"Best Practice" in genere impone LPU (utente meno privilegiato) ... ma hai ragione (come ETL e Joe quindi +1) che le persone raramente seguono questo modello.
La maggior parte dei consigli è fare come dici tu ... creare 2 account e non condividerli con altri. Un account non dovrebbe avere i diritti di amministratore anche sulla workstation locale che stai usando in teoria, ma di nuovo chi segue questa regola, specialmente con l'UAC in questi giorni (che in teoria dovrebbe essere abilitato).
Ci sono molti fattori nel perché vuoi percorrere questa strada però. Devi tener conto di sicurezza, convenienza, politica aziendale, restrizioni normative (se presenti), rischio, ecc.
Mantenere il Domain Admins
e Administrators
livello di dominio gruppi bello e pulito con i conti minimo è sempre una buona idea. Ma non condividere semplicemente gli account di amministratore di dominio comuni se puoi evitarlo. Altrimenti c'è il rischio che qualcuno faccia qualcosa e poi il dito indichi tra gli amministratori di "non sono stato io a usare quell'account". Meglio avere account individuali o usare qualcosa come CyberArk EPA per controllarlo correttamente.
Anche su queste righe, il tuo Schema Admins
gruppo dovrebbe essere sempre VUOTO a meno che tu non stia apportando una modifica allo schema e quindi inserisca l'account, apporti la modifica e rimuova l'account. Lo stesso si può dire Enterprise Admins
soprattutto in un singolo modello di dominio.
NON devi inoltre consentire agli account con privilegi di accedere alla rete VPN. Usa un account normale e poi elevalo come richiesto una volta dentro.
Infine, dovresti usare SCOM o Netwrix o qualche altro metodo per controllare qualsiasi gruppo privilegiato e informare il gruppo appropriato in IT ogni volta che uno qualsiasi dei membri di questo gruppo è cambiato. Questo ti darà un avvertimento per dire "aspetta un minuto, perché è così e così all'improvviso un amministratore di dominio?" eccetera.
Alla fine della giornata c'è un motivo per cui si chiama "Best Practice" e non "Only Practice" ... ci sono scelte accettabili fatte dai gruppi IT in base alle proprie esigenze e filosofie su questo. Alcuni (come ha detto Joe) sono semplicemente pigri ... mentre altri semplicemente non si preoccupano perché non sono interessati a tappare una falla di sicurezza quando ci sono già centinaia e fuochi quotidiani da combattere. Tuttavia, ora che hai letto tutto questo, considerati uno di quelli che combatteranno la buona battaglia e faranno il possibile per proteggere le cose. :)
Riferimenti:
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx