SqlServerExtension účtu pro režim nejnižších oprávnění.
Kromě toho musí mít NT AUTHORITY\SYSTEM aktivní přihlášení SQL Server s oprávněním CONNECT SQL pro každou instanci SQL Server. Deployer se připojí k SQL Server jako NT AUTHORITY\SYSTEM ke konfiguraci všech oprávnění na úrovni SQL popsaného v tomto článku. Pokud je toto přihlášení zakázané, odebrané nebo CONNECT SQL zamítnuté, nemůže nasaditel nakonfigurovat oprávnění SQL v režimu standardního nebo nejnižšího oprávnění. Postup ověření najdete v části Požadavky .
Overview
Když připojíte SQL Server k Azure Arc s povoleným nejnižším oprávněním , rozšíření Azure Arc udělí svému účtu služby pouze oprávnění, NT SERVICE\SqlServerExtensionkterá každá funkce potřebuje, když tuto funkci povolíte. Pokud tuto funkci zakážete, rozšíření tato oprávnění automaticky odebere. Pokud je funkce neaktivní, rozšíření neudělí žádná oprávnění pro tuto funkci.
Ruční nastavení oprávnění pro účet agenta se nepodporuje.
Note
V současné době není ve výchozím nastavení použita nejméně privilegovaná konfigurace.
Stávající servery s verzí 1.1.2859.223 rozšíření nebo vyšší budou mít nakonec použitou konfiguraci s nejnižšími privilegovanými oprávněními. Toto rozšíření bylo vydáno v listopadu 2024. Pokud chcete zabránit automatické aplikaci nejnižších oprávnění, zablokujte upgrady rozšíření po 1.1.2859.223.
Část Oprávnění SQL podle funkce vysvětluje oprávnění, která rozšíření uděluje, když povolíte následující funkce:
- Výchozí oprávnění pro rozšíření
- Automatizované zálohy
- Skupiny dostupnosti
- hodnocení osvědčených postupů
- Posouzení migrace
- Migrace databáze
- obnova na konkrétní bod v čase
- Purview
Oprávnění adresáře
| Cesta k adresáři | Požadovaná oprávnění | Details | Feature |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Úplné řízení | Dll a EXE související s příponou souborů. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Úplné řízení | Soubor nastavení přípony. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Úplné řízení | Stavový soubor přípony. | Default |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Úplné řízení | Soubory protokolu přípony. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Úplné řízení | Soubor prezenčních signálů přípony. | Default |
%ProgramFiles%\Sql Server Extension |
Úplné řízení | Soubory služby rozšíření. | Default |
<SystemDrive>\Windows\system32\extensionUpload |
Úplné řízení | Vyžaduje se k zápisu souboru využití potřebného k fakturaci. | Default |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Úplné řízení | Složka před protokolem vytvořená rozšířením | Default |
<ProgramData>\AzureConnectedMachineAgent\Config |
Read | Adresář konfiguračních souborů Arc. | Default |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Úplné řízení | Vyžaduje se k zápisu sestav a stavu posouzení. | Default |
Adresář protokolů SQL (nastavený v registru) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Read | Vyžaduje se k extrahování informací o virtuálních jádrech SQL z protokolů SQL. | Default |
Adresář zálohování SQL (nastavený v registru) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Požadováno pro zálohy | Backup |
1 Další informace naleznete v tématu Umístění souborů a mapování registru.
Oprávnění registru
Základní klíč: HKEY_LOCAL_MACHINE
| Klíč registru | Požadovaná oprávnění | Details | Feature |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Přečtěte si vlastnosti SQL Serveru, jako je installedInstances. |
Default |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Úplné řízení | Microsoft Entra ID a Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Úplné řízení | Vyžaduje se pro ID Microsoft Entra. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Read | Název účtu SQL Serveru. | Default |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Stav Azure Defenderu a čas poslední aktualizace | Default |
SOFTWARE\Microsoft\SqlServerExtension |
Úplné řízení | Hodnoty související s rozšířením | Default |
SOFTWARE\Policies\Microsoft\Windows |
Čtení a zápis | Povolení automatické aktualizace Windows prostřednictvím rozšíření | Automatické aktualizace |
Oprávnění skupiny
NT SERVICE\SqlServerExtension se přidá do aplikací rozšíření hybridního agenta. To umožňuje metodu handshake služby Azure Instance Metadata Service (IMDS) načíst token spravované identity prostředku počítače potřebný ke komunikaci se službami roviny dat Azure, jako je služba zpracování dat (DPS) a koncový bod telemetrie pro využití fakturace, protokoly rozšíření a shromažďování dat řídicího panelu monitorování.
Oprávnění SQL
Účet NT SERVICE\SqlServerExtension se přidá:
- Jako přihlášení SQL ke všem instancím na počítači
- Jako uživatel v každé databázi
Rozšíření také uděluje oprávnění k objektům instance a databáze, protože jsou povolené funkce.
