Configuración de cuentas y permisos de servicio de Windows para la extensión de Azure para SQL Server
Se aplica a: SQL Server
En este artículo se enumeran los permisos de extensión de Azure para los conjuntos de SQL Server para la NT Service\SQLServerExtension
cuenta. Esta cuenta se usa al operar CON SQL Server habilitado por Azure Arc con privilegios mínimos.
Nota:
Los servidores existentes con la extensión de la versión de noviembre de 2024 o posterior tendrán aplicada automáticamente la configuración de privilegios mínimos. Esta aplicación se realizará gradualmente.
Para evitar la aplicación automática de privilegios mínimos, bloquee las actualizaciones de extensión a la versión de noviembre de 2024.
No se admite la configuración manual de los permisos de la cuenta del agente.
La extensión establece permisos al habilitar características en Azure Portal. Si no habilita una característica, la extensión no establece los permisos para esa característica. Si deshabilita una característica, la extensión quita los permisos.
Los permisos de SQL enumeran los permisos asociados a las características que concede la extensión cuando se habilitan las características.
Nota:
NT Authority\System
debe tener acceso para modificar permisos en directorios enumerados y claves del Registro. Esto es necesario para que NT Authority\System
pueda conceder acceso necesario para NT Service\SqlServerExtension
tener en cuenta el modo de privilegios mínimos.
Permisos del directorio
Ruta de acceso del directorio | Permisos necesarios | Detalles | Característica |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Control total | Archivos DLL y exe relacionados con la extensión. | Valor predeterminado |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Control total | Archivo de configuración de extensión. | Valor predeterminado |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Control total | Archivo de estado de extensión. | Valor predeterminado |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Control total | Archivos de registro de extensión. | Valor predeterminado |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Control total | Archivo de latido de extensión. | Valor predeterminado |
%ProgramFiles%\Sql Server Extension |
Control total | Archivos de servicio de extensión. | Valor predeterminado |
<SystemDrive>\Windows\system32\extensionUpload |
Control total | Necesario para escribir el archivo de uso necesario para la facturación. | Valor predeterminado |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Control total | Carpeta anterior al registro creada por extensión. | Valor predeterminado |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lectura | Directorio de archivos de configuración de Arc. | Valor predeterminado |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Control total | Necesario para escribir informes de evaluación y estado. | Valor predeterminado |
Directorio de registro de SQL (como se establece en el Registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lectura | Necesario para extraer información de núcleos virtuales de SQL de los registros de SQL. | Valor predeterminado |
Directorio de copia de seguridad de SQL (como se establece en el Registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Necesario para las copias de seguridad | Backup |
1 Para obtener más información, vea Ubicaciones de archivos y asignación del Registro.
Permisos del Registro
Clave base: HKEY_LOCAL_MACHINE
Clave del Registro | Permiso necesario | Detalles | Característica |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lectura | Lea las propiedades de SQL Server como installedInstances . |
Valor predeterminado |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Control total | Microsoft Entra ID y Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Control total | Se requiere para el identificador de Entra de Microsoft. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lectura | Nombre de la cuenta de SQL Server. | Valor predeterminado |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lectura | Estado de Azure Defender y hora de última actualización. | Valor predeterminado |
SOFTWARE\Microsoft\SqlServerExtension |
Control total | Valores relacionados con la extensión. | Valor predeterminado |
SOFTWARE\Policies\Microsoft\Windows |
Lectura y escritura | Habilitación de la actualización automática de Windows a través de la extensión. | Actualizaciones automáticas |
Permisos de grupo
NT Service\SQLServerExtension
se agrega a las aplicaciones de extensión del agente híbrido. Admite el protocolo de enlace de Azure Instance Metadata Service (IMDS).
Permisos de SQL
NT Service\SQLServerExtension
se agrega:
- Como inicio de sesión de SQL en todas las instancias presentes actualmente en la máquina
- Como usuario de cada base de datos
La extensión también concede permisos a los objetos de instancia y de base de datos a medida que se habilitan las características. En la tabla siguiente se proporcionan detalles.
Característica | Permiso | Nivel | Requisito |
---|---|---|---|
Valor predeterminado | VIEW DATABASE STATE |
Nivel de servidor | Essential |
VIEW SERVER STATE |
Nivel de servidor | Essential | |
CONNECT SQL |
Nivel de servidor | Essential | |
Base de datos como recurso | Rol público predeterminado | Nivel de servidor (se concede de forma predeterminada a inicios de sesión recién agregados) | Essential |
Valoración de procedimientos recomendados | VIEW ANY DEFINITION |
Nivel de servidor | Dependiente de la característica |
VIEW ANY DATABASE |
Nivel de servidor | Dependiente de la característica | |
SELECT |
master |
Dependiente de la característica | |
SELECT |
msdb |
Dependiente de la característica | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Dependiente de la característica | |
EXECUTE ON sys.xp_readerrorlog |
master |
Dependiente de la característica | |
Backup | CREATE ANY DATABASE |
Nivel de servidor | Dependiente de la característica |
rol de db_backupoperator | Todas las bases de datos | Dependiente de la característica | |
dbcreator | Rol del servidor | Dependiente de la característica | |
Plano de control de Azure | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
rol de db_datawriter | msdb |
Dependiente de la característica | |
rol de db_datareader | msdb |
Dependiente de la característica | |
Detección de grupos de disponibilidad | VIEW ANY DEFINITION |
Nivel de servidor | Essential |
Purview | SELECT |
Todas las bases de datos | Dependiente de la característica |
EXECUTE |
Todas las bases de datos | Dependiente de la característica | |
CONNECT ANY DATABASE |
Nivel de servidor | Dependiente de la característica | |
VIEW ANY DATABASE |
Nivel de servidor | Dependiente de la característica | |
Supervisión | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Nivel de servidor | Essential | |
VIEW ANY DATABASE |
Nivel de servidor | Essential | |
VIEW ANY DEFINITION |
Nivel de servidor | Essential | |
Evaluación de la migración | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Todas las bases de datos | Essential |
Nota:
Los permisos mínimos dependen de las características habilitadas. Los permisos se actualizan cuando ya no son necesarios. Se conceden permisos necesarios cuando se habilitan las características.
Permisos adicionales
- Permisos para la cuenta de servicio para acceder al servicio de extensión y configurar la conmutación automática.
- Derechos de inicio de sesión como servicio para la cuenta de servicio.