Eu configuraria:
- a conta de administração de estoque que vem OOB. Use isso para coisas que nenhuma outra conta pode fazer. Mantenha-o trancado e só o retire quando não tiver escolha.
- uma conta de administrador secundária, uma para cada administrador . Faça todo o seu trabalho diário de administrador nesta conta, mas nessas contas de administrador, omita os privilégios para o material realmente perigoso (DROP DATABASE, DROP SCHEMA, etc.), use o out- of-box conta de administrador mencionada acima para isso. (A ideia é forçar você a fazer login, pois outra conta deve ser um indicador mental de que você está prestes a fazer algo potencialmente prejudicial, também que as contas de administrador de trabalho diário podem ter um "interruptor de segurança" integrado a forma de privs ausentes para ações que poderiam prejudicar seu banco de dados)
- se você estiver usando conexões baseadas em máquina (pool de conexões, conexões com proxy, etc.) use uma conta para isso. Conceda os privilégios mínimos necessários para que esta conta funcione (para evitar que a conta cause danos enormes através do DROP DATABASE, etc.)
- se você tiver conexões diretas de usuários finais, uma conta para cada usuário final , a menos que seus usuários finais tenham uma ampla categoria e você não precise separar privs para essa categoria. Nesse caso, uma única conta para cada usuário grupo .
2009-07-03 Re-Edit for Clarity.