Permitir logon de rede para contas locais é perigoso e uma prática de segurança insatisfatória. Para os membros do grupo de administradores, eu realmente caracterizaria isso como negligência. Ele permite o movimento lateral e é difícil de detectar e auditar, pois os logons da conta não são registrados centralmente (nos controladores de domínio).
Para atenuar essa ameaça, a Microsoft criou dois novos identificadores de segurança internos para adicionar ao direito de usuário "Negar acesso a este computador pela rede":
S-1-5-113: NT AUTHORITY\Local account
S-1-5-114: NT AUTHORITY\Local account and member of Administrators group