Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server
Область применения: SQL Server
В этой статье перечислены разрешения azure для наборов SQL Server для учетной NT Service\SQLServerExtension
записи. Эта учетная запись используется при использовании SQL Server в Azure Arc с минимальными привилегиями (предварительная версия).
Примечание.
Если расширение Azure имеет версию 1.1.2594.118
(выпуск за февраль 2024 г.) или более поздней версии, режим минимальных привилегий будет автоматически включен в ближайшие месяцы.
Настройка разрешений для учетной записи агента вручную не поддерживается.
Расширение задает разрешения при включении функций в портал Azure. Если вы не включите функцию, расширение не задает разрешения для этой функции. Если отключить функцию, расширение удаляет разрешения.
Разрешения SQL перечисляют разрешения, связанные с функциями, предоставляемыми расширением при включении функций.
Разрешения каталога
Путь к каталогу | Необходимые разрешения | Сведения | Функция |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Полный контроль | Связанные с расширением библиотеки DLL и exe-файлы. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Полный контроль | Файл параметров расширения. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Полный контроль | Файл состояния расширения. | По умолчанию. |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Полный контроль | Файлы журнала расширений. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Полный контроль | Файл пульса расширения. | По умолчанию. |
%ProgramFiles%\Sql Server Extension |
Полный контроль | Файлы службы расширений. | По умолчанию. |
<SystemDrive>\Windows\system32\extensionUpload |
Полный контроль | Требуется для записи файла использования, необходимого для выставления счетов. | По умолчанию. |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Полный контроль | Папка предварительного журнала, созданная расширением. | По умолчанию. |
<ProgramData>\AzureConnectedMachineAgent\Config |
Читать | Каталог файлов конфигурации Arc. | По умолчанию. |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Полный контроль | Требуется для записи отчетов об оценке и состояния. | По умолчанию. |
Каталог журнала SQL (как задано в реестре) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Читать | Требуется для извлечения сведений о виртуальных ядрах SQL из журналов SQL. | По умолчанию. |
Каталог резервного копирования SQL (как задано в реестре) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Требуется для резервного копирования | Резервное копирование |
1 Дополнительные сведения см. в разделе "Расположения файлов" и "Сопоставление реестра".
Разрешения для реестра
Базовый ключ: HKEY_LOCAL_MACHINE
Раздел реестра | Требования к разрешениям | Сведения | Функция |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Читать | Чтение свойств SQL Server, таких как installedInstances . |
По умолчанию. |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Полный контроль | Идентификатор Microsoft Entra и Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Полный контроль | Требуется для идентификатора Microsoft Entra. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Читать | Имя учетной записи SQL Server. | По умолчанию. |
SOFTWARE\Microsoft\AzureDefender\SQL |
Читать | Состояние Azure Defender и время последнего обновления. | По умолчанию. |
SOFTWARE\Microsoft\SqlServerExtension |
Полный контроль | Значения, связанные с расширением. | По умолчанию. |
SOFTWARE\Policies\Microsoft\Windows |
Чтение и запись | Включение автоматического обновления Windows с помощью расширения. | Автоматические обновления |
Разрешения группы
NT Service\SQLServerExtension
добавляется в приложения расширения гибридного агента. Поддерживает подтверждение службы метаданных экземпляра Azure (IMDS).
Разрешения SQL
NT Service\SQLServerExtension
добавлено:
- Как имя входа SQL для всех экземпляров, присутствующих на компьютере
- Как пользователь в каждой базе данных
Расширение также предоставляет разрешения для объектов экземпляра и базы данных, так как функции включены. В приведенной ниже таблице приведены сведения.
Функция | Разрешение | Уровень | Требование |
---|---|---|---|
По умолчанию | VIEW DATABASE STATE |
Уровень сервера | Essential |
VIEW SERVER STATE |
Уровень сервера | Essential | |
CONNECT SQL |
Уровень сервера | Essential | |
База данных как ресурс | Общедоступная роль по умолчанию | Уровень сервера (по умолчанию он предоставляется только что добавленным именам входа) | Essential |
Оценка рекомендаций | VIEW ANY DEFINITION |
Уровень сервера | Зависимые от функции |
VIEW ANY DATABASE |
Уровень сервера | Зависимые от функции | |
SELECT |
master |
Зависимые от функции | |
SELECT |
msdb |
Зависимые от функции | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Зависимые от функции | |
EXECUTE ON sys.xp_readerrorlog |
master |
Зависимые от функции | |
Azure Backup | CREATE ANY DATABASE |
Уровень сервера | Зависимые от функции |
роль db_backupoperator | Все базы данных | Зависимые от функции | |
dbcreator | Роль сервера | Зависимые от функции | |
Уровень управления Azure | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
роль db_datawriter | msdb |
Зависимые от функции | |
роль db_datareader | msdb |
Зависимые от функции | |
Обнаружение группы доступности | VIEW ANY DEFINITION |
Уровень сервера | Essential |
Сфера | SELECT |
Все базы данных | Зависимые от функции |
EXECUTE |
Все базы данных | Зависимые от функции | |
CONNECT ANY DATABASE |
Уровень сервера | Зависимые от функции | |
VIEW ANY DATABASE |
Уровень сервера | Зависимые от функции | |
Мониторинг | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Уровень сервера | Essential | |
VIEW ANY DATABASE |
Уровень сервера | Essential | |
VIEW ANY DEFINITION |
Уровень сервера | Essential | |
Оценка миграции | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Все базы данных | Essential |
Примечание.
Минимальные разрешения зависят от включенных функций. Разрешения обновляются, когда они больше не нужны. Необходимые разрешения предоставляются при включении функций.
Дополнительные разрешения
- Разрешения учетной записи службы для доступа к службе расширений и настройке автоматического восстановления.
- Права на вход как услуга в учетную запись службы.
Связанный контент
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по