Share via

Zřízení vlastních účtů s nejnižšími oprávněními pro zjišťování a posouzení SQL

  • Článek

Tento článek popisuje, jak vytvořit vlastní účet s minimálními oprávněními pro zjišťování a hodnocení.

Při přípravě na zjišťování musí být zařízení Azure Migrate nakonfigurované s účty pro navazování připojení k instancím SQL Serveru. Pokud se chcete vyhnout používání účtů s oprávněními správce systému, je možné vytvořit vlastní účet s minimální sadou oprávnění potřebných k získání potřebných metadat pro zjišťování a hodnocení. Přidejte tento vlastní účet do konfigurace zařízení pro zjišťování a hodnocení SQL. S zřizováním těchto vlastních účtů vám může pomoct nejméně privilegovaný nástroj pro zřizování účtů.

Požadavky

  • Připravený sdílený svazek clusteru se seznamem instancí SQL Serveru. Ujistěte se, že všechny uvedené servery SQL mají povolený protokol TCP/IP.

  • Účty s oprávněními správce systému pro všechny instance SQL Serveru uvedené ve sdíleném svazku clusteru

    Poznámka:

    • Účet na úrovni správce se používá pouze ke zřízení nejméně privilegovaného účtu. Jakmile se vytvoří nejméně privilegovaný účet, zadejte ho v konfiguraci zařízení pro skutečné zjišťování a hodnocení.
    • Pokud se vyžaduje více účtů na úrovni správce, použijte stejný soubor CSV a spusťte nástroj znovu s dalšími přihlašovacími údaji na úrovni správce. Instance, které už byly úspěšně aktualizovány, se přeskočí. Tento postup opakujte s různými přihlašovacími údaji na úrovni správce, dokud nebudou mít všechny instance SQL nastavené pole Stav na hodnotu Úspěch.

Příprava seznamu instancí SQL Serveru

Nástroj vyžaduje seznam instancí SQL Serveru vytvořený jako sdílený svazek clusteru s následujícími sloupci ve stavovém pořadí:

  1. FqdnOrIpAddress (povinné): Toto pole by mělo obsahovat plně kvalifikovaný název domény (nebo volitelně IP adresu pro ověřování SQL Serveru) serveru, na kterém je spuštěná instance SQL Serveru.
  2. InstanceName (Povinné): Toto pole by mělo obsahovat název instance pro pojmenovanou instanci nebo MSSQLSERVER pro výchozí instanci.
  3. Port (povinný): Port, na který SQL Server naslouchá.
  4. Stav (volitelné/výstup): Toto pole může být zpočátku prázdné. Jakákoli hodnota zde kromě success umožňuje nástroji zřizovat nejméně privilegovaný účet pro odpovídající instanci. Úspěch nebo selhání se pak aktualizuje v tomto poli na konci spuštění.
  5. ErrorSummary (volitelné/výstup): Ponechte prázdné. Nástroj aktualizuje toto pole souhrnem chyb (pokud existuje), ke kterým došlo při zřizování nejméně privilegovaného účtu.
  6. ErrorGuidance (volitelné/výstup): Ponechte prázdné. Nástroj aktualizuje toto pole podrobnými chybovými zprávami (pokud existuje), ke kterým došlo při zřizování nejméně privilegovaného účtu.

Zřízení vlastních účtů

  1. Otevřete příkazový řádek a přejděte do složky %ProgramFiles%\Microsoft Aplikace Azure liance Configuration Manager\Tools\SQLMinPrivilege.
  2. Pomocí příkazu spusťte nástroj Pro zřizování nejméně privilegovaných účtů: MinimumPrivilegedUser.exe
  3. Typ prostředí vyberte zadáním hodnoty 1, pokud ho spouštíte ze zařízení AzureMigrate nebo 2 jinak.
  4. Zadejte cestu k seznamu CSV instancí SQL Serveru.
  5. Zadejte jedinečný identifikátor (GUID) pro vytvoření vlastního identifikátoru zabezpečení (SID) pro vlastní účet. Doporučujeme použít stejný dobře známý identifikátor GUID pro všechna spuštění nástroje. Můžete například použít ID předplatného Azure.
  6. Zadejte přihlašovací údaje účtu s oprávněními na úrovni správce.
    1. Typ přihlašovacích údajů vyberte zadáním hodnoty 1 pro účet SQL nebo 2 pro účet Windows nebo domény.
    2. Zadejte uživatelské jméno a heslo pro účet na úrovni správce.
  7. Teď zadejte přihlašovací údaje pro vytvoření nejméně privilegovaného účtu.
    1. Typ přihlašovacích údajů vyberte zadáním hodnoty 1 pro účet SQL nebo 2 pro účet Windows nebo domény.
    2. Pokud jste v předchozím kroku zvolili účet SQL, měly by mít instance SQL Serveru v seznamu povolené ověřování SQL Serveru (smíšený režim). Pokud instance SQL Serveru v seznamu nemá povolené ověřování SQL, skript může účet volitelně zřídit a povolit ověřování SQL. Než se ale použije nový účet SQL, instance by se měla restartovat. Pokud nechcete pokračovat ve zřizování účtu SQL, zadejte N nebo n , abyste se vrátili k předchozímu kroku a znovu zvolili typ přihlašovacích údajů.
    3. Zadejte uživatelské jméno a heslo pro zřízení nejméně privilegovaného účtu.
  8. Pokud se má použít více přihlašovacích údajů na úrovni správce, začněte znovu se stejným souborem CSV. Nástroj přeskočí instance, které jsou úspěšně nakonfigurovány.

Poznámka:

Ke zjednodušení konfigurace zařízení Azure Migrate doporučujeme použít stejné přihlašovací údaje k nejméně privilegovanému účtu.

Použití vlastního účtu ke zjišťování a hodnocení

Teď, když je vlastní účet zřízený, zadejte tyto přihlašovací údaje v konfiguraci zařízení.

Další kroky

Zjistěte, jak posoudit servery s SQL Serverem pro migraci do Azure SQL.