“指定 SQL Server 管理員” - 不尋常的預設值

安裝 SQL Server 時，您可以指定 SQL Server 管理員，即最初具有 sysadmin 角色的使用者列表。預設情況下，此列表包含目前使用者。

（圖片引自https://msdn.microsoft.com/en-us/library/dd578652.aspx。）

這個預設值讓我覺得很奇怪。**不是BUILTIN\Administrators比目前使用者更明智的選擇嗎？**畢竟，Windows 身份驗證的重點不是不必管理兩個單獨的使用者/組目錄嗎？並且本地管理員無論如何都可以獲得系統管理員權限，如果他們願意的話，所以它也不是一個真正的安全功能。

另一方面，SQL Server 是由比我聰明得多的人編寫的，所以這個預設值實際上可能有一個很好的理由。它是什麼？

您是對的：系統管理員可以獲得系統管理員訪問權限，但您會在該操作的預設跟踪中找到條目。此外，它需要至少重新啟動服務兩次，這幾乎不會被忽視。

不向 BUILTIN\Administrators 授予系統管理員權限是 SQL Server 2008 中引入的一項更改。在我看來，這是一個好主意：它允許伺服器管理員和 SQL Server 管理員之間的職責分離。

BUILTIN\Administrators 在您的系統管理員角色中的主要不良影響是失去控制，這可能表現為以下一項或多項令人討厭的事情：

1. 出現在您的伺服器上的新數據庫
2. 來自 Windows 管理員的不需要的連接，最終與合法連接競爭
3. 對具有敏感數據的數據庫的 Windows 管理員的隱含權限
4. 看似無害但會破壞“自助服務”操作，例如使用差異備份策略對數據庫進行完整的“一次性”備份。

長話短說，Windows 管理員擁有不同的技能組合和不同的心態，更不用說不同的職責：讓他們管理您的 SQL Server 實例並不是一個好主意。

我的建議是為您的 DBA 創建一個 windows 組，並在每次安裝新的 SQL Server 時將該組添加到 sysadmin 角色。

引用自：https://dba.stackexchange.com/questions/112011