建立一个安全的MSSQLSERVER的启动账号

　　SQL SERVER的安全问题一直是困扰DBA的一个难题，作为开发者和用户希望自己的权限越大越好，最好是SA,而作为DBA希望所有的用户权限越小越好，这总是一对矛盾。一般来说，我们会考虑采用WINDOWS验证模式，建立安全的用户权限，改变SQL SERVER TCP/IP的默认端口...等安全措施，但很多DBA还是忽略了MSSQL SERVER服务的启动账号，这也是一个非常值得重点关注的问题。特别是MSSQL SERVER提供了许多操作系统和注册表扩展存储过程，比如：xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。

　　我们先来回顾一下MSSQL SERVER执行这些扩展存储过程的步骤。MS SQL SERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑，而且这些扩展存储过程可以包括WIN32和COM的大多数功能。

　　当关系数据库引擎确定 Transact-SQL 语句引用扩展存储过程时：

　　关系数据库引擎将扩展存储过程请求传递到开放式数据服务层。

　　然后开放式数据服务将包含扩展存储过程函数的 DLL 装载到 SQL Server 2000 地址空间(如果还没有装载)。

　　开放式数据服务将请求传递到扩展存储过程。

　　开放式数据服务将操作结果传递到数据库引擎。

　　

　　限赋予sqlserver用户。

　　4.　分配sqlserver用户启动本地服务的权限;

　　这个比较复杂，我只举例作为成员服务器的情况。

　　启动“Local Security Setting” MMC 管理单元。

　　展开Local Policy，然后单击User Rights Assignment。