为 SQL 发现和评估预配具有最低特权的自定义帐户

本文介绍如何创建具有最低发现和评估权限的自定义帐户。

为准备进行发现，需要为 Azure Migrate 设备配置帐户，以便与 SQL Server 实例建立连接。 如果希望避免使用具有 sysadmin 权限的帐户，则可以创建一个拥有最低权限集的自定义帐户，以获取发现和评估所需的元数据。 在 SQL 发现和评估的设备配置中添加此自定义帐户。 最低权限帐户预配实用工具可以帮助预配这些自定义帐户。

先决条件

• 包含 SQL Server 实例列表的已准备好的 CSV。 确保所有列出的 SQL Server 都已启用 TCP/IP 协议。

• 对 CSV 中列出的所有 SQL Server 实例具有 sysadmin 权限的帐户。

  注意

  • 管理员级帐户仅用于预配最低权限帐户。 创建最低权限帐户后，在设备配置中提供该帐户，以便进行实际发现和评估。
  • 如果需要多个管理员级别的帐户，请使用相同的 CSV 文件再次运行实用程序，并使用下一个管理员级别凭据。 已跳过已成功更新的实例。 使用不同的管理员级凭据重复此操作，直到所有 sql 实例的“Status”字段设置为“Success”。

准备 SQL Server 实例列表

该实用工具需要创建为 CSV 的 SQL Server 实例列表，并按指定顺序列出以下列：

1. FqdnOrIpAddress（必需）：此字段应包含运行 SQL Server 实例的服务器的完全限定域名（或用于 SQL Server 身份验证的 IP 地址）。
2. InstanceName（必需）：此字段应包含命名实例的实例名称或默认实例的 MSSQLSERVER。
3. 端口（必需）：SQL Server 正在侦听的端口。
4. 状态（可选/输出）：此字段最初可以留空。 除“Success”之外的任何值都允许实用工具尝试针对相应实例预配最低权限帐户。 执行结束后，将在该字段中更新成功或失败。
5. ErrorSummary（可选/输出）：留空。 该实用工具会更新此字段，其中包含预配最低权限帐户时遇到的错误（如果有）。
6. ErrorGuidance（可选/输出）：留空。 该实用工具会更新此字段，其中包含预配最低权限帐户时遇到的详细错误消息（如果有）。

预配自定义帐户

1. 打开命令提示符并导航到 %ProgramFiles%\Microsoft Azure Appliance Configuration Manager\Tools\SQLMinPrivilege 文件夹。
2. 使用以下命令启动最低权限帐户预配实用工具：MinimumPrivilegedUser.exe
3. 选择环境类型，如果是从 AzureMigrate 设备运行，则输入 1，否则输入 2。
4. 提供 SQL Server 实例 CSV 列表的路径。
5. 提供用于为自定义帐户创建自定义安全标识符(SID) 的唯一标识符(GUID)。 建议对实用工具的所有执行使用相同的已知 GUID。 例如，可以使用 Azure 订阅 ID。
6. 提供具有管理员级权限的帐户凭据。
   1. 为 SQL 帐户输入 1,为 Windows/域帐户输入 2，以选择凭据类型。
   2. 提供管理员级帐户的用户名和密码
7. 现在提供要创建的最低权限帐户的凭据。
   1. 为 SQL 帐户输入 1,为 Windows/域帐户输入 2，以选择凭据类型。
   2. 如果在上一步中选择了 SQL 帐户，则列表中的 SQL Server 实例应已启用 SQL Server 身份验证（混合模式）。 如果列表中的 SQL Server 实例未启用 SQL 身份验证，脚本可以选择性地预配帐户并启用 SQL 身份验证。 但是，在使用新的 SQL 帐户之前，应重启实例。 如果不想继续执行 SQL 帐户预配，请输入 N 或 n 返回到上一步，然后再次选择凭据类型。
   3. 提供要预配的最低权限帐户的用户名和密码。
8. 如果有更多要使用的管理员级凭据，请再次使用同一 CSV 文件。 该实用工具跳过已成功配置的实例。

使用自定义帐户进行发现和评估

预配自定义帐户后，在设备配置中提供此凭据。