В целом, если выполнять логирование в любую систему, к которой у администратора нет доступа на модификацию, и следить за неизменностью кода, выполняющего логирование на сервере, где права есть, то задачу можно решить хотя бы до уровня "администратор ведет себя подозрительно" и, например, заблокировать ему доменную учетную запись.

Владислав КолосовДля большинства текущих задач, не связанных с реконфигурацией сервера, sysadmin можно не давать. Для утилитарных действий, таких как KILL можно написать обертки и дать на них права кому требуется.Для kill не обязателен sysadmin:
https://docs.microsoft.com/en-us/sql/t-sql/language-elements/kill-transact-sql?view=sql-server-2017 SQL Server: Requires the ALTER ANY CONNECTION permission. ALTER ANY CONNECTION is included with membership in the sysadmin or processadmin fixed server roles.