Разделять администраторов домена и администраторов контроллера домена - хорошая идея?

Is it a good idea? да

Why is it not like this? Если вы не заметили, Microsoft не очень хорошо обеспечивала безопасность в прошлом, и некоторые небезопасные конфигурации по умолчанию все еще присутствуют. NetBIOS, включенный на сетевых адаптерах, - еще один классический пример.

В больших лесах с несколькими доменами администраторы домена традиционно были не очень полезны, если вы хотели использовать одну административную учетную запись в одном домене для управления несколькими доменами, поскольку администраторы домена являются глобальной группой. Таким образом, универсальная группа обычно создается и добавляется в группу администраторов домена, а административные учетные записи добавляются в универсальную группу, чтобы одна административная учетная запись могла иметь доступ к нескольким доменам при необходимости. (Администраторы домена получают почти все привилегии от членства в Администраторах, и для очень немногих действий требуется членство в Администрации домена).

С ESAE и Microsoft Identity Manager (MIM) ограничения администраторов домена в многодоменном лесу (или даже нескольких лесах) больше не существуют, поскольку MIM может динамически добавлять теневых участников из леса ESAE к администраторам домена, даже если администраторы домена это глобальная группа. Этот доступ может быть дополнительно ограничен периодом времени, в течение которого учетная запись имеет членство, поэтому единственным постоянным членом администраторов домена будет встроенная учетная запись администратора, которую следует использовать только в экстренных случаях.

https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Ограничения контроля:

Ограничения входа: