Na verdade, não deveria ser tão difícil. Instale o SQL Server na máquina cliente usando a conta de administrador local. Para facilitar sua vida, use a autenticação mista.
Depois de instalar sua instância, a conta de administrador local deve ter a função de servidor sysadmin atribuída (essas são as configurações de segurança normais). Agora, use o seguinte:
-
Crie um novo usuário do SQL Server e atribua a função de servidor sysadmin a essa conta. Feche o SSMS e faça login usando novas credenciais. Ou simplesmente use a conta sa (não é uma boa prática, mas neste caso está tudo bem).
-
Vá para "Segurança - Logins" e remova a função sysadmin do administrador local. Além disso, verifique os mapeamentos de usuários e retire todos os direitos do administrador local.
Como teste, tente fazer login como administrador local, acho que você não poderá fazer login no servidor porque não há banco de dados "home" para esse usuário. Mas mesmo que você possa fazer login, ele tem apenas a função "pública".
Cabe a você instalar seu banco de dados e protegê-lo - atribua permissão ao usuário de sua escolha.
Em relação a você teme que o administrador local possa instalar o MSSQL novamente:ele pode instalá-lo, mas seria outra instância. Essa instância não sabe nada sobre os usuários em sua instância, portanto, você deve estar seguro.
Você também pode considerar o uso de funções de aplicativo no servidor SQL.