Очень хорошо, когда у разных уровней привилегий админов есть разные учетки и их права не пересекаются (на высшем уровне администрирования). Если одна компрометируется - остальные остаются. Если админ всюду будет ходить с одной учеткой - то однажды он ее где-то сольет.
Пользователям - да, выделяйте локальных админов. И я б еще порекомендовал локальным админам закрыть сетевой вход на рабочие станции. Иначе однажды словите червя, который заразит от одного админа всю сеть.
1С, антивирус и т.п. - это однозначно пользователь и его учетка, а вот внутренние межсерверные дела, например между серверами 1С и SQL - там отдельная своя, может даже и с доменом не связанная. И вообще следует танцевать в таких продуктах от их специфических рекомендаций по безопасности. Зачастую и админская учетка для взаимодействия разных служб не требуется, когда грамотно настроено.
Вообще поставьте себя на место злоумышленника, который купил в сети базу скомпрометированных фишингом и троянами учеток вашей организации, ПО для криптовымогания и эксплойты против антивирусов. Вот представьте, что он теперь может войти по удаленке, а как войдет - воспользуется еще одним инструментом - головным мозгом. Осмотрится и сделает всё правильно, чтоб у вас потом подгорало и иного выхода, как платить выкуп - не было.
Думайте, отталкиваясь от подобной парадигмы. Сильные стороны и недостатки ваших решений в свете такого подхода - сразу намного понятней. Сразу видны настоящие цели и задачи...
Ну и в конце концов - AD ведь предоставляет любую нужную степень абстрагирования прав. Где-то надо поименно пользователей прописывать в доступе, а где -то применять несколько вложенных групп.
Простой
