如何提高 SQL Server 2005 以前版本的安全性

        在SQL Server 2005(含)以前，安裝的時候，系統都會自動將Administrators的群組自動加入，成為SQL Server的系統管理員，但由於許多公司的資安規定與個人資料保護法的通過後，能存取資料庫的人就會越來越限定，而且Domain Administrator也不一定是資料庫管理者，這個情況雖然在SQL Server 2008以後已不會再發生，但是在SQL Server 2005之前，情況還是存在，因為預設就會加入，而且此群組無法停用，所以本篇主要介紹如何進行 [BUILTIN\Administrators] 群組的移除。


設定前確認事項：

1. 請確認當您移除 [BUILTIN\Administrators] 群組之前，您要確保仍有其他Windows帳號的使用者擁有sysadmin的權限並且可以登入到資料庫中，以免造成沒有管理者可以登入的情況發生。
2. 如果您不是使用 Windows 整合驗證進行管理時，請確認您可以透過 SA 的身份登入，另外也請確認登入時的認證模式要確認有啟用混合模式。

設定流程：

1. 移除Administrator群組在資料庫中的權限。
   exec sp_dropsrvrolemember [BUILTIN\Administrators] , sysadmin
go;
2. 移除Administrator群組登入的權限
   drop login [BUILTIN\Administrators]
go;

PS：由於Domain Admin是對應到 [BUILTIN\Administrators] 的群組，所以刪除此帳號後，Domain Admin也會相對無法進行管理。

關鍵字：SQL Server、BUILTIN\Administrators、Security Setting