Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Applica a:
SQL Server
Questo articolo elenca i ruoli del server e del database e i mapping creati dall'installazione dell'estensione Azure per SQL Server.
Ruoli
Quando si installa Azure Estensione per SQL Server in modalità senza privilegi minimi, l'installazione:
- Crea un ruolo a livello di server:
SQLArcExtensionServerRole - Crea un ruolo a livello di database:
SQLArcExtensionUserRole - Aggiunge l'account
NT AUTHORITY\SYSTEMa ogni ruolo - Esegue
NT AUTHORITY\SYSTEMil mapping a livello di database per ogni database - Concede autorizzazioni minime per le caratteristiche abilitate
In alternativa, è possibile configurare SQL Server abilitato da Azure Arc per l'esecuzione in modalità con privilegi minimi. Per altre informazioni, vedere Operate SQL Server abilitato da Azure Arc con privilegi minimi.
Inoltre, Azure l'estensione per SQL Server revoca le autorizzazioni per questi ruoli quando non sono più necessarie per funzionalità specifiche.
Nota
Le azioni descritte in precedenza richiedono che Deployer si connetta a SQL Server come NT AUTHORITY\SYSTEM. Se l'account di accesso NT AUTHORITY\SYSTEM viene rimosso, disabilitato o negato CONNECT SQL, deployer non può eseguire alcuna di queste azioni e l'estensione Azure per SQL Server non riesce a eseguire il provisioning. Vedere Prerequisiti per i passaggi per verificare e ripristinare questo account di accesso.
SqlServerExtensionPermissionProvider è un'attività di Windows. Esegue Deployer.exe per concedere o revocare privilegi in SQL Server quando rileva:
- Nell'host è installata una nuova istanza di SQL Server
- Un'istanza di SQL Server viene disinstallata dall'host
- Una funzionalità a livello di istanza è abilitata o disabilitata oppure le impostazioni vengono aggiornate
- Il servizio di estensione viene riavviato
- Le autorizzazioni JIT (Just-In-Time) sono abilitate o disabilitate
Nota
Prima della versione di luglio 2024, SqlServerExtensionPermissionProvider era un'attività pianificata che veniva eseguita ogni ora.
Per informazioni dettagliate, vedere Configurare gli account del servizio Windows e le autorizzazioni per l'estensione Azure per SQL Server.
Se si disinstalla Azure'estensione per SQL Server, i ruoli a livello di server e di database vengono rimossi.
Autorizzazioni
| Funzionalità | Autorizzazione | Livello | Ruolo |
|---|---|---|---|
| Predefiniti | VIEW SERVER STATE |
Livello server | SQLArcExtensionServerRole |
CONNECT SQL |
Livello server | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Livello server | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Livello server | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Livello server | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE |
Livello server | SQLArcExtensionServerRole |
| db_backupoperator - ruolo | Tutti i database | SQLArcExtensionUserRole | |
| dbcreator | Livello server | SQLArcExtensionServerRole | |
| piano di controllo Azure | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter - ruolo | msdb |
SQLArcExtensionUserRole | |
| db_datareader - ruolo | msdb |
SQLArcExtensionUserRole | |
| Individuazione gruppo di disponibilità | VIEW ANY DEFINITION |
Livello server | SQLArcExtensionServerRole |
| Failover del gruppo di disponibilità | ALTER ANY AVAILABILITY GROUP |
Livello server | SQLArcExtensionServerRole |
| Purview | SELECT |
Tutti i database | SQLArcExtensionUserRole |
EXECUTE |
Tutti i database | SQLArcExtensionUserRole | |
| Valutazione della migrazione | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Tutti i database | SQLArcExtensionUserRole |
Esecuzione con privilegi minimi
Per eseguire Azure'estensione per SQL Server con privilegi minimi, seguire le istruzioni riportate in Operate SQL Server abilitate da Azure Arc con privilegi minimi.
Al momento, la configurazione dei privilegi minimi non è l'impostazione predefinita.