Puisqu'il s'agit d'un domaine Windows, il est probable que les comptes qu'ils utilisent ont un accès réseau complet à toutes les stations de travail, donc si quelque chose de mal se produit, il peut se produire sur le réseau en quelques secondes. La première étape consiste à s'assurer que tous les utilisateurs effectuent leur travail quotidien, naviguent sur le Web, rédigent des documents, etc. conformément au principe de l'accès le moins utilisateur .
Ma pratique consiste alors à créer un compte de domaine et à accorder à ce compte des privilèges d'administrateur sur tous les postes de travail (PC-admin), et un compte de domaine distinct pour le travail d'administrateur de serveur (server-admin). Si vous craignez que vos serveurs puissent se parler, vous pouvez avoir des comptes individuels pour chaque machine (<x> -admin, <y> -admin). Essayez certainement d'utiliser un autre compte pour exécuter les travaux d'administration du domaine.
De cette façon, si vous faites quelque chose sur un poste de travail compromis avec le compte d'administrateur PC, et qu'il saisit la chance que vous ayez des privilèges d'administrateur pour essayer d'atteindre d'autres machines sur le réseau, il ne pourra rien faire méchant à vos serveurs. Avoir ce compte signifie également qu'il ne peut rien faire pour vos données personnelles.
Je dois dire, cependant, qu'à un endroit où je sais où le personnel a travaillé avec les principes LUA, ils n'ont pas eu d'infestation de virus appropriée pendant les trois années que j'ai vues; un autre service au même endroit où tout le monde était administrateur local et le personnel informatique avec l'administrateur du serveur ont eu plusieurs épidémies, dont l'une a pris une semaine de temps informatique pour nettoyer en raison de la propagation de l'infection via le réseau.
La mise en place prend un certain temps, mais les économies potentielles sont énormes si vous rencontrez des problèmes.