設定適用於 SQL Server 的 Azure 擴充功能的 Windows 服務帳戶和許可權
適用於:SQL Server
本文列出帳戶 SQL Server 集合 NT Service\SQLServerExtension
的 Azure 擴充功能許可權。 當您以最低許可權操作由 Azure Arc 啟用的 SQL Server 時,會使用此帳戶。
注意
從 2024 年 11 月版本或更新版本開始使用延伸項目的現有伺服器,將自動套用最低權限設定。 此應用程式會逐漸套用。
為了防止自動套用最小權限,請封鎖延伸升級至 2024 年 11 月版。
不支援手動設定代理程式帳戶的許可權。
當您在 Azure 入口網站 上啟用功能時,擴充功能會設定許可權。 如果您未啟用功能,擴充功能不會設定該功能的許可權。 如果您停用功能,擴充功能會移除許可權。
SQL 許可權 會列出延伸模組在啟用功能時授與的功能所系結的許可權。
注意
NT Authority\System
必須具有修改所列出目錄和登錄機碼之許可權的存取權。 這是必要的, NT Authority\System
以便授與最低許可權模式帳戶 NT Service\SqlServerExtension
的必要存取權。
目錄許可權
目錄路徑 | 所需的權限 | 詳細資料 | 功能 |
---|---|---|---|
<SystemDrive>\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SQLServer |
完全控制 | 擴展名相關的 dll 和 exe 檔案。 | 預設 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\RuntimeSettings |
完全控制 | 延伸模組配置檔。 | 預設 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status |
完全控制 | 擴充功能狀態檔。 | 預設 |
C:\ProgramData\GuestConfig\extension_logs\Microsoft.AzureData.WindowsAgent.SqlServer |
完全控制 | 擴充功能記錄檔。 | 預設 |
C:\Packages\Plugins\Microsoft.AzureData.WindowsAgent.SqlServer\<extension_version>\status\HeartBeat.Json |
完全控制 | 擴充活動訊號檔案。 | 預設 |
%ProgramFiles%\Sql Server Extension |
完全控制 | 擴充服務檔案。 | 預設 |
<SystemDrive>\Windows\system32\extensionUpload |
完全控制 | 需要寫入計費所需的使用量檔案。 | 預設 |
<SystemDrive>\Windows\system32\ExtensionHandler.log |
完全控制 | 擴充功能所建立的預先記錄資料夾。 | 預設 |
<ProgramData>\AzureConnectedMachineAgent\Config |
參閱 | Arc 組態檔目錄。 | 預設 |
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft SQL Server Extension Agent |
完全控制 | 撰寫評量報告和狀態的必要專案。 | 預設 |
SQL 記錄目錄 (如登入中的設定) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\log |
參閱 | 需要從 SQL 記錄擷取 SQL 虛擬核心資訊。 | 預設 |
SQL 備份目錄 (如登入中的設定) 1:C:\Program Files\Microsoft SQL Server\MSSQL<base_version>.<instance_name>\MSSQL\Backup |
ReadAndExecute/Write /Delete | 備份的必要專案 | Backup |
1 如需詳細資訊,請參閱 檔案位置和登錄對應。
登錄權限
基底鍵: HKEY_LOCAL_MACHINE
登錄機碼 | 所需權限 | 詳細資料 | 功能 |
---|---|---|---|
SOFTWARE\Microsoft\Microsoft SQL Server |
參閱 | 讀取 SQL Server 屬性, 例如 installedInstances 。 |
預設 |
SOFTWARE\Microsoft\Microsoft SQL Server\<InstanceRegistryName>\MSSQLSERVER |
完全控制 | Microsoft Entra ID 和 Purview。 | Microsoft Entra ID Purview |
SOFTWARE\Microsoft\SystemCertificates |
完全控制 | Microsoft Entra ID 的必要專案。 | Microsoft Entra ID |
SYSTEM\CurrentControlSet\Services |
參閱 | SQL Server 帳戶名稱。 | 預設 |
SOFTWARE\Microsoft\AzureDefender\SQL |
參閱 | Azure Defender 狀態和上次更新時間。 | 預設 |
SOFTWARE\Microsoft\SqlServerExtension |
完全控制 | 延伸模組相關值。 | 預設 |
SOFTWARE\Policies\Microsoft\Windows |
讀取和寫入 | 透過擴充功能啟用自動 Windows 更新。 | 自動更新 |
群組許可權
NT Service\SQLServerExtension
會新增至混合式代理程序擴充功能應用程式。 支援 Azure 實例元數據服務 (IMDS) 交握。
SQL 權限
NT Service\SQLServerExtension
已新增:
- 作為目前電腦上所有實例的 SQL 登入
- 身為每個資料庫中的使用者
擴充功能也會在啟用功能時授與實例和資料庫對象的許可權。 下表提供詳細數據。
功能 | 權限 | 層級 | 需求 |
---|---|---|---|
Default | VIEW DATABASE STATE |
伺服器層級 | 基本 |
VIEW SERVER STATE |
伺服器層級 | 基本 | |
CONNECT SQL |
伺服器層級 | 基本 | |
資料庫作為資源 | 默認公用角色 | 伺服器層級 (預設會授與新新增的登入) | 基本 |
最佳做法評量 | VIEW ANY DEFINITION |
伺服器層級 | 功能相依 |
VIEW ANY DATABASE |
伺服器層級 | 功能相依 | |
SELECT |
master |
功能相依 | |
SELECT |
msdb |
功能相依 | |
EXECUTE ON sys.xp_enumerrorlogs |
master |
功能相依 | |
EXECUTE ON sys.xp_readerrorlog |
master |
功能相依 | |
Backup | CREATE ANY DATABASE |
伺服器層級 | 功能相依 |
db_backupoperator角色 | 所有資料庫 | 功能相依 | |
dbcreator | 伺服器角色 | 功能相依 | |
Azure 控制平面 | CREATE TABLE |
msdb |
基本 |
ALTER ANY SCHEMA |
msdb |
基本 | |
CREATE TYPE |
msdb |
基本 | |
EXECUTE |
msdb |
基本 | |
db_datawriter角色 | msdb |
功能相依 | |
db_datareader角色 | msdb |
功能相依 | |
可用性群組探索 | VIEW ANY DEFINITION |
伺服器層級 | 基本 |
權限 | SELECT |
所有資料庫 | 功能相依 |
EXECUTE |
所有資料庫 | 功能相依 | |
CONNECT ANY DATABASE |
伺服器層級 | 功能相依 | |
VIEW ANY DATABASE |
伺服器層級 | 功能相依 | |
監視 | SELECT dbo.sysjobactivity |
msdb |
基本 |
SELECT dbo.sysjobs |
msdb |
基本 | |
SELECT dbo.syssessions |
msdb |
基本 | |
SELECT dbo.sysjobHistory |
msdb |
基本 | |
SELECT dbo.sysjobSteps |
msdb |
基本 | |
SELECT dbo.syscategories |
msdb |
基本 | |
SELECT dbo.sysoperators |
msdb |
基本 | |
SELECT dbo.suspectpages |
msdb |
基本 | |
SELECT dbo.backupset |
msdb |
基本 | |
SELECT dbo.backupmediaset |
msdb |
基本 | |
SELECT dbo.backupmediafamily |
msdb |
基本 | |
SELECT dbo.backupfile |
msdb |
基本 | |
CONNECT ANY DATABASE |
伺服器層級 | 基本 | |
VIEW ANY DATABASE |
伺服器層級 | 基本 | |
VIEW ANY DEFINITION |
伺服器層級 | 基本 | |
移轉評估 | EXECUTE dbo.agent_datetime |
msdb |
基本 |
SELECT dbo.syscategories |
msdb |
基本 | |
SELECT dbo.sysjobHistory |
msdb |
基本 | |
SELECT dbo.sysjobs |
msdb |
基本 | |
SELECT dbo.sysjobSteps |
msdb |
基本 | |
SELECT dbo.sysmail_account |
msdb |
基本 | |
SELECT dbo.sysmail_profile |
msdb |
基本 | |
SELECT dbo.sysmail_profileaccount |
msdb |
基本 | |
SELECT dbo.syssubsystems |
msdb |
基本 | |
SELECT sys.sql_expression_dependencies |
所有資料庫 | 基本 |
注意
最低許可權取決於已啟用的功能。 不再需要許可權時會更新。 啟用功能時會授與必要的許可權。
其他使用權限
- 存取擴充功能服務的服務帳戶許可權,並設定自動復原。
- 服務帳戶的登入即服務許可權。