Hallo Hubertus,
dieser Thread ist jetzt schon was älter, aber ich will trotzdem noch antworten.
Du hast recht, wenn ein Anwender die System-Rolle "sysadmin" bekommt, hat er ALLE Rechte auf dem gesamten System. Hier zieht auch kein DENY von irgendwelchen Rechten.
Wenn ein Anwender bestimmte Daten und Bereiche nicht sehen darf, darf er auch keine sysadmin-Rechte bekommen, das mach dann auch nicht wirklich Sinn.
Was aber geht (ist zwar was mehr Arbeit, aber das ist das Einrichten von Berechtigungen immer!) ist die Vergabe der dbowner-Rolle. Hier kannst du für den Anwender in den benötigten Datenbanken eine eigene Rolle anlegen, in der du Zugriffsrechte auf bestimmte Objekte verweigerst.
Berechtigungen z.B. auf den SQL Server Agent können ebenfalls separat vergeben werden. Es werden aber nicht alle Funktionen, die ein sysadmin ausführen darf, für eine Berechtigung außerhalb dieser Rolle angeboten.
Viele Grüße,
Tommi