Запуск SQL Server сервиса. Безопасность

Вот везде читаю, что мол никогда не запускайте сервис под учетной записью Administrator и LocalSystem, типа прав многовато. Пытался настроить запуск под простым юзером (с правами Log On As Service) - есстесно ниче не вышло. В папке Prog Fil\SQL Server - практически все объекты имеют права Full Control для Administrator, Administrators. Конечно можно для каждого объекта добавить юзера под которым хотим запуститься с Full Control правами или опять же юзера добавить в Administrators.

Подскажите как правильно сделать, чтоб безопаснее было? И вообще каков смысл этих действий?

Наиболее правильным считает фирма-специалист по безопасности Foundstone такой расклад:
1) учетная запась сервиса - член только группы Guests, даже не юзер.
2) удаление хранимых процедур xp_cmdshell и sp_OA*

После простого задания учетной записи сервиса, конечно же, работать не будет сразу. Надо права порасставлять. О том, какие конкретно права нужны, вам подробно скажет журнал безопасности после включения аудита. Метод тык, расставление тотальных прав или включение учетной записи в группу с высокими привилегиями - это несерьезный путь.

Дык. Дело в том, что при попытке запуска сервиса - поначалу вообще говорят, что 'Access denied' (это когда прав на запуск нету). А потом регулярно появляются ошибки 'Приложение вызвало сбой по вдресу ....'.
При этом при включенном аудите - в журнале ни одной записи не появляется, т.к. видимо сервис даже стартануть толком не может.

Может где читнуть можно порядок расстановки прав и вообще какие куда ставить?

Дык, я же ответил вже. Включи аудит в виндах (а не в sql-сервере) и через EventViewer смотри в журнале безопасности (а не в логе sql-сервера) каких прав нехватает. Только так.

Ладно - попробую еще разок, но я виндовый аудит и имел ввиду. Там ничего не видел я. Ну мож где руки кривые - погляжу. Спасиб.