為 SQL 探索和評量佈建具有最低權限的自訂帳戶
本文說明如何使用最少權限來建立自訂帳戶,以進行探索和評量。
為了準備探索,您需要使用帳戶來設定 Azure Migrate 設備,而帳戶用於建立與 SQL Server 執行個體的連線。 如果您想要避免使用具有 sysadmin 權限的帳戶,則可以建立取得探索和評量必要中繼資料所需且具有最小權限集的自訂帳戶。 對於 SQL 探索和評量,在設備設定中新增此自訂帳戶。 最低權限帳戶佈建公用程式可以協助佈建這些自訂帳戶。
必要條件
具有 SQL Server 執行個體清單的備妥 CSV。 請確定列出的所有 SQL Server 都已啟用 TCP/IP 通訊協定。
在 CSV 中列出的所有 SQL Server 執行個體上具有 sysadmin 權限的帳戶。
注意
- 系統管理員層級帳戶僅用來佈建最低權限帳戶。 建立最低權限帳戶之後,請在設備設定中提供該帳戶,以進行實際探索和評量。
- 如果需要多個系統管理員層級帳戶,則請使用相同的 CSV 檔案,利用下一個系統管理員層級認證來再次執行公用程式。 已成功更新的執行個體會予以略過。 除非所有 sql 執行個體都將 [狀態] 欄位設定為 [成功],否則請使用不同的系統管理員層級認證來重複此作業。
準備 SQL Server 執行個體清單
此公用程式需要以 CSV 形式建立的 SQL Server 執行個體清單,而該 CSV 具有下列依所指定順序的資料行:
- FqdnOrIpAddress (必要):此欄位應該包含 SQL Server 執行個體執行所在伺服器的完整網域名稱 (或選擇性地包含 IP 位址以進行 SQL Server 驗證)。
- InstanceName (必要):此欄位應該為具名執行個體納入執行個體名稱,或為預設執行個體納入 MSSQLSERVER。
- Port (必要):SQL Server 正在接聽的連接埠。
- 狀態 (選用/輸出):此欄位一開始可以空白。 [成功] 以外的任何值都允許公用程式嘗試為相對應的執行個體佈建最低權限帳戶。 接著,會在執行結束時更新此欄位中的成功或失敗。
- ErrorSummary (選用/輸出):空白。 此公用程式會使用佈建最低權限帳戶時所遇到錯誤的摘要 (如果有的話) 來更新此欄位。
- ErrorGuidance (選用/輸出):空白。 此公用程式會使用佈建最低權限帳戶時所遇到的詳細錯誤訊息 (如果有的話) 來更新此欄位。
佈建自訂帳戶
- 開啟命令提示字元,並導覽至 %ProgramFiles%\Microsoft Azure Appliance Configuration Manager\Tools\SQLMinPrivilege 資料夾。
- 使用命令來啟動最低權限帳戶佈建公用程式:
MinimumPrivilegedUser.exe - 如果您要從 AzureMigrate 設備執行,則請輸入 1,否則請輸入 2,以選取環境類型。
- 提供 SQL Server 執行個體 CSV 清單的路徑。
- 提供唯一識別碼 (GUID),以建立自訂帳戶的自訂安全性識別碼 (SID)。 對於公用程式的所有執行,建議都使用相同的已知 GUID。 例如,您可以使用 Azure 訂用帳戶識別碼。
- 提供具有系統管理員層級權限的帳戶認證。
- 請為 [SQL 帳戶] 輸入 1,或請為 [Windows/網域帳戶] 輸入 2,以選取認證類型。
- 提供系統管理員層級帳戶的使用者名稱和密碼
- 現在,請為要建立的最低權限帳戶提供認證。
- 請為 [SQL 帳戶] 輸入 1,或請為 [Windows/網域帳戶] 輸入 2,以選取認證類型。
- 如果您已在上一個步驟中選擇 [SQL 帳戶],則清單中的 SQL Server 執行個體應該已啟用 SQL Server 驗證 (混合模式)。 如果清單中的 SQL Server 執行個體未啟用 SQL 驗證,則指令碼還是可以選擇性地佈建帳戶,並啟用 SQL 驗證。 不過,在使用新的 SQL 帳戶之前,應該重新啟動執行個體。 如果您不想要繼續進行 SQL 帳戶佈建,則請輸入 N 或 n 返回上一個步驟,然後再次選擇認證類型。
- 針對要佈建的最低權限帳戶,提供使用者名稱和密碼。
- 如果要使用更多系統管理層級認證,則請使用相同的 CSV 檔案重新開始。 公用程式會略過已成功設定的執行個體。
注意
建議您使用相同的最低權限帳戶認證來簡化 Azure Migrate 設備的設定。
使用自訂帳戶以進行探索和評量
既然已佈建自訂帳戶,請在設備設定中提供此認證。