whether things ... should be run under a user that was created for that purpose
Sim, eles devem ser executados sob um usuário especial, porque, como os processos amplamente divulgados em wild, se eles (e somente eles) estiverem comprometidos (injeção de memória como exemplo), eles podem executar ações no sistema apenas com permissões | possibilidades de tal usuário (que geralmente têm direitos mínimos fora da própria área)