"Meilleure pratique" dicte généralement LPU (utilisateur le moins privilégié) ... mais vous avez raison (comme ETL et Joe so +1), les gens suivent rarement ce modèle.
La plupart des recommandations consistent à faire ce que vous dites ... Créez 2 comptes et ne les partagez pas avec d'autres. Un compte ne devrait pas avoir de droits d'administrateur sur le poste de travail local que vous utilisez en théorie, mais encore une fois qui respecte cette règle, en particulier avec le contrôle de compte d'utilisateur ces jours-ci (qui devrait en théorie être activé).
Cependant, il existe de nombreux facteurs qui expliquent pourquoi vous souhaitez suivre cette voie. Vous devez prendre en compte la sécurité, la commodité, la politique d'entreprise, les restrictions réglementaires (le cas échéant), les risques, etc.
Garder les groupes de niveau Domain Admins
et Administrators
domaine bien et propres avec des comptes minimaux est toujours une bonne idée. Mais ne partagez pas simplement les comptes d’administrateur de domaine commun si vous pouvez les éviter. Sinon, il y a un risque que quelqu'un fasse quelque chose, puis pointe du doigt un administrateur système "ce n'est pas moi qui ai utilisé ce compte". Mieux vaut avoir des comptes individuels ou utiliser quelque chose comme CyberArk EPA pour l’auditer correctement.
De plus, sur ces lignes, votre Schema Admins
groupe devrait toujours être VIDE, sauf si vous modifiez le schéma, puis insérez le compte, effectuez la modification et supprimez le compte. La même chose pourrait être dite en Enterprise Admins
particulier dans un modèle à domaine unique.
Vous ne devez PAS non plus autoriser les comptes privilégiés à accéder à un réseau privé virtuel sur le réseau. Utilisez un compte normal puis élevez-vous selon vos besoins une fois à l'intérieur.
Enfin, vous devez utiliser SCOM ou Netwrix ou une autre méthode d’audit de tout groupe privilégié et avertir le groupe approprié dans le système d’information chaque fois que l’un des membres de ce groupe a changé. Cela vous donnera une tête à dire "attendez une minute, pourquoi est-ce si soudain un administrateur de domaine?" etc.
À la fin de la journée, il existe une raison pour que cela s'appelle "Meilleure pratique" et non pas "Seulement pratique" ... Il y a des choix acceptables faits par les groupes informatiques en fonction de leurs propres besoins et philosophies à cet égard. Certains (comme Joe l'a dit) sont tout simplement paresseux ... tandis que d'autres ne s'en soucient tout simplement pas, car ils ne sont pas intéressés à combler le trou de sécurité lorsqu'il y en a déjà des centaines et qu'il faut combattre quotidiennement. Cependant, maintenant que vous avez lu tout cela, considérez-vous comme l'un de ceux qui lutteront contre le bon combat et feront tout ce qui est en votre pouvoir pour assurer la sécurité des événements. :)
Les références:
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx