Von der Azure-Erweiterung für die SQL Server-Installation erstellte Rollen

Gilt für: SQL Server

In diesem Artikel werden die Server- und Datenbankrollen und Zuordnungen aufgeführt, die von der Installation der Azure-Erweiterung für SQL Server erstellt werden.

Rollen

Bei der Installation der Azure-Erweiterung für SQL Server, macht die Installation Folgendes:

  1. Erstellt eine Serverebenenrolle: SQLArcExtensionServerRole

  2. Erstellt eine Rolle auf Datenbankebene: SQLArcExtensionUserRole

  3. Fügt jeder Rolle ein NT AUTHORITY\SYSTEM*-Konto hinzu

  4. Ordnet NT AUTHORITY\SYSTEM* auf Datenbankebene für jede Datenbank zu

  5. Gewährt Mindestberechtigungen für die aktivierten Features.

    *Alternativ können Sie SQL Server konfigurieren, der von Azure Arc aktiviert ist, um im Modus mit den geringsten Rechten ausgeführt zu werden (verfügbar in der Vorschau). Einzelheiten finden Sie unter Betreiben von SQL Server, aktiviert durch Azure Arc mit geringsten Rechten (Vorschau).

Darüber hinaus widerruft die Azure-Erweiterung für SQL Server für diese Rollen, wenn sie für bestimmte Features nicht mehr benötigt werden, Berechtigungen.

SqlServerExtensionPermissionProvider ist eine Windows-Aufgabe. Sie gewährt oder widerruft Berechtigungen in SQL Server, wenn Folgendes erkannt wird:

  • Eine neue SQL Server-Instanz wird auf dem Host installiert.
  • SQL Server-Instanz wird vom Host deinstalliert.
  • Ein Feature auf Instanzebene ist aktiviert oder deaktiviert oder Einstellungen wurden aktualisiert.
  • Erweiterungsdienst wird neu gestartet

Hinweis

Vor der Version vom Juli 2024 handelt es sich bei SqlServerExtensionPermissionProvider um eine geplante Aufgabe. Sie wird stündlich ausgeführt.

Ausführliche Informationen hierzu erhalten Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen für die Azure-Erweiterung für SQL Server.

Wenn Sie die Azure-Erweiterung für SQL Server deinstallieren, werden die Rollen auf Server- und Datenbankebene entfernt.

Berechtigungen

Funktion Berechtigung Ebene Role
Standard VIEW SERVER STATE Serverebene SQLArcExtensionServerRole
CONNECT SQL Serverebene SQLArcExtensionServerRole
VIEW ANY DEFINITION Serverebene SQLArcExtensionServerRole
VIEW ANY DATABASE Serverebene SQLArcExtensionServerRole
CONNECT ANY DATABASE Serverebene SQLArcExtensionServerRole
SELECT dbo.sysjobactivity msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.syssessions msdb SQLArcExtensionUserRole
SELECT dbo.sysjobHistory msdb SQLArcExtensionUserRole
SELECT dbo.sysjobSteps msdb SQLArcExtensionUserRole
SELECT dbo.syscategories msdb SQLArcExtensionUserRole
SELECT dbo.sysoperators msdb SQLArcExtensionUserRole
SELECT dbo.suspectpages msdb SQLArcExtensionUserRole
SELECT dbo.backupset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediaset msdb SQLArcExtensionUserRole
SELECT dbo.backupmediafamily msdb SQLArcExtensionUserRole
SELECT dbo.backupfile msdb SQLArcExtensionUserRole
Backup CREATE ANY DATABASE Serverebene SQLArcExtensionServerRole
db_backupoperator-Rolle Alle Datenbanken SQLArcExtensionUserRole
dbcreator Serverebene SQLArcExtensionServerRole
Azure Control Plane CREATE TABLE msdb SQLArcExtensionUserRole
ALTER ANY SCHEMA msdb SQLArcExtensionUserRole
CREATE TYPE msdb SQLArcExtensionUserRole
Führen Sie msdb SQLArcExtensionUserRole
db_datawriter-Rolle msdb SQLArcExtensionUserRole
db_datareader-Rolle msdb SQLArcExtensionUserRole
Verfügbarkeitsgruppenermittlung VIEW ANY DEFINITION Serverebene SQLArcExtensionServerRole
Purview SELECT Alle Datenbanken SQLArcExtensionUserRole
Führen Sie Alle Datenbanken SQLArcExtensionUserRole
Migrationseignung EXECUTE dbo.agent_datetime msdb SQLArcExtensionUserRole
SELECT dbo.sysjobs msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_account msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profile msdb SQLArcExtensionUserRole
SELECT dbo.sysmail_profileaccount msdb SQLArcExtensionUserRole
SELECT dbo.syssubsystems msdb SQLArcExtensionUserRole
SELECT sys.sql_expression_dependencies Alle Datenbanken SQLArcExtensionUserRole

Ausführen mit geringsten Berechtigungen

Um die Azure-Erweiterung für SQL Server mit geringsten Berechtigungen auszuführen, befolgen Sie die Anweisungen unter "Sql Server betreiben", die von Azure Arc mit geringsten Berechtigungen aktiviert sind.

Zu diesem Zeitpunkt ist die geringste Berechtigungskonfiguration nicht die Standardkonfiguration.

Konfigurieren von Windows-Dienstkonten und -Berechtigungen