What are the pros and cons of keeping such local (non-domain) admin accounts on domain-joined workstations in respect to:
Segurança
Há pouca diferença. Uma conta com privilégios administrativos pode destruir uma máquina. Isso é verdade, quer estejamos falando de um domínio ou conta local. Alguns argumentam que a conta Administrator
local é mais vulnerável ao ataque, simplesmente porque é um nome de usuário bem conhecido. Se isso for uma preocupação, você sempre poderá alterar o nome de usuário da conta com um GPP embora isso não diminua os ataques que dependem do SID conhecido da conta, que não pode ser alterado. IMHO é mais importante usar uma senha strong do que tentar evitar tentativas de logon indesejadas.
Uma diferença notável exclusiva da conta de administrador local é que, por padrão, ignora automaticamente o UAC . Isso não tem sentido se um invasor estiver logado; UAC não vai pará-lo. No entanto, o UAC pode ser útil para ajudar a proteger um administrador legítimo. Esse comportamento pode ser alterado pela GP , eliminando-o como uma diferença.
Gerenciamento
Contas locais são mais difíceis de gerenciar. E não apenas a conta de administrador local. A alteração de uma conta de domínio é feita facilmente em um só lugar, afetando todos os computadores nos quais a conta é usada. Uma conta local só pode ser modificada na estação de trabalho onde ela existe. No entanto, com o advento das Preferências da Política de Grupo, algumas alterações na conta local (por exemplo, renomear o Administrador local para outra coisa [ver acima]) podem ser gerenciadas com a Diretiva de Grupo. Há também utilitários disponíveis para alterar senhas de contas locais.
Acesso a dados / solução de problemas
Uma conta de administrador local é indispensável. Somente as 10 contas de domínio anteriores para efetuar logon com êxito em uma máquina ainda podem fazer logon na conectividade de evento a um DC perdido (esse número é configurável ). Se nenhuma dessas contas tiver privilégios de administrador local e você estiver solucionando problemas em uma máquina que não consegue estabelecer uma conexão de rede, você está preso. Mesmo o acesso ao console de recuperação não será possível (pelo menos sem hacks). Mas com uma conta de administrador local disponível, você nunca precisa se preocupar com isso. Por esse motivo, tenho uma conta de administrador local em todas as máquinas de domínio que eu gerencio, incluindo (especialmente) servidores.