SQL Server中BUILTINAdministrators用户详解说明

SQL Server 是一个关系数据库管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的，于1988 年推出了第一个OS/2 版本。在Windows NT 推出后，Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了，Microsoft 将SQL Server 移植到Windows

　　SQL Server 是一个关系管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的，于1988 年推出了第一个OS/2 版本。在Windows NT 推出后，Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了，Microsoft 将SQL Server 移植到Windows NT系统上，专注于开发推广SQL Server 的Windows NT 版本。Sybase 则较专注于SQL Server在UNIX 操作系统上的应用。

　　SQL Server 2000 是Microsoft 公司推出的SQL Server 数据库管理系统，该版本继承了SQL Server 7.0 版本的优点，同时又比它增加了许多更先进的功能。具有使用方便可伸缩性好与相关软件集成程度高等优点，可跨越从运行Microsoft Windows 98 的膝上型电脑到运行Microsoft Windows 2000 的大型多处理器的等多种平台使用。

    在安装SQL Server 2000 ，安装进程自动地为“BUILTIN\Administrators”创建一个登录帐号，该帐号为“sysadmin”角色成员。“BUILTIN\Administrators”登录帐号代表了Microsoft Window2000 上的系统管理员本地组。 Windows 2000的“Administrator”帐户是系统管理员本地组的成员。

    此外，如果您的服务器是一个域的成员，“Domain Admins”全局组也会成为本地系统管理员组的成员。这意味着系统管理员本地组的所有成员都会自动地获得SQL Server上的“sysadmin”权限。

    为了加强您的SQL Server的安全性，可以创建自己的组并授予它“sysadmin”权限，然后删除“BUILTIN\Administrators”登录帐号，或者至少从“sysadmin”服务器角色中删除它。使用这种方法，可以较好地对谁可以访问您的SQL Server进行控制。这种方法也断开了SQL Server 系统管理员和Windows 2000 管理员之间的联系，因为他们通常有不同的任务，并且需要不同的权限。为了加强安全性，您可能想把SQL Server配置成只支持Windows身份验证。但是，必须要记住：这种配置会禁用您的“sa”帐户。

    如果您以错误的顺序实施了这个安全措施，您将不能再以>“sysadmin”的身份登录到SQL Server上，除非按照我上面所说的方法修改注册表键值。正确的顺序是：创建Windows 2000 或者 Windows NT 用户组并为组分配成员。例如：创建一个叫做“SQLAdmins”的组。

    把“SQLAdmins”映射为SQL Server里的一个用Windows身份验证方式验证登录的帐户，并把该帐户分派到“sysadmin”服务器角色。

    删除“BUILTIN\Administrators”登录帐户或者把它从“sysadmin”服务器角色中删除。

    把SQL Server的身份验证模式改为“仅进行Windows身份验证”。

    重新启动SQL Server 以反映身份验证模式的变化。

    注意: 如果您以下面的这种错误顺序实施这些步骤：删除“BUILTIN\Administrators”登录帐户，改变SQL Server 的身份验证模式为“仅进行Windows身份验证”，然后重新启动SQL Server，那么“sa” 帐户将被禁用，并且因为没有定义其它Windows身份验证登录帐户而无法进入SQL Server。为了避免这种情况发生，请以正确的顺序实施这些安全措施。