Compartir a través de


Configuración de cuentas y permisos de servicio de Windows para la extensión de Azure para SQL Server

Se aplica a: SQL Server

En este artículo se enumeran los permisos de extensión de Azure para los conjuntos de SQL Server para la NT Service\SQLServerExtension cuenta. Esta cuenta se usa al operar CON SQL Server habilitado por Azure Arc con privilegios mínimos.

Nota:

Los servidores existentes con la extensión de la versión de noviembre de 2024 o posterior tendrán aplicada automáticamente la configuración de privilegios mínimos. Esta aplicación se realizará gradualmente.

Para evitar la aplicación automática de privilegios mínimos, bloquee las actualizaciones de extensión a la versión de noviembre de 2024.

No se admite la configuración manual de los permisos de la cuenta del agente.

La extensión establece permisos al habilitar características en Azure Portal. Si no habilita una característica, la extensión no establece los permisos para esa característica. Si deshabilita una característica, la extensión quita los permisos.

Los permisos de SQL enumeran los permisos asociados a las características que concede la extensión cuando se habilitan las características.

Nota:

NT Authority\System debe tener acceso para modificar permisos en directorios enumerados y claves del Registro. Esto es necesario para que NT Authority\System pueda conceder acceso necesario para NT Service\SqlServerExtension tener en cuenta el modo de privilegios mínimos.

Permisos del directorio

Ruta de acceso del directorio Permisos necesarios Detalles Característica
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer Control total Archivos DLL y exe relacionados con la extensión. Valor predeterminado
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings Control total Archivo de configuración de extensión. Valor predeterminado
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status Control total Archivo de estado de extensión. Valor predeterminado
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer Control total Archivos de registro de extensión. Valor predeterminado
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json Control total Archivo de latido de extensión. Valor predeterminado
%ProgramFiles%\Sql Server Extension Control total Archivos de servicio de extensión. Valor predeterminado
<SystemDrive>\Windows\system32\extensionUpload Control total Necesario para escribir el archivo de uso necesario para la facturación. Valor predeterminado
<SystemDrive>\Windows\system32\ExtensionHandler.log Control total Carpeta anterior al registro creada por extensión. Valor predeterminado
<ProgramData>\AzureConnectedMachineAgent\Config Lectura Directorio de archivos de configuración de Arc. Valor predeterminado
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent Control total Necesario para escribir informes de evaluación y estado. Valor predeterminado
Directorio de registro de SQL (como se establece en el Registro) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log
Lectura Necesario para extraer información de núcleos virtuales de SQL de los registros de SQL. Valor predeterminado
Directorio de copia de seguridad de SQL (como se establece en el Registro) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup
ReadAndExecute/Write /Delete Necesario para las copias de seguridad Backup

1 Para obtener más información, vea Ubicaciones de archivos y asignación del Registro.

Permisos del Registro

Clave base: HKEY_LOCAL_MACHINE

Clave del Registro Permiso necesario Detalles Característica
SOFTWARE\Microsoft\Microsoft SQL Server Lectura Lea las propiedades de SQL Server como installedInstances. Valor predeterminado
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER Control total Microsoft Entra ID y Purview. Microsoft Entra ID

Purview
SOFTWARE\Microsoft\SystemCertificates Control total Se requiere para el identificador de Entra de Microsoft. Microsoft Entra ID
SYSTEM\CurrentControlSet\Services Lectura Nombre de la cuenta de SQL Server. Valor predeterminado
SOFTWARE\Microsoft\AzureDefender\SQL Lectura Estado de Azure Defender y hora de última actualización. Valor predeterminado
SOFTWARE\Microsoft\SqlServerExtension Control total Valores relacionados con la extensión. Valor predeterminado
SOFTWARE\Policies\Microsoft\Windows Lectura y escritura Habilitación de la actualización automática de Windows a través de la extensión. Actualizaciones automáticas

Permisos de grupo

NT Service\SQLServerExtension se agrega a las aplicaciones de extensión del agente híbrido. Admite el protocolo de enlace de Azure Instance Metadata Service (IMDS).

Permisos de SQL

NT Service\SQLServerExtension se agrega:

  • Como inicio de sesión de SQL en todas las instancias presentes actualmente en la máquina
  • Como usuario de cada base de datos

La extensión también concede permisos a los objetos de instancia y de base de datos a medida que se habilitan las características. En la tabla siguiente se proporcionan detalles.

Característica Permiso Nivel Requisito
Valor predeterminado VIEW DATABASE STATE Nivel de servidor Essential
VIEW SERVER STATE Nivel de servidor Essential
CONNECT SQL Nivel de servidor Essential
Base de datos como recurso Rol público predeterminado Nivel de servidor (se concede de forma predeterminada a inicios de sesión recién agregados) Essential
Valoración de procedimientos recomendados VIEW ANY DEFINITION Nivel de servidor Dependiente de la característica
VIEW ANY DATABASE Nivel de servidor Dependiente de la característica
SELECT master Dependiente de la característica
SELECT msdb Dependiente de la característica
EXECUTE ON sys.xp_enumerrorlogs master Dependiente de la característica
EXECUTE ON sys.xp_readerrorlog master Dependiente de la característica
Backup CREATE ANY DATABASE Nivel de servidor Dependiente de la característica
rol de db_backupoperator Todas las bases de datos Dependiente de la característica
dbcreator Rol del servidor Dependiente de la característica
Plano de control de Azure CREATE TABLE msdb Essential
ALTER ANY SCHEMA msdb Essential
CREATE TYPE msdb Essential
EXECUTE msdb Essential
rol de db_datawriter msdb Dependiente de la característica
rol de db_datareader msdb Dependiente de la característica
Detección de grupos de disponibilidad VIEW ANY DEFINITION Nivel de servidor Essential
Purview SELECT Todas las bases de datos Dependiente de la característica
EXECUTE Todas las bases de datos Dependiente de la característica
CONNECT ANY DATABASE Nivel de servidor Dependiente de la característica
VIEW ANY DATABASE Nivel de servidor Dependiente de la característica
Supervisión SELECT dbo.sysjobactivity msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.syssessions msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysoperators msdb Essential
SELECT dbo.suspectpages msdb Essential
SELECT dbo.backupset msdb Essential
SELECT dbo.backupmediaset msdb Essential
SELECT dbo.backupmediafamily msdb Essential
SELECT dbo.backupfile msdb Essential
CONNECT ANY DATABASE Nivel de servidor Essential
VIEW ANY DATABASE Nivel de servidor Essential
VIEW ANY DEFINITION Nivel de servidor Essential
Evaluación de la migración EXECUTE dbo.agent_datetime msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.sysmail_account msdb Essential
SELECT dbo.sysmail_profile msdb Essential
SELECT dbo.sysmail_profileaccount msdb Essential
SELECT dbo.syssubsystems msdb Essential
SELECT sys.sql_expression_dependencies Todas las bases de datos Essential

Nota:

Los permisos mínimos dependen de las características habilitadas. Los permisos se actualizan cuando ya no son necesarios. Se conceden permisos necesarios cuando se habilitan las características.

Permisos adicionales

  • Permisos para la cuenta de servicio para acceder al servicio de extensión y configurar la conmutación automática.
  • Derechos de inicio de sesión como servicio para la cuenta de servicio.