Konfigurieren von Windows-Dienstkonten und -Berechtigungen für die Azure-Erweiterung für SQL Server

Gilt für: SQL Server

In diesem Artikel werden die Berechtigungen der Azure-Erweiterung für SQL Server-Sätze für das NT Service\SQLServerExtension Konto aufgeführt. Dieses Konto wird verwendet, wenn Sie SQL Server betreiben, der von Azure Arc mit geringsten Berechtigungen aktiviert ist.

Hinweis

Vorhandene Server mit der Erweiterung aus der Version vom November 2024 oder höher werden automatisch mit den geringsten Berechtigungen konfiguriert. Diese Anwendung wird schrittweise erfolgen.

Um die automatische Anwendung der geringsten Rechte zu verhindern, blockieren Sie Erweiterungsupgrades auf die Version vom November 2024.

Das manuelle Festlegen der Berechtigungen für das Agentkonto wird nicht unterstützt.

Die Erweiterung legt Berechtigungen fest, wenn Sie Features für die Azure-Portal aktivieren. Wenn Sie ein Feature nicht aktivieren, legt die Erweiterung nicht die Berechtigungen für dieses Feature fest. Wenn Sie ein Feature deaktivieren, entfernt die Erweiterung die Berechtigungen.

SQL-Berechtigungen listet die Berechtigungen auf, die an Features gebunden sind, die von der Erweiterung gewährt werden, wenn Features aktiviert sind.

Hinweis

NT Authority\System müssen Zugriff auf das Ändern von Berechtigungen für aufgelistete Verzeichnisse und Registrierungsschlüssel haben. Dies ist erforderlich, damit NT Authority\System der erforderliche Zugriff auf den Modus mit NT Service\SqlServerExtension den geringsten Berechtigungen gewährt werden kann.

Directory-Berechtigungen

Verzeichnispfad Erforderliche Berechtigungen Details Funktion
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer Vollzugriff Erweiterung verwandte dlls und exe Dateien. Standard
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings Vollzugriff Erweiterungseinstellungsdatei. Standard
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status Vollzugriff Erweiterungsstatusdatei. Standard
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer Vollzugriff Erweiterungsprotokolldateien. Standard
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json Vollzugriff Erweiterungstaktdatei. Standard
%ProgramFiles%\Sql Server Extension Vollzugriff Erweiterungsdienstdateien. Standard
<SystemDrive>\Windows\system32\extensionUpload Vollzugriff Erforderlich zum Schreiben der Verwendungsdatei, die für die Abrechnung erforderlich ist. Standard
<SystemDrive>\Windows\system32\ExtensionHandler.log Vollzugriff Ordner vor dem Protokollieren, der mit der Erweiterung erstellt wurde. Standard
<ProgramData>\AzureConnectedMachineAgent\Config Lesen Sie Arc config files directory. Standard
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent Vollzugriff Erforderlich zum Schreiben von Bewertungsberichten und -status. Standard
SQL-Protokollverzeichnis (wie in der Registrierung festgelegt) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log
Lesen Sie Erforderlich zum Extrahieren von SQL-vCores-Informationen aus SQL-Protokollen. Standard
SQL-Sicherungsverzeichnis (wie in der Registrierung festgelegt) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup
ReadAndExecute/Write /Delete Erforderlich für Sicherungen Backup

1 Weitere Informationen finden Sie unter Dateispeicherorte und Registrierungszuordnung.

Registrierungsberechtigungen

Basisschlüssel: HKEY_LOCAL_MACHINE

Registrierungsschlüssel Erforderliche Berechtigung Details Funktion
SOFTWARE\Microsoft\Microsoft SQL Server Lesen Sie Lesen von SQL Server-Eigenschaften wie installedInstances. Standard
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER Vollzugriff Microsoft Entra ID und Purview. Microsoft Entra ID

Purview
SOFTWARE\Microsoft\SystemCertificates Vollzugriff Erforderlich für Die Microsoft Entra-ID. Microsoft Entra ID
SYSTEM\CurrentControlSet\Services Lesen Sie Name des SQL Server-Kontos. Standard
SOFTWARE\Microsoft\AzureDefender\SQL Lesen Sie Azure Defender-Status und zeitpunkt der letzten Aktualisierung. Standard
SOFTWARE\Microsoft\SqlServerExtension Vollzugriff Erweiterungsbezogene Werte. Standard
SOFTWARE\Policies\Microsoft\Windows Lesen und Schreiben Aktivieren der automatischen Windows-Aktualisierung über erweiterung. Automatische Aktualisierungen

Gruppenberechtigungen

NT Service\SQLServerExtension wird hybriden Agent-Erweiterungsanwendungen hinzugefügt. Unterstützt den Handshake des Azure Instance Metadata Service (IMDS).

SQL-Berechtigungen

NT Service\SQLServerExtension wird hinzugefügt:

  • Als SQL-Anmeldung bei allen Instanzen, die derzeit auf dem Computer vorhanden sind
  • Als Benutzer in jeder Datenbank

Die Erweiterung gewährt auch Berechtigungen für Instanzen und Datenbankobjekte, da Features aktiviert sind. Die folgende Tabelle enthält Details.

Funktion Berechtigung Ebene Anforderung
Standard VIEW DATABASE STATE Serverebene Essential
VIEW SERVER STATE Serverebene Essential
CONNECT SQL Serverebene Essential
Datenbank als Ressource Öffentliche Standardrolle Serverebene (Dies wird standardmäßig neu hinzugefügten Anmeldungen gewährt) Essential
Best Practices-Bewertung VIEW ANY DEFINITION Serverebene Feature abhängig
VIEW ANY DATABASE Serverebene Feature abhängig
SELECT master Feature abhängig
SELECT msdb Feature abhängig
EXECUTE ON sys.xp_enumerrorlogs master Feature abhängig
EXECUTE ON sys.xp_readerrorlog master Feature abhängig
Backup CREATE ANY DATABASE Serverebene Feature abhängig
rolle db_backupoperator Alle Datenbanken Feature abhängig
dbcreator Serverrolle Feature abhängig
Azure Control Plane CREATE TABLE msdb Essential
ALTER ANY SCHEMA msdb Essential
CREATE TYPE msdb Essential
EXECUTE msdb Essential
Rolle db_datawriter msdb Feature abhängig
rolle db_datareader msdb Feature abhängig
Verfügbarkeitsgruppenermittlung VIEW ANY DEFINITION Serverebene Essential
Purview SELECT Alle Datenbanken Feature abhängig
EXECUTE Alle Datenbanken Feature abhängig
CONNECT ANY DATABASE Serverebene Feature abhängig
VIEW ANY DATABASE Serverebene Feature abhängig
Überwachung SELECT dbo.sysjobactivity msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.syssessions msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysoperators msdb Essential
SELECT dbo.suspectpages msdb Essential
SELECT dbo.backupset msdb Essential
SELECT dbo.backupmediaset msdb Essential
SELECT dbo.backupmediafamily msdb Essential
SELECT dbo.backupfile msdb Essential
CONNECT ANY DATABASE Serverebene Essential
VIEW ANY DATABASE Serverebene Essential
VIEW ANY DEFINITION Serverebene Essential
Migrationseignung EXECUTE dbo.agent_datetime msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.sysmail_account msdb Essential
SELECT dbo.sysmail_profile msdb Essential
SELECT dbo.sysmail_profileaccount msdb Essential
SELECT dbo.syssubsystems msdb Essential
SELECT sys.sql_expression_dependencies Alle Datenbanken Essential

Hinweis

Mindestberechtigungen sind von aktivierten Features abhängig. Berechtigungen werden aktualisiert, wenn sie nicht mehr erforderlich sind. Erforderliche Berechtigungen werden erteilt, wenn Features aktiviert sind.

Zusätzliche Berechtigungen

  • Berechtigungen für das Dienstkonto für den Zugriff auf den Erweiterungsdienst und konfigurieren Autorecovery.
  • Anmelde-as-Service-Rechte für das Dienstkonto.