Mengonfigurasi akun dan izin layanan Windows untuk ekstensi Azure untuk SQL Server
Berlaku untuk: 
SQL Server
Artikel ini mencantumkan izin ekstensi Azure untuk set SQL Server untuk akun tersebut NT Service\SQLServerExtension . Akun ini digunakan saat Anda Mengoperasikan SQL Server yang diaktifkan oleh Azure Arc dengan hak istimewa paling sedikit.
Catatan
Server yang ada dengan ekstensi dari rilis November 2024 atau yang lebih baru akan secara otomatis menerapkan konfigurasi dengan hak istimewa paling sedikit. Aplikasi ini akan terjadi secara bertahap.
Untuk mencegah penerapan otomatis hak istimewa paling sedikit, blokir peningkatan ekstensi ke rilis November 2024.
Mengatur izin untuk akun agen secara manual tidak didukung.
Ekstensi mengatur izin saat Anda mengaktifkan fitur pada portal Azure. Jika Anda tidak mengaktifkan fitur, ekstensi tidak mengatur izin untuk fitur tersebut. Jika Anda menonaktifkan fitur, ekstensi akan menghapus izin.
Izin SQL mencantumkan izin yang terkait dengan fitur yang diberikan ekstensi saat fitur diaktifkan.
Catatan
NT Authority\System harus memiliki akses untuk mengubah izin pada direktori dan kunci registri yang tercantum. Ini diperlukan sehingga dapat memberikan akses yang NT Authority\System diperlukan untuk NT Service\SqlServerExtension memperhitungkan mode hak istimewa paling sedikit.
Izin direktori
| Jalur direktori | Izin yang diperlukan | Detail | Fitur |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Kontrol penuh | Dll terkait ekstensi dan file exe. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Kontrol penuh | File pengaturan ekstensi. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Kontrol penuh | File status ekstensi. | Default |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Kontrol penuh | File log ekstensi. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Kontrol penuh | File heartbeat ekstensi. | Default |
%ProgramFiles%\Sql Server Extension |
Kontrol penuh | File layanan ekstensi. | Default |
<SystemDrive>\Windows\system32\extensionUpload |
Kontrol penuh | Diperlukan untuk menulis file penggunaan yang diperlukan untuk penagihan. | Default |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Kontrol penuh | Folder pra-log dibuat oleh ekstensi. | Default |
<ProgramData>\AzureConnectedMachineAgent\Config |
Read | Direktori file konfigurasi Arc. | Default |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Kontrol penuh | Diperlukan untuk menulis laporan penilaian dan status. | Default |
Direktori log SQL (sebagaimana diatur dalam registri) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Read | Diperlukan untuk mengekstrak info SQL vCores dari log SQL. | Default |
Direktori cadangan SQL (sebagaimana diatur dalam registri) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Diperlukan untuk Pencadangan | Cadangan |
1 Untuk informasi selengkapnya, lihat Lokasi File dan Pemetaan Registri.
Izin registri
Kunci dasar: HKEY_LOCAL_MACHINE
| Kunci Registri | Izin diperlukan | Detail | Fitur |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Baca properti SQL Server seperti installedInstances. |
Default |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Kontrol penuh | ID Microsoft Entra dan Purview. | Microsoft Entra ID Bidang |
SOFTWARE\Microsoft\SystemCertificates |
Kontrol penuh | Diperlukan untuk ID Microsoft Entra. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Read | Nama akun SQL Server. | Default |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Status Azure Defender dan waktu pembaruan terakhir. | Default |
SOFTWARE\Microsoft\SqlServerExtension |
Kontrol penuh | Nilai terkait ekstensi. | Default |
SOFTWARE\Policies\Microsoft\Windows |
Baca dan Tulis | Mengaktifkan pembaruan windows otomatis melalui ekstensi. | Pembaruan otomatis |
Izin grup
NT Service\SQLServerExtension ditambahkan ke aplikasi ekstensi agen Hibrid. Mendukung Handshake Azure Instance Metadata Service (IMDS).
Izin SQL
NT Service\SQLServerExtension ditambahkan:
- Sebagai login SQL ke semua instans yang ada saat ini di komputer
- Sebagai pengguna di setiap database
Ekstensi ini juga memberikan izin ke objek instans dan database saat fitur diaktifkan. Tabel di bawah ini menyediakan detail.
| Fitur | Izin | Tingkat | Persyaratan |
|---|---|---|---|
| Default | VIEW DATABASE STATE |
Tingkat server | Penting |
VIEW SERVER STATE |
Tingkat server | Penting | |
CONNECT SQL |
Tingkat server | Penting | |
| Database sebagai sumber daya | Peran publik default | Tingkat server (Ini diberikan secara default ke login yang baru ditambahkan) | Penting |
| Penilaian praktik terbaik | VIEW ANY DEFINITION |
Tingkat server | Dependen fitur |
VIEW ANY DATABASE |
Tingkat server | Dependen fitur | |
SELECT |
master |
Dependen fitur | |
SELECT |
msdb |
Dependen fitur | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Dependen fitur | |
EXECUTE ON sys.xp_readerrorlog |
master |
Dependen fitur | |
| Cadangan | CREATE ANY DATABASE |
Tingkat server | Dependen fitur |
| peran db_backupoperator | Semua database | Dependen fitur | |
| dbcreator | Peran server | Dependen fitur | |
| Sarana Kontrol Azure | CREATE TABLE |
msdb |
Penting |
ALTER ANY SCHEMA |
msdb |
Penting | |
CREATE TYPE |
msdb |
Penting | |
EXECUTE |
msdb |
Penting | |
| peran db_datawriter | msdb |
Dependen fitur | |
| peran db_datareader | msdb |
Dependen fitur | |
| Penemuan grup ketersediaan | VIEW ANY DEFINITION |
Tingkat server | Penting |
| Lingkup | SELECT |
Semua database | Dependen fitur |
EXECUTE |
Semua database | Dependen fitur | |
CONNECT ANY DATABASE |
Tingkat server | Dependen fitur | |
VIEW ANY DATABASE |
Tingkat server | Dependen fitur | |
| Pemantauan | SELECT dbo.sysjobactivity |
msdb |
Penting |
SELECT dbo.sysjobs |
msdb |
Penting | |
SELECT dbo.syssessions |
msdb |
Penting | |
SELECT dbo.sysjobHistory |
msdb |
Penting | |
SELECT dbo.sysjobSteps |
msdb |
Penting | |
SELECT dbo.syscategories |
msdb |
Penting | |
SELECT dbo.sysoperators |
msdb |
Penting | |
SELECT dbo.suspectpages |
msdb |
Penting | |
SELECT dbo.backupset |
msdb |
Penting | |
SELECT dbo.backupmediaset |
msdb |
Penting | |
SELECT dbo.backupmediafamily |
msdb |
Penting | |
SELECT dbo.backupfile |
msdb |
Penting | |
CONNECT ANY DATABASE |
Tingkat server | Penting | |
VIEW ANY DATABASE |
Tingkat server | Penting | |
VIEW ANY DEFINITION |
Tingkat server | Penting | |
| Penilaian Migrasi | EXECUTE dbo.agent_datetime |
msdb |
Penting |
SELECT dbo.syscategories |
msdb |
Penting | |
SELECT dbo.sysjobHistory |
msdb |
Penting | |
SELECT dbo.sysjobs |
msdb |
Penting | |
SELECT dbo.sysjobSteps |
msdb |
Penting | |
SELECT dbo.sysmail_account |
msdb |
Penting | |
SELECT dbo.sysmail_profile |
msdb |
Penting | |
SELECT dbo.sysmail_profileaccount |
msdb |
Penting | |
SELECT dbo.syssubsystems |
msdb |
Penting | |
SELECT sys.sql_expression_dependencies |
Semua database | Penting |
Catatan
Izin minimum bergantung pada fitur yang diaktifkan. Izin diperbarui ketika tidak lagi diperlukan. Izin yang diperlukan diberikan saat fitur diaktifkan.
Izin tambahan
- Izin ke akun layanan untuk mengakses layanan ekstensi dan mengonfigurasi pemulihan otomatis.
- Hak masuk sebagai layanan ke akun layanan.