Configurare gli account del servizio Windows e le autorizzazioni per l'estensione di Azure per SQL Server
Si applica a:SQL Server
Questo articolo elenca le autorizzazioni impostate dall'estensione Azure per SQL Server per l'account NT Service\SQLServerExtension
. Questo account viene usato quando si usa SQL Server abilitato da Azure Arc con privilegi minimi (anteprima).This account is used when you Operate SQL Server enabled by Azure Arc with least privilege (preview).
Nota
Se l'estensione di Azure è la versione 1.1.2594.118
(versione di febbraio 2024) o successiva, la modalità, la modalità di minimo privilegio sarà automaticamente abilitata nei prossimi mesi.
L'impostazione manuale delle autorizzazioni per l'account agente non è supportata.
L'estensione imposta le autorizzazioni quando si abilitano le funzionalità nel portale di Azure. Se non si abilita una funzionalità, l'estensione non imposta le autorizzazioni per tale funzionalità. Se si disabilita una funzionalità, l'estensione rimuove le autorizzazioni.
Le autorizzazioni SQL elencano le autorizzazioni associate alle funzionalità concesse dall'estensione quando le funzionalità sono abilitate.
Autorizzazioni della directory
Percorso directory | Autorizzazioni necessarie | Dettagli | Funzionalità |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Controllo completo | Estensione dll e file exe correlati. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Controllo completo | File delle impostazioni di estensione. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Controllo completo | File di stato dell'estensione. | Default |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Controllo completo | File di log di estensione. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Controllo completo | File heartbeat di estensione. | Default |
%ProgramFiles%\Sql Server Extension |
Controllo completo | File del servizio di estensione. | Default |
<SystemDrive>\Windows\system32\extensionUpload |
Controllo completo | Obbligatorio per scrivere il file di utilizzo necessario per la fatturazione. | Default |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Controllo completo | Cartella di pre-log creata dall'estensione. | Default |
<ProgramData>\AzureConnectedMachineAgent\Config |
Lettura | Directory dei file di configurazione arc. | Default |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Controllo completo | Obbligatorio per scrivere report e stato di valutazione. | Default |
Directory di log SQL (come impostato nel Registro di sistema) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Lettura | Obbligatorio per estrarre le informazioni di SQL vCore dai log SQL. | Default |
Directory di backup SQL (come impostato nel Registro di sistema) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Obbligatorio per i backup | Backup |
1 Per altre informazioni, vedere Percorsi dei file e Mapping del Registro di sistema.
Autorizzazioni del Registro di sistema
Chiave di base: HKEY_LOCAL_MACHINE
Chiave del Registro di sistema | È necessaria l'autorizzazione | Dettagli | Funzionalità |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Lettura | Leggere le proprietà di SQL Server, ad esempio installedInstances . |
Default |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Controllo completo | Microsoft Entra ID e Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Controllo completo | Obbligatorio per Microsoft Entra ID. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Lettura | Nome dell'account di SQL Server. | Default |
SOFTWARE\Microsoft\AzureDefender\SQL |
Lettura | Stato di Azure Defender e ora dell'ultimo aggiornamento. | Default |
SOFTWARE\Microsoft\SqlServerExtension |
Controllo completo | Valori correlati all'estensione. | Default |
SOFTWARE\Policies\Microsoft\Windows |
Lettura e scrittura | Abilitazione dell'aggiornamento automatico di Windows tramite estensione. | Aggiornamenti automatici |
Autorizzazioni di gruppo
NT Service\SQLServerExtension
viene aggiunto alle applicazioni di estensione dell'agente ibrido. Supporta l'handshake IMDS (Azure Instance Metadata Service).
Autorizzazioni SQL
NT Service\SQLServerExtension
viene aggiunto:
- Come account di accesso SQL a tutte le istanze attualmente presenti nel computer
- Come utente in ogni database
L'estensione concede anche le autorizzazioni per gli oggetti di istanza e di database quando sono abilitate le funzionalità. La tabella seguente fornisce informazioni dettagliate.
Funzionalità | Autorizzazione | Level | Requisito |
---|---|---|---|
Predefinita | VIEW DATABASE STATE |
Livello del server | Essential |
VIEW SERVER STATE |
Livello del server | Essential | |
CONNECT SQL |
Livello del server | Essential | |
Database come risorsa | Ruolo pubblico predefinito | Livello server (concesso per impostazione predefinita agli account di accesso appena aggiunti) | Essential |
Valutazione delle procedure consigliate | VIEW ANY DEFINITION |
Livello del server | Dipendente dalla funzionalità |
VIEW ANY DATABASE |
Livello del server | Dipendente dalla funzionalità | |
SELECT |
master |
Dipendente dalla funzionalità | |
SELECT |
msdb |
Dipendente dalla funzionalità | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Dipendente dalla funzionalità | |
EXECUTE ON sys.xp_readerrorlog |
master |
Dipendente dalla funzionalità | |
Backup | CREATE ANY DATABASE |
Livello del server | Dipendente dalla funzionalità |
ruolo db_backupoperator | Tutti i database | Dipendente dalla funzionalità | |
dbcreator | Ruolo server | Dipendente dalla funzionalità | |
Piano di controllo di Azure | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
ruolo db_datawriter | msdb |
Dipendente dalla funzionalità | |
ruolo db_datareader | msdb |
Dipendente dalla funzionalità | |
Individuazione del gruppo di disponibilità | VIEW ANY DEFINITION |
Livello del server | Essential |
Competenza | SELECT |
Tutti i database | Dipendente dalla funzionalità |
EXECUTE |
Tutti i database | Dipendente dalla funzionalità | |
CONNECT ANY DATABASE |
Livello del server | Dipendente dalla funzionalità | |
VIEW ANY DATABASE |
Livello del server | Dipendente dalla funzionalità | |
Monitoraggio | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Livello del server | Essential | |
VIEW ANY DATABASE |
Livello del server | Essential | |
VIEW ANY DEFINITION |
Livello del server | Essential | |
Valutazione della migrazione | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Tutti i database | Essential |
Nota
Le autorizzazioni minime dipendono dalle funzionalità abilitate. Le autorizzazioni vengono aggiornate quando non sono più necessarie. Le autorizzazioni necessarie vengono concesse quando le funzionalità sono abilitate.
Autorizzazioni aggiuntive
- Autorizzazioni per l'account del servizio per accedere al servizio di estensione e configurare la funzionalità di salvataggio automatico.
- Diritti di accesso come servizio per l'account del servizio.
Contenuto correlato
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per