Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server
Dit artikel bevat de server- en databasefuncties en -toewijzingen die de installatie van Azure-extensie voor SQL Server maakt.
Rollen
Wanneer u Azure-extensie installeert voor SQL Server in de modus met niet-minimale bevoegdheden, wordt de installatie uitgevoerd:
- Hiermee maakt u een rol op serverniveau:
SQLArcExtensionServerRole - Hiermee maakt u een rol op databaseniveau:
SQLArcExtensionUserRole -
NT AUTHORITY\SYSTEMHet account aan elke rol toevoegen - Kaarten
NT AUTHORITY\SYSTEMop databaseniveau voor elke database - Verleent minimale machtigingen voor de ingeschakelde functies
U kunt ook SQL Server configureren die is ingeschakeld door Azure Arc om in de modus met minimale bevoegdheden uit te voeren. Zie Operate SQL Server enabled by Azure Arc with least privilege voor meer informatie.
Bovendien trekt Azure extensie voor SQL Server machtigingen voor deze rollen in wanneer ze niet meer nodig zijn voor specifieke functies.
Notitie
Voor de eerder beschreven acties moet de deployer verbinding maken met SQL Server als NT AUTHORITY\SYSTEM. Als de NT AUTHORITY\SYSTEM aanmelding wordt verwijderd, uitgeschakeld of geweigerd CONNECT SQL machtiging, kan de deployer geen van deze acties uitvoeren en kan de Azure-extensie voor SQL Server niet worden ingericht. Zie Vereisten voor stappen voor het verifiëren en herstellen van deze aanmelding.
SqlServerExtensionPermissionProvider is een Windows taak. Het voert Deployer.exe uit om bevoegdheden in SQL Server toe te kennen of in te trekken wanneer deze detecteert:
- Er wordt een nieuw SQL Server-exemplaar op de host geïnstalleerd
- Een SQL Server exemplaar wordt verwijderd van de host
- Een functie op exemplaarniveau is ingeschakeld of uitgeschakeld, of instellingen worden bijgewerkt
- De extensieservice wordt opnieuw gestart
- JIT-machtigingen (Just-In-Time) zijn ingeschakeld of uitgeschakeld
Notitie
Vóór de release SqlServerExtensionPermissionProvider van juli 2024 was een geplande taak die elk uur werd uitgevoerd.
Raadpleeg Configure Windows serviceaccounts en -machtigingen voor Azure-extensie voor SQL Server voor meer informatie.
Als u Azure extensie voor SQL Server verwijdert, worden de functies op server- en databaseniveau verwijderd.
Machtigingen
| Gelaatstrek | Toestemming | Niveau | Rol |
|---|---|---|---|
| Verstek | VIEW SERVER STATE |
Serverniveau | SQLArcExtensionServerRole |
CONNECT SQL |
Serverniveau | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Serverniveau | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Serverniveau | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Serverniveau | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE |
Serverniveau | SQLArcExtensionServerRole |
| db_backupoperator rol | Alle databases | SQLArcExtensionUserRole | |
| dbcreator | Serverniveau | SQLArcExtensionServerRole | |
| Azure besturingsvlak | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter rol | msdb |
SQLArcExtensionUserRole | |
| db_datareader rol | msdb |
SQLArcExtensionUserRole | |
| Detectie van beschikbaarheidsgroepen | VIEW ANY DEFINITION |
Serverniveau | SQLArcExtensionServerRole |
| Failover van beschikbaarheidsgroep | ALTER ANY AVAILABILITY GROUP |
Serverniveau | SQLArcExtensionServerRole |
| Purview | SELECT |
Alle databases | SQLArcExtensionUserRole |
EXECUTE |
Alle databases | SQLArcExtensionUserRole | |
| Migratie-evaluatie | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Alle databases | SQLArcExtensionUserRole |
Uitvoeren met minimale bevoegdheden
Als u Azure-extensie wilt uitvoeren voor SQL Server met minimale bevoegdheden, volgt u de instructies op Operate SQL Server ingeschakeld door Azure Arc met minimale bevoegdheden.
Op dit moment is de configuratie met minimale bevoegdheden niet de standaardinstelling.