"Найкраща практика" зазвичай диктує LPU (найменш привілейований користувач) ... але ви праві (як ETL і Joe так +1), що люди рідко дотримуються цієї моделі.
Більшість рекомендацій - робити так, як ви кажете ... створити 2 акаунти, а не ділитися цими обліковими записами з іншими. Один обліковий запис не повинен мати прав адміністратора навіть на локальній робочій станції, яку ви використовуєте теоретично, але знову ж таки, хто дотримується цього правила, особливо з UAC в наші дні (що теоретично має бути включено).
Існує кілька факторів, чому ви хочете пройти цей маршрут. Ви повинні враховувати безпеку, зручність, корпоративну політику, регуляторні обмеження (якщо такі є), ризик тощо.
Підтримувати групи Domain Admins
та Administrators
рівні домену красивими та чистими з мінімальними обліковими записами - це завжди хороша ідея. Але не просто діліться загальними обліковими записами адміністратора домену, якщо ви можете цього уникнути. Інакше є ризик того, що хтось щось зробить, а потім пальцем вкаже між сисадмінами "це я не використовував цей рахунок". Краще мати індивідуальні акаунти або використовувати щось на зразок CyberArk EPA, щоб перевірити його правильно.
Крім того, у цих рядках ваша Schema Admins
група завжди повинна бути ВИПУСКОВОЮ, якщо ви не вносите зміни до схеми, а потім внесете обліковий запис, внесете зміни та вилучите обліковий запис. Те саме можна сказати, Enterprise Admins
особливо для однієї доменної моделі.
Ви також НЕ повинні дозволити привілейовані облікові записи до VPN в мережі. Скористайтеся звичайним рахунком, а потім підніміть, як потрібно один раз всередину.
Нарешті, ви повинні використовувати SCOM, Netwrix або інший метод для аудиту будь-якої привілейованої групи та повідомляти відповідну групу в ІТ, коли хтось із членів цієї групи змінився. Це дасть вам голову сказати "почекай хвилинку, чому так і так раптом Адміністратор домену?" тощо.
Зрештою, є причина, яку називають "Найкраща практика", а не "Тільки практика" ... Є прийнятні варіанти, які ІТ-групи роблять на основі власних потреб та філософії щодо цього. Деякі (як сказав Джо) просто ледачі ... а інші просто не байдужі, оскільки їм не цікаво забивати один отвір у безпеці, коли вже сотні і щодня воюють для боротьби. Однак тепер, коли ви все це прочитали, вважайте себе одним із тих, хто буде боротися з доброю боротьбою, і зробіть все можливе, щоб забезпечити безпеку. :)
Список літератури:
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx