Это хорошая идея разделить администраторов домена и администраторов контроллера домена?

Is it a good idea? Да

Why is it not like this? В случае, если Вы не заметили, Microsoft не была очень хороша в безопасности в прошлом и некоторые конфигурации по умолчанию, которые не безопасны, все еще присутствуют. NetBIOS, включенный на сетевых адаптерах, является другим классическим примером.

В больших лесах с несколькими доменами, Администраторы домена традиционно не были очень полезны, если Вы хотели использовать единственную административную учетную запись в одном домене к управляемому, несколько доменов, из-за Администраторов домена Глобальная группа. Таким образом, Универсальная группа обычно создавалась бы и добавлялась бы к группе администраторов домена и административным учетным записям, добавленным к Universal Group, таким образом, единственная административная учетная запись могла иметь доступ к нескольким доменам при необходимости. (Администраторы домена получают почти все права от членства в Администраторах, и очень немного операций требуют членства Администратора домена).

С ESAE и Менеджером Microsoft Identity (MIM), ограничения Администраторов домена в многодоменном лесу (или даже нескольких лесах) больше не существуют из-за MIM, могут динамично добавить теневые принципалы от леса ESAE до Администраторов домена даже при том, что Администраторами домена является Глобальная группа. Этот доступ может быть далее ограничен на сумму времени, учетная запись имеет членство, таким образом, единственный постоянный элемент Администраторов домена был бы встроенной учетной записью Администратора, которая должна только использоваться в чрезвычайных ситуациях.

https://Ограничения Управления docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

:

Ограничения Входа в систему: