"Praktik Terbaik" biasanya menentukan LPU (pengguna dengan hak istimewa) ... tetapi Anda benar (seperti ETL dan Joe jadi +1) bahwa orang jarang mengikuti model ini.
Sebagian besar rekomendasi dilakukan seperti yang Anda katakan ... buat 2 akun dan jangan bagikan akun tersebut dengan yang lain. Satu akun seharusnya tidak memiliki hak admin bahkan pada workstation lokal yang Anda gunakan dalam teori, tetapi sekali lagi yang mengikuti aturan itu, terutama dengan UAC hari ini (yang secara teori harus diaktifkan).
Ada beberapa faktor mengapa Anda ingin menggunakan rute ini. Anda harus memperhitungkan faktor keamanan, kenyamanan, kebijakan perusahaan, batasan peraturan (jika ada), risiko, dll.
Menjaga agar Domain Admins
dan Administrators
tingkat grup domain tetap bagus dan bersih dengan akun minimal selalu merupakan ide yang baik. Tetapi jangan hanya berbagi akun admin domain umum jika Anda dapat menghindarinya. Kalau tidak, ada risiko seseorang melakukan sesuatu dan kemudian menunjuk antara sysadmin dari "itu bukan saya yang menggunakan akun itu". Lebih baik memiliki akun sendiri atau menggunakan sesuatu seperti CyberArk EPA untuk mengauditnya dengan benar.
Juga pada baris ini, Schema Admins
grup Anda harus selalu KOSONG kecuali Anda membuat perubahan pada skema dan kemudian Anda memasukkan akun, membuat perubahan, dan menghapus akun. Hal yang sama dapat dikatakan Enterprise Admins
terutama dalam model domain tunggal.
Anda juga TIDAK boleh mengizinkan akun istimewa ke VPN ke dalam jaringan. Gunakan akun normal dan kemudian naikkan sesuai kebutuhan begitu di dalam.
Terakhir, Anda harus menggunakan SCOM atau Netwrix atau metode lain untuk mengaudit grup istimewa dan memberi tahu grup yang sesuai dalam TI setiap kali ada anggota grup ini yang berubah. Ini akan memberi Anda kepala untuk mengatakan "tunggu sebentar, mengapa tiba-tiba seorang Admin Domain?" dll.
Pada akhirnya ada alasan yang disebut "Praktik Terbaik" dan bukan "Hanya Praktik" ... ada pilihan yang dapat diterima yang dibuat oleh kelompok TI berdasarkan kebutuhan dan filosofi mereka sendiri dalam hal ini. Beberapa (seperti kata Joe) benar-benar malas ... sementara yang lain tidak peduli karena mereka tidak tertarik untuk memasukkan satu lubang keamanan ketika sudah ada ratusan dan setiap hari api untuk berkelahi. Namun, sekarang setelah Anda membaca semua ini, anggap diri Anda salah satu dari yang akan berjuang melawan yang baik dan melakukan apa yang Anda bisa untuk menjaga semuanya tetap aman. :)
Referensi:
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx