Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure NT Service\SQLServerExtension için en az ayrıcalık kullandığınızda SQL Server için Azure uzantısının hesaba verdiği izinler listelenir. En düşük ayrıcalık yapılandırmasıyla, uzantı yalnızca Azure portalında özellikleri etkinleştirdiğinizde gerekli izinleri verir.
Note
NT Authority\System listelenen dizinlerde ve kayıt defteri anahtarlarında izinleri değiştirme erişimine sahip olmalıdır. Bu erişim, hesaba en az ayrıcalık modu için gerekli erişimi NT Authority\System verebilmesi için gereklidirNT Service\SqlServerExtension.
Overview
SQL Server'ı en az ayrıcalık etkinleştirilmiş olarak Azure Arc'a bağladığınızda, Azure Arc uzantısı hizmet hesabına NT SERVICE\SQLServerExtensionyalnızca bu özelliği etkinleştirdiğinizde her özelliğin ihtiyaç duyduğu izinleri verir. Özelliği devre dışı bırakırsanız uzantı bu izinleri otomatik olarak kaldırır. Bir özellik etkin değilse, uzantı bu özellik için herhangi bir izin vermez.
Aracı hesabının izinlerinin el ile ayarlanması desteklenmez.
Note
Şu anda en az ayrıcalıklı yapılandırma varsayılan olarak uygulanmamıştır.
Uzantı sürümü 1.1.2859.223 veya üzeri olan mevcut sunucular, sonunda en az ayrıcalıklı yapılandırmaya sahip olur. Bu uzantı Kasım 2024'te yayımlandı.
1.1.2859.223 ardından otomatik en az ayrıcalıklı uygulamayı önlemek için uzantı yükseltmelerini engelleyin.
Özelliğe göre SQL ayrıcalıkları bölümünde, aşağıdaki özellikleri etkinleştirdiğinizde uzantının verdiği izinler açıklanmaktadır:
- Uzantı için varsayılan izinler
- Otomatik yedeklemeler
- Kullanılabilirlik grupları
- En iyi yöntemler değerlendirmesi
- Geçiş değerlendirmesi
- Veritabanı geçişi
- Belirli bir noktaya geri yükleme
- Purview
Dizin izinleri
| Dizin yolu | Gerekli izinler | Details | Feature |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Tam denetim | Uzantıyla ilgili DLL'ler ve EXE dosyaları. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Tam denetim | Uzantı ayarları dosyası. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Tam denetim | Uzantı durum dosyası. | Default |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Tam denetim | Uzantı günlük dosyaları. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Tam denetim | Uzantı sinyal dosyası. | Default |
%ProgramFiles%\Sql Server Extension |
Tam denetim | Uzantı hizmeti dosyaları. | Default |
<SystemDrive>\Windows\system32\extensionUpload |
Tam denetim | Faturalama için gereken kullanım dosyasını yazmak için gereklidir. | Default |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Tam denetim | Uzantı tarafından oluşturulan günlük öncesi klasör. | Default |
<ProgramData>\AzureConnectedMachineAgent\Config |
Read | Arc yapılandırma dosyaları dizini. | Default |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Tam denetim | Değerlendirme raporları ve durumu yazmak için gereklidir. | Default |
SQL günlük dizini (kayıt defterinde ayarlandığı gibi) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Read | SQL günlüklerinden SQL sanal çekirdek bilgilerini ayıklamak için gereklidir. | Default |
SQL yedekleme dizini (kayıt defterinde ayarlandığı gibi) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Yedeklemeler için gerekli | Backup |
1 Daha fazla bilgi için bkz. Dosya Konumları ve Kayıt Defteri Eşlemesi.
Kayıt defteri izinleri
Temel anahtar: HKEY_LOCAL_MACHINE
| Kayıt defteri anahtarı | Gerekli izin | Details | Feature |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | gibi installedInstancesSQL Server özelliklerini okuyun. |
Default |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Tam denetim | Microsoft Entra Id ve Purview. | Microsoft Entra Kimliği Purview |
SOFTWARE\Microsoft\SystemCertificates |
Tam denetim | Microsoft Entra Kimliği için gereklidir. | Microsoft Entra Kimliği |
SYSTEM\CurrentControlSet\Services |
Read | SQL Server hesap adı. | Default |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Azure Defender durumu ve son güncelleştirme zamanı. | Default |
SOFTWARE\Microsoft\SqlServerExtension |
Tam denetim | Uzantıyla ilgili değerler. | Default |
SOFTWARE\Policies\Microsoft\Windows |
Okuma ve Yazma | Uzantı aracılığıyla otomatik windows güncelleştirmesini etkinleştirme. | Otomatik güncelleştirmeler |
Grup izinleri
NT Service\SQLServerExtension Karma aracı uzantısı uygulamalarına eklenir. Bu, Azure Örnek Meta Veri Hizmeti (IMDS) el sıkışmasının Veri İşleme Hizmeti (DPS) ve faturalama kullanımı, uzantı günlükleri ve izleme panosu veri toplama için telemetri uç noktası gibi Azure veri düzlemi hizmetleriyle iletişim kurmak için gereken Makine kaynağı yönetilen kimlik belirtecini almasını sağlar.
SQL izinleri
Hesap NT Service\SQLServerExtension eklenir:
- Makinede şu anda mevcut olan tüm örneklerde SQL oturumu açma olarak
- Her veritabanında kullanıcı olarak
Uzantı, özellikler etkinleştirildiğinden örnek ve veritabanı nesnelerine de izin verir.
Note
En düşük izinler etkin özelliklere bağlıdır. Uzantı artık gerekli olmadığında izinleri güncelleştirir. Özellikleri etkinleştirdiğinizde gerekli izinleri verir.
NT Service\SQLServerExtension hesap izni ayrıntıları
| Kayıt Defteri Yolu | İzin | Hesabın NT Service\SQLServerExtension gizliliği ihlal edilirse izinlerle ilgili risk |
|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Uzantı, hangi SQL Server sürümlerinin yüklü olduğunu görebilir. |
SOFTWARE\Microsoft\Microsoft SQL Server\\MSSQLSERVER |
Tam denetim | Yalnızca Microsoft Entra kimlik doğrulaması veya Purview etkinleştirildiğinde gereklidir. Uzantı SQL Server yapılandırmasını değiştirebilir. |
SOFTWARE\Microsoft\SystemCertificates |
Tam denetim | Yalnızca Microsoft Entra kimlik doğrulaması etkinleştirildiğinde gereklidir. Uzantı, güvenilen kök sertifika yetkililerinin yerini alabilir. |
SYSTEM\CurrentControlSet\Services |
Read | Uzantı, hizmet hesabı adlarını görebilir. |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Uzantı, Microsoft Defender durumunu ve güncelleştirme zamanlarını öğrenebilir. |
SOFTWARE\Microsoft\SqlServerExtension |
Tam denetim | Uzantı, uzantı ayarlarını değiştirebilir. |
SOFTWARE\Policies\Microsoft\Windows |
Okuma ve Yazma | Yalnızca Otomatik güncelleştirme etkinleştirildiğinde gereklidir. Uzantı, Windows Update ilkelerini değiştirebilir ve kod bütünlüğünü ve sanallaştırma tabanlı güvenliği denetleyen Device Guard'ı devre dışı bırakabilir ve eksik düzeltme ekleri nedeniyle genişletilmiş açığa çıkabilir. |
Özelliğe göre SQL ayrıcalıkları
Aşağıdaki tabloda, SQL Server için Azure Uzantısı tarafından verilen izinleri denetleen özellikler için varsayılan davranış listelenmiştir:
| Feature | Varsayılan davranış |
|---|---|
| Varsayılan uzantı izinleri | Varsayılan olarak etkin |
| Otomatik yedeklemeler | Varsayılan olarak devre dışı |
| Kullanılabilirlik grupları | Varsayılan olarak etkin |
| En iyi yöntemler değerlendirmesi | Varsayılan olarak devre dışı |
| Geçiş değerlendirmesi | Varsayılan olarak etkin |
