你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 SQL 发现和评估预配具有最低特权的自定义帐户
本文介绍如何创建具有最少发现和评估权限的自定义帐户。
为准备发现,需要为 Azure Migrate 设备配置帐户,以便与 SQL Server 实例建立连接。 如果希望避免使用具有 sysadmin 权限的帐户,则可以创建一个拥有最少权限集的自定义帐户,以获取发现和评估所需的元数据。 在 SQL 发现和评估的设备配置中添加此自定义帐户。 最小特权帐户预配实用工具可以帮助预配这些自定义帐户。
先决条件
包含 SQL Server 实例列表的已准备 CSV。 确保所有列出的 SQL Server 都 已启用 TCP/IP 协议。
对 CSV 中列出的所有 SQL Server 实例具有 sysadmin 权限的帐户。
注意
- 管理员级帐户仅用于预配最低特权帐户。 创建最小特权帐户后,在设备配置中提供该帐户,以便进行实际发现和评估。
- 如果需要多个管理员级帐户,请使用同一 CSV 文件通过下一个管理员级凭据再次运行该实用工具。 跳过已成功更新的实例。 使用不同的管理员级凭据重复此操作,直到所有 SQL 实例都 将“状态” 字段设置为 “成功”。
准备 SQL Server 实例列表
该实用工具需要创建为 CSV 的 SQL Server 实例列表,其状态为以下列:
- FqdnOrIpAddress (必需):此字段应包含运行 SQL Server 实例的服务器的完全限定域名(或者可选)IP 地址。
- InstanceName (必需):此字段应包含命名实例的实例名称或 MSSQL标准版RVER 作为默认实例。
- 端口(必需):SQL Server 正在侦听的端口。
- 状态(可选/输出):此字段最初可以留空。 除 Success 之外的任何值都允许实用工具尝试针对相应实例预配最低特权帐户。 然后在执行结束时在此字段中更新成功或失败。
- ErrorSummary (可选/输出):留空。 该实用工具会更新此字段,其中包含预配最低特权帐户时遇到的错误(如果有)。
- ErrorGuidance (可选/输出):留空。 该实用工具会更新此字段,其中包含预配最低特权帐户时遇到的详细错误消息(如果有)。
预配自定义帐户
- 打开命令提示符并导航到 %ProgramFiles%\Microsoft Azure 应用liance Configuration Manager\Tools\SQLMinPrivilege 文件夹。
- 使用以下命令启动最低特权帐户预配实用工具:
MinimumPrivilegedUser.exe
- 如果从 AzureMigrate 设备运行环境类型,请输入 1,否则选择环境类型。
- 提供 SQL Server 实例的 CSV 列表的路径。
- 提供用于为自定义帐户创建自定义安全标识符(SID)的唯一标识符(GUID)。 建议对实用工具的所有执行使用相同的已知 GUID。 例如,可以使用 Azure 订阅 ID。
- 提供具有管理员级权限的帐户凭据。
- 为 SQL 帐户输入 1,为 Windows/域帐户输入 2,选择凭据类型。
- 提供管理员级帐户的用户名和密码
- 现在提供要创建的最小特权帐户的凭据。
- 为 SQL 帐户输入 1,为 Windows/域帐户输入 2,选择凭据类型。
- 如果在上一步中选择 了 SQL 帐户 ,则列表中的 SQL Server 实例应已启用 SQL Server 身份验证(混合模式)。 如果列表中的 SQL Server 实例未启用 SQL 身份验证,脚本可以选择性地预配帐户并启用 SQL 身份验证。 但是,在使用新的 SQL 帐户之前,应重启实例。 如果不想继续执行 SQL 帐户预配,请输入 N 或 n 返回到上一步,然后再次选择凭据类型。
- 提供要预配的最小特权帐户的用户名和密码。
- 如果有更多要使用的管理员级凭据,请再次使用同一 CSV 文件。 该实用工具跳过已成功配置的实例。
注意
建议使用相同的最低特权帐户凭据来简化 Azure Migrate 设备的配置。
使用自定义帐户进行发现和评估
预配自定义帐户后,在设备配置中提供此凭据。