Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server
Область применения: 
SQL Server
В этой статье перечислены разрешения azure для наборов SQL Server для учетной NT Service\SQLServerExtension записи. Эта учетная запись используется при использовании SQL Server, включенной Azure Arc с минимальными привилегиями.
Примечание.
Существующие серверы с расширением с выпуска 2024 ноября 2024 г. или более поздней версии автоматически применяются к конфигурации с минимальными привилегиями. Это приложение будет происходить постепенно.
Чтобы предотвратить автоматическое применение минимальных привилегий, заблокируйте обновление расширений до выпуска за ноябрь 2024 г.
Настройка разрешений для учетной записи агента вручную не поддерживается.
Расширение задает разрешения при включении функций в портал Azure. Если вы не включите функцию, расширение не задает разрешения для этой функции. Если отключить функцию, расширение удаляет разрешения.
Разрешения SQL перечисляют разрешения, связанные с функциями, предоставляемыми расширением при включении функций.
Примечание.
NT Authority\System должен иметь доступ к изменению разрешений на перечисленные каталоги и разделы реестра. Это необходимо, чтобы NT Authority\System предоставить необходимый доступ к учетной NT Service\SqlServerExtension записи для режима наименьших привилегий.
Разрешения каталога
| Путь к каталогу | Необходимые разрешения | Сведения | Функция |
|---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Полный контроль | Связанные с расширением библиотеки DLL и exe-файлы. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Полный контроль | Файл параметров расширения. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Полный контроль | Файл состояния расширения. | По умолчанию. |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Полный контроль | Файлы журнала расширений. | По умолчанию. |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Полный контроль | Файл пульса расширения. | По умолчанию. |
%ProgramFiles%\Sql Server Extension |
Полный контроль | Файлы службы расширений. | По умолчанию. |
<SystemDrive>\Windows\system32\extensionUpload |
Полный контроль | Требуется для записи файла использования, необходимого для выставления счетов. | По умолчанию. |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Полный контроль | Папка предварительного журнала, созданная расширением. | По умолчанию. |
<ProgramData>\AzureConnectedMachineAgent\Config |
Читать | Каталог файлов конфигурации Arc. | По умолчанию. |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Полный контроль | Требуется для записи отчетов об оценке и состояния. | По умолчанию. |
Каталог журнала SQL (как задано в реестре) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Читать | Требуется для извлечения сведений о виртуальных ядрах SQL из журналов SQL. | По умолчанию. |
Каталог резервного копирования SQL (как задано в реестре) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | Требуется для резервного копирования | Резервное копирование |
1 Дополнительные сведения см. в разделе "Расположения файлов" и "Сопоставление реестра".
Разрешения для реестра
Базовый ключ: HKEY_LOCAL_MACHINE
| Раздел реестра | Требования к разрешениям | Сведения | Функция |
|---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Читать | Чтение свойств SQL Server, таких как installedInstances. |
По умолчанию. |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Полный контроль | Идентификатор Microsoft Entra и Purview. | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
Полный контроль | Требуется для идентификатора Microsoft Entra. | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
Читать | Имя учетной записи SQL Server. | По умолчанию. |
SOFTWARE\Microsoft\AzureDefender\SQL |
Читать | Состояние Azure Defender и время последнего обновления. | По умолчанию. |
SOFTWARE\Microsoft\SqlServerExtension |
Полный контроль | Значения, связанные с расширением. | По умолчанию. |
SOFTWARE\Policies\Microsoft\Windows |
Чтение и запись | Включение автоматического обновления Windows с помощью расширения. | Автоматические обновления |
Разрешения группы
NT Service\SQLServerExtension добавляется в приложения расширения гибридного агента. Поддерживает подтверждение службы метаданных экземпляра Azure (IMDS).
Разрешения SQL
NT Service\SQLServerExtension добавлено:
- Как имя входа SQL для всех экземпляров, присутствующих на компьютере
- Как пользователь в каждой базе данных
Расширение также предоставляет разрешения для объектов экземпляра и базы данных, так как функции включены. В приведенной ниже таблице приведены сведения.
| Функция | Разрешение | Уровень | Требование |
|---|---|---|---|
| По умолчанию | VIEW DATABASE STATE |
Уровень сервера | Essential |
VIEW SERVER STATE |
Уровень сервера | Essential | |
CONNECT SQL |
Уровень сервера | Essential | |
| База данных как ресурс | Общедоступная роль по умолчанию | Уровень сервера (по умолчанию он предоставляется только что добавленным именам входа) | Essential |
| Оценка рекомендаций | VIEW ANY DEFINITION |
Уровень сервера | Зависимые от функции |
VIEW ANY DATABASE |
Уровень сервера | Зависимые от функции | |
SELECT |
master |
Зависимые от функции | |
SELECT |
msdb |
Зависимые от функции | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Зависимые от функции | |
EXECUTE ON sys.xp_readerrorlog |
master |
Зависимые от функции | |
| Azure Backup | CREATE ANY DATABASE |
Уровень сервера | Зависимые от функции |
| роль db_backupoperator | Все базы данных | Зависимые от функции | |
| dbcreator | Роль сервера | Зависимые от функции | |
| Уровень управления Azure | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
| роль db_datawriter | msdb |
Зависимые от функции | |
| роль db_datareader | msdb |
Зависимые от функции | |
| Обнаружение группы доступности | VIEW ANY DEFINITION |
Уровень сервера | Essential |
| Сфера | SELECT |
Все базы данных | Зависимые от функции |
EXECUTE |
Все базы данных | Зависимые от функции | |
CONNECT ANY DATABASE |
Уровень сервера | Зависимые от функции | |
VIEW ANY DATABASE |
Уровень сервера | Зависимые от функции | |
| Мониторинг | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Уровень сервера | Essential | |
VIEW ANY DATABASE |
Уровень сервера | Essential | |
VIEW ANY DEFINITION |
Уровень сервера | Essential | |
| Оценка миграции | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Все базы данных | Essential |
Примечание.
Минимальные разрешения зависят от включенных функций. Разрешения обновляются, когда они больше не нужны. Необходимые разрешения предоставляются при включении функций.
Дополнительные разрешения
- Разрешения учетной записи службы для доступа к службе расширений и настройке автоматического восстановления.
- Права на вход как услуга в учетную запись службы.