Note
Minimální oprávnění závisí na povolených funkcích. Rozšíření aktualizuje oprávnění, když už nejsou potřeba. Uděluje potřebná oprávnění, když povolíte funkce. Role se nepoužívají s režimem nejnižších oprávnění.
PODROBNOSTI oprávnění účtu NT SERVICE\SqlServerExtension
| Cesta registru | Povolení | Přidružené riziko pro oprávnění v případě NT SERVICE\SqlServerExtension ohrožení zabezpečení účtu |
|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Rozšíření může zjistit, které verze SQL Serveru jsou nainstalované. |
SOFTWARE\Microsoft\Microsoft SQL Server\\MSSQLSERVER |
Úplné řízení | Vyžaduje se pouze v případě, že je povolené ověřování Microsoft Entra nebo Purview. Rozšíření může změnit konfiguraci SQL Serveru. |
SOFTWARE\Microsoft\SystemCertificates |
Úplné řízení | Vyžaduje se pouze v případě, že je povolené ověřování Microsoft Entra. Rozšíření může nahradit důvěryhodné kořenové certifikační autority. |
SYSTEM\CurrentControlSet\Services |
Read | Rozšíření může zobrazit názvy účtů služby. |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Rozšíření může zjistit stav a časy aktualizací v programu Microsoft Defender. |
SOFTWARE\Microsoft\SqlServerExtension |
Úplné řízení | Rozšíření může změnit nastavení rozšíření. |
SOFTWARE\Policies\Microsoft\Windows |
Čtení a zápis | Je potřeba jenom v případě, že je povolená automatická aktualizace . Rozšíření může změnit zásady služby služba Windows Update a zakázat Ochranu Device Guard, která řídí integritu kódu a zabezpečení na základě virtualizace, rozšířené vystavení kvůli zmeškaným opravám. |
Oprávnění SQL podle funkce
Následující tabulka uvádí výchozí chování funkcí, které řídí oprávnění udělená rozšířením Azure pro SQL Server:
| Feature | Výchozí chování |
|---|---|
| Výchozí oprávnění rozšíření | Ve výchozím nastavení povoleno |
| Automatizované zálohy | Zakázáno ve výchozím nastavení |
| Skupiny dostupnosti | Ve výchozím nastavení povoleno |
| hodnocení osvědčených postupů | Zakázáno ve výchozím nastavení |
| Posouzení migrace | Ve výchozím nastavení povoleno |
| Migrace databáze | Ve výchozím nastavení povoleno |
| obnova na konkrétní bod v čase | Zakázáno ve výchozím nastavení |
| Purview | Zakázáno ve výchozím nastavení |
Výchozí oprávnění rozšíření
Následující výchozí oprávnění jsou minimálním požadavkem na základní úroveň funkcí poskytovaných rozšířením Azure pro SQL Server a musí se použít:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
ALTER ANY SCHEMA |
| Database | msdb |
CREATE TABLE |
| Database | msdb |
CREATE TYPE |
| Database | msdb |
DB DATA READER |
| Database | msdb |
DB DATA WRITER |
| Database | msdb |
EXECUTE |
| Database | msdb |
SELECT dbo.backupfile |
| Database | msdb |
SELECT dbo.backupmediaset |
| Database | msdb |
SELECT dbo.backupmediafamily |
| Database | msdb |
SELECT dbo.backupset |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobactivity |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.syssessions |
| Database | msdb |
SELECT dbo.sysoperators |
| Database | msdb |
SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Automatizované zálohy
Automatizované zálohy jsou ve výchozím nastavení zakázané. Rozšíření uděluje oprávnění k zálohování jakékoli databázi s povolenými automatizovanými zálohami. Povolením funkce zálohování povolíte také funkci obnovení k určitému bodu v čase , takže se udělí také oprávnění k vytvoření databáze.
Pokud jsou funkce povolené, rozšíření automaticky udělí následující oprávnění:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Database | Všechny databáze | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | master |
DB CREATOR |
Skupiny dostupnosti
Funkce zjišťování a správy skupin dostupnosti, jako je převzetí služeb při selhání, jsou ve výchozím nastavení povolené, ale můžete je zakázat příznakem AvailabilityGroupDiscovery funkce.
Pokud je tato funkce povolená, rozšíření automaticky udělí následující oprávnění:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
Hodnocení osvědčených postupů
Hodnocení osvědčených postupů je ve výchozím nastavení zakázané.
Pokud je tato funkce povolená, rozšíření automaticky udělí následující oprávnění:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Database | master |
SELECT |
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Migrace databáze
Funkce migrace databáze je ve výchozím nastavení povolená a vyžaduje pouze oprávnění uvedená ve výchozích oprávněních rozšíření, i když jsou některá oprávnění udělena za běhu při provedení konkrétní akce migrace.
Následující akce vyžadují dodatečná oprávnění, která rozšíření uděluje za běhu:
- Vytvoření migrace propojení spravované instance
- Dokončení přímé migrace propojení spravované instance
- Zrušení migrace odkazu na spravovanou instanci
Note
Uživatelé s SqlServerAvailabilityGroups_CreateManagedInstanceLink, SqlServerAvailabilityGroups_failoverMiLink a oprávnění SqlServerAvailabilityGroups_deleteMiLink v Azure můžou provádět akce na stránce migrace Database, která zvyšují SQL Server oprávnění účtu používaného rozšířením, včetně role sysadmin pevné role serveru.
Vytvoření migrace propojení spravované instance
V kroku Migrace dat rozšíření udělí oprávnění za běhu, když na kartě Zkontrolovat a vytvořit na kartě Zkontrolovat a vytvořit migraci odkazu na spravovanou instanci udělíte oprávnění za běhu. Účet služby potřebuje zvýšená oprávnění ke konfiguraci distribuované skupiny dostupnosti (AG). Po vytvoření distribuované skupiny dostupnosti odvolá oprávnění a nasazení viditelné na portálu Azure je v dokončeném stavu. Pokud současně běží jiná migrace, rozšíření neodvolá oprávnění, dokud se nevytvořila poslední distribuovaná skupina dostupnosti.
Akce vytvoření migrace Managed Instance propojení získá během žádosti o vytvoření následující oprávnění:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | CREATE ENDPOINT |
|
| Server | ALTER ANY ENDPOINT |
|
| Server | CREATE CERTIFICATE |
|
| Database | master |
IMPERSONATE ON USER::[dbo] |
Dokončení přímé migrace propojení spravované instance
V kroku Monitorování a přímé migrace rozšíření uděluje oprávnění za běhu , když pro migraci odkazu na spravovanou instanci vyberete možnost Dokončit přímou migraci. Rozšíření po dokončení přímé migrace odvolá oprávnění.
Akce dokončení přímé migrace propojení Managed Instance získá během celé žádosti následující oprávnění:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | Sysadmin1 |
1 Pokud je povolena nejnižší oprávnění, úplná přímá akce také udělí účtu pevné role NT SERVICE\SqlServerExtension serveru správce systému během přímé migrace. Tato role se vyžaduje k převzetí služeb při selhání distribuované skupiny dostupnosti pro přímou migraci do Azure SQL Managed Instance.
Zrušení migrace odkazu na spravovanou instanci
V kroku Monitorování a přímé migrace rozšíření uděluje oprávnění za běhu , když pro migraci odkazu na spravovanou instanci vyberete možnost Zrušit migraci . Rozšíření po zrušení migrace odvolá oprávnění.
Akce zrušení migrace Managed Instance propojení získá během žádosti o zrušení následující oprávnění:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | Sysadmin1 |
1 Pokud je povolené nejnižší oprávnění, akce zrušení také udělí účtu během žádosti o zrušení roli serveru s pevnou rolí NT SERVICE\SqlServerExtensionsprávce systému. Tato role se vyžaduje při odstraňování distribuované skupiny dostupnosti.
Posouzení migrace
Hodnocení migrace jsou ve výchozím nastavení povolená.
Pokud je tato funkce zakázaná, rozšíření odvolá následující oprávnění, pokud je nevyžadují jiné povolené funkce:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Database | Všechny databáze | SELECT sys.sql_expression_dependencies |
| Database | msdb |
EXECUTE dbo.agent_datetime |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.sysmail_account |
| Database | msdb |
SELECT dbo.sysmail_profile |
| Database | msdb |
SELECT dbo.sysmail_profileaccount |
| Database | msdb |
SELECT dbo.syssubsystems |
Purview
Funkce Purview jsou ve výchozím nastavení zakázané.
Pokud je tato funkce povolená, rozšíření automaticky udělí následující oprávnění:
| Typ objektu | Název databáze nebo objektu | Privilege |
|---|---|---|
| Database | Všechny databáze | EXECUTE |
| Database | Všechny databáze | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Oprávnění SQL za běhu
Některá oprávnění SQL se přiřazují jenom v případě, že je potřeba provést konkrétní akci, a odvolávají se, jakmile operace vyžaduje dokončení oprávnění. Pokud se odvolání nezdaří, úloha čištění na pozadí, která se spouští každých 50 minut, automaticky odvolá zastaralá oprávnění.
Oprávnění za běhu se přiřazují k účtu služby:
-
NT SERVICE\SqlServerExtensionPokud je povolená nejnižší úroveň oprávnění - Místní systémový účet, pokud je zakázáno nejnižší oprávnění.
V současné době používá následující funkce oprávnění za běhu:
- Migrace databáze při použití možnosti migrace propojení spravované instance
Další oprávnění
Účet služby vyžaduje následující oprávnění:
- Přejděte ke službě rozšíření a nakonfigurujte automatickou konfiguraci.
- Přihlaste se jako služba.