Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
SQL Server
I den här artikeln visas de server- och databasroller och mappningar som installationen av Azure-tillägget för SQL Server skapar.
Roller
När du installerar Azure-tillägget för SQL Server i icke-lägsta behörighetsläge, installationen:
- Skapar en roll på servernivå:
SQLArcExtensionServerRole - Skapar en roll på databasnivå:
SQLArcExtensionUserRole - Lägger till kontot i
NT AUTHORITY\SYSTEMvarje roll - Mappar
NT AUTHORITY\SYSTEMpå databasnivå för varje databas - Beviljar minsta behörighet för de aktiverade funktionerna
Du kan också konfigurera SQL Server som aktiveras av Azure Arc att köras i läge med minst behörighet. Mer information finns i Operate SQL Server aktiverad av Azure Arc med minst behörighet.
Dessutom återkallar Azure-tillägget för SQL Server behörigheter för dessa roller när de inte längre behövs för specifika funktioner.
Not
De tidigare beskrivna åtgärderna kräver att Deployer ansluter till SQL Server som NT AUTHORITY\SYSTEM. Om inloggningen NT AUTHORITY\SYSTEM tas bort, inaktiveras eller nekas CONNECT SQL behörighet kan distribueraren inte utföra någon av dessa åtgärder och Azure-tillägget för SQL Server kan inte etableras. Se Krav för steg för att verifiera och återställa den här inloggningen.
SqlServerExtensionPermissionProvider är en Windows uppgift. Den kör Deployer.exe för att bevilja eller återkalla privilegier i SQL Server när den identifierar:
- En ny SQL Server-instans installeras på värden
- En SQL Server instans avinstalleras från värden
- En funktion på instansnivå är aktiverad eller inaktiverad, eller så uppdateras inställningarna
- Tilläggstjänsten startas om
- Jit-behörigheter (just-in-time) är aktiverade eller inaktiverade
Not
Före juli 2024-versionen SqlServerExtensionPermissionProvider var en schemalagd aktivitet som kördes varje timme.
Mer information finns i Konfigurera Windows tjänstkonton och behörigheter för Azure-tillägget för SQL Server.
Om du avinstallerar Azure-tillägget för SQL Server tas rollerna på server- och databasnivå bort.
Behörigheter
| Drag | Tillåtelse | Nivå | Roll |
|---|---|---|---|
| Standard | VIEW SERVER STATE |
Servernivå | SQLArcExtensionServerRole |
CONNECT SQL |
Servernivå | SQLArcExtensionServerRole | |
VIEW ANY DEFINITION |
Servernivå | SQLArcExtensionServerRole | |
VIEW ANY DATABASE |
Servernivå | SQLArcExtensionServerRole | |
CONNECT ANY DATABASE |
Servernivå | SQLArcExtensionServerRole | |
SELECT dbo.sysjobactivity |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssessions |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobHistory |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysjobSteps |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syscategories |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysoperators |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.suspectpages |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediaset |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupmediafamily |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.backupfile |
msdb |
SQLArcExtensionUserRole | |
| Säkerhetskopia | CREATE ANY DATABASE |
Servernivå | SQLArcExtensionServerRole |
| db_backupoperator roll | Alla databaser | SQLArcExtensionUserRole | |
| dbcreator | Servernivå | SQLArcExtensionServerRole | |
| Azure kontrollplan | CREATE TABLE |
msdb |
SQLArcExtensionUserRole |
ALTER ANY SCHEMA |
msdb |
SQLArcExtensionUserRole | |
CREATE TYPE |
msdb |
SQLArcExtensionUserRole | |
EXECUTE |
msdb |
SQLArcExtensionUserRole | |
| db_datawriter roll | msdb |
SQLArcExtensionUserRole | |
| db_datareader roll | msdb |
SQLArcExtensionUserRole | |
| Identifiering av tillgänglighetsgrupp | VIEW ANY DEFINITION |
Servernivå | SQLArcExtensionServerRole |
| Redundans för tillgänglighetsgrupp | ALTER ANY AVAILABILITY GROUP |
Servernivå | SQLArcExtensionServerRole |
| Purview | SELECT |
Alla databaser | SQLArcExtensionUserRole |
EXECUTE |
Alla databaser | SQLArcExtensionUserRole | |
| Migreringsutvärdering | EXECUTE dbo.agent_datetime |
msdb |
SQLArcExtensionUserRole |
SELECT dbo.sysjobs |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_account |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profile |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.sysmail_profileaccount |
msdb |
SQLArcExtensionUserRole | |
SELECT dbo.syssubsystems |
msdb |
SQLArcExtensionUserRole | |
SELECT sys.sql_expression_dependencies |
Alla databaser | SQLArcExtensionUserRole |
Kör med minsta möjliga behörighet
Om du vill köra Azure tillägg för SQL Server med minst behörighet följer du anvisningarna på Operate SQL Server aktiverad av Azure Arc med minst behörighet.
För närvarande är den lägsta behörighetskonfigurationen inte standardinställningen.