Я всегда считал, что демоны серверов должны пускаться автоматически при старте (т.е. под root).
Запускаются они от root. Но большинство этих самых демонов тут же сбрасывают полномочия до необходимого уровня. То есть работают они уже не от root.
Как правильно создавать пользователей, группы, права для продакшен-серверов (http, mail и тд)?
Так, чтобы они нормально работали, но не более того. Демон должен иметь доступ туда, куда ему нужно иметь доступ, и никуда более.
Некоторые особо параноидальные демоны даже chroot делают в свою рабочую папку, чтобы не дай бог из неё выбраться (postfix, например).