Problema de estratégia de autenticação somente no Windows do SQL Server

Eu gostaria de usar a autenticação somente do Windows no SQL Server para nossos aplicativos da Web. No passado, sempre criamos o 1 Login SQL poderoso para o aplicativo da web. Depois de fazer alguns testes iniciais, decidimos criar grupos do Windows Active Directory que imitam as funções de segurança do aplicativo (por exemplo, Administradores, Gerentes, Usuários / Operadores, etc ...) Criamos logins mapeados no SQL Server para esses grupos e lhes deu acesso ao banco de dados para o aplicativo. Além disso, criamos as funções de banco de dados do SQL Server e atribuímos a cada grupo a função apropriada. Isso está funcionando muito bem. Meu problema gira em torno de que, para a maioria dos aplicativos, todos na empresa devem ter acesso de leitura aos relatórios (e, portanto, aos dados). Tanto quanto eu posso dizer, eu tenho duas opções: 1) Crie um "role" de grupo de AD somente leitura / visualizador para cada aplicativo e coloque todos nele. 2) Use o (s) grupo (s) "domain \ domain users" e atribua a eles as funções corretas no SQL. Qual é a melhor e / ou a maneira mais fácil de permitir que todos tenham acesso a objetos de banco de dados específicos usando um método de autenticação somente do Windows?