Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server
In diesem Artikel werden die Berechtigungen aufgeführt, die die Azure-Erweiterung für SQL Server dem NT Service\SQLServerExtension Konto gewährt, wenn Sie die geringsten Berechtigungen für SQL Server-Instanzen verwenden, die von Azure Arc aktiviert sind. Mit der geringsten Berechtigungskonfiguration gewährt die Erweiterung nur erforderliche Berechtigungen, wenn Sie Features im Azure-Portal aktivieren.
Note
NT Authority\System müssen Zugriff auf das Ändern von Berechtigungen für aufgelistete Verzeichnisse und Registrierungsschlüssel haben. Dieser Zugriff ist erforderlich, damit NT Authority\System der erforderliche Zugriff auf das Konto für den NT Service\SqlServerExtension geringsten Berechtigungsmodus gewährt werden kann.
Overview
Wenn Sie SQL Server mit Azure Arc mit den geringsten Berechtigungen verbinden, gewährt die Azure Arc-Erweiterung sein Dienstkonto, nur die Berechtigungen, NT SERVICE\SQLServerExtensiondie jedes Feature benötigt, wenn Sie dieses Feature aktivieren. Die Erweiterung entfernt diese Berechtigungen automatisch, wenn Sie das Feature deaktivieren. Wenn ein Feature inaktiv ist, gewährt die Erweiterung keine Berechtigungen für dieses Feature.
Das manuelle Festlegen der Berechtigungen für das Agentkonto wird nicht unterstützt.
Note
Derzeit wird die konfiguration mit den geringsten Rechten nicht standardmäßig angewendet.
Vorhandene Server mit Erweiterungsversion 1.1.2859.223 oder höher verfügen schließlich über die am wenigsten privilegierte Konfiguration. Diese Erweiterung wurde im November 2024 veröffentlicht. Um die automatische Anwendung der geringsten Rechte zu verhindern, blockieren Sie Erweiterungsupgrades nach 1.1.2859.223.
Im Abschnitt SQL-Berechtigungen nach Feature werden die Berechtigungen erläutert, die die Erweiterung gewährt, wenn Sie die folgenden Features aktivieren:
- Standardberechtigungen für die Erweiterung
- Automatisierte Sicherungen
- Verfügbarkeitsgruppen
- Bewertung bewährter Methoden
- Migrationsbewertung
- Datenbankmigration
- Point-in-Time-Wiederherstellung
- Purview
Verzeichnisberechtigungen
| Verzeichnispfad | Erforderliche Berechtigungen | Details | Feature |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Volle Kontrolle | Erweiterung verwandte DLLs und EXE-Dateien. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Volle Kontrolle | Erweiterungseinstellungsdatei. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Volle Kontrolle | Erweiterungsstatusdatei. | Default |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Volle Kontrolle | Erweiterungsprotokolldateien. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Volle Kontrolle | Erweiterungstaktdatei. | Default |
%ProgramFiles%\Sql Server Extension |
Volle Kontrolle | Erweiterungsdienstdateien. | Default |
<SystemDrive>\Windows\system32\extensionUpload |
Volle Kontrolle | Erforderlich zum Schreiben der Verwendungsdatei, die für die Abrechnung erforderlich ist. | Default |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Volle Kontrolle | Ordner vor dem Protokollieren, der mit der Erweiterung erstellt wurde. | Default |
<ProgramData>\AzureConnectedMachineAgent\Config |
Read | Arc config files directory. | Default |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Volle Kontrolle | Erforderlich zum Schreiben von Bewertungsberichten und -status. | Default |
SQL-Protokollverzeichnis (wie in der Registrierung festgelegt) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Read | Erforderlich zum Extrahieren von SQL-vCores-Informationen aus SQL-Protokollen. | Default |
SQL-Sicherungsverzeichnis (wie in der Registrierung festgelegt) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Erforderlich für Sicherungen | Backup |
1 Weitere Informationen finden Sie unter Dateispeicherorte und Registrierungszuordnung.
Registrierungsberechtigungen
Basisschlüssel: HKEY_LOCAL_MACHINE
| Registrierungsschlüssel | Erforderliche Berechtigung | Details | Feature |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Lesen von SQL Server-Eigenschaften wie installedInstances. |
Default |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Volle Kontrolle | Microsoft Entra ID und Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Volle Kontrolle | Erforderlich für Die Microsoft Entra-ID. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Read | Name des SQL Server-Kontos. | Default |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Azure Defender-Status und zeitpunkt der letzten Aktualisierung. | Default |
SOFTWARE\Microsoft\SqlServerExtension |
Volle Kontrolle | Erweiterungsbezogene Werte. | Default |
SOFTWARE\Policies\Microsoft\Windows |
Lesen und Schreiben | Aktivieren der automatischen Windows-Aktualisierung über erweiterung. | Automatische Updates |
Gruppenberechtigungen
NT Service\SQLServerExtension wird hybriden Agent-Erweiterungsanwendungen hinzugefügt. Auf diese Weise kann der Handshake des Azure Instance Metadata Service (IMDS) das vom Computer verwaltete Identitätstoken abrufen, das erforderlich ist, um mit Azure-Datenebenendiensten wie dem Data Processing Service (DPS) und dem Telemetrieendpunkt für die Abrechnungsnutzung, Erweiterungsprotokolle und überwachungsdashboard-Datensammlung zu kommunizieren.
SQL-Berechtigungen
Das NT Service\SQLServerExtension Konto wird hinzugefügt:
- Als SQL-Anmeldung bei allen Instanzen, die derzeit auf dem Computer vorhanden sind
- Als Benutzer in jeder Datenbank
Die Erweiterung gewährt auch Berechtigungen für Instanzen und Datenbankobjekte, da Features aktiviert sind.
Note
Mindestberechtigungen sind von aktivierten Features abhängig. Die Erweiterung aktualisiert Berechtigungen, wenn sie nicht mehr erforderlich sind. Sie gewährt erforderlichen Berechtigungen, wenn Sie Features aktivieren.
NT Service\SQLServerExtension Kontoberechtigungsdetails
| Registrierungspfad | Erlaubnis | Das zugeordnete Risiko für Berechtigungen, wenn das NT Service\SQLServerExtension Konto kompromittiert wird |
|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Die Erweiterung kann sehen, welche SQL Server-Versionen installiert sind. |
SOFTWARE\Microsoft\Microsoft SQL Server\\MSSQLSERVER |
Volle Kontrolle | Nur erforderlich, wenn die Microsoft Entra-Authentifizierung oder Purview aktiviert ist. Die Erweiterung könnte die SQL Server-Konfiguration ändern. |
SOFTWARE\Microsoft\SystemCertificates |
Volle Kontrolle | Nur erforderlich, wenn die Microsoft Entra-Authentifizierung aktiviert ist. Die Erweiterung könnte vertrauenswürdige Stammzertifizierungsstellen ersetzen. |
SYSTEM\CurrentControlSet\Services |
Read | Die Erweiterung kann Dienstkontonamen anzeigen. |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Die Erweiterung kann den Microsoft Defender-Status und die Aktualisierungszeiten erlernen. |
SOFTWARE\Microsoft\SqlServerExtension |
Volle Kontrolle | Die Erweiterung kann die Erweiterungseinstellungen ändern. |
SOFTWARE\Policies\Microsoft\Windows |
Lesen und Schreiben | Nur erforderlich, wenn die automatische Aktualisierung aktiviert ist. Die Erweiterung könnte Windows Update-Richtlinien ändern und Device Guard deaktivieren, wodurch die Codeintegrität und virtualisierungsbasierte Sicherheit gesteuert wird, die erweiterte Gefährdung aufgrund verpasster Patches. |
SQL-Berechtigungen nach Feature
Die folgende Tabelle enthält das Standardverhalten für die Features, die berechtigungen steuern, die von der Azure-Erweiterung für SQL Server gewährt werden:
| Feature | Standardverhalten |
|---|---|
| Standarderweiterungsberechtigungen | Standardmäßig aktiviert |
| Automatisierte Sicherungen | Standardmäßig deaktiviert |
| Verfügbarkeitsgruppen | Standardmäßig aktiviert |
| Bewertung bewährter Methoden | Standardmäßig deaktiviert |
| Migrationsbewertung | Standardmäßig aktiviert |
| Datenbankmigration | Standardmäßig aktiviert |
| Point-in-Time-Wiederherstellung | Standardmäßig deaktiviert |
| Purview | Standardmäßig deaktiviert |
Standarderweiterungsberechtigungen
Die folgenden Standardberechtigungen sind die Mindestanforderung für die grundlegende Funktionalitätsebene, die von der Azure-Erweiterung für SQL Server bereitgestellt wird und angewendet werden muss:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
ALTER ANY SCHEMA |
| Database | msdb |
CREATE TABLE |
| Database | msdb |
CREATE TYPE |
| Database | msdb |
DB DATA READER |
| Database | msdb |
DB DATA WRITER |
| Database | msdb |
EXECUTE |
| Database | msdb |
SELECT dbo.backupfile |
| Database | msdb |
SELECT dbo.backupmediaset |
| Database | msdb |
SELECT dbo.backupmediafamily |
| Database | msdb |
SELECT dbo.backupset |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobactivity |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.syssessions |
| Database | msdb |
SELECT dbo.sysoperators |
| Database | msdb |
SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Automatisierte Sicherungen
Automatische Sicherungen sind standardmäßig deaktiviert. Die Erweiterung gewährt Sicherungsberechtigungen für jede Datenbank, die automatisierte Sicherungen aktiviert hat. Durch aktivieren des Sicherungsfeatures wird auch das Feature für die Point-in-Time-Wiederherstellung aktiviert, sodass auch die Berechtigung zum Erstellen einer Datenbank gewährt wird.
