Configurar contas de serviço e permissões do Windows para a extensão do Azure para SQL Server
Aplica-se: SQL Server
Este artigo lista as permissões da extensão do Azure para conjuntos do SQL Server para a NT Service\SQLServerExtension
conta. Essa conta é usada quando você opera o SQL Server habilitado pelo Azure Arc com privilégios mínimos.
Observação
Os servidores existentes com a extensão da versão de novembro de 2024 ou posterior terão a configuração com privilégios mínimos aplicada. A aplicação acontecerá de forma gradual.
Bloqueie as atualizações de extensão para a versão de novembro de 2024 ou posterior para evitar a aplicação automática de privilégios mínimos.
Não há suporte para a configuração manual das permissões para a conta do agente.
A extensão define permissões quando você habilita recursos no portal do Azure. Se você não habilitar um recurso, a extensão não definirá as permissões para esse recurso. Se você desabilitar um recurso, a extensão removerá as permissões.
As permissões do SQL listam as permissões vinculadas aos recursos que a extensão concede quando os recursos estão habilitados.
Observação
NT Authority\System
Deve ter acesso para modificar permissões em diretórios listados e chaves do Registro. Isso é necessário para que NT Authority\System
possa conceder o acesso necessário à NT Service\SqlServerExtension
conta para o modo de privilégios mínimos.
Permissões do diretório
Caminho do diretório | Permissões necessárias | Detalhes | Recurso |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
Controle total | Arquivos dlls e exe relacionados à extensão. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
Controle total | Arquivo de configurações de extensão. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
Controle total | Arquivo de status da extensão. | Padrão |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
Controle total | Arquivos de log de extensão. | Padrão |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
Controle total | Arquivo de pulsação de extensão. | Padrão |
%ProgramFiles%\Sql Server Extension |
Controle total | Arquivos de serviço de extensão. | Padrão |
<SystemDrive>\Windows\system32\extensionUpload |
Controle total | Necessário para gravar o arquivo de uso necessário para o faturamento. | Padrão |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
Controle total | Pasta de pré-log criada por extensão. | Padrão |
<ProgramData>\AzureConnectedMachineAgent\Config |
Ler | Diretório de arquivos de configuração do Arc. | Padrão |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
Controle total | Necessário para escrever relatórios de avaliação e status. | Padrão |
Diretório de log SQL (conforme definido no registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
Ler | Necessário para extrair informações do SQL vCores dos logs do SQL. | Padrão |
Diretório de backup SQL (conforme definido no registro) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
Ler e Executar/Gravar / Excluir | Necessário para backups | Backup |
1 Para obter mais informações, consulte Locais de arquivos e mapeamento do Registro.
Permissões de Registro
Chave base: HKEY_LOCAL_MACHINE
Chave do Registro | Permissão necessária | Detalhes | Recurso |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
Ler | Leia as propriedades do SQL Server como installedInstances . |
Padrão |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
Controle total | ID e Purview do Microsoft Entra. | ID do Microsoft Entra Purview |
SOFTWARE\Microsoft\SystemCertificates |
Controle total | Necessário para a ID do Microsoft Entra. | ID do Microsoft Entra |
SYSTEM\CurrentControlSet\Services |
Ler | Nome da conta do SQL Server. | Padrão |
SOFTWARE\Microsoft\AzureDefender\SQL |
Ler | Status do Azure Defender e hora da última atualização. | Padrão |
SOFTWARE\Microsoft\SqlServerExtension |
Controle total | Valores relacionados à extensão. | Padrão |
SOFTWARE\Policies\Microsoft\Windows |
Ler e Gravar | Habilitando a atualização automática do Windows via extensão. | Atualizações automáticas |
Permissões de grupo
NT Service\SQLServerExtension
é adicionado aos aplicativos de extensão de agente híbrido. Dá suporte ao handshake do IMDS (Serviço de Metadados de Instância do Azure).
Permissões de SQL
NT Service\SQLServerExtension
É aditado o seguinte:
- Como um login SQL para todas as instâncias presentes atualmente na máquina
- Como usuário em cada banco de dados
A extensão também concede permissões para objetos de instância e banco de dados à medida que os recursos são habilitados. A tabela abaixo fornece detalhes.
Recurso | Permissão | Nível | Requisito |
---|---|---|---|
Default | VIEW DATABASE STATE |
Nível de servidor | Essential |
VIEW SERVER STATE |
Nível de servidor | Essential | |
CONNECT SQL |
Nível de servidor | Essential | |
Banco de dados como recurso | Função pública padrão | Nível do servidor (isso é concedido por padrão para logons recém-adicionados) | Essential |
Práticas recomendadas de avaliação | VIEW ANY DEFINITION |
Nível de servidor | Dependente do recurso |
VIEW ANY DATABASE |
Nível de servidor | Dependente do recurso | |
SELECT |
master |
Dependente do recurso | |
SELECT |
msdb |
Dependente do recurso | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
Dependente do recurso | |
EXECUTE ON sys.xp_readerrorlog |
master |
Dependente do recurso | |
Backup | CREATE ANY DATABASE |
Nível de servidor | Dependente do recurso |
db_backupoperator papel | Todos os bancos de dados | Dependente do recurso | |
dbcreator | Função de servidor | Dependente do recurso | |
Painel de controle do Azure | CREATE TABLE |
msdb |
Essential |
ALTER ANY SCHEMA |
msdb |
Essential | |
CREATE TYPE |
msdb |
Essential | |
EXECUTE |
msdb |
Essential | |
db_datawriter papel | msdb |
Dependente do recurso | |
db_datareader papel | msdb |
Dependente do recurso | |
Descoberta de grupo de disponibilidade | VIEW ANY DEFINITION |
Nível de servidor | Essential |
Purview | SELECT |
Todos os bancos de dados | Dependente do recurso |
EXECUTE |
Todos os bancos de dados | Dependente do recurso | |
CONNECT ANY DATABASE |
Nível de servidor | Dependente do recurso | |
VIEW ANY DATABASE |
Nível de servidor | Dependente do recurso | |
Monitoring | SELECT dbo.sysjobactivity |
msdb |
Essential |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.syssessions |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysoperators |
msdb |
Essential | |
SELECT dbo.suspectpages |
msdb |
Essential | |
SELECT dbo.backupset |
msdb |
Essential | |
SELECT dbo.backupmediaset |
msdb |
Essential | |
SELECT dbo.backupmediafamily |
msdb |
Essential | |
SELECT dbo.backupfile |
msdb |
Essential | |
CONNECT ANY DATABASE |
Nível de servidor | Essential | |
VIEW ANY DATABASE |
Nível de servidor | Essential | |
VIEW ANY DEFINITION |
Nível de servidor | Essential | |
Avaliação de migração | EXECUTE dbo.agent_datetime |
msdb |
Essential |
SELECT dbo.syscategories |
msdb |
Essential | |
SELECT dbo.sysjobHistory |
msdb |
Essential | |
SELECT dbo.sysjobs |
msdb |
Essential | |
SELECT dbo.sysjobSteps |
msdb |
Essential | |
SELECT dbo.sysmail_account |
msdb |
Essential | |
SELECT dbo.sysmail_profile |
msdb |
Essential | |
SELECT dbo.sysmail_profileaccount |
msdb |
Essential | |
SELECT dbo.syssubsystems |
msdb |
Essential | |
SELECT sys.sql_expression_dependencies |
Todos os bancos de dados | Essential |
Observação
As permissões mínimas dependem dos recursos habilitados. As permissões são atualizadas quando não são mais necessárias. As permissões necessárias são concedidas quando os recursos são habilitados.
Permissões adicionais
- Permissões para a conta de serviço para acessar o serviço de extensão e configurar a recuperação automática.
- Direitos de logon como serviço para a conta de serviço.