Eu acho que se resume a se você confia em seus administradores de domínio e no domínio. Se você suspeitar que os administradores de domínio estão corrompidos e os hackers mais prováveis atacam seu sistema, talvez você não queira ingressar no domínio, caso contrário, ingressar no domínio deve ter benefícios de segurança, como participar da política de grupo.
Quando SQL e IIS estão em caixas diferentes, geralmente o melhor que você pode obter é a autenticação sql, pois configurar a delegação é complicado e muitos administradores de servidor não sabem como fazê-lo. Se você conseguir descobrir, a autenticação do Windows é preferível.
Se você não puder evitar o uso de senhas, criptografe as senhas quando puder.