Wenn die Features aktiviert sind, gewährt die Erweiterung automatisch die folgenden Berechtigungen:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Database | Alle Datenbanken | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | master |
DB CREATOR |
Verfügbarkeitsgruppen
Verfügbarkeitsgruppenermittlungs - und Verwaltungsfeatures, wie z. B. Ein Failover, sind standardmäßig aktiviert, sie können jedoch über das AvailabilityGroupDiscovery Featureflaggen deaktiviert werden.
Wenn das Feature aktiviert ist, gewährt die Erweiterung automatisch die folgenden Berechtigungen:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
Best Practices-Bewertung
Die Bewertung der bewährten Methoden ist standardmäßig deaktiviert.
Wenn das Feature aktiviert ist, gewährt die Erweiterung automatisch die folgenden Berechtigungen:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Database | master |
SELECT |
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Datenbankmigration
Das Datenbankmigrationsfeature ist standardmäßig aktiviert und erfordert nur die in den Standarderweiterungsberechtigungen aufgeführten Berechtigungen, obwohl einige Berechtigungen, die vom Datenbankmigrationsfeature verwendet werden, just-in-time-Berechtigungen erteilt werden, wenn eine bestimmte Migrationsaktion ausgeführt wird.
Die folgenden Aktionen erfordern zusätzliche Berechtigungen, die die Erweiterung just-in-time gewährt:
- Erstellen der Verknüpfungsmigration für verwaltete Instanzen
- Vollständige Übernahme der Migration verwalteter Instanzenlinks
- Verknüpfungsmigration für verwaltete Instanzen abbrechen
Note
Benutzer mit den SqlServerAvailabilityGroups_CreateManagedInstanceLinkBerechtigungen SqlServerAvailabilityGroups_failoverMiLinkin SqlServerAvailabilityGroups_deleteMiLink Azure können während des Migrationsprozesses Aktionen auf der Seite "Datenbankmigration " ausführen, die die SQL Server-Berechtigungen des kontos erhöhen, das von der Erweiterung verwendet wird, einschließlich der sysadmin Rolle.
Erstellen der Verknüpfungsmigration für verwaltete Instanzen
Im Schritt "Daten migrieren " gewährt die Erweiterung Just-in-Time-Berechtigungen , wenn Sie " Datenmigration starten" auf der Registerkarte " Überprüfen" und "Erstellen " für eine Verknüpfung mit verwalteten Instanzen auswählen. Das Dienstkonto benötigt erhöhte Berechtigungen, um die verteilte Verfügbarkeitsgruppe zu konfigurieren. Sie widerruft Berechtigungen, sobald die verteilte Verfügbarkeitsgruppe erstellt wurde, und die im Azure-Portal sichtbare Bereitstellung befindet sich im Status "Abgeschlossen". Wenn eine andere Migration gleichzeitig ausgeführt wird, wird die Erweiterung erst berechtigungen widerrufen, wenn die letzte verteilte Verfügbarkeitsgruppe erstellt wird.
