Com relação às contas de administrador pessoal, há duas estradas a serem levadas até aqui:
- Todos recebem uma conta de administrador pessoal, bem como uma conta de usuário normal.
- Todos recebem uma conta de administrador pessoal que usam para coisas normais.
Obviamente, a primeira é a opção mais segura, mas a realidade sugere que muitos administradores usarão isso e não se incomodarão com o outro. É por isso que a segunda opção está lá. Contas de administrador separadas aumentam a capacidade de auditoria do seu ambiente, o que é uma coisa certa e verdadeira a fazer.
Viver com duas contas, uma normal e uma elevada, é bastante factível, mas requer algum trabalho para realmente viver com sucesso. O problema com o Windows é que às vezes ele só funciona para "executar" determinadas ferramentas de gerenciamento como sua conta elevada. Uma opção é ter um servidor de terminal em algum lugar em que os administradores devem efetuar login para usar suas contas elevadas. Outra opção são as máquinas virtuais somente de administrador.
Quanto ao monitoramento de seu uso, seria necessário algum tipo de ambiente de monitoramento de segurança, que você pode ou não ter. Há muitas maneiras de fazer isso, o que está além do escopo desta questão. Se você optar pela rota "contas de administrador separadas, com acesso restrito a determinadas estações de trabalho administrativas", poderá monitorar diretamente esses registros de segurança, o que pode ser mais fácil do que uma solução para todo o ambiente.