| Veritabanı geçişi | Varsayılan olarak etkin |
| Belirli bir noktaya geri yükleme | Varsayılan olarak devre dışı |
| Purview | Varsayılan olarak devre dışı |
Varsayılan uzantı izinleri
Aşağıdaki varsayılan izinler, SQL Server için Azure Uzantısı tarafından sağlanan temel işlevsellik düzeyi için en düşük gereksinimdir ve uygulanmalıdır:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
ALTER ANY SCHEMA |
| Database | msdb |
CREATE TABLE |
| Database | msdb |
CREATE TYPE |
| Database | msdb |
DB DATA READER |
| Database | msdb |
DB DATA WRITER |
| Database | msdb |
EXECUTE |
| Database | msdb |
SELECT dbo.backupfile |
| Database | msdb |
SELECT dbo.backupmediaset |
| Database | msdb |
SELECT dbo.backupmediafamily |
| Database | msdb |
SELECT dbo.backupset |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobactivity |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.syssessions |
| Database | msdb |
SELECT dbo.sysoperators |
| Database | msdb |
SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Otomatik yedeklemeler
Otomatik yedeklemeler varsayılan olarak devre dışı bırakılır. Uzantı, otomatik yedeklemelerin etkinleştirildiği tüm veritabanlarına yedekleme izinleri verir. Yedekleme özelliğinin etkinleştirilmesi belirli bir noktaya geri yükleme özelliğini de etkinleştirir, bu nedenle veritabanı oluşturma izni de verilir.
Özellikler etkinleştirilirse uzantı otomatik olarak aşağıdaki izinleri verir:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Database | Tüm veritabanları | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | master |
DB CREATOR |
Kullanılabilirlik grupları
Kullanılabilirlik grubu bulma ve yük devretme gibi yönetim özellikleri varsayılan olarak etkinleştirilir, ancak bunları özellik bayrağı aracılığıyla AvailabilityGroupDiscovery devre dışı bırakabilirsiniz.
Özellik etkinleştirilirse uzantı otomatik olarak aşağıdaki izinleri verir:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
En iyi yöntemler değerlendirmesi
En iyi yöntem değerlendirmesi varsayılan olarak devre dışıdır.
Özellik etkinleştirilirse uzantı otomatik olarak aşağıdaki izinleri verir:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Database | master |
SELECT |
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Veritabanı geçişi
Veritabanı geçiş özelliği varsayılan olarak etkindir ve yalnızca varsayılan uzantı izinlerinde listelenen izinleri gerektirir, ancak Veritabanı geçiş özelliği tarafından kullanılan bazı izinlere belirli bir geçiş eylemi gerçekleştirildiğinde tam zamanında izinler verilir.
Aşağıdaki eylemler, uzantının tam zamanında vermesi için ek izinler gerektirir:
- Yönetilen Örnek bağlantı geçişi oluşturma
- Yönetilen Örnek bağlantı geçişinin tam tam geçişi
- Yönetilen Örnek bağlantı geçişlerini iptal etme
Note
Azure'da , SqlServerAvailabilityGroups_failoverMiLinkve SqlServerAvailabilityGroups_deleteMiLink izinlerine sahip SqlServerAvailabilityGroups_CreateManagedInstanceLinkkullanıcılar, geçiş işlemi sırasında Veritabanı geçiş sayfasında, uzantı tarafından kullanılan hesabın SQL Server izinlerini yükselten ve rol dahil olmak üzere sysadmin eylemler gerçekleştirebilir.
Yönetilen Örnek bağlantı geçişi oluşturma
Verileri geçir adımında, Yönetilen Örnek bağlantısı geçişi için Gözden Geçir + Oluştur sekmesinde Veri geçişini başlat'ı seçtiğinizde uzantı tam zamanında izinler verir. Hizmet hesabının, dağıtılmış kullanılabilirlik grubunu yapılandırmak için yükseltilmiş izinlere sahip olması gerekir. Dağıtılmış kullanılabilirlik grubu oluşturulduktan ve Azure portalında görünen dağıtım tamamlandı durumunda olduğunda izinleri iptal eder. Aynı anda başka bir geçiş çalışıyorsa, uzantı son dağıtılmış kullanılabilirlik grubu oluşturulana kadar izinleri iptal etmez.
Yönetilen Örnek bağlantı geçişi oluşturma eylemi, oluşturma isteği süresi boyunca aşağıdaki izinleri alır:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | CREATE ENDPOINT |
|
| Server | ALTER ANY ENDPOINT |
|
| Server | CREATE CERTIFICATE |
|
| Database | master |
IMPERSONATE ON USER::[dbo] |
Yönetilen Örnek bağlantı geçişinin tam tam geçişi
İzleme ve tam geçiş adımında, Yönetilen Örnek bağlantısı geçişi için Tam tam geçiş seçeneğini belirlediğinizde uzantı tam zamanında izinler verir. Tam geçiş tamamlandıktan sonra uzantı izinleri iptal eder.
Yönetilen Örnek bağlantı geçişinin tam geçişini tamamlama eylemi, tam istek süresi boyunca aşağıdaki izinleri alır:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server |
sysadmin
1 |
1 En az ayrıcalık etkinleştirilirse tam tam geçiş eylemi, tam geçişin sysadmin süresi boyunca hesaba rol de verirNT Service\SQLServerExtension. Bu rol, Azure SQL Yönetilen Örneği'ne tam geçiş için dağıtılmış kullanılabilirlik grubunun yükünü devretmek için gereklidir.
Yönetilen Örnek bağlantı geçişlerini iptal etme
İzleme ve tam geçiş adımında, Yönetilen Örnek bağlantı geçişi için Geçişi iptal et seçeneğini belirlediğinizde uzantı tam zamanında izinler verir. Uzantı, geçiş iptal edildikten sonra izinleri iptal eder.
Yönetilen Örnek bağlantı geçişini iptal etme eylemi, iptal isteği süresi boyunca aşağıdaki izinleri alır:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server |
sysadmin
1 |
1 En az ayrıcalık etkinleştirildiyse iptal eylemi, iptal isteğinin sysadmin süresi boyunca hesaba rol NT Service\SQLServerExtension de verir. Bu rol, dağıtılmış bir kullanılabilirlik grubu silinirken gereklidir.
Geçiş değerlendirmesi
Geçiş değerlendirmeleri varsayılan olarak etkindir.
Özellik devre dışı bırakılırsa, diğer etkin özellikler gerekli olmadıkça uzantı aşağıdaki izinleri iptal eder:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Database | Tüm veritabanları | SELECT sys.sqlexpressiondependencies |
| Database | msdb |
EXECUTE dbo.agentdatetime |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.sysmailaccount |
| Database | msdb |
SELECT dbo.sysmailprofile |
| Database | msdb |
SELECT dbo.sysmailprofileaccount |
| Database | msdb |
SELECT dbo.syssubsystems |
Purview
Purview özellikleri varsayılan olarak devre dışıdır.
Özellik etkinleştirilirse uzantı otomatik olarak aşağıdaki izinleri verir:
| Nesne türü | Veritabanı veya nesne adı | Privilege |
|---|---|---|
| Database | Tüm veritabanları | EXECUTE |
| Database | Tüm veritabanları | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Tam zamanında SQL izinleri
Bazı SQL izinleri yalnızca belirli bir eylemi gerçekleştirmek için gereken zamanda atanır ve izin gerektiren işlem tamamlandığında iptal edilir. İptal işlemi yürütülemezse, her 50 dakikada bir çalışan bir arka plan temizleme işi, eskimiş olan izinleri otomatik olarak iptal eder.
Hizmet hesabına tam zamanında izinler atanır:
-
NT Service\SQLServerExtensionen az ayrıcalık etkinleştirildiyse - En az ayrıcalık devre dışıysa Yerel Sistem hesabı.
Şu anda aşağıdaki özellik tam zamanında izinleri kullanır:
- Yönetilen Örnek bağlantı geçişi seçeneği kullanılırken veritabanı geçişi.
Ek izinler
- Uzantı hizmetine erişmek ve otomatik kurtarmayı yapılandırmak için hizmet hesabına yönelik izinler.
- Hizmet hesabınaon-as-hizmet haklarını günlüğe kaydetme.