SQL Server的BUILTIN\Administrators使用者

在安裝SQL Server 2000 ，安裝程式自動地為“BUILTIN\Administrators”建立一個登入帳號，該帳號為“sysadmin”角色成員。“BUILTIN\Administrators”登入帳號代表了Microsoft Window2000 上的系統管理員本地組。 Windows 2000的“Administrator”帳戶是系統管理員本地組的成員。

此外，如果您的伺服器是一個域的成員，“Domain Admins”全域性組也會成為本地系統管理員組的成員。這意味著系統管理員本地組的所有成員都會自動地獲得SQL Server上的“sysadmin”許可權。為了加強您的SQL Server的安全性，可以建立自己的組並授予它“sysadmin”許可權，然後刪除“BUILTIN\Administrators”登入帳號，或者至少從“sysadmin”伺服器角色中刪除它。使用這種方法，可以較好地對誰可以訪問您的SQL Server進行控制。這種方法也斷開了SQL Server 系統管理員和Windows 2000 管理員之間的聯絡，因為他們通常有不同的任務，並且需要不同的許可權。為了加強安全性，您可能想把SQL Server配置成只支援Windows身份驗證。但是，必須要記住：這種配置會禁用您的“sa”帳戶。如果您以錯誤的順序實施了這個安全措施，您將不能再以>“sysadmin”的身份登入到SQL Server上，除非按照我上面所說的方法修改登錄檔鍵值。正確的順序是：建立Windows 2000 或者 Windows NT 使用者組併為組分配成員。例如：建立一個叫做“SQLAdmins”的組。

把“SQLAdmins”對映為SQL Server裡的一個用Windows身份驗證方式驗證登入的帳戶，並把該帳戶分派到“sysadmin”伺服器角色。

刪除“BUILTIN\Administrators”登入帳戶或者把它從“sysadmin”伺服器角色中刪除。

把SQL Server的身份驗證模式改為“僅進行Windows身份驗證”。

重新啟動SQL Server 以反映身份驗證模式的變化。

注意: 如果您以下面的這種錯誤順序實施這些步驟：刪除“BUILTIN\Administrators”登入帳戶，改變SQL Server 的身份驗證模式為“僅進行Windows身份驗證”，然後重新啟動SQL Server，那麼“sa” 帳戶將被禁用，並且因為沒有定義其它Windows身份驗證登入帳戶而無法進入SQL Server。為了避免這種情況發生，請以正確的順序實施這些安全措施。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/16436858/viewspace-545244/，如需轉載，請註明出處，否則將追究法律責任。