Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server
In diesem Artikel werden die Server- und Datenbankrollen und Zuordnungen aufgeführt, die von der Installation Azure Erweiterung für SQL Server erstellt werden.
Rollen
Wenn Sie Azure Erweiterung für SQL Server im Nicht-Berechtigungsmodus installieren, wird die Installation:
- Erstellt eine Rolle auf Serverebene:
SQLArcExtensionServerRole - Erstellt eine Rolle auf Datenbankebene:
SQLArcExtensionUserRole - Fügt das
NT AUTHORITY\SYSTEMKonto jeder Rolle hinzu. - Karten
NT AUTHORITY\SYSTEMauf Datenbankebene für jede Datenbank - Gewährt Mindestberechtigungen für die aktivierten Features.
Alternativ können Sie SQL Server so konfigurieren, dass Azure Arc im Modus mit den geringsten Berechtigungen ausgeführt werden. Weitere Informationen finden Sie unter Operate SQL Server aktiviert durch Azure Arc mit geringsten Berechtigungen.
Darüber hinaus widerrufen Azure Erweiterung für SQL Server Berechtigungen für diese Rollen, wenn sie für bestimmte Features nicht mehr benötigt werden.
Hinweis
Für die zuvor beschriebenen Aktionen muss der Deployer eine Verbindung mit SQL Server als NT AUTHORITY\SYSTEM herstellen. Wenn die NT AUTHORITY\SYSTEM-Anmeldung entfernt, deaktiviert oder verweigert wird, CONNECT SQL Berechtigung verweigert wird, kann der Deployer keine dieser Aktionen ausführen, und die Azure Erweiterung für SQL Server kann nicht bereitgestellt werden. Die Erforderlichen Schritte zum Überprüfen und Wiederherstellen dieser Anmeldung finden Sie unter "Voraussetzungen ".
SqlServerExtensionPermissionProvider ist eine Windows Aufgabe. Sie führt Deployer.exe aus, um Berechtigungen in SQL Server zu gewähren oder zu widerrufen, wenn folgendes erkannt wird:
- Eine neue SQL Server Instanz wird auf dem Host installiert.
- Eine SQL Server Instanz wird vom Host deinstalliert.
- Ein Feature auf Instanzebene ist aktiviert oder deaktiviert, oder Die Einstellungen werden aktualisiert.
- Der Erweiterungsdienst wird neu gestartet.
- Just-in-Time-Berechtigungen (Just-in-Time, JIT) sind aktiviert oder deaktiviert.
Hinweis
Vor der Veröffentlichung vom Juli 2024 war eine geplante Aufgabe, SqlServerExtensionPermissionProvider die stündlich ausgeführt wurde.
Ausführliche Informationen hierzu erhalten Sie unter Configure Windows Dienstkonten und Berechtigungen für Azure Erweiterung für SQL Server.
Wenn Sie Azure Erweiterung für SQL Server deinstallieren, werden die Rollen auf Serverebene und Datenbankebene entfernt.
Berechtigungen
| Funktion | Berechtigung | Ebene | Role |
|---|---|---|---|
| Standard | VIEW SERVER STATE |
Serverebene | SQLArcExtensionServerRole |
CONNECT SQL |
Serverebene | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Serverebene | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Serverebene | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Serverebene | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Backup | CREATE ANY DATABASE |
Serverebene | SQLArcExtensionServerRole |
| db_backupoperator-Rolle | Alle Datenbanken | SQLArcExtensionUserRole | |
| dbcreator | Serverebene | SQLArcExtensionServerRole | |
| Azure Steuerebene | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter-Rolle | msdb |
SQLArcExtensionUserRole | |
| db_datareader-Rolle | msdb |
SQLArcExtensionUserRole | |
| Verfügbarkeitsgruppenermittlung | VIEW ANY DEFINITION |
Serverebene | SQLArcExtensionServerRole |
| Verfügbarkeitsgruppenfailover | ALTER ANY AVAILABILITY GROUP |
Serverebene | SQLArcExtensionServerRole |
| Purview | SELECT |
Alle Datenbanken | SQLArcExtensionUserRole |
EXECUTE |
Alle Datenbanken | SQLArcExtensionUserRole | |
| Migrationseignung | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Alle Datenbanken | SQLArcExtensionUserRole |
Ausführung mit den geringsten Berechtigungen
Um Azure Erweiterung für SQL Server mit geringsten Berechtigungen auszuführen, folgen Sie den Anweisungen unter Operate SQL Server aktiviert durch Azure Arc mit geringsten Berechtigungen.
Zu diesem Zeitpunkt ist die geringste Berechtigungskonfiguration nicht die Standardkonfiguration.