A documentação de instalação diz que a prática recomendada é criar uma conta de privilégio mínimo para o serviço do SQL Engine ser executado como.
Qual é a prática recomendada no Windows para criar uma conta desse tipo ... de quais grupos a conta deve ser membro (e não membro)? Quais outros privilégios de conta devem ser descartados?
Crie uma nova conta sem direitos especiais. Use o instalador do SQL Server para atribuir a conta a uma nova instância ou use o SQL Server Configuration Manager para alterar a conta que o serviço usa. O gerenciador de configuração irá definir os direitos da conta corretamente por si mesmo.
Não sei se são práticas recomendadas ou não, mas acabei de criar um novo grupo chamado SQL Servers , certifique-se de que minhas contas do SQL somente pertençam a esse grupo (nem mesmo Domain Users ) e, em seguida, apenas nunca deu a esse grupo quaisquer direitos ou permissões em qualquer lugar, exceto para compartilhamentos de rede que as contas SQL precisam acessar (envio de log, backups, etc.).
Parece ter sido bem sucedido até o momento, não tive nenhum problema com isso.
Existe um artigo do Microsoft SQL que lista todos os privilégios necessários.
Tags windows security sql-server