Die Aktion zum Erstellen einer Verknüpfung mit verwalteten Instanzen erwirbt die folgenden Berechtigungen für die Dauer der Erstellungsanforderung:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | CREATE ENDPOINT |
|
| Server | ALTER ANY ENDPOINT |
|
| Server | CREATE CERTIFICATE |
|
| Database | master |
IMPERSONATE ON USER::[dbo] |
Vollständige Übernahme der Migration verwalteter Instanzenlinks
Im Monitor- und Übernahmeschritt gewährt die Erweiterung Just-in-Time-Berechtigungen , wenn Sie die Option "Übernahme abschließen " für eine Verknüpfung mit verwalteten Instanzen auswählen. Die Erweiterung widerruft Die Berechtigungen nach Abschluss des Übernahmevorgangs.
Die Aktion zum Abschließen der Übernahme einer Verknüpfung mit verwalteten Instanzen erwirbt die folgenden Berechtigungen für die Dauer der vollständigen Anforderung:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server |
sysadmin
1 |
1 Wenn die geringste Berechtigung aktiviert ist, gewährt die vollständige Übernahmeaktion auch dem sysadminNT Service\SQLServerExtension Konto die Rolle für die Dauer des Übernahmevorgangs. Diese Rolle ist erforderlich, um die verteilte Verfügbarkeitsgruppe für die Übernahme auf die von Azure SQL verwaltete Instanz fehlzuschlagen.
Verknüpfungsmigration für verwaltete Instanzen abbrechen
Im Monitor- und Übernahmeschritt gewährt die Erweiterung Just-in-Time-Berechtigungen , wenn Sie die Option " Migration abbrechen " für eine Verknüpfung mit verwalteten Instanzen auswählen. Die Erweiterung widerruft Berechtigungen, nachdem die Migration abgebrochen wurde.
Die Aktion zum Abbrechen einer Verknüpfung mit verwalteten Instanzen ruft die folgenden Berechtigungen für die Dauer der Kündigungsanforderung ab:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server |
sysadmin
1 |
1 Wenn die geringste Berechtigung aktiviert ist, gewährt die Aktion "Abbrechen" auch dem sysadminNT Service\SQLServerExtension Konto die Rolle für die Dauer der Kündigungsanforderung. Diese Rolle ist beim Löschen einer verteilten Verfügbarkeitsgruppe erforderlich.
Migrationsbewertung
Migrationsbewertungen sind standardmäßig aktiviert.
Wenn das Feature deaktiviert ist, widerruft die Erweiterung die folgenden Berechtigungen, es sei denn, andere aktivierte Features erfordern sie:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Database | Alle Datenbanken | SELECT sys.sqlexpressiondependencies |
| Database | msdb |
EXECUTE dbo.agentdatetime |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.sysmailaccount |
| Database | msdb |
SELECT dbo.sysmailprofile |
| Database | msdb |
SELECT dbo.sysmailprofileaccount |
| Database | msdb |
SELECT dbo.syssubsystems |
Purview
Die Purview-Features sind standardmäßig deaktiviert.
Wenn das Feature aktiviert ist, gewährt die Erweiterung automatisch die folgenden Berechtigungen:
| Objekttyp | Datenbank- oder Objektname | Privilege |
|---|---|---|
| Database | Alle Datenbanken | EXECUTE |
| Database | Alle Datenbanken | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Just-in-Time-SQL-Berechtigungen
Einige SQL-Berechtigungen werden nur zum Zeitpunkt zugewiesen, zu dem sie zum Ausführen einer bestimmten Aktion erforderlich sind, und werden widerrufen, sobald der Vorgang, der die Berechtigungen erfordert, abgeschlossen ist. Wenn die Sperrung nicht ausgeführt werden kann, wird ein Hintergrundbereinigungsauftrag, der alle 50 Minuten ausgeführt wird, automatisch berechtigungen widerrufen, die veraltet sind.
Just-in-Time-Berechtigungen werden dem Dienstkonto zugewiesen:
-
NT Service\SQLServerExtensionwenn die geringste Berechtigung aktiviert ist - Lokales Systemkonto, wenn die geringsten Berechtigungen deaktiviert sind.
Derzeit verwendet das folgende Feature Just-in-Time-Berechtigungen:
- Datenbankmigration bei Verwendung der Migrationsoption "Verwaltete Instanzverknüpfung".
Zusätzliche Berechtigungen
- Berechtigungen für das Dienstkonto für den Zugriff auf den Erweiterungsdienst und konfigurieren Autorecovery.
- Anmelde-as-Service-Rechte für das Dienstkonto.