Permissões de arquivo para backups de banco de dados e backups de certificados

Sempre que você executar BACKUP CERTIFICATEou BACKUP MASTER KEY, o SQL Server modificará a Lista de Controle de Acesso (ACL) em cada arquivo de sistema de arquivos resultante que ele cria ¹ para que ninguém além dos seguintes principais do Windows tenha acesso ao arquivo:

1. OWNER_RIGHTS tem controle total. OWNER_RIGHTS é um identificador de segurança bem conhecido, S-1-3-4que representa o proprietário atual do objeto. Quando uma entrada de controle de acesso que carrega esse SID é aplicada a um objeto, o sistema ignora as permissões implícitas READ_CONTROL e WRITE_DAC para o proprietário do objeto.
2. Os membros do grupo local "Administradores" têm controle total
3. A conta virtual ou a conta de serviço gerenciado usada para executar o SQL Server tem controle total. Observe que esta não é a conta de serviço do SQL Server que você configura no SQL Server Configuration Manager. Para uma instância padrão do SQL Server, a conta normalmente é NT SERVICE\MSSQLSERVER. Para uma instância nomeada, a conta é nomeada NT SERVICE\MSSQL$INSTANCE_NAME.
4. A herança é removida da ACL do objeto para impedir o acesso de qualquer outro principal.

Esse comportamento ocorre por design e é uma tentativa de limitar o acesso ao certificado resultante e sua chave privada. Permitir que "todos" acessem o certificado e os arquivos de chave privada permite que todos restaurem um backup do banco de dados criptografado TDE no servidor de sua escolha e possam visualizar todos os dados criptografados como se não estivessem criptografados. O que você está propondo fazer parece uma péssima ideia para mim, pois basicamente contorna a criptografia.

Veja minha postagem no blog para mais detalhes e código de exemplo.

^{1 - supondo que o SQL Server Service tenha direitos de "controle total" na pasta de destino na instrução de backup.}