Provisionar contas personalizadas com privilégios mínimos para Descoberta e Avaliação SQL
Este artigo descreve como criar uma conta personalizada com permissões mínimas para descoberta e avaliação.
Em preparação para a descoberta, o dispositivo Azure Migrate precisa ser configurado com as contas para estabelecer conexões com as instâncias do SQL Server. Se você preferir evitar o uso de contas com privilégios sysadmin, uma conta personalizada com um conjunto mínimo de permissões necessárias para obter os metadados necessários para descoberta e avaliação poderá ser criada. Adicione essa conta personalizada na configuração do Appliance para Descoberta e Avaliação do SQL. O utilitário de provisionamento de conta com menos privilégios pode ajudar a provisionar essas contas personalizadas.
Pré-requisitos
Um CSV preparado com a lista de instâncias do SQL Server. Verifique se todos os SQL Servers listados têm o protocolo TCP/IP habilitado.
Contas com permissões sysadmin em todas as instâncias do SQL Server listadas no CSV.
Observação
- A conta de nível de administrador é usada apenas para provisionar a conta menos privilegiada. Depois que a conta menos privilegiada for criada, forneça-a na configuração do Appliance para a descoberta e avaliação reais.
- Se várias contas de nível de administrador forem necessárias, use o mesmo arquivo CSV para executar o utilitário novamente com a próxima credencial de nível de administrador. As instâncias que já foram atualizadas com êxito são ignoradas. Repita isso com credenciais de nível de administrador diferentes até que todas as instâncias SQL tenham o campo Status definido como Êxito.
Preparar a lista de instâncias do SQL Server
O utilitário requer a lista de instâncias do SQL Server criada como um CSV com as seguintes colunas na ordem declarada:
- FqdnOrIpAddress (Obrigatório): esse campo deve conter o Nome de Domínio Totalmente Qualificado (ou, opcionalmente, o Endereço IP para autenticação do SQL Server) do servidor em que a instância do SQL Server está sendo executada.
- InstanceName (Obrigatório): Esse campo deve conter o nome da instância para uma instância nomeada ou MSSQLSERVER para uma instância padrão.
- Porta (Obrigatória): a porta na qual o SQL Server está escutando.
- Status (Opcional/Saída): Este campo pode ser deixado em branco inicialmente. Qualquer valor aqui diferente de Êxito permite que o utilitário tente provisionar a conta menos privilegiada na instância correspondente. O sucesso ou falha é então atualizado neste campo no final da execução.
- ErrorSummary (Opcional/Saída): Deixe em branco. O utilitário atualiza esse campo com um resumo dos erros (se houver) encontrados durante o provisionamento da conta menos privilegiada.
- ErrorGuidance (Opcional/Saída): Deixe em branco. O utilitário atualiza esse campo com mensagens de erro detalhadas (se houver) encontradas durante o provisionamento da conta menos privilegiada.
Provisionar as contas personalizadas
- Abra um prompt de comando e navegue até a pasta %ProgramFiles%\Microsoft Azure Appliance Configuration Manager\Tools\SQLMinPrivilege.
- Inicie o utilitário Provisionamento de Conta com Privilégios Mínimos usando o comando:
MinimumPrivilegedUser.exe
- Selecione o tipo de ambiente inserindo 1 se você estiver executando a partir do dispositivo AzureMigrate ou 2 caso contrário.
- Forneça o caminho para a lista CSV de instâncias do SQL Server.
- Forneça um identificador exclusivo (GUID) para a criação de um identificador de segurança personalizado (SID) para a conta personalizada. Recomendamos que você use o mesmo GUID bem conhecido para todas as execuções do utilitário. Por exemplo, você pode usar a ID de Assinatura do Azure.
- Forneça as credenciais da conta com permissões de nível de administrador.
- Selecione o tipo de credencial inserindo 1 para Conta SQL ou 2 para Conta Windows/Domínio.
- Forneça o nome de usuário e a senha da conta de nível de administrador
- Agora forneça as credenciais para a conta menos privilegiada a ser criada.
- Selecione o tipo de credencial inserindo 1 para Conta SQL ou 2 para Conta Windows/Domínio.
- Se você escolheu Conta SQL na etapa anterior, as instâncias do SQL Server na lista deverão ter a autenticação do SQL Server (Modo Misto) habilitada. Se uma instância do SQL Server na lista não tiver a Autenticação SQL habilitada, o script poderá, opcionalmente, provisionar a conta de qualquer maneira e habilitar a Autenticação SQL. No entanto, a instância deve ser reiniciada antes que a nova conta SQL seja usada. Se você não quiser continuar com o provisionamento da Conta SQL, digite N ou n para voltar à etapa anterior e escolha o tipo de credencial novamente.
- Forneça o nome de usuário e a senha da conta menos privilegiada a ser provisionada.
- Se houver mais credenciais de nível de administrador a serem usadas, comece novamente com o mesmo arquivo CSV. O utilitário ignora instâncias configuradas com êxito.
Observação
Recomendamos usar as mesmas credenciais de conta menos privilegiadas para simplificar a configuração do Azure Migrate Appliance.
Usar conta personalizada para descoberta e avaliação
Agora que a conta personalizada foi provisionada, forneça essa credencial na configuração do Appliance.
Próximas etapas
Saiba como avaliar servidores que executam o SQL Server para migração para o SQL do Azure.