複数のドメイン管理者アカウントが必要ですか？

私は2つのサーバーと30のクライアントを持つ小さな組織で働いています。私たちは完全にWindows Server 2003 / XPです。私の他に、オペレーションディレクターとITコンサルティング会社は、ドメイン管理者アカウントにアクセスする必要があります。

何らかの理由（ログの変更、セキュリティなど）で複数のドメイン管理者アカウントを用意する必要がありますか？複数のドメイン管理者アカウントを持たない理由はありますか？

管理アクティビティを実行する各ユーザーには、それらのアクティビティを実行するための専用アカウントが必要です。Windows環境では、ビルトイン（RID 500）管理者アカウントに複雑なパスワードを設定し、印刷して、緊急用の金庫などにロックする必要があります。

セキュリティの一般的な原則は次のとおりです。誰がどの（管理、この場合は）アクティビティを実行しているのか（つまり、監査証跡を持っていること）を知りたい場合。

さらに、パスワードのセキュリティ違反や解約などが発生した場合に、個人のアクセスを遮断できるようにしたいと考えています。共有アカウントもその基準を満たしていません。

あらゆる種類の共有の一般的に使用されるアカウントは、価値が非常に疑わしいと見なされるべきですが、共有された管理資格情報は常に悪いものです。

re：制限されたリモートデスクトップ/ターミナルサービス接続などのWindows固有の考慮事項：仲間の管理者に慎重になり、不快なセッションを放置しないでください。私は、社会的圧力が小さな組織でかなりうまく機能することを発見しました（つまり、管理者XXXがサーバーをログオフすることを覚えていないという事実を頻繁かつ大声で言及します）。本当に必要な場合は、いつでも他のユーザーの切断されたセッションを起動できます。接続試行に30秒かかる場合があります。大規模な組織の場合、またはそれが大きな問題になる場合は、切断されたセッションタイムアウトの実装を検討してください。

少し余談ですが、ITコンサルタントについて言及して以来、おそらく話題になっているものです。IT請負業者として、私は常に自分専用の管理アカウントを要求し、「共有」管理資格情報を知らないように要求します。両方の当事者を保護し、監査証跡を提供します。お客様との関係を維持できると確信している強力なメッセージを送信すると私は信じているので、お客様が一瞬で「ロックアウト」できるように（そして実際にその能力も持っているように）感じてほしいのです。それらは私のスキルのメリットと私が提供する価値に基づいており、それらが私に「閉じ込められている」という漠然とした感情に基づくものではありません。

複数のアカウントを持たない理由の1つ：
リモートデスクトップを使用してすべてを管理する場合、それらに制限がある可能性があります。ユーザーがログアウトせずにリモートデスクトップセッションを閉じるだけの場合、すぐに拘束されます。

複数のアカウントを持つ理由：
何か悪いことが起こったときに誰がログインしていたかを確認できます。本当に、もしあなたが良いチーム環境を持っているなら、何かをした人は誰でもそれを認めるでしょう。

エヴァンの答えは良いです。また、日常の作業には管理者アカウントを使用しないでください。ワークステーションで何かを直接実行している場合は、runasなどで常に管理コマンドを実行してください。

サービスアカウントの場合は、対話型ログオンを無効にして、セキュリティを強化することもできます。

最後に、サーバーでセキュリティ監査を有効にし、セキュリティイベントログが十分な大きさであることを確認します（通常は20MB以上に設定します）。