В документации по установке говорится, что лучше всего создать учетную запись с минимальными привилегиями для запуска службы SQL Engine.
Какова рекомендуемая практика в Windows для создания такой учетной записи ... членом каких групп должна быть учетная запись (а не членом)? Какие еще привилегии учетной записи следует отбросить?
Создайте новую учетную запись без особых прав. Используйте установщик SQL Server, чтобы назначить учетную запись новому экземпляру, или используйте диспетчер конфигурации SQL Server, чтобы изменить учетную запись, которую использует служба. Менеджер конфигурации сам правильно установит права для учетной записи.
В статье Microsoft SQL перечислены все необходимые привилегии.
Я не знаю, является ли это передовой практикой или нет, но я только что создал новую группу под названием SQL Servers, убедился, что мои учетные записи SQL только принадлежал к этой группе (даже не Domain Users), а затем просто никогда не давал этой группе никаких прав или разрешений где-либо, кроме общих сетевых ресурсов, к которым учетные записи SQL должны иметь доступ (доставка журналов, резервное копирование и т. д.).
Кажется, на сегодняшний день все прошло довольно успешно, у меня не было никаких проблем.