Ограничение моей учетной записи администратора домена

Я пытаюсь повысить безопасность своего домена, и часть этого процесса (как после somr RTFM):

Учетные записи администратора служб - для служб (антивирус, spiceworks, планировщик задач, резервное копирование NAS, администратор SQL и т. Д.)
Личные учетные записи администраторов для администраторов (CIO, CTO, RD Mgr ...)
попробуйте ограничить использование администратора домена значением NULL

однако у меня возникают проблемы с организацией в голове того, как должны быть эти учетные записи:

для сервисных учетных записей ADM - это довольно ясно (иметь доступ только к тому, что им нужно делать, и удалить доступ к графическому интерфейсу)
но для личных администраторов: какие учетные данные они (я и другие) должны быть?

Поскольку я буду создавать буквально такую же работу, только войдите в систему как adm.myuser.name с паролем, должен ли я добавить себя в группу администраторов?

Это немного помогает контролировать пользователей, ограничивать общие учетные записи и т. Д., Но как это должно быть сделано?
что лучше всего иметь таких администраторов личных доменов?
Как только я начну этот путь, у меня будет гораздо больше пользователей, которых мне нужно будет контролировать и отслеживать - как мне это сделать? - Как мне контролировать своего пользователя srv.adm.sql?

Что касается личных учетных записей администраторов, здесь есть два пути:

Каждый получает учетную запись личного администратора, а также учетную запись обычного пользователя.
Каждый получает личную учетную запись администратора, которую он использует для обычных вещей.

Очевидно, что первый вариант более безопасен, но реальность подсказывает, что многие администраторы просто воспользуются им и не будут беспокоиться о других. Поэтому есть второй вариант. Отдельные учетные записи администратора повышают контролируемость вашей среды, что является правильным и правильным решением.

Жить с двумя учетными записями, обычным и повышенным, вполне выполнимо, но требует некоторой работы, чтобы действительно успешно жить с ними. Проблема с Windows заключается в том, что она лишь иногда работает, чтобы «запускать» определенные инструменты управления в качестве вашей учетной записи с повышенными правами. Один из вариантов - разместить где-нибудь терминальный сервер, в который администраторы должны войти, чтобы использовать свои учетные записи с повышенными правами. Другой вариант - виртуальные машины только для администратора.

Что касается мониторинга их использования, потребуется некоторая форма всей среды мониторинга безопасности, которая может быть у вас, а может и не быть. Есть много способов сделать это, что выходит за рамки этого вопроса. Если вы выберете маршрут «отдельные учетные записи администратора, вход в систему ограничен определенными административными рабочими станциями», вы сможете отслеживать эти журналы безопасности напрямую, что может быть проще, чем решение для всей среды.