O Controle de Acesso Dinâmico (DAC) não tem nenhuma funcionalidade para usar o SQL Server como uma fonte de informações de autorização, como você está descrevendo. As versões atuais do produto simplesmente não fazem isso.
Os atributos do Active Directory e as propriedades de classificação de arquivos são os únicos fatores que o DAC pode levar em consideração ao tomar uma decisão de autorização. Você está preso usando um atributo do AD existente ou estendendo o esquema para criar um novo atributo para fazer o que está procurando.
Ocultar membros do grupo de segurança não é uma causa completamente perdida, embora você esteja definitivamente alterando o comportamento padrão do produto. A Lei de Privacidade e Direitos Educacionais da Família dos EUA (FERPA, na sigla em inglês) causou alguma necessidade na comunidade de ensino superior para grupos de DA com filiação oculta. Houve algumas discussões na lista de discussão ActiveDir.org sobre isso no passado. O artigo sobre a Infraestrutura do Windows da Universidade de Washington em Configuração de privacidade do grupo de cursos também deve ser visto.