Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
SQL Server
Den här artikeln innehåller behörigheter som Azure-tillägget för SQL Server beviljar till kontot NT SERVICE\SqlServerExtension när du använder least privilege för SQL Server instanser som aktiveras av Azure Arc. Med den lägsta behörighetskonfigurationen beviljar tillägget endast nödvändiga behörigheter när du aktiverar funktioner i Azure-portalen.
Note
NT AUTHORITY\SYSTEM måste ha åtkomst till att ändra behörigheter för kataloger och registernycklar i listan. Den här åtkomsten är nödvändig så att NT AUTHORITY\SYSTEM du kan bevilja nödvändig åtkomst till NT SERVICE\SqlServerExtension kontot för läget för lägsta behörighet.
Dessutom måste NT AUTHORITY\SYSTEM ha en aktiv SQL Server inloggning med behörigheten CONNECT SQL på varje SQL Server instans. Distribueraren ansluter till SQL Server som NT AUTHORITY\SYSTEM för att konfigurera alla behörigheter på SQL-nivå som beskrivs i den här artikeln. Om den här inloggningen är inaktiverad, borttagen eller har CONNECT SQL nekats kan distribueraren inte konfigurera SQL-behörigheter i antingen standardläge eller lägsta behörighetsläge. Se Krav för verifieringssteg .
Overview
När du ansluter SQL Server till Azure Arc med minsta möjliga behörighet beviljar Azure Arc-tillägget sitt tjänstkonto, NT SERVICE\SqlServerExtension, endast de behörigheter som varje funktion behöver när du aktiverar den funktionen. Tillägget tar automatiskt bort dessa behörigheter om du inaktiverar funktionen. Om en funktion är inaktiv beviljar tillägget inte några behörigheter för den funktionen.
Det går inte att ange behörigheter för agentkontot manuellt.
Note
För närvarande tillämpas inte minst privilegierad konfiguration som standard.
Befintliga servrar med tilläggsversion 1.1.2859.223 eller senare kommer så småningom att ha den minst privilegierade konfigurationen tillämpad. Tillägget släpptes i november 2024. Blockera tilläggsuppgraderingar efter 1.1.2859.223 för att förhindra automatisk tillämpning av principen för minsta privilegium.
Avsnittet SQL-behörigheter efter funktion förklarar de behörigheter som tillägget beviljar när du aktiverar följande funktioner:
- Standardbehörigheter för tillägget
- Automatiserade säkerhetskopieringar
- Tillgänglighetsgrupper
- Utvärdering av bästa praxis
- Migreringsutvärdering
- Databasmigrering
- Återställning vid en specifik tidpunkt
- Purview
Katalogbehörigheter
| Katalogsökväg | Behörigheter som krävs | Details | Feature |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Fullständig kontroll | Tilläggsrelaterade DLL- och EXE-filer. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Fullständig kontroll | Fil för tilläggsinställningar. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Fullständig kontroll | Statusfil för tillägg. | Default |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Fullständig kontroll | Tilläggsloggfiler. | Default |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Fullständig kontroll | Fil för fil för filnamnstilläggsslag. | Default |
%ProgramFiles%\Sql Server Extension |
Fullständig kontroll | Tilläggstjänstfiler. | Default |
<SystemDrive>\Windows\system32\extensionUpload |
Fullständig kontroll | Krävs för att skriva användningsfilen som krävs för fakturering. | Default |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Fullständig kontroll | Förloggmapp som skapats av tillägget. | Default |
<ProgramData>\AzureConnectedMachineAgent\Config |
Read | Katalog för Arc-konfigurationsfiler. | Default |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Fullständig kontroll | Krävs för att skriva utvärderingsrapporter och status. | Default |
SQL-loggkatalog (som anges i registret) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Read | Krävs för att extrahera SQL vCores-information från SQL-loggar. | Default |
SQL Backup-katalog (som anges i registret) 1 :C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Krävs för säkerhetskopior | Backup |
1 Mer information finns i Filplatser och Registermappning.
Registerbehörigheter
Basnyckel: HKEY_LOCAL_MACHINE
| Registernyckel | Nödvändig behörighet | Details | Feature |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Läs SQL Server-egenskaper som installedInstances. |
Default |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Fullständig kontroll | Microsoft Entra ID och Purview. | Microsoft Entra-ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Fullständig kontroll | Krävs för Microsoft Entra-ID. | Microsoft Entra-ID |
SYSTEM\CurrentControlSet\Services |
Read | SQL Server-kontonamn. | Default |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Azure Defender-status och senaste uppdateringstid. | Default |
SOFTWARE\Microsoft\SqlServerExtension |
Fullständig kontroll | Tilläggsrelaterade värden. | Default |
SOFTWARE\Policies\Microsoft\Windows |
Läsa och skriva | Aktivera automatisk Windows uppdatering via tillägget. | Automatiska uppdateringar |
Gruppbehörigheter
NT SERVICE\SqlServerExtension läggs till i hybridagenttilläggsprogram. Detta gör det möjligt för IMDS-handskakningen (Azure Instance Metadata Service) att hämta den datorresurshanterade identitetstoken som krävs för att kommunicera med Azure-dataplanstjänster, till exempel Data Processing Service (DPS) och telemetrislutpunkten för faktureringsanvändning, tilläggsloggar och övervakning av datainsamling på instrumentpanelen.
SQL-behörigheter
Kontot NT SERVICE\SqlServerExtension läggs till:
- Som en SQL-inloggning till alla instanser på datorn
- Som användare i varje databas
Tillägget ger också behörighet till instans- och databasobjekt när funktioner är aktiverade.
Note
Minsta behörigheter beror på aktiverade funktioner. Tillägget uppdaterar behörigheter när de inte längre behövs. Den ger nödvändiga behörigheter när du aktiverar funktioner. Roller används inte med minsta möjliga behörighetsläge.
NT SERVICE\SqlServerExtension-kontobehörighetsinformation
| Registersökväg | Tillåtelse | Den associerade risken för behörigheter om NT SERVICE\SqlServerExtension kontot komprometteras |
|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Read | Tillägget kan se vilka SQL Server-versioner som är installerade. |
SOFTWARE\Microsoft\Microsoft SQL Server\\MSSQLSERVER |
Fullständig kontroll | Behövs bara när Microsoft Entra-autentisering eller Purview är aktiverat. Tillägget kan ändra SQL Server-konfigurationen. |
SOFTWARE\Microsoft\SystemCertificates |
Fullständig kontroll | Behövs bara när Microsoft Entra-autentisering är aktiverat. Tillägget kan ersätta betrodda rotcertifikatutfärdare. |
SYSTEM\CurrentControlSet\Services |
Read | Tillägget kan se tjänstkontonamn. |
SOFTWARE\Microsoft\AzureDefender\SQL |
Read | Tillägget kan lära sig status och uppdateringstider för Microsoft Defender. |
SOFTWARE\Microsoft\SqlServerExtension |
Fullständig kontroll | Tillägget kan ändra tilläggsinställningarna. |
SOFTWARE\Policies\Microsoft\Windows |
Läsa och skriva | Behövs bara när automatisk uppdatering är aktiverad. Tillägget kan ändra Windows Update-principer och inaktivera Device Guard, som styr kodintegritet och virtualiseringsbaserad säkerhet, utökad exponering på grund av missade korrigeringar. |
SQL-behörigheter efter funktion
I följande tabell visas standardbeteendet för de funktioner som styr behörigheter som beviljas av Azure-tillägget för SQL Server:
| Feature | Standardbeteende |
|---|---|
| Standardtilläggsbehörigheter | Aktiverad som standard |
| Automatiserade säkerhetskopieringar | Inaktiverad som standard |
| Tillgänglighetsgrupper | Aktiverad som standard |
| Utvärdering av bästa praxis | Inaktiverad som standard |
| Migreringsutvärdering | Aktiverad som standard |
| Databasmigrering | Aktiverad som standard |
| Återställning vid en specifik tidpunkt | Inaktiverad som standard |
| Purview | Inaktiverad som standard |
Standardtilläggsbehörigheter
Följande standardbehörigheter är minimikravet för den grundläggande funktionsnivån som tillhandahålls av Azure-tillägget för SQL Server och måste tillämpas:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
ALTER ANY SCHEMA |
| Database | msdb |
CREATE TABLE |
| Database | msdb |
CREATE TYPE |
| Database | msdb |
DB DATA READER |
| Database | msdb |
DB DATA WRITER |
| Database | msdb |
EXECUTE |
| Database | msdb |
SELECT dbo.backupfile |
| Database | msdb |
SELECT dbo.backupmediaset |
| Database | msdb |
SELECT dbo.backupmediafamily |
| Database | msdb |
SELECT dbo.backupset |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobactivity |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.syssessions |
| Database | msdb |
SELECT dbo.sysoperators |
| Database | msdb |
SELECT dbo.suspectpages |
| Server | CONNECT ANY DATABASE |
|
| Server | CONNECT SQL |
|
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
Automatiserade säkerhetskopieringar
Automatiserade säkerhetskopieringar är inaktiverade som standard. Tillägget ger säkerhetskopieringsbehörighet till alla databaser som har automatiserade säkerhetskopieringar aktiverade. Om du aktiverar säkerhetskopieringsfunktionen aktiveras även funktionen för återställning till tidpunkt , så behörigheten att skapa en databas beviljas också.
Om funktionerna är aktiverade ger tillägget automatiskt följande behörigheter:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Database | Alla databaser | DB BACKUP OPERATOR |
| Server | CREATE ANY DATABASE |
|
| Server | master |
DB CREATOR |
Tillgänglighetsgrupper
Identifierings - och hanteringsfunktioner för tillgänglighetsgrupper, till exempel redväxling, är aktiverade som standard, men du kan inaktivera dem via funktionsflaggan AvailabilityGroupDiscovery .
Om funktionen är aktiverad ger tillägget automatiskt följande behörigheter:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | VIEW ANY DEFINITION |
Utvärdering av metodtips
Utvärderingen av bästa praxis är inaktiverad som standard.
Om funktionen är aktiverad ger tillägget automatiskt följande behörigheter:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Database | master |
SELECT |
| Database | master |
VIEW DATABASE STATE |
| Database | msdb |
SELECT |
| Server | VIEW ANY DATABASE |
|
| Server | VIEW ANY DEFINITION |
|
| Server | VIEW SERVER STATE |
|
| StoredProcedure | EnumErrorLogsSP | EXECUTE |
| StoredProcedure | ReadErrorLogsSP | EXECUTE |
Databasmigrering
Databasmigreringsfunktionen är aktiverad som standard och kräver endast de behörigheter som anges i standardtilläggsbehörigheter, även om vissa behörigheter beviljas just-in-time när en specifik migreringsåtgärd utförs.
Följande åtgärder kräver extra behörigheter som tillägget beviljar just-in-time:
- Skapa länkmigrering för hanterad instans
- Fullständig snabb migrering av länkmigrering av hanterad instans
- Avbryt länkmigrering för hanterad instans
Note
Användare med SqlServerAvailabilityGroups_CreateManagedInstanceLink, SqlServerAvailabilityGroups_failoverMiLink och SqlServerAvailabilityGroups_deleteMiLink behörigheter i Azure kan utföra åtgärder på sidan Database migration under migreringsprocessen som höjer SQL Server behörigheter för det konto som används av tillägget, inklusive sysadmin fast serverroll.
Skapa länkmigrering för hanterad instans
I steget Migrera data beviljar tillägget just-in-time-behörigheter när du väljer Starta datamigrering på fliken Granska + skapa för en länkmigrering för hanterad instans. Tjänstkontot behöver utökade behörigheter för att konfigurera den distribuerade tillgänglighetsgruppen (AG). Den återkallar behörigheter när den distribuerade tillgänglighetsgruppen har skapats och distributionen som visas i Azure portalen är i slutfört tillstånd. Om en annan migrering körs samtidigt återkallar tillägget inte behörigheter förrän den senaste distribuerade tillgänglighetsgruppen har skapats.
Åtgärden för att skapa en Managed Instance länkmigrering hämtar följande behörigheter under begäran om att skapa:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | CREATE ENDPOINT |
|
| Server | ALTER ANY ENDPOINT |
|
| Server | CREATE CERTIFICATE |
|
| Database | master |
IMPERSONATE ON USER::[dbo] |
Fullständig snabb migrering av länkmigrering av hanterad instans
I steget Övervaka och snabbinstans beviljar tillägget just-in-time-behörigheter när du väljer alternativet Fullständig snabb för en länkmigrering för hanterad instans. Tillägget återkallar behörigheter när snabbåtgärden har slutförts.
Åtgärden för att slutföra snabb migreringen av en Managed Instance-länk hämtar följande behörigheter under den fullständiga begäran:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Server | CREATE AVAILABILITY GROUP |
|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | sysadmin1 |
1 Om minsta behörighet är aktiverat ger den fullständiga snabbåtgärden även den fasta serverrollenNT SERVICE\SqlServerExtension sysadmin till kontot under snabbningen. Den här rollen krävs för att redundansväxla den distribuerade tillgänglighetsgruppen för snabb åtkomst till Azure SQL Managed Instance.
Avbryt länkmigrering för hanterad instans
I steget Övervaka och snabbinstans beviljar tillägget just-in-time-behörigheter när du väljer alternativet Avbryt migrering för en länkmigrering för hanterad instans. Tillägget återkallar behörigheter efter att migreringen har avbrutits.
Åtgärden för att avbryta en Managed Instance länkmigrering hämtar följande behörigheter under avbokningsbegäran:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Server | ALTER ANY AVAILABILITY GROUP |
|
| Server | ALTER ANY DATABASE |
|
| Server | sysadmin1 |
1 Om minsta behörighet är aktiverat beviljar avbryt-åtgärden även den fasta serverrollenNT SERVICE\SqlServerExtension sysadmin till kontot under avbokningsbegäran. Den här rollen krävs när du tar bort en distribuerad tillgänglighetsgrupp.
Migreringsutvärdering
Migreringsutvärderingar är aktiverade som standard.
Om funktionen är inaktiverad återkallar tillägget följande behörigheter om inte andra aktiverade funktioner kräver dem:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Database | Alla databaser | SELECT sys.sql_expression_dependencies |
| Database | msdb |
EXECUTE dbo.agent_datetime |
| Database | msdb |
SELECT dbo.syscategories |
| Database | msdb |
SELECT dbo.sysjobhistory |
| Database | msdb |
SELECT dbo.sysjobs |
| Database | msdb |
SELECT dbo.sysjobsteps |
| Database | msdb |
SELECT dbo.sysmail_account |
| Database | msdb |
SELECT dbo.sysmail_profile |
| Database | msdb |
SELECT dbo.sysmail_profileaccount |
| Database | msdb |
SELECT dbo.syssubsystems |
Purview
Purview-funktionerna är inaktiverade som standard.
Om funktionen är aktiverad ger tillägget automatiskt följande behörigheter:
| Objekttyp | Databas- eller objektnamn | Privilege |
|---|---|---|
| Database | Alla databaser | EXECUTE |
| Database | Alla databaser | SELECT |
| Server | CONNECT ANY DATABASE |
|
| Server | VIEW ANY DATABASE |
Just-in-time SQL-behörigheter
Vissa SQL-behörigheter tilldelas bara när de behövs för att utföra en specifik åtgärd och återkallas så snart åtgärden som kräver behörigheterna har slutförts. Om återkallelsen inte kan köras återkallas automatiskt inaktuella behörigheter av ett bakgrundsrensningsjobb som körs var 50:e minut.
Just-in-time-behörigheter tilldelas till tjänstkontot:
-
NT SERVICE\SqlServerExtensionom minsta behörighet är aktiverat - Lokalt systemkonto om lägsta behörighet är inaktiverat.
För närvarande använder följande funktion just-in-time-behörigheter:
- Databasmigrering när du använder länkmigreringsalternativet Hanterad instans.
Ytterligare behörigheter
Tjänstkontot kräver följande behörigheter:
- Få åtkomst till tilläggstjänsten och konfigurera automatisk återställning.
- Logga in som tjänst.