Configurar contas de serviço e permissões do Windows para a extensão do Azure para SQL Server

Aplica-se: SQL Server

Este artigo lista as permissões da extensão do Azure para conjuntos do SQL Server para a NT Service\SQLServerExtension conta. Essa conta é usada quando você opera o SQL Server habilitado pelo Azure Arc com privilégios mínimos.

Observação

Os servidores existentes com a extensão da versão de novembro de 2024 ou posterior terão automaticamente a configuração com privilégios mínimos aplicada. A aplicação acontecerá de forma gradual.

Para evitar a aplicação automática de privilégios mínimos, bloqueie as atualizações de extensão para a versão de novembro de 2024.

Não há suporte para a configuração manual das permissões para a conta do agente.

A extensão define permissões quando você habilita recursos no portal do Azure. Se você não habilitar um recurso, a extensão não definirá as permissões para esse recurso. Se você desabilitar um recurso, a extensão removerá as permissões.

As permissões do SQL listam as permissões vinculadas aos recursos que a extensão concede quando os recursos estão habilitados.

Observação

NT Authority\System Deve ter acesso para modificar permissões em diretórios listados e chaves do Registro. Isso é necessário para que NT Authority\System possa conceder o acesso necessário à NT Service\SqlServerExtension conta para o modo de privilégios mínimos.

Permissões do diretório

Caminho do diretório Permissões necessárias Detalhes Recurso
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer Controle total Arquivos dlls e exe relacionados à extensão. Padrão
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings Controle total Arquivo de configurações de extensão. Padrão
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status Controle total Arquivo de status da extensão. Padrão
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer Controle total Arquivos de log de extensão. Padrão
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json Controle total Arquivo de pulsação de extensão. Padrão
%ProgramFiles%\Sql Server Extension Controle total Arquivos de serviço de extensão. Padrão
<SystemDrive>\Windows\system32\extensionUpload Controle total Necessário para gravar o arquivo de uso necessário para o faturamento. Padrão
<SystemDrive>\Windows\system32\ExtensionHandler.log Controle total Pasta de pré-log criada por extensão. Padrão
<ProgramData>\AzureConnectedMachineAgent\Config Ler Diretório de arquivos de configuração do Arc. Padrão
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent Controle total Necessário para escrever relatórios de avaliação e status. Padrão
Diretório de log SQL (conforme definido no registro) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log
Ler Necessário para extrair informações do SQL vCores dos logs do SQL. Padrão
Diretório de backup SQL (conforme definido no registro) 1:
C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup
Ler e Executar/Gravar / Excluir Necessário para backups Backup

1 Para obter mais informações, consulte Locais de arquivos e mapeamento do Registro.

Permissões de Registro

Chave base: HKEY_LOCAL_MACHINE

Chave do Registro Permissão necessária Detalhes Recurso
SOFTWARE\Microsoft\Microsoft SQL Server Ler Leia as propriedades do SQL Server como installedInstances. Padrão
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER Controle total ID e Purview do Microsoft Entra. Microsoft Entra ID

Purview
SOFTWARE\Microsoft\SystemCertificates Controle total Necessário para a ID do Microsoft Entra. Microsoft Entra ID
SYSTEM\CurrentControlSet\Services Ler Nome da conta do SQL Server. Padrão
SOFTWARE\Microsoft\AzureDefender\SQL Ler Status do Azure Defender e hora da última atualização. Padrão
SOFTWARE\Microsoft\SqlServerExtension Controle total Valores relacionados à extensão. Padrão
SOFTWARE\Policies\Microsoft\Windows Ler e Gravar Habilitando a atualização automática do Windows via extensão. Atualizações automáticas

Permissões de grupo

NT Service\SQLServerExtension é adicionado aos aplicativos de extensão de agente híbrido. Dá suporte ao handshake do IMDS (Serviço de Metadados de Instância do Azure).

Permissões de SQL

NT Service\SQLServerExtension É aditado o seguinte:

  • Como um login SQL para todas as instâncias presentes atualmente na máquina
  • Como usuário em cada banco de dados

A extensão também concede permissões para objetos de instância e banco de dados à medida que os recursos são habilitados. A tabela abaixo fornece detalhes.

Recurso Permissão Nível Requisito
Default VIEW DATABASE STATE Nível de servidor Essential
VIEW SERVER STATE Nível de servidor Essential
CONNECT SQL Nível de servidor Essential
Banco de dados como recurso Função pública padrão Nível do servidor (isso é concedido por padrão para logons recém-adicionados) Essential
Práticas recomendadas de avaliação VIEW ANY DEFINITION Nível de servidor Dependente do recurso
VIEW ANY DATABASE Nível de servidor Dependente do recurso
SELECT master Dependente do recurso
SELECT msdb Dependente do recurso
EXECUTE ON sys.xp_enumerrorlogs master Dependente do recurso
EXECUTE ON sys.xp_readerrorlog master Dependente do recurso
Backup CREATE ANY DATABASE Nível de servidor Dependente do recurso
db_backupoperator papel Todos os bancos de dados Dependente do recurso
dbcreator Função de servidor Dependente do recurso
Painel de controle do Azure CREATE TABLE msdb Essential
ALTER ANY SCHEMA msdb Essential
CREATE TYPE msdb Essential
EXECUTE msdb Essential
db_datawriter papel msdb Dependente do recurso
db_datareader papel msdb Dependente do recurso
Descoberta de grupo de disponibilidade VIEW ANY DEFINITION Nível de servidor Essential
Purview SELECT Todos os bancos de dados Dependente do recurso
EXECUTE Todos os bancos de dados Dependente do recurso
CONNECT ANY DATABASE Nível de servidor Dependente do recurso
VIEW ANY DATABASE Nível de servidor Dependente do recurso
Monitoring SELECT dbo.sysjobactivity msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.syssessions msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysoperators msdb Essential
SELECT dbo.suspectpages msdb Essential
SELECT dbo.backupset msdb Essential
SELECT dbo.backupmediaset msdb Essential
SELECT dbo.backupmediafamily msdb Essential
SELECT dbo.backupfile msdb Essential
CONNECT ANY DATABASE Nível de servidor Essential
VIEW ANY DATABASE Nível de servidor Essential
VIEW ANY DEFINITION Nível de servidor Essential
Avaliação de migração EXECUTE dbo.agent_datetime msdb Essential
SELECT dbo.syscategories msdb Essential
SELECT dbo.sysjobHistory msdb Essential
SELECT dbo.sysjobs msdb Essential
SELECT dbo.sysjobSteps msdb Essential
SELECT dbo.sysmail_account msdb Essential
SELECT dbo.sysmail_profile msdb Essential
SELECT dbo.sysmail_profileaccount msdb Essential
SELECT dbo.syssubsystems msdb Essential
SELECT sys.sql_expression_dependencies Todos os bancos de dados Essential

Observação

As permissões mínimas dependem dos recursos habilitados. As permissões são atualizadas quando não são mais necessárias. As permissões necessárias são concedidas quando os recursos são habilitados.

Permissões adicionais

  • Permissões para a conta de serviço para acessar o serviço de extensão e configurar a recuperação automática.
  • Direitos de logon como serviço para a conta de